当前位置:文档之家 › 安全模型Read

安全模型Read

  • 格式:docx
  • 大小:26.54 KB
  • 文档页数:14

下载文档原格式

  / 14

合集下载

第2讲 信息安全模型

第2讲 信息安全模型

BLP模型的不足
• 可信主体不受*特性约束,访问权限太大,不符合最 小特权原则 • BLP模型注重保密性控制,而缺少完整性控制,不 能控制“向上写”,不能有效限制隐通道 • 仅能处理单级客体,缺乏处理多级客体 • 不支持系统运行时动态调节安全级的机制
“向上写”导致的隐蔽通道示例
• 假定在一个系统中,“向上写”是允许的,如果系统中 的文件/data的安全级支配进程B的安全级,即进程B对 文件/data有MAC写权限而没有MAC读权限,进程B可以 写打开、关闭文件/data。 • 因此,每当进程B为写而打开文件/data时,总返回一个 是否成功打开文件的标志信息。这个标志信息就是一个 隐蔽通道,它可以导致信息从高安全级流向低安全级。 即可以用来向进程B传递它本不能存取的信息。
• BLP模型是遵守军事安全策略的多级安全模型。
BLP模型现实意义
总统 机要文件 读写
不上读
X
读 写
X
不下写
读写
街头告示 注:箭头表示信息的传递方向。
平民
“不上读,不下写”规定
① ② ③ ④ ⑤ ⑥ 总统可以读街头告示,因为他的地位高于它的敏感性; 平民可以写机要文件,因为他的地位低于它的敏感性; 总统可以读和写机要文件,因为他的地位匹配它的敏感性; 平民可以读和写街头告示,因为他的地位匹配它的敏感性; 总统不能写街头告示,因为他的地位高于它的敏感性; 平民不能读机要文件,因为他的地位低于它的敏感性。
强制访问控制
• 强制访问控制(Mandatory Access Control),简称MAC。
• 在强制访问控制中,每个主体及客体都被赋予一定的安全级别(包括安全 域),系统通过比较主体和客体的安全级别来决定主体是否可以访问该客 体。 • 如,绝密级,机密级,秘密级,无密级。 • 通过安全标签实现单向信息流通模式。 普通用户不能改变自身或任何客体的安全级别,即不允许 • 系统“强制”主体服从访问控制策略。 普通用户确定访问权限,只有系统管理员可以确定用户的 访问权限。

信息安全概论-访问控制

信息安全概论-访问控制
信息安全概论(gàilùn)-访 问控制
2021/11/5
第一页,共83页。
安全(ānquán)服务
安全服务(Security Services):
计算机通信网络(wǎngluò)中,主要的安全保
护措施被称作安全服务。
根据ISO7498-2, 安全服务包括: 鉴别( Authentication) 访问控制(Access Control) 数据机密性(Data Confidentiality) 数据完整性(Data Integrity) 抗抵赖(Non-repudiation)
审计(shěn jì)
操作(cāozuò)日志。 记录用户对系统的关键操作(cāozuò)。 威慑。
第十三页,共83页。
访问控制
在安全(ānquán)操作系统领域中,访问控制一 般都涉及
自主访问控制(Discretionary Access Control,DAC)
强制访问控制(Mandatory Access Control, MAC)两种形式
每一行:用户 每一列:目标 矩阵元素:相应的用户对目标的访问许可。
目标X
目标Y
目标Z
用户A 读、修改、管理
读、修改、管理
用户B
读、修改、管理
用户C1

读、修改
用户C2

读、修改
第七页,共83页。
访问控制关系(guān xì)图
第八页,共83页。
多级信息安全系统(xìtǒng)
将敏感信息与通常资源分开隔离(gélí)的系统。
第十五页,共83页。
安全模型(móxíng)的特点
能否成功地获得高安全级别的系统,取决于对安全控制机制的设计和实施投入多 少精力。但是如果对系统的安全需求(xūqiú)了解的不清楚,即使运用最好的软 件技术,投入最大的精力,也很难达到安全要求的目的。安全模型的目的就在于 明确地表达这些需求(xūqiú),为设计开发安全系统提供方针。

2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析AB卷(带答案)试题号:23

2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析AB卷(带答案)试题号:23

2022年职业考证-软考-信息安全工程师考试全真模拟易错、难点剖析AB卷(带答案)一.综合题(共15题)1.单选题涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行()检测认证制度。

