課件第5章訪問控制

第5章訪問控制主要內(nèi)容5.1概述5.2訪問控制模型 5.2.1自主訪問控制5.2.2強(qiáng)制訪問控制5.2.3基于角色的訪問控制5.3Windows系統(tǒng)的安全管理5.3.1Windows系統(tǒng)安全體系結(jié)構(gòu) 5.3.2Windows系統(tǒng)的訪問控制5.3.3活動目錄與組策略5.1概述身份認(rèn)證：識別“用戶是誰”的問題訪問控制：管理用戶對資源的訪問依賴關(guān)系用戶打印服務(wù)文件服務(wù)訪問控制策略數(shù)據(jù)庫服務(wù)音視頻服務(wù)進(jìn)程作業(yè)主體客體執(zhí)行控制訪問操作訪問控制一般概念：是針對越權(quán)使用資源的防御措施。基本目標(biāo)：防止對任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問。從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。未授權(quán)的訪問包括：的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。訪問控制作用訪問控制的作用：訪問控制對機(jī)密性、完整性起直接的作用。對于可用性，訪問控制通過對以下信息的有效控制來實(shí)現(xiàn)：1）誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令2）誰能夠?yàn)E用資源以達(dá)到占用資源的目的3）誰能夠獲得可以用于拒絕服務(wù)攻擊的信息訪問控制的基本組成元素主體(Subject)：是指提出訪問請求的實(shí)體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。主體可以是用戶或其它代理用戶行為的實(shí)體（如進(jìn)程、作業(yè)和程序等）?？腕w(Object)：是指可以接受主體訪問的被動實(shí)體?？腕w的內(nèi)涵很廣泛，凡是可以被操作的信息、資源、對象都可以認(rèn)為是客體。客體：是一個字節(jié)、一個字段、記錄、程序、文件，或者是一個處理器、存儲器、網(wǎng)絡(luò)節(jié)點(diǎn)。訪問控制策略（AccessControlPolicy）：是指主體對客體的操作行為和約束條件的關(guān)聯(lián)集合。簡單地講，訪問控制策略是主體對客體的訪問規(guī)則集合，這個規(guī)則集合可以直接決定主體是否可以對客體實(shí)施的特定的操作。75.2訪問控制模型1985年美國軍方提出可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC，其中描述了兩種著名的訪問控制模型：自主訪問控制DAC(DiscretionaryAccessControl)強(qiáng)制訪問控制MAC(MandatoryAccessControl)1992年美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的DavidFerraiolo和RickKuhn提出一個模型基于角色的訪問控制RBAC（RoleBasedAccessControl）模型訪問控制模型DAC：由客體的屬主對自己的客體進(jìn)行管理，由屬主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體，自主的DiscretionaryMAC：強(qiáng)制訪問控制下，用戶與文件都被標(biāo)記了固定的安全屬性（安全級、訪問權(quán)限），訪問發(fā)生時系統(tǒng)檢測安全屬性以便確定用戶是否有權(quán)訪問，用戶無法修改，只有管理員可更改，Mandatory5.2.1自主訪問控制自主訪問控制DAC模型根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份來訪問系統(tǒng)控制策略許可的客體，同時阻止非授權(quán)用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶。UNIX、LINUX以及WindowsNT等操作系統(tǒng)都提供自主訪問控制的功能。