Windows Security子系统:Access Control- -

最新推荐文章于 2025-03-11 20:13:47 发布
转载 最新推荐文章于 2025-03-11 20:13:47 发布
· 216 阅读 · 0 ·
版权
原文链接:http://www.cnblogs.com/highmayor/archive/2008/03/07/1095244.html
文章标签:

#安全架构

本文解析了Windows安全子系统中的Access Control模型。介绍了基本架构,包括AccessToken和SecurityDescriptor的作用,以及AccessControlList (ACL) 和 AccessControlEntry (ACE) 的概念。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在终于慢慢地明白了Windows安全子系统中Access Control的的模型,确实很麻烦,但是,这是高安全性的cost。

Windows基本的的安全架构是基于Access Tokens和Security Descriptor的,任何一个Accesser(访问的发起者)都拥有一个Access Token,而每一个Accessee(访问的接受者)都拥有一个Security Descriptor,系统会在需要进行Access Control的时候进行Tokens和Descriptor的比较,来确定是否允许访问。

每个Access Token都包含有必要的信息,主要是用户的SID,所属Group的SID,logon Session SID,特权列表,Owner的SID,Primary Group的SID,DACL,等等。而Descriptor用来表示每个Securable Object的安全性,包括Object的Owner,Primary Group,DACL,SACL,以及一些和Object本身相关的信息。

然后就是ACL(Access Control List),其中包含有许多的ACE(Access Control Entry),系统在进行Access Control的时候,就是拿它们相互比较的。