问题1选项A.备案式B.自愿式C.鼓励式D.强制性【答案】D【解析】本题考查网络安全法律法规方面的基础知识。

密码法按照“放管服”改革要求,取消了商用密码管理条例设定的“商用密码产品品种和型号审批”,改为对特定商用密码产品实行强制性检测认证制度。

答案选D。

2.单选题数字水印技术是指在数字化的数据内容中嵌入不明显的记号,被嵌入的记号通常是不可见的或者不可察觉的,但是通过计算操作能够实现对该记号的提取和检测。

数字水印不能实现()。

问题1选项A.证据篡改鉴定B.数字信息版权保护C.图像识别D.电子票据防伪【答案】C【解析】本题考查数字水印技术方面的基础知识。

根据应用领域可将数字水印分为:①鲁棒水印:通常用于数字化图像、视频、音频或电子文档的版权保护。

将代表版权人身份的特定信息,如一-段文字、标识、序列号等按某种方式嵌入在数字产品中,在发生版权纠纷时,通过相应的算法提取出数字水印,从而验证版权的归属,确保著作权人的合法利益,避免非法盗版的威胁。

②易损水印:又称为脆弱水印,通常用于数据完整性保护。

当数据内容发生改变时,易损水印会发生相应的改变,从而可鉴定数据是否完整。

③标注水印:通常用于标示数据内容。

由此可见,数字水印技术可实现版权保护和数据完整性保护,不能实现图像识别。

答案选C。

3.单选题设在RSA的公钥密码体制中,公钥为(e,n)=(7,55),则私钥d=()。

问题1选项A.11B.15C.17D.23【答案】D【解析】本题考查RSA密码算法相关知识。

已知n=55,则可推断ρ(n)=(5-1)*(11-1)=40,则d*e≡1 mod 40,算出d=23。

故本题选D。

4.单选题为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本原则,其中在信息系统中,应该对所有权限进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使它们之间相互制约、相互监督,共同保证信息系统安全的是()。

Biba安全模型

Biba安全模型

Biba安全模型一.Biba模型的提出Biba模型是涉及计算机系统完整性的第一个模型,1977年发布。

二.Biba模型的组成Biba模型的元素有:1.主体组合(积极的,信息处理)2.客体组合(被动的,信息库)三.Biba模型的完整性策略Biba模型基于层次化的完整性级别。

Biba模型将完整性威胁分为来源于子系统内部和外部的威胁。

如果子系统的一个组件是恶意或不正确,则产生内部威胁;如果一个子系统企图通过错误数据或不正确调用函数来修改另一个子系统,则产生外部威胁。

Biba认为内部威胁可以通过程序测试或检验来解决。

所以模型主要针对外部威胁,解决了完整性的第一个目标:防止非授权用户的篡改。

Biba模型被用于解决应用程序数据的完整性问题。

Biba模型不关心信息保密性的安全级别,因此它的访问控制不是建立在安全级别上,而是建立在完整性级别上。

Biba模型能够防止数据从低完整性级别流向高完整性级别,Biba模型有三条规则提供这种保护,如下图所示:1.当完整性级别为“中完整性”的主体访问完整性级别为“高完整性”的客体时,主体对客体可读不可写(no write up),也不能调用主体的任何程序和服务;2.当完整性级别为“中完整性”的主体访问完整性级别为“中完整性”的客体时,主体对客体可写可读;3.当完整性级别为“中完整性”的主体访问完整性级别为“低完整性”的客体时,主体对客体可写不可读(no read down)。