訪問權(quán)限信息存儲特權(quán)用戶為普通用戶分配的訪問權(quán)限信息的形式訪問控制矩陣ACM（AccessControlMatrix）基于列：訪問控制表ACL（AccessControlLists）基于行：訪問控制能力表ACCL（AccessControlCapabilityLists）訪問控制矩陣ACM客體主體Object1Object2Object3AliceOwn，R，WRR，WBobROwn，R，WJohnR，WOwn，R，W訪問控制能力表ACCLObject1OwnRWPointerObject2RPointerObject2RPointerObject3WPointerObject3OwnRWPointerObject3RWPointerObject1OwnRWPointerBobAliceJohnDAC-AACL主體按照權(quán)限（讀寫執(zhí)行）訪問客體允許主體把自己的權(quán)利轉(zhuǎn)授給其他進(jìn)程，或者收回訪問權(quán)，但一般來說把程序所需訪問的客體限制在較小范圍內(nèi)AACL是基于單行的，很難確定所有能夠訪問的所有主體，因此不能實(shí)現(xiàn)完備的自主訪問控制安全性最低。信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)C的訪問權(quán)限傳遞給用戶B,從而使不具備對C訪問權(quán)限的B可訪問C改進(jìn)：前綴表、口令機(jī)制訪問控制表ACLObject1Object3Object2AliceOwnRWPointerAliceOwnRWPointerAliceRPointerBobRPointerBobWPointerJohnOwnRWPointerJohnRWPointerSubjectA解決ACL表長度問題：分組和通配符Coco.math.REW*.math.REBrown.*.R*.*.nullDAC-ACL優(yōu)點(diǎn)：靈活性高，被大量采用。缺點(diǎn)：資源管理比較分散用戶間的關(guān)系不能在系統(tǒng)中體現(xiàn)出來，不易管理允許用戶自主的轉(zhuǎn)授訪問權(quán)，系統(tǒng)無法區(qū)分是用戶合法的修改還是木馬程序的非法修改無法防止木馬程序利用共享客體或隱蔽信道傳送信息無法解決用戶的誤操作造成的信息泄露5.2.2強(qiáng)制訪問控制強(qiáng)制訪問控制MAC是一種多級訪問控制策略系統(tǒng)事先給訪問主體和受控客體分配不同的安全級別屬性，在實(shí)施訪問控制時，系統(tǒng)先對訪問主體和受控客體的安全級別屬性進(jìn)行比較，再決定訪問主體能否訪問該受控客體。MAC模型形式化描述主體集S和客體集O安全類SC(x)=<L，C>L為有層次的安全級別LevelC為無層次的安全范疇Category訪問的四種形式向下讀（RD，ReadDown）：主體安全級別高于客體信息資源的安全級別時，即SC(s)≥SC(o)，允許讀操作；Bell-LaPadula向上讀（RU，ReadUp）：主體安全級別低于客體信息資源的安全級別時，即SC(s)≤SC(o)，允許讀操作；Biba向下寫（WD，WriteDown）：SC(s)≥SC(o)時，允許寫操作；Biba向上寫（WU，WriteUp）：SC(s)≤SC(o)時，允許寫操作。Bell-LaPadulaMAC信息流安全控制客體主體TSCSUHigh↓↓↓LowTSR/WRRRCWR/WRRSWWR/WRUWWWR/WMultics方案Multics文件系統(tǒng)結(jié)構(gòu)式樹形結(jié)構(gòu)，每一個目錄和文件都有一個安全級，每個用戶也都有一個安全級。用戶對文件的訪問遵從一下強(qiáng)制訪問控制安全策略：1）僅當(dāng)用戶的安全級不低于文件的安全級時，用戶才能讀取該文件2）僅當(dāng)用戶的安全級不高于文件的安全級時，用戶才能寫該文件第一條策略限制低級別用戶不允許去讀高級版的文件，第二天策略不允許高級版用戶向低級別文件寫入數(shù)據(jù)，以免泄露信息，原因是高安全級用戶可能閱讀過高安全級的信息文件的創(chuàng)建和刪除都被當(dāng)做對文件所在目錄的寫操作，受第二條約束，用戶的安全級不能高于該文件所在的目錄。這與unix的管理不兼容。LinuxIV方案LinuxIV基本與Multics一樣，為了解決文件的創(chuàng)建于刪除的不兼容，引入了一種隔離目錄（partitioneddirectory）新機(jī)制。系統(tǒng)允許任何安全級別的用戶在其中創(chuàng)建和刪除文件。在隔離目錄內(nèi)，為解決各個用戶子目錄的保密問題，系統(tǒng)根據(jù)用戶的要求動態(tài)的建立子目錄，隱蔽存放，各有一個唯一的安全級。