Windows安全性要依赖于几个基本元素。:访问令牌、SID、安全描述符、访问控制列表、密码、
访问令牌:访问令牌在本质上定义了两
上“P”:Permissions(权限)和Privilege(特权)。两者区别并不明显。访问令牌的内容和功能由用户的SID、组的SID、登录
SID、用户特权、默认所有者、SID、默认组SID、默认DACL、起源进程、令牌类型、模拟级别、受限SID。
权限:一个用户进程在接触一个对象时,“安全性参考监视器”将访问令牌中的SID与“对象访问控制列表(ACL)”中的SID匹配。可能出现的两种情
况:1.如果没有匹配,就拒绝用户访问,这称为“隐式拒绝(implici
deny)”;2.如果有一个区配,就将与ACK中的条目关联的权限授予给用户。这可能是Allow,也可能是一个Deny权限。在两个权限都直接指派给
对象的前提下,Deny权限将优先于Allow权限(在对待继承的权限时,采取的方式稍有不同)
SID:一个典型的SID:S-1-5-21-1683771068-12213551888-624655398-1001.它遵循的模式是:S-R-IA-SA-SA-RID。下面是具体解释:
1、字母S指明这是一个SID标识符,它将数字标记为一个SID。
2、R代表Revision(修订),Windows生成的所有SID都使用修订级别 1.
3、IA代表颁发机构。在Widnwos中,几乎所有SID都指定NT机构作为颁发机构,它的ID编号为5.但是,代表已知组和账户的SID例外。
4、SA代表一个子机构。SA指定特殊的组或职能。例如、21表明SID由一个域控制器或者一台单机颁发。随后的一长串数字(1683771068-12213551888-624655398)就是颁发SID的那个域或机器的SA。
5、RID是指相对ID(RID)、是SA所指派的一个惟一的、顺序的编号、代表一个安全主体(比如一个用户、计算机或组)
新
的已知SID:在经典NT和windows2000中,Local System账户SID
S-1-5-18为几乎所有服务提供了安全上下文,该账户具有很大的特权。Windows2003则引入了另外两个“已知SID”来为服务提供一个安全上
下文、即LocalService和NetworkService。
部分已知SID及功能见Microsoft KB243330
已
知RID:指派给用户、计算机和组的RID从1000开始。500-999的RID被专门保留起来、表示在每个Windows计算机和域中通用的账户和
组,它们称为“已知RID”有些已知RID会附加到一个域SID上,从而构成一个惟一的标识符。另一些则附加到Builtin
SID(S-1-5-32)上,指出它们是可能具有特权的Builtin账户--特权要么是硬编码到操作系统中的,要么是在安全数据库中指派的。
 |
|
Tokenmaster可查看服务器上运行的任何进程的访问令牌的内容。