四.Biba模型的评价Biba模型定义的完整性只是一个相对的、而不是绝对的度量。

依据该定义,一个子系统拥有完整性属性的条件是它可被信任并附着一个定义明确的行为代码。

没有一个关于这个行为属性的描述语句来决定子系统是否拥有完整性,所以需要子系统附着行为代码。

对于这个模型而言,计算机系统的完整性的目的是确保子系统完成设计者预期的目标。

但现实的情况是,设计者是否采用了可以达到完整性的设计方法。

Biba模型是用一个结构化网格来表示授权用户和提供用户类型级别的划分。

第三章 操作系统安全模型

第三章 操作系统安全模型

严格完整性策略
是BLP模型的对偶 规则:
1. 完整性*-属性: 主体S可以对客体O进行写操作,当 且仅当S的完整性等级支配客体O的完整性等级 2. 援引规则: 主体S1可以执行另一个主体S2(与S2通 信),当且仅当S1的完整性等级支配S2的完整性等 级 3. 简单完整性条件: 主体S可以对客体O进行读取操 作,当且仅当O的完整性等级支配S的完整性等级
第三章 操作系统安全模型
3.1 安全模型的概念及特点
安全策略:有关管理,保护和发布敏感信息的 法律,规定和实施细则 已授权的,安全的状态集合 未授权的,不安全的状态集合 如图,安全状态集合S={s1,s2,s3},不安全状态集 合US={s4}
S1 S2 S3 S4
3.1 安全模型的概念及特点
安全模型:是对安全策略所表达的安全需 求的简单、抽象和无歧义的描述。 安全模型的特点: 1、简单的、清晰的,只描述安全策略,对具 体实现的细节不作要求 2、抽象的、本质的 3、精确的、没有歧义的 现有的安全模型大多采用状态机模拟系统
BLP模型分析
BLP模型的安全策略包括MAC和DAC。 MAC由简单安全特性和*特性组成,DAC由存 取控制矩阵组成。 BLP中使用了可信主体,表示实际系统中不 受*特性约束的主体 BLP模型存在的问题
1、可信主体不受*特性约束,权限太大,不符合最 小特权原则 2、 BLP模型主要注重保密控制,不能控制向上写, 而向上写不能限制隐蔽通道
中国墙模型的*-属性
*-属性 主体S可以对客体O进行写操作,当 且仅当以下两个条件同时满足 1. 中国墙简单安全条件允许S读取O 2. S不能读取属于不同数据集的需要保护的 客体
简单安全条件
S可以读O,当且仅当S支配O且S对O具有自主型读 访问权限 *-属性: S可以写O,当且仅当O支配S且S对O具有自 主写权限 基本安全定理:设系统的初始安全状态为σ 0,T是状 态转换的集合。如果T中的每个元素都遵守简单安 全条件和*-属性,那么对于每个i≧0,状态σ i都是 安全的 只要该模型的初始状态是安全的,并且所有的转移函 数也是安全的,系统只要从某个安全状态启动,无论 按何种顺序调用系统功能,系统将总保持在安全状态.

信息安全模型

信息安全模型

机密性
完整性
Clark-Wilson
系统安全保障模型:PDR、PPDR、OSI
1、基本模型-Lampson
Lampson模型的结构被抽象为状态三元组( S, O, M ),
—— S 访问主体集,
—— O 为访问客体集(可包含S的子集),
—— M 为访问矩阵,矩阵单元记为M[s,o],表示
主体s对客体o的访问权限。所有的访问权限构成一有限集A。
其中,T为转移函数,是指由初始状态v0通过执行一系列有限的系统请求 R到达可达状态v。
MAC多级安全模型-BLP(5)
“读安全”禁止低级别的用户获得高级别文件的读权限。 “写安全”防止高级别的特洛伊木马程序把高级别文件内容拷贝到低级别用户有 读访问权限的文件。
缺点

未说明主体之间的访问,不能适用于网络
变迁函数T:V×R→V。 R请求集合,在系统请求执行时,系统实现状态变迁;D 是请求结果的集合。 类似于HRU模型,BLP模型的组成元素包括访问主体、访问客体、访问权限和访 问控制矩阵。但BLP在集合S和O中不改变状态 与HRU相比,多了安全级别、包含请求集合的变迁函数。

MAC多级安全模型-BLP(3)
全体客体的集合(O)
顶层:兴趣冲突组
A
B
C
中层:公司数据集 F G H I J K L M N
O
P
Q
底层:客体 (独立数据项)
Chinese wall安全属性
访问客体的控制:
• •
与主体曾经访问过的信息属于同一公司数据集合的信息,即墙内信息 可以访问。 属于一个完全不同的兴趣冲突组的可以访问。
主体能够对一个客体进行写的前提,是主体未对任何属于其他公 司数据集的访问。 定理1:一个主体一旦访问过一个客体,则该主体只能访问位于同 一公司数据集的客体或在不同兴趣组的客体 定理2:在一个兴趣冲突组中,一个主体最多只能访问一个公司数 据集