雖然唯一的安全級隔離了不同用戶的文件，但是增加了管理的難度，需要一個特殊的接口來方便可訪問所有子目錄的特權(quán)進(jìn)程。安全xenix方案與LinuxIV相似，也有隔離目錄機(jī)制。另外還有一個特殊的統(tǒng)配安全級，此安全級與所有用戶的安全級都相符。一般用于虛擬偽設(shè)備/dev/null這樣的訪問，對所有用戶都是可訪問的。但xenix對寫操作的控制更嚴(yán)格，當(dāng)且僅當(dāng)用戶的安全級與文件的安全級相同時，才允許該用戶對該文件寫操作，同樣適用于創(chuàng)建和刪除文件。MAC優(yōu)點(diǎn)：管理集中，根據(jù)事先定義好的安全基本實(shí)現(xiàn)嚴(yán)格的權(quán)限管理，適宜于對安全性要求較高的應(yīng)用環(huán)境缺點(diǎn)：太嚴(yán)格，實(shí)現(xiàn)工作量太大，不適用于主體或者客體經(jīng)常更新的應(yīng)用環(huán)境結(jié)合DAC和MAC5.2.3基于角色的訪問控制Group的概念，一般認(rèn)為Group是具有某些相同特質(zhì)的用戶集合。在UNIX操作系統(tǒng)中Group可以被看成是擁有相同訪問權(quán)限的用戶集合，定義用戶組時會為該組賦予相應(yīng)的訪問權(quán)限。如果一個用戶加入了該組，則該用戶即具有了該用戶組的訪問權(quán)限角色Role的概念，可以這樣理解一個角色是一個與特定工作活動相關(guān)聯(lián)的行為與責(zé)任的集合角色Role的理解一個角色是一個與特定工作活動相關(guān)聯(lián)的行為與責(zé)任的集合。Role不是用戶的集合，也就與組Group不同。當(dāng)將一個角色與一個組綁定，則這個組就擁有了該角色擁有的特定工作的行為能力和責(zé)任。組Group和用戶User都可以看成是角色分配的單位和載體。而一個角色Role可以看成具有某種能力或某些屬性的主體的一個抽象。角色：指一個組織或任務(wù)中的工作或位置，代表了一種資格、權(quán)利和責(zé)任用戶：一個可以獨(dú)立訪問計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或數(shù)據(jù)表示的其他資源主體權(quán)限：表示對系統(tǒng)中的客體進(jìn)行特定模式的訪問操作，與實(shí)現(xiàn)的機(jī)制密切相關(guān)RBAC的核心思想是將權(quán)限與角色聯(lián)系起來，根據(jù)應(yīng)用的需要為不同的工作崗位創(chuàng)建相應(yīng)的角色，同時根據(jù)用戶職責(zé)指派合適的角色。用戶通過角色獲得權(quán)限。引入角色Role的目的Role的目的：為了隔離User與Privilege。Role作為一個用戶與權(quán)限的代理層，所有的授權(quán)應(yīng)該給予Role而不是直接給User或Group。RBAC模型的基本思想是將訪問權(quán)限分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。RoleUser+AccessAcquireOperationsObjectsPrivilegen:mn:m例子在一個公司里，用戶角色可以定義為經(jīng)理、會計(jì)、出納員和審計(jì)員，具體的權(quán)限如下：經(jīng)理：允許查詢公司的經(jīng)營狀況和財(cái)務(wù)信息，但不允許修改具體財(cái)務(wù)信息，必要時可以根據(jù)財(cái)務(wù)憑證支付或收取現(xiàn)金，并編制銀行賬和現(xiàn)金帳；會計(jì)：允許根據(jù)實(shí)際情況編制各種財(cái)務(wù)憑證及賬簿，但不包括銀行賬和現(xiàn)金帳；出納員：允許根據(jù)財(cái)務(wù)憑證支付或收取現(xiàn)金，并編制銀行賬和現(xiàn)金帳；審計(jì)員：允許查詢審查公司的經(jīng)營狀況和財(cái)務(wù)信息，但不允許修改任何賬目。RBAC的策略陳述易于被非技術(shù)的組織策略者理解，既具有基于身份策略的特征，也具有基于規(guī)則策略的特征。在基于組或角色的訪問控制中，一個用戶可能不只是一個組或角色的成員，有時又可能有所限制。例如經(jīng)理可以充當(dāng)出納員的角色，但不能負(fù)責(zé)會計(jì)工作，即各角色之間存在相容和相斥的關(guān)系。