基本架构差不多了,细节还有好多不懂。

转载于:https://www.cnblogs.com/highmayor/archive/2008/03/07/1095244.html

Windows系统安全小结
Mi1k7ea
12-05 3312
本文不定期更新,将阶段性的总结记录到博客中,方便以后查看~ Windows用户相关命令及隐藏用户: 查看所有用户:net users 查看指定用户user1:net user user1 添加指定用户user1:net user user1 password1 /add 删除指定用户user1:net user user1 /del 简单地隐藏用户: 添加隐藏用户test(在账户名后
再聊Windows的访问控制(Access Control)(一)
stevenjoo67的博客
03-22 2081
Windows 访问控制
windows系统的安全性(中篇)
weixin_33946020的博客
05-05 936
一、写在前面的话在上篇中介绍了win10-1709版本,对勒索病毒攻击的445端口进行了简单的渗透测试,这与微软公布的win10未受到攻击的情况相符。由于现在大众对win7的认可度和接受度较高,用户数量庞大,基于之前对win7系统成功进行渗透测试,本次会对win7以及主流杀毒软件的防护效果进行简单测试。二、实验测试环境渗透机:Kali Linux-201...
10-2 SELinux安全子系统
wangmiaoyan的博客
03-08 226
SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制的安全子系统。目的是为了让各个服务进程都受到约束,使其仅获取到本应获取的资源,不能越界。 它能够从多方面监控违法行为:对服务程序的功能进行限制(SELinux域限制可以确保服务程序做不了出格的事情);对文件资源的访问限制(SELinux安全上下文确保文件资源只能被其所属...
linux中安全子系统,linux系统中 SElinux安全子系统
weixin_39951396的博客
04-29 228
1、SElinux 是什么?SElinux(Security-Enhanced Linux)是美国国家安全局在linux开源社区的帮助下开发的一个强制访问控制(Mandatory Access Control)的安全子系统。使用SElinux技术的目的是为了让各个服务进程都受到约束,使其仅获取到本应获取的资源。SElinux能够从多方面监控违法行为:对服务程序的功能进行限制(SElinux域限制可...
Windows子系统安装
PC_small_wang的博客
06-04 1122
Windows子系统安装 1.Windows配置修改 1)开启开发者模式 在设置中找到更新与安全 选择开发者选项将开发者模式打开 2)开启子系统 打开控制面板选择程序 按图依次点击勾选适用于Linux的Windows子系统 然后进行重启电脑 2.Untunb安装 1)Ubuntu下载 在Microsoft Store搜索Ubuntu 选择版本点击下载安装 安装完成后启动设置用户名以及密码 ...
ISO IEC IEEE 8802-1X:2016 Port-based network access control AMENDMENT 1:MAC security key agreement protocol (MKA) extensions - 完整英文电子版(107页).pdf
09-02
总的来说,ISO IEC IEEE 8802-1X:2016 Port-based network access control AMENDMENT 1: MAC security key agreement protocol (MKA) extensions是网络安全性领域的一个关键参考文档,对于理解和实施基于端口的网络...
Security-aware attribute-based access control for fog-based eldercare system
02-08
本文介绍了一种安全感知的属性基访问控制(Security-Aware Attribute-Based Access Control,简称 ABAC)机制,该机制特别设计用于基于雾计算的老年护理系统中。 #### 技术细节与方法论 - **加密与传输:**老年人...
再聊Windows的访问控制(Access Control)(四) 访问权限和SID
stevenjoo67的博客
04-25 1535
用于保护可保护对象的安全描述符是以二进制形式存储的,但Windows API也提供了可以将安全描述符在二进制与文本字符串之间来回转换的函数。要将二进制形式存储的安全描述符转换成字符串形式,可调用ConvertSecurityDescriptorToStringSecurityDescriptor()函数,而ConvertStringSecurityDescriptorToSecurityDescriptor()则可以进行反向转换。字符串形式的安全描述符虽不能起到保护可保护对象的作用,但它更易于存储和传送。
ISO IEC IEEE 8802-1AE:2020 Media access control (MAC) security - 完整英文电子版(240页).pdf
09-02
《ISO IEC IEEE 8802-1AE:2020 Media access control (MAC) security》是国际标准化组织(ISO)、国际电工委员会(IEC)与电气和电子工程师协会(IEEE)联合制定的一项标准,专注于局域网(LAN)和城域网(MAN)的...
 Windows子系统(GUI)
maomao171314的专栏
12-15 5621
Windows子系统 1 Windows子系统结构 Windows子系统结构,如图: Windows子系统有用户模式和内核模式组件。列出这些组件的职责: a. 内核模块win32k.sys。是Windows内核的扩展。包含两大功能组成部分: 窗口管理器(window manager): 负责控制窗口显示、管理屏幕输出、手机来自键盘鼠标和其他设备的输入,以及将用户信息传递给应用程序。 GDI:图形输出设备的函数库。 b.图形设备驱动程序。 c.Windows环境子系统进程(csrss.e..