安全模型

第四章安全模型访问控制第一节引言一.(1)目的在于:提供一不依赖于软件实现的,高层次上的概念模型且要反映一定的安全策略。

(2)达到形式化描述,实现与验证的可行性。

(3)自主型安全模型Discretionary强制型安全模型Nne-Discretionary/Mandatory二.自主型安全模型用户对信息的存取控制是基于用户的鉴别和存取访问规则的确定,也就是对每个用户,都要给予它在系统中对每个存取对象的存取权限。

代表:存取矩阵模型(lampson 1971:Graham &Denning 1973,Harrison 1976)(§2)发展:取-予TAKE-GRANT模型——图表示,权限的传播(§3)动作-实体Action-Entity模型——权限的管理(§4)三.强制安全模型通过无法回避的存取限制来防止各种直接和间接的攻击。

主体,实体被分配不同的安全属性。

(不轻易改变!授权!)很严格,可能会不方便。

代表:贝尔-拉帕丢拉(Bell-Lapadula)模型——多安全级,强制规则(§5)发展:基于角色的模型(§6)伯巴(Biba)模型——信息完整性(§7)第昂Dion模型——信息完整与安全性(§8)同一实体具有不同安全级别的多个值问题:安全数据视图Sea View模型(§9)贾让第-沙胡Jajodia-Samdhu模型(§10)斯密斯-温斯莱特Smith-Winslett模型(§11)基于信息流控制的格Lattice模型(§12)格阵是定义在集合SC上的偏序关系,并满足SC中任两个元素都有最大下界和最小上界的条件。

四.其他分类1.按目标系统分类操作系统的数据库管理的2.按侧重面分类机密性的完整性的3.按控制类别分类面向直接存取的对间接存取的第二节哈里森-罗佐-厄尔曼存取矩阵模型HRU1970年代,OS,DBMS 存取控制表ACL 直观一.授权状态利用矩阵来表达系统中的主体,客体和每个主体对每个客体所拥有的权限之间的关系。

SNMP概述

SNMP概述1.网络管理基础网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。

从这个定义可以看出,网络管理包含两个任务:一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。

通过监测了解当前状态是否正常,是否存在瓶颈问题和潜在的危机,通过控制对网络状态进行合理调节,提高性能,保证服务。

监测是控制的前提,控制是监测的结果。

传统的网络管理系统是对应具体业务和设备的,不同的业务、不同厂商的设备需要不同的网络管理系统,各种网络管理系统之间没有统一的操作平台,相互之间也不能互通,许多管理操作是现场的物理操作。

为了解决这个问题,国际标准化组织提出了基于远程监控的管理框架,其目标是打破不同业务和不同厂商设备之间的界限,建立统一的综合网络管理体系,变现场物理操作为远程逻辑操作。

基于此框架,OSI开发了远程监控模型:系统管理模型,它的核心是一对相互通信的系统管理实体(进程)。

管理进程与一个远程系统相互作用,去实现对远程资源的控制。

在这种体系结构中,一个系统中的管理实体担当管理者(Manager)角色,而另一个系统的对等实体担当代理者(Agent)角色,Agent负责访问被管理资源的数据(被管对象)。

Manager 和Agent角色不是固定的,担当Manager角色的进程向担当Agent角色的进程发出操作请求,担当Agent角色的进程对被管对象进行操作并将被管对象发出的通报传向Manager。

这些建议已被普遍接受,并形成了两种主要的网络管理体系结构,即基于OSI模型的公共管理信息协议(CMIP)和基于TCP/IP 模型的简单网络管理协议(SNMP)体系结构。

OSI将网络管理功能划分为配置管理、性能管理、故障管理、安全管理和计费管理5个领域。

1.1.OSI系统管理模型OSI系统管理模型是基于远程监控的管理框架开发的,并对系统管理的组织模型(体系结构)、通信模型和管理信息模型进行了规范和定义。

浅谈强制访问控制MAC

浅谈强制访问控制(MAC)【摘要】访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。

访问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),对访问客体(需要保护的资源的)访问权限。

从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。

访问控制分类:1)传统访问控制:自主访问控制DAC,强制访问控制MAC;2)新型访问控制:基于角色的访问控制RBAC,基于任务的访问控制TBAC……。

本文主要谈论传统访问控制中的强制访问控制MAC。

【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型引言随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,给用户造成严重损失。