假設(shè)一個高校教學(xué)管理系統(tǒng)包含學(xué)校、院系班級管理及選課管理和結(jié)果查詢等多個功能，每個功能模塊又包含了若干個子功能項(xiàng)。系統(tǒng)用戶包括教務(wù)處管理員、院系教學(xué)管理人員和全體教師、學(xué)生等用戶通過訪問系統(tǒng)完成信息錄入、查詢、數(shù)據(jù)管理等工作，不同用戶獲得不同的訪問權(quán)限，并且同一類用戶在系統(tǒng)所處的不同時段其權(quán)限也可能發(fā)生動態(tài)變化。RBAC不允許用戶與權(quán)限有直接的聯(lián)系。在RBAC中，權(quán)限被指派給角色，再將角色賦予用戶。賦予角色的權(quán)限可以跨越多個平臺和應(yīng)用程序。這樣當(dāng)管理RBAC時，有兩類不同類型的關(guān)系需被處理（也就是，用戶與角色之間和角色與權(quán)限之間的關(guān)系）。當(dāng)某個用戶的職位發(fā)生改變時只有用戶角色關(guān)系發(fā)生改變。如果該職位由某個角色來表示，那么當(dāng)用戶職位發(fā)生改變時，只有兩個用戶-角色關(guān)系發(fā)生改變：為了實(shí)現(xiàn)這些改變，需要刪除用戶與現(xiàn)有角色之間的關(guān)系，然后添加用戶與新角色之間的關(guān)系。其復(fù)雜程度取決于組織機(jī)構(gòu)的層次及約束，如對職責(zé)分離的需求被隱藏于訪問控制軟件之中。這種概念上易于理解的方法正是RBAC有效而靈活的所在。制定訪問控制策略的三個基本原則最小特權(quán)原則是指主體執(zhí)行操作時，按照主體所需權(quán)利的最小化原則分配給主體權(quán)力。最小特權(quán)原則的優(yōu)點(diǎn)是最大限度地限制了主體實(shí)施授權(quán)行為，可以避免來自突發(fā)事件和錯誤操作帶來的危險(xiǎn)。最小泄漏原則：是指主體執(zhí)行任務(wù)時，按照主體所需要知道信息的最小化原則分配給主體訪問權(quán)限。多級安全策略：是指主體和客體間的數(shù)據(jù)流方向必須受到安全等級的約束。多級安全策略的優(yōu)點(diǎn)是避免敏感信息的擴(kuò)散。對于具有安全級別的信息資源，只有安全級別比它高的主體才能夠?qū)ζ湓L問。5.3Windows系統(tǒng)的安全管理5.3.1Windows系統(tǒng)安全體系結(jié)構(gòu)SecurityPolicy安全策略AuditAdministrationAccessControl訪問控制Encryption加密UserAuthentication用戶認(rèn)證

