1. 概述
身份认证:识别“用户是谁”的问题
访问控制:管理用户对资源的访问
访问控制的基本组成元素:
- 主体(Subject):是指提出访问请求的实体、动作的发起者,但不一定是动作的执行者。
- 客体(Object):是指可以接受主体访问的被动实体。凡是可以被操作的信息、资源、对象都可以被认为是客体。
- 访问控制策略(Access Control Policy):主体对客体的操作行为和约束条件的关联集合,是主体对客体的访问规则集合。(决定主体是否可以对客体实施特定的操作)
2. 访问控制模型
1. 自主访问控制DAC(Discretionary Access Control)模型
- 允许合法用户以用户或用户组的身份来访问系统控制策略许可的客体,同时阻止非授权用户访问客体。
- 某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。
2. 强制访问控制MAC
- 多级访问控制策略
- 系统事先给访问主体和受控客体分配不同的安全级别属性
- 在实施访问控制时,系统先对访问主体和受控客体的安全级别属性进行比较,再决定主体能否访问该受控客体。
3. 基于角色的访问控制RBAC
Role角色:隔离User与Privilege,作为用户和权限的代理层。
RBAC模型的基本思想是将访问权限分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的许可访问权。
4. 指定访问策略的基本原则
- 最小特权原则:按照主体所需权力的最小原则分配权力。(防止误操作)
- 最小泄露原则:主体执行任务时,按照主体所需要知道的信息的最小化原则分配访问权限。
- 多级安全策略:主体和客体间的数据流方向必须受到安全等级的约束。(避免敏感信息扩散)
3.Windows系统的安全管理
1. Windows系统安全体系结构
Windows系统的安全性主要围绕安全主体展开,保护其安全性。安全主体主要包括用户、组、计算机以及域等。
2. Windows系统的访问控制
访问控制模块的组成:访问令牌(Access Token)和安全描述符(Security Descriptor),分别被访问者和被访问者持有。
访问控制的基本控制单元“账户”。
每个账户或账户组都有一个安全标识符SID。访问令牌与特定的账户相关联,包含账户的SID、所属组的SID以及账户的特权信息。
3. 活动目录与组策略
活动目录AD(Active Directory)是一个面向网络对象管理的综合目录服务。
- 网络对象包括用户、用户组、计算机、打印机等。
- AD提供得事各种网络对象的索引
- 将分散的网络对象有效的组织起来
组策略是依据特定的用户或计算机的安全需求定制的安全配置规则。
管理员针对每个组织单元OU定制不同的组策略,并将这些组策略存储在活动目录的相关数据库内,可以强制推送到客户端实施组策略。
注册表是Windows系统中保存系统应用软件配置的数据库。(实施组策略就是修改注册表中的相关配置)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