访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。

访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。

访问控制,作为提供信息安全保障的主要手段,及最为突出的安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。

其中,强制访问控制就在次方面有很重要的作用。

访问控制从实现的基本理念来分有以下两种:1)强制访问控制(Mandatory access control)2)自主访问控制(Discretionary access control)本文主要谈论强制访问控制控制,包括其定义、原理及其分类。

一、强制访问控制MAC ( Mandatory Access Control ) 源于对信息机密性的要求以及防止特洛伊木马之类的攻击。

第9章 网络安全访问控制和系统审计


第9章 访问控制和系统审计
● B3级——安全域保护(Security Domain)。在B2的 基础上,增加以下要求:系统有自己的执行域,不受 外界干扰或篡改。系统进程运行在不同的地址空间从 而实现隔离。 ● A1级——可验证设计(Verified Design)。在B3的 基础上,增加以下要求:系统的整体安全策略一经建 立便不能修改。
第9章 访问控制和系统审计
安全管理员
安全策略
认证 主体/角色 参考监视器
授权 客体
审计
图9-2 安全机制
第9章 访问控制和系统审计
为了加强计算机系统的信息安全,1985年,美国 国防部发表了《可信计算机评估准则》(缩写为 TCSEC)[6],它依据处理的信息等级采取的相应对策, 划分了四类七个安全等级。依照各类、级的安全要求 从低到高,依次是D、C1、C2、B1、B2、B3和A1级。
第9章 访问控制和系统审计
● B1 级 —— 标 识 的 安 全 保 护 (Labeled Security Protection)。在C2的基础上,增加以下几条要求:不同 组的成员不能访问对方创建的客体,但管理员许可的 除外;管理员不能取得客体的所有权。Windows NT的 定制版本可以达到B1级。 ● B2级——结构化保护(Structured Protection)。在 B2 —— (Structured Protection) B1的基础上,增加以下几条要求:所有的用户都被授 予一个安全等级;安全等级较低的用户不能访问高等 级用户创建的客体。银行的金融系统通常达到B2级。
第9章 访问控制和系统审计
可以看出,这里为了实现计算机系统安全所采取的 基本安全措施,即安全机制有身份认证、访问控制和 审计。 通常,我们用图9-2来表示这三者之间的关系。从 该示意图可以看出,参考监视器是主体/角色对客体进 行访问的桥梁,身份识别与验证,即身份认证是主体/ 角色获得访问授权的第一步,这也是早期黑客入侵系 统的突破口。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Windows 安全模型:每个驱动程序作者都需要了解的内容Updated: July 7, 2004On This Page简介W indows 安全模型安全场景:创建一个文件驱动程序安全责任行动指南和资源本文提供关于为 Microsoft Windows 家族操作系统编写安全的内核模式驱动程序的信息。

其中描述了如何将 Windows 安全模型应用于驱动程序,并解释驱动程序作者必须采取哪些措施来确保其设备的安全性。

简介Windows 安全模型基于安全对象。

操作系统的每个组件都必须确保其负责的对象的安全性。

因此,驱动程序必须保证其设备和设备对象的安全性。

本文总结了如何将 Windows 安全模型应用于内核模式驱动程序,以及驱动程序编写人员必须采取哪些措施来确保其设备的安全性。

一些类型的设备适用于附加的设备特定要求。

请参阅 Microsoft Windows Driver Development Kit (DDK) 中的设备特定的文档,以了解详细信息。

注意:关于本文中讨论的例程和问题的当前文档,请参见 Windows DDK 最新版本。

关于如何获取当前的 DDK 的信息,请参见/whdc/devtools/ddk/default.mspx.Top of pageWindows 安全模型Windows 安全模型主要基于每个对象的权限,以及少量的系统级特权。

安全对象包括(但不限于)进程、线程、事件和其它同步对象,以及文件、目录和设备。

对于每种类型的对象,一般的读、写和执行权限都映射到详细的对象特定权限中。

例如,对于文件和目录,可能的权限包括读或写文件或目录的权限、读或写扩展的文件属性的权限、遍历目录的权限,以及写对象的安全描述符的权限。

更多信息(包括完整的权限列表)请参见 MSDN 库的“安全性”节中的“安全性(常规)”,该库位于.安全模型涉及以下概念:•安全标识符 (SID)•存取令牌•安全描述符•访问控制列表 (ACL)•特权安全标识符 (SID)安全标识符(SID,也称为安全主体)标识一个用户、组或登录会话。