UserAuthentication用戶認(rèn)證管理審計(jì)安全主體Windows系統(tǒng)的安全性主要圍繞安全主體展開，保護(hù)其安全性。安全主體主要包括用戶、組、計(jì)算機(jī)以及域等。用戶是Windows系統(tǒng)中操作計(jì)算機(jī)資源的主體，每個用戶必須先行加入Windows系統(tǒng)，并被指定唯一的賬戶，組是用戶賬戶集合的一種容器，同時組也被賦予了一定的訪問權(quán)限，放到一個組中的所有賬戶都會繼承這些權(quán)限；計(jì)算機(jī)是指一臺獨(dú)立計(jì)算機(jī)的全部主體和客體資源的集合，也是Windows系統(tǒng)管理的獨(dú)立單元；域是使用域控制器(DC,DomainController)進(jìn)行集中管理的網(wǎng)絡(luò)，域控制器是共享的域信息的安全存儲倉庫，同時也作為域用戶認(rèn)證的中央控制機(jī)構(gòu)。安全子系統(tǒng)LSA策略庫SAM數(shù)據(jù)庫NetLogonLSA服務(wù)SAM服務(wù)事件記錄器LSASSMsvl_0.dllkerberos.dllWinlogonGinaWindows安全子系統(tǒng)內(nèi)核模式用戶模式安全參考監(jiān)視器SRM本地安全機(jī)構(gòu)LSAWindows登錄認(rèn)證流程5.3.2Windows系統(tǒng)的訪問控制訪問控制模塊的組成訪問令牌（AccessToken）和安全描述符（SecurityDescriptor），它們分別被訪問者和被訪問者持有。通過訪問令牌和安全描述符的內(nèi)容，Windows可以確定持有令牌的訪問者能否訪問持有安全描述符的對象。訪問控制的基本控制單元“賬戶”。賬戶是一種參考上下文(context)，是一個具有特定約束條件的容器，也可以理解為背景環(huán)境。操作系統(tǒng)在這個上下文描述符上運(yùn)行該賬戶的大部分代碼。那些在登錄之前就運(yùn)行的代碼（例如服務(wù)）運(yùn)行在一個賬戶（特殊的本地系統(tǒng)賬戶SYSTEM）的上下文中。安全標(biāo)識符SIDWindows中的每個賬戶或賬戶組都有一個安全標(biāo)識符SID（SecurityIdentity）Administrator、Users等賬戶或者賬戶組在Windows內(nèi)部均使用SID來標(biāo)識的。每個SID在同一個系統(tǒng)中都是唯一的。例如S-1-5-21-1507001333-1204550764-1011284298-500就是一個完整的SID。第一個數(shù)字（本例中的1）是修訂版本編號，第二個數(shù)字是標(biāo)識符頒發(fā)機(jī)構(gòu)代碼（Windows2000為5）4個子頒發(fā)機(jī)構(gòu)代碼相對標(biāo)識符RID（RelativeIdentifier）RID500代表Administrator賬戶，RID501是Guest賬戶。從1000開始的RID代表用戶賬戶訪問令牌每個訪問令牌都與特定的Windows賬戶相關(guān)聯(lián)，訪問令牌包含該帳戶的SID、所屬組的SID以及帳戶的特權(quán)信息。MicrosoftWindowsXP[版本5.1.2600](C)1985-2001MicrosoftCorp.C:\>whoami/all[User]="Smith\Administrator"S-1-5-21-2000478354-842925246-1202660629-500[Group1]="Smith\None"S-1-5-21-2000478354-842925246-1202660629-513[Group2]="Everyone"S-1-1-0[Group3]="Smith\DebuggerUsers"S-1-5-21-2000478354-842925246-1202660629-1004[Group4]="BUILTIN\Administrators"S-1-5-32-544[Group5]="BUILTIN\Users"S-1-5-32-545[Group6]="NTAUTHORITY\INTERACTIVE"S-1-5-4[Group7]="NTAUTHORITY\AuthenticatedUsers"S-1-5-11[Group8]="LOCAL"S-1-2-0Window訪問控制11/20/2023為什么需要域？