资源描述:
《windows系统安全6(访问控制)ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第六章:访问控制内容1访问控制概述2访问控制机制3用户和组基础内置本地组默认组成员1访问控制概述访问控制的目的:限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用。描述一个保护系统的最简单框架模型是使用访问控制矩阵模型,这个模型将所有用户对于文件的权限存储在矩阵中。访问控制矩阵模型客体集O是所有被保护实体的集合(所有于系统保护状态相关的实体)。主体集S是所有活动对象的集合,如进程和用户。所有的权限的类型用集合R来表示。在访问控制矩阵模型中,客体集O和
2、主体集S之间的关系用带有权限的矩阵A来描述,A中的任意元素a[s,o]满足sS,oO,a[s,o]R。元素a[s,o]代表的意义是主体s对于客体o具有权限a[s,o]。安全策略安全策略是一种声明,它将系统的状态分成两个集合:已授权的,即安全的状态集合;未授权的,即不安全的状态集合。任何访问控制策略最终均可被模型化为访问矩阵形式。目标x读、修改、管理读、修改、管理目标y目标z用户a用户b用户c用户d读读读、修改、管理读、修改读、修改目标用户访问矩阵实例访问控制策略类型强制访问控制(Mandatory
3、accesscontrol)系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。自主访问控制(Discretionaryaccesscontrol)自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵
4、活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。主流操作系统(WindowsServer,UNIX系统),防火墙(ACLs)等都是基于自主访问控制机制来实现访问控制。基于角色的访问控制(Rolebasedaccesscontrol)用户角色操作客体许可矩阵中的许多元素常常为空。在实现自主访问控制机制时,常常是基于1矩阵的行来表达访问控制信息。2矩阵的列来表达访问控制信息基于访问控制列表基于保护位访问控制矩阵的行file1file2file3AndyrxrrwoBettyr
5、wxorCharlierxrwowC-Lists:Andy:{(file1,rx)(file2,r)(file3,rwo)}Betty:{(file1,rwxo)(file2,r)}Charlie:{(file1,rx)(file2,rwo)(file3,w)}访问控制列表(ACL)访问控制矩阵的列file1file2file3AndyrxrrwoBettyrwxorCharlierxrwowACLs:file1:{(Andy,rx)(Betty,rwxo)(Charlie,rx)}file2:{(An
6、dy,r)(Betty,r)(Charlie,rwo)}file3:{(Andy,rwo)(Charlie,w)}保护位如果主体很多,可以在访问控制列表中使用组ACLs很长,所以合并用户UNIX:三级用户:owner,group,restrwxrwxrwxrestgroupowner2Windows安全模型安全主体的访问令牌<客体的安全描述用户登录时,系统为其创建访问令牌用户启动程序时,线程获取令牌的拷贝程序请求访问客体时,提交令牌。系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制2.1保护
7、客体对象—安全描述符Windows2000可保护的对象列表文件和文件夹网络共享打印机管道进程和线程服务每一个安全性对象都有一个安全性描述符与之相连一个安全描述符包含以下信息对象所有者的SID基本所有组的SID自定义的访问控制列表(DACL:discretionaryaccesscontrollist)系统访问控制列表(SACL:systemaccesscontrollist)DACL(discretionaryaccess-controllist):用来做访问控制,决定用户是否有相关权限SACL(sec
8、urityaccess-controllist):用于审计的列表客体的安全描述当在授权用户安全环境中执行的线程创建对象时,安全描述中就会被填入访问控制信息。访问控制信息的来源:执行线程(主体线程)直接把访问控制信息分配给对象。系统从父对象中检查可继承的访问控制信息,并将其分配给对象。(如果有冲突,下级的优先权更高)系统使用对象管理器所提供的默认访问控制信息,并将其分配给对象。(如果前两种权限不存在,就用这项,可能性不大)访问控制列表(ACL