每个用户都有一个唯一的 SID,在登录时由操作系统检索。

SID 由一个权威机构(如操作系统或域服务器)分发。

一些 SID 是众所周知的,并且具有名称和标识符。

例如,SID S-1-1-0 标识所有人(或全世界)。

存取令牌每个进程都有一个存取令牌。

存取令牌描述进程的完整的安全上下文。

它包含用户的 SID、用户所属组的 SID、登录会话的 SID,以及授予用户的系统级特权列表。

默认情况下,当进程的线程与安全对象交互时,系统使用进程的主存取令牌。

但是,一个线程可以模拟一个客户端帐户。

当一个线程模拟客户端帐户时,它除了拥有自己的主令牌之外还有一个模拟令牌。

模拟令牌描述线程正在模拟的用户帐户的安全上下文。

模拟在远程过程调用 (Remote Procedure Call, RPC) 处理中尤其常见。

描述线程或进程的受限制的安全上下文的存取令牌被称为受限令牌。

受限令牌中的 SID 只能设置为拒绝访问安全对象,而不能设置为允许访问安全对象。

此外,令牌可以描述一组有限的系统级特权。

用户的 SID 和标识保持不变,但是在进程使用受限令牌时,用户的访问权限是有限的。

CreateRestrictedToken函数创建一个受限令牌。

受限令牌对于运行不可信代码(例如电子邮件附件)很有用。

当您右键单击可执行文件,选择“运行方式”并选择“保护我的计算机和数据不受未授权程序的活动影响”时,Microsoft Windows XP 就会使用受限令牌。

安全描述符每个命名的 Windows 对象都有一个安全描述符,一些未命名的对象也有。

安全描述符描述对象的所有者和组 SID,以及对象的 ACL。

对象的安全描述符通常由创建该对象的函数创建。

当驱动程序调用IoCreateDevice或IoCreateDeviceSecure例程来创建设备对象时,系统将一个安全描述符应用于创建的设备对象并为对象设置 ACL。

对于大多数设备,ACL 是在设备信息 (INF) 文件中指定的。

访问控制列表访问控制列表 (ACL) 允许细粒度地控制对对象的访问。

ACL 是每个对象的安全描述符的一部分。

每个 ACL 包含零个或多个访问控制条目 (ACE)。

而每个 ACE 仅包含一个 SID,用来标识用户、组或计算机以及该 SID 拒绝或允许的权限列表。

设备对象的 ACL可以使用三种方式设置设备对象的 ACL:•在其设备类型的默认安全描述符中设置。

•由RtlCreateSecurityDescriptor函数通过编程方式创建,并由RtlSetDaclSecurityDescriptor函数进行设置。

•在设备 INF 文件中使用安全描述符定义语言 (Security Descriptor Definition Language, SDDL) 指定,或者在对IoCreateDeviceSecure例程的调用中指定。

所有新的驱动程序都应该在 INF 文件中使用 SDDL 为其设备对象指定 ACL。

SDDL 是一种可扩展的描述语言,允许组件以字符串格式创建 ACL。

用户模式和内核模式代码都使用 SDDL。

图 1 显示了设备对象的 SDDL 字符串的格式。

图 1. 设备对象的 SDDL 字符串Access 值指定允许的访问类型。

SID 值指定一个安全标识符,确定将 Access 值应用于谁(例如一个用户或组)。

例如,下面的 SDDL 字符串允许系统 (SY) 获得任何访问权限,而仅允许其他所有人 (WD) 获得读访问权:“D:P(A;;GA;;;SY)(A;;GR;;;WD)”头文件 wdmsec.h 还包括一组适用于设备对象的预定义 SDDL 字符串。

例如,头文件按如下方式定义 SDDL_DEVOBJ_SYS_ALL_ADM_RWX_WORLD_RWX_RES_RWX:"D:P(A;;GA;;;SY)(A;;GRGWGX;;;BA)(A;;GRGWGX;;;WD)(A;;GRGWGX;;;RC)"这个字符串的第一节允许内核和操作系统 (SY) 完全控制设备。