域和工作組提供一個簡單的共享文件夾作為服務(wù)資源，訪問權(quán)限授予公司內(nèi)的員工張建國在服務(wù)器上為張建國這個用戶創(chuàng)建一個用戶賬號，如果訪問者能回答出張建國賬號的用戶名和密碼500臺服務(wù)器500個用戶賬號創(chuàng)建500次域就是共享用戶賬號，計(jì)算機(jī)賬號和安全策略的計(jì)算機(jī)集合只要有一臺計(jì)算機(jī)為公司員工創(chuàng)建了用戶賬號，其他計(jì)算機(jī)就可以共享賬號了域中的這臺集中存儲用戶賬號的計(jì)算機(jī)就是域控制器，用戶賬號，計(jì)算機(jī)賬號和安全策略被存儲在域控制器上一個名為ActiveDirectory的數(shù)據(jù)庫中5.3.3活動目錄與組策略活動目錄AD（ActiveDirectory）是一個面向網(wǎng)絡(luò)對象管理的綜合目錄服務(wù)，網(wǎng)絡(luò)對象包括用戶、用戶組、計(jì)算機(jī)、打印機(jī)、應(yīng)用服務(wù)器、域、組織單元（OU）以及安全策略等。AD提供的是各種網(wǎng)絡(luò)對象的索引集合，也可以看作是數(shù)據(jù)存儲的視圖，將分散的網(wǎng)絡(luò)對象有效地組織起來，建立網(wǎng)絡(luò)對象索引目錄，并存儲在活動目錄的數(shù)據(jù)庫內(nèi)?；顒幽夸汚D的管理劃分組策略的實(shí)施注冊表是Windows系統(tǒng)中保存系統(tǒng)應(yīng)用軟件配置的數(shù)據(jù)庫。很多配置都是可以自定義設(shè)置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和繁瑣。組策略可以將系統(tǒng)中重要的配置功能匯集成一個配置集合，管理人員通過配置并實(shí)施組策略，達(dá)到直接管理計(jì)算機(jī)的目的。簡單點(diǎn)說，實(shí)施組策略就是修改注冊表中的相關(guān)配置。11/20/2023通俗地說，組策略和注冊表類似，是一項(xiàng)可以修改用戶或計(jì)算機(jī)設(shè)置的技術(shù)。注冊表只能針對一個用戶或一臺計(jì)算機(jī)進(jìn)行設(shè)置，但組策略卻可以針對多個用戶和多臺計(jì)算機(jī)進(jìn)行設(shè)置組策略GP活動目錄AD是Windows網(wǎng)絡(luò)中重要的安全管理平臺，組策略GP（GroupPolicy）是其安全性的重要體現(xiàn)。組策略可以理解為依據(jù)特定的用戶或計(jì)算機(jī)的安全需求定制的安全配置規(guī)則。管理員針對每個組織單元OU定制不同的組策略，并將這些組策略存儲在活動目錄的相關(guān)數(shù)據(jù)庫內(nèi)，可以強(qiáng)制推送到客戶端實(shí)施組策略?；顒幽夸汚D可以使用組策略命令來通知和改變已經(jīng)登錄的用戶的組策略，并執(zhí)行相關(guān)安全配置。組策略工作流程組策略和活動目錄AD配合組策略分為基于活動目錄的和基于本地計(jì)算機(jī)的兩種：AD組策略存儲在域控制器上活動目錄AD的數(shù)據(jù)庫中，它的定制實(shí)施由域管理員來執(zhí)行；而本地組策略存放在本地計(jì)算機(jī)內(nèi)，由本地管理員來定制實(shí)施。AD組策略實(shí)施的對象是整個組織單元OU；本地組策略只負(fù)責(zé)本地計(jì)算機(jī)。組策略和活動目錄AD配合組策略部署在OU、站點(diǎn)或域的范圍內(nèi)，也可以部署在本地計(jì)算機(jī)上。部署在本地計(jì)算機(jī)時，組策略不能發(fā)揮其全部功能，只有和AD配合，組策略才可以發(fā)揮出全部潛力。組策略的主要工作部署軟件設(shè)置用戶權(quán)力軟件限制策略管理員可以通過配置組策略，限制某個用戶只能運(yùn)行特定的程序或執(zhí)行特定的任務(wù)。控制系統(tǒng)設(shè)置：允許管理員統(tǒng)一部署網(wǎng)絡(luò)用戶的Windows服務(wù)。設(shè)置登錄、注銷、關(guān)機(jī)、開機(jī)腳本。通用桌面控制安全策略重定向文件夾基于注冊表的策略設(shè)置11/20/2023組策略輕松實(shí)現(xiàn)軟件安裝組策略部署軟件的思路是把要部署的軟件存儲在文件服務(wù)器的共享文件夾中，然后通過組策略告知用戶用戶或計(jì)算機(jī)，某某服務(wù)器的某某文件夾有要安裝的軟件，趕緊去下載安裝。這樣一來，我們只要設(shè)置好組策略，就可以等待客戶機(jī)自動進(jìn)行軟件安裝了，完全不用在客戶機(jī)上一一進(jìn)行部署了。