权限管理系统(Security
Qbit编程学习笔记
03-20 2471
本系统设计的一个重要目标就是将权限的管理从业务系统中完全抽离出来。对于后端服务而言,他接受到的请求就一定是合法的,不单操作是合法的,包括操作中间的参数,也应该是符合权限管控的要求。权限相关的配置,例如角色配置,用户与角色的绑定都由权限管理系统完成。业务服务与权限系统尽可能少的交互仅限于用户添加租户添加的少数情况。
2.0 新的System.Security.AccessControl 名字空间初探
03-27 509
我有个习惯,闲下来的时候,喜欢点开对象浏览器,翻翻名字空间,翻翻类,以此为消遣.看看类,看看方法,看看注释,经常有些新发现.遇到对象浏览器看不明白的,就打开dll来看反编译,时间长了,这个习惯带来的好处是巨大的. 今天又翻看底层的时候发现了一个陌生的名字空间 System.Security.AccessControl , 翻了一下SDK,知道原来是Net 2.0 新加的.于是来了兴趣,...
Windows 操作系统安全机制
qq_44005305的博客
03-11 653
Windows 系统架构分为三层。其中,最底层是硬件抽象层,它为上面的一层提供硬件结构的接口,有了这一层就可以使系统方便地移植;第二层是内核层,它为低层提供执行、中断、异常处理和同步的支持;第三层是由一系列实现基本系统服务的模块组成的,例如虚拟内存管理、对象管理、进程和线程管理、I/O管理、进程间通信和安全参考监督器。1、Windows 认证机制Windows 系统提供两种基本认证类型,即本地认证和网络认证。其中,本地认证是根据用户的本地计算机或 Active Directory 账户确认用户的身份。
手把手教你启用Win10的Linux子系统(超详细)
热门推荐
神兽乌鸦
09-12 39万+
今天为大家介绍如何才能启用Windows10下的Linux子系统,废话不多说,直接看步骤: 启用开发者模式 打开设置 点击更新和安全 点击开发者选项 启用开发人员模式 更改系统功能 使用win+X快捷键调出系统管理菜单后点击应用和功能,然后拉到底下,选择程序和功能 选中应用或关闭Windows功能 勾选适用于Linux的Windows子系统,然后确认并重启...
Windows内核原理与实现:Windows子系统
首席技术总监的专栏
11-19 1289
用户登录(即使是终端服务)到Windows中时,操作系统为用户建立一个会话,每个子系统会话都有自己的会话空间,属于某一会话的资源将从该会话空间中分配。 通常我们运行的图形界面应用程序运行在默认桌面上。交互式窗口站有独立的剪贴板、键盘、鼠标、显示器等,在它们三个桌面中,任一时刻只有一个是激活的,输入输出设备归激活的桌面所有。 Windows子系统会话有一个RIT(Raw Input T...
windows10子系统kali安装完整版
安全DOG
03-05 1万+
下载桌面 wget https://kali.sh/xfce4.sh 安装桌面 sudo sh xfce4.sh 开启桌面 sudo /etc/init.d/xrdp start 打开win10自带的远程桌面软件 输入127.0.0.1:3390 输入kali密码 停止桌面 sudo /etc/init.d/xrdp stop ...
Windows子系统的安装与使用
学习者的旅途
08-01 5296
好久没有更新技术博客了,这段时间一直在学习新的知识,涉足大数据技术领域,最近有一些收获,来和大家分享一下。本文就windows子系统的安装与使用进行详解,两步即可实现。
【信息安全】操作系统安全基础保障机制
wangluoanquan111的博客
03-25 2449
是指满足安全策略要求,具有相应的安全机制及安全功能,符合特定的安全标准,在一定约束条件下,能够抵御常见的网络安全威胁,保障自身的安全运行及资源安全根据安全功能和安全保障要求,将操作系统分成五个安全等级用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级**操作系统的安全可控:**是指用户可以按照预期的安全要求,实现对操作系统的操作和控制,以满足用户的业务需求狭义上来说,操作系统的安全可控侧重于产品安全广义上来说,操作系统的安全可控侧重于产业可控操作系统的。
new-object System.Security.AccessControl.NativeObjectSecurity
最新发布
03-27
<think>好的,我现在需要帮助用户解决如何在PowerShell中使用New-Object和System.Security.AccessControl.NativeObjectSecurity的问题。首先,我要确认用户的具体需求。用户可能是在尝试创建自定义的安全对象,用于管理访问控制。但根据引用[1]中的示例,用户之前可能是在处理文件系统的访问规则,所以可能是在尝试扩展这方面的功能。 接下来,我需要回忆NativeObjectSecurity类的作用。这个类是一个抽象类,用于处理非标准资源的安全描述符。通常用于文件系统、注册表之外的对象,比如自定义的Windows对象。但是直接实例化它可能不可行,因为它需要具体的实现。 查看引用[3],用户提到AWS Lambda支持PowerShell,但这里可能不太相关。引用[2]中用户提到想通过PsGet获取Git和Hg集成,这可能和当前问题无关,但可能用户在使用PowerShell进行系统管理任务。 用户的问题是如何在PowerShell中使用New-Object创建NativeObjectSecurity的实例。由于NativeObjectSecurity是抽象类,不能直接实例化。可能需要使用派生类,比如FileSystemSecurity、RegistrySecurity等。但用户可能想处理非标准资源,所以需要自定义类。 我需要检查是否有可用的派生类或者如何继承NativeObjectSecurity。例如,可以创建一个子类,并实现必要的方法,如Persist和GetSecurityDescriptorSddlForm。