第二节允许内置管理员组 (BA) 中的任何人访问整个设备,但是不能更改 ACL。

第三节允许所有人 (WD) 读或写设备,第四节将相同的权限授予不可信代码 (RC)。

驱动程序可以按原样使用预定义字符串或者将其用作设备对象特定的字符串模型。

堆栈中的所有设备对象都应该具有相同的 ACL。

更改堆栈中一个设备对象的 ACL 会更改整个设备堆栈的 ACL。

然而,将新设备对象添加到堆栈中不会更改任何 ACL,无论是新设备对象的 ACL (如果它有 ACL)还是堆栈中任何现有设备对象的 ACL。

当驱动程序创建一个新的设备对象并将其附加到堆栈顶部时,驱动程序应该将堆栈的 ACL 复制到新设备对象,方法是从该设备对象的下一层驱动程序中复制DeviceObject.Characteristics字段。

IoCreateDeviceSecure例程支持 SDDL 字符串的一个子集,它使用预定义的SID(例如 WD 和 SY)。

用户模式 API 和 INF 文件支持所有 SDDL 语法。

使用 ACL 进行安全检查当进程请求访问一个对象时,安全检查将对象的 ACL 与调用方存取令牌中的SID 进行比较。

系统按照严格的从上往下的顺序比较 ACE,并在第一个相关的匹配处停止。

因此,在创建 ACL 时,应该始终将拒绝 ACE 放在相应且允许的 ACE 上方。

下面的例子展示了比较的方法。

例子 1:将 ACL 与存取令牌比较例子 1 显示系统如何将 ACL 与调用方进程的存取令牌进行比较。

假设调用方想要打开具有表 1 所示 ACL 的文件。

表 1. 示例文件 ACL权限S ID 访问权允许A ccounting 写、删除允许S ales 追加拒绝L egal 追加、写、删除允许E veryone 读此 ACL 有 4 个 ACE,分别应用于 Accounting、Sales、Legal 和 Everyone 组。

下一步,假设请求进程的存取令牌包含一个用户和三个组的 SID,顺序如下:用户 Jim (S-1-5-21...)组 Accounting (S-1-5-22...)组 Legal (S-1-5-23...)组 Everyone (S-1-1-0)在比较文件 ACL 与存取令牌时,系统首先在文件的 ACL 中查找用户 Jim 的ACE。

没有找到,所以接下去它查找 Accounting 组的 ACE。

如表 1 所示,Accounting 组的 ACE 就是文件的 ACL 中的第一个条目,因此 Jim 的进程被授予写或删除文件的权限,然后比较过程停止。

相反,如果 ACL 中 Legal 组的 ACE 在 Accounting 组的 ACE 前面,那么进程将无法获得对文件的写、追加和删除权限。

例子 2:将 ACL 与受限令牌比较系统将 ACL 与受限令牌比较的方式与将其与不受限令牌比较的方式相同。

但是,受限令牌中的拒绝 SID 只能匹配 ACL 中的拒绝 ACE。

例子 2 显示系统如何将文件的 ACL 与受限令牌进行比较。

假设文件具有与表 1 中所示的相同的 ACL。

但是,在这个例子中,进程具有包含下列 SID 的受限令牌:用户 Jim (S-1-5-21...) 拒绝组 Accounting (S-1-5-22...) 拒绝组 Legal (S-1-5-23...) 拒绝组 Everyone (S-1-1-0)文件的 ACL 没有列出 Jim 的 SID,所以系统继续比较 Accounting 组 SID。

尽管文件的 ACL 中存在 Accounting 组的 ACE,并且这条 ACE 允许访问,但是它与进程的受限令牌中的 SID(它拒绝访问)不匹配。

因此,系统继续比较 Legal 组 SID。

文件的 ACL 包含 Legal 组的一条 ACE(拒绝访问),因此进程不能写、追加或删除文件。

特权特权是用户在本地计算机上执行与系统相关的操作(例如加载驱动程序、更改时间或关闭系统)的权限。

特权与访问权不同,因为特权应用于与系统(而不是对象)相关的任务和资源,并且特权由系统管理员(而不是操作系统)授予用户或组。

每个进程的存取令牌都包含一个授予该进程的特权列表。

特权必须在使用之前专门启用。

管理员使用 Windows 控制面板中的管理工具来启用和审核特权的使用;也可以通过编程方式启用特权。

Top of page安全场景:创建一个文件当进程创建文件或对象的句柄时,系统使用“Windows 安全模型”中阐述的安全构造。