Anyquestion?Windows中的訪問控制模型（AccessControlModel），它是Windows安全性的基礎(chǔ)構(gòu)件。訪問控制模型有兩個主要的組成部分，訪問令牌（AccessToken）和安全描述符（SecurityDescriptor），它們分別是訪問者和被訪問者擁有的東西。通過訪問令牌和安全描述符的內(nèi)容，Windows可以確定持有令牌的訪問者能否訪問持有安全描述符的對象。訪問令牌是與特定的Windows賬戶關(guān)聯(lián)的。當(dāng)一個Windows賬戶登錄的時候，系統(tǒng)會從內(nèi)部數(shù)據(jù)庫里讀取該賬戶的信息，然后使用這些信息生成一個訪問令牌。在該賬戶環(huán)境下啟動的進(jìn)程，都會獲得這個令牌的一個副本，進(jìn)程中的線程默認(rèn)持有這個令牌。線程要想去訪問某個對象，或者執(zhí)行某些系統(tǒng)管理相關(guān)的操作時，Windows就會使用這個線程持有的令牌進(jìn)行訪問檢查。

安全描述符是與被訪問對象關(guān)聯(lián)的，它含有這個對象所有者的SID，以及一個訪問控制列表（ACL，AccessControlList），訪問控制列表又包括了DACL（DiscretionaryAccessControlList）和SACL（SystemAccessControlList）——目前還不知道這兩個東西的確切翻譯——其中，DACL是安全描述符中最重要的，它里面包含零個或多個訪問控制項(xiàng)（ACE，AccessControlEntry），每個訪問控制項(xiàng)的內(nèi)容描述了允許或拒絕特定賬戶對這個對象執(zhí)行特定操作。至于SACL，它很少用到，主要是用于系統(tǒng)審計(jì)的，它的內(nèi)容指定了當(dāng)特定賬戶對這個對象執(zhí)行特定操作時，記錄到系統(tǒng)日志中。訪問令牌中主要含有以下的內(nèi)容：

當(dāng)前登錄賬戶的SID，也就是與令牌關(guān)聯(lián)的賬戶的SID；

當(dāng)前登錄賬戶所屬的賬戶組的SID列表；

受限制的SID（RestrictedSID）列表；

當(dāng)前登錄賬戶以及它所屬賬戶組的權(quán)限（Privileges）列表。SID（SecurityIdentity）是Windows中每個賬戶和賬戶組都有的一個標(biāo)識符，平常我們看到的Administrator，Users等賬戶或者賬戶組在Windows內(nèi)部是使用SID來標(biāo)識的。例如S-1-5-21-1004336348-1275210071-725345543-1003就是一個完整的SID。每個SID在同一個系統(tǒng)中都是唯一的。再來看看安全描述符中ACE的具體內(nèi)容：

特定賬戶或者賬戶組的SID；

一個訪問掩碼（AccessMask），該掩碼指定了具體的訪問權(quán)限（AccessRights），也就是可以對該對象執(zhí)行的操作；

一個位標(biāo)記，指示了這個ACE的類型；

一組位標(biāo)記，指示了安全描述符所屬對象的子對象是否繼承這個ACE。所有的可訪問對象都有三種ACE，分別是Access-deniedACE，Access-allowed