7.7.3 Windows2000保护对象 保护对象是谨慎访问控制和审核的基本要素 Windows2000上可以被保护的对象包括文件、 设备、邮件槽、己命名的和未命名的管道、进 程、线程、事件、互斥体、信号量、可等待定 时器、访问令牌、窗口站、桌面、网络共享、 服务、注册表键和打印机
保护对象是谨慎访问控制和审核的基本要素。 Windows2000上可以被保护的对象包括文件、 设备、邮件槽、己命名的和未命名的管道、进 程、线程、事件、互斥体、信号量、可等待定 时器、访问令牌、窗口站、桌面、网络共享、 服务、注册表键和打印机。 7.7.3Windows2000保护对象
所有可安全的对象在它们被创建时都 将被分配“安全描述体”( security descriptor) 安全描述体控制哪些用户可以对访问的对象做 什么,它包含下列主要属性: ●所有者SID:所有者的安全ID ●组SID:用于对象主要组的SID(只有POS使 用)。 ●谨慎访问控制列表(DACL):指定谁可以对访 问的对象做什么 ●系统访问控制列表(SACL):指定哪些用户的 哪些操作应登录到安全审核日志中
所有可安全的对象在它们被创建时都 将被分配“安全描述体”(security descriptor)。 安全描述体控制哪些用户可以对访问的对象做 什么,它包含下列主要属性: l 所有者SID:所有者的安全ID。 l 组SID:用于对象主要组的SID(只有POSIX使 用)。 l谨慎访问控制列表(DACL):指定谁可以对访 问的对象做什么。 l系统访问控制列表(SACL):指定哪些用户的 哪些操作应登录到安全审核日志中
访间控制列表(ACL) 包括一个ACL头和零个或多个“访问控制 项”(ACE)结构。具有零个ACE的ACL被 称为“空ACL”,表示没有用户可以访问 该对象
访问控制列表(ACL) 包括一个ACL头和零个或多个“访问控制 项”(ACE)结构。具有零个ACE的ACL被 称为“空ACL” ,表示没有用户可以访问 该对象
在DACL中,每个ACE都包含一个安全标 识和访问掩码。DACL中可能存在两种类 型的ACE:访问允许和访问拒绝
在DACL中,每个ACE都包含一个安全标 识和访问掩码。DACL中可能存在两种类 型的ACE:访问允许和访问拒绝
分配ACL: 要确定分配给新对象的ACL,安全系统将应用三种互斥 的规则之一,步骤如下: (1)如果调用者在创建对象时明确提供了一个安全描述 体,则安全系统将把该描述体应用到对象中 (2)如果调用者没有提供安全描述体,而对象有名称 则安全系统将在存储新对象名称的目录中查看安全描 述体。一些对象目录的ACE可以被指定为可继承的,表 示它们可以应用于在对象目录中创建的新对象上。如 果存在可继承的ACE,安全系统将它们编入ACI,并与 新对象连接。(单独的标志表明ACE只能被容器对象继 承,而不可能被非容器对象继承。) (3)如果以上两种情况都没有出现,安全系统会从调用 者访问令牌中检索默认的ACL,并将其应用到新对 象。操作系统的几个子系统有它们在创建对象时分配 一的硬性编码DACL(例如,服务、LSA和SAM对象)
分配ACL: 要确定分配给新对象的ACL,安全系统将应用三种互斥 的规则之一,步骤如下: (1)如果调用者在创建对象时明确提供了一个安全描述 体,则安全系统将把该描述体应用到对象中。 (2)如果调用者没有提供安全描述体,而对象有名称, 则安全系统将在存储新对象名称的目录中查看安全描 述体。一些对象目录的ACE可以被指定为可继承的,表 示它们可以应用于在对象目录中创建的新对象上。如 果存在可继承的ACE,安全系统将它们编入ACI,并与 新对象连接。(单独的标志表明ACE只能被容器对象继 承,而不可能被非容器对象继承。) (3)如果以上两种情况都没有出现,安全系统会从调用 者访问令牌中检索默认的 ACL,并将其应用到新对 象。操作系统的几个子系统有它们在创建对象时分配 的硬性编码DACL(例如,服务、LSA和SAM对象)