但是在PowerShell中直接继承可能比较复杂,可能需要编写C#代码然后编译加载。 或者,用户可能误解了NativeObjectSecurity的用法,应该使用现有的派生类。例如,处理文件权限时,使用FileSystemAccessRule,如引用[1]中的例子。这时候需要引导用户使用正确的类,比如FileSystemSecurity,并通过AddAccessRule方法添加规则。 但用户明确提到NativeObjectSecurity,可能需要更详细的步骤。例如,在PowerShell中创建自定义的NativeObjectSecurity子类,这需要编写C#代码片段,使用Add-Type编译,然后在PowerShell中使用。 总结步骤:首先解释NativeObjectSecurity是抽象类,不能直接实例化。然后提供两种方法:使用现有的派生类,或者创建自定义子类。对于后者,给出示例代码,使用Add-Type嵌入C#代码,定义子类并实现必要的方法,再在PowerShell中实例化。 需要验证这些步骤是否正确。例如,在C#中继承NativeObjectSecurity需要实现Persist等方法,这些方法在PowerShell中可能难以直接处理,所以可能需要占位实现。同时,需要处理安全描述符的持久化,这可能涉及资源类型和名称。 最后,提醒用户注意资源类型和名称的正确性,以及可能需要管理员权限。确保代码示例正确,并符合PowerShell的语法,比如使用New-Object的正确参数。</think>在PowerShell中使用$System.Security.AccessControl.NativeObjectSecurity$时需要注意,这是一个抽象类,主要用于处理非标准Windows资源的安全描述符。以下是具体实现方法: ### 方法一:使用现有派生类(推荐) 对于常规资源(如文件/注册表),建议直接使用预定义的派生类: ```powershell # 文件系统访问控制示例(引用[1]的扩展) $filePath = "C:\Test\file.txt" $acl = Get-Acl -Path $filePath $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Users","Read", "Allow") $acl.AddAccessRule($rule) Set-Acl -Path $filePath -AclObject $acl ``` ### 方法二:创建自定义子类 对于自定义资源类型,需要通过C#代码创建派生类: ```powershell Add-Type @" using System.Security.AccessControl; using System.Security.Principal; public class CustomNativeSecurity : NativeObjectSecurity { public CustomNativeSecurity(bool isContainer, ResourceType resType) : base(isContainer, resType, null, null) {} public override Type AccessRightType => typeof(FileSystemRights); public override Type AccessRuleType => typeof(FileSystemAccessRule); public override Type AuditRuleType => typeof(FileSystemAuditRule); public new void Persist(string name, AccessControlSections includeSections) { // 实现持久化逻辑 } public override AuditRule AuditRuleFactory( IdentityReference identity, int accessMask, bool isInherited, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, AuditFlags flags) { return new FileSystemAuditRule(identity, (FileSystemRights)accessMask, flags); } public override AccessRule AccessRuleFactory( IdentityReference identity, int accessMask, bool isInherited, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, AccessControlType type) { return new FileSystemAccessRule(identity, (FileSystemRights)accessMask, type); } } "@ # 实例化自定义安全对象 $customSecurity = New-Object CustomNativeSecurity($false, [ResourceType]::FileObject) ``` ### 参数说明 - `ResourceType`:需指定有效的资源类型枚举值,包括: - `FileObject` - `Service` - `Printer` - `RegistryKey` - `LMShare` - `KernelObject` - `isContainer`:指示该对象是否包含子对象 ### 注意事项 1. 需要管理员权限操作受保护资源 2. 自定义资源类型需在Windows安全子系统注册 3. 持久化方法`Persist()`需要实现具体的存储逻辑 4. 推荐优先使用.NET内置的派生类(如`FileSystemSecurity`)[^1][^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值