开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第19天,点击查看活动详情
Unix操作系统提供系统功能的方式
系统调用
用户进程通过UNIX API的内核部分—系统调用接口显式地从内核获得服务。内核以主调进程的身份执行这些请求
异常
进程的某些非正常操作,诸如除数为0或用户堆栈溢出等将引起硬件异常。异常需要内核干预,内核为进程处理这些异常。
中断
外围设备通过中断机制通知内核I/O完成状态变化。终端由内核处理,他们被内核视为全局事件,与任何特定进程都不相关。
系统进程
执行系统级的任务,如控制活动进程的数目或维护空闲内存池。
标识与鉴别机制概念及原理(参考监视器)
UNIX的各种管理功能都被限制在一个超级用户(root)中。作为超级用户可以控制一切,包括用户账号、文件和目录、网络资源。允许超级用户管理所有资源的各类变化,或者只管理很小范围的重大变化。例如每个账号都是具有不同用户名、不同的口令和不同的访问权限的一个单独实体。 用户登录到系统中时,需输入==用户名标识==其身份。在系统内部具体实现中,当该用户的账户创建时,系统管理员便为其分配一个惟一的标识号——UID。
用户名是个标识,它告诉计算机该用户是谁。而口令是个确认证据。用户登录系统时,需要输入==口令来鉴别==用户身份。当用户输入口令时,UNIX 使用改进的 DES 算法(通过调用 crypt() 函数实现)对其加密,并将结果与存储在 /etc/passwd 或 NIS 数据库中的加密用户口令比较。
自主访问控制
UNIX文件系统控制文件和目录中的信息存在磁盘及其他辅助存储介质上。它控制每个用户可以访问何种信息及如何访问,表现为通过一组存取控制规则来确定一个主体是否可以存取一个指定客体。==UNIX的存取控制机制通过文件系统实现。==
- 存取权限 ls
- 改变权限 chmod
- 特殊权限位 suid
最小特权管理
UNIX将敏感操作分成26个特权,由一些特权用户分别掌握这些特权,每个特权用户都无法独立完成所有的敏感操作。系统的特权管理机制维护一个管理员数据库,提供执行特权命令的方法。所有用户进程一开始都不具有特权,通过特权管理机制,非特权的父进程可以创建具有特权的子进程,非特权用户可以执行特权命令。
Windows 安全模型及其组成部分
在windows中,安全模型由本地安全认证、安全账号管理器和安全引用监视器构成。除此之外,还包括注册、访问控制和对象安全服务等。他们之间的相互作用和集成构成了安全模型的主要部分。
用户和工作组
在Windows 中,每个用户必须有一个帐号,以便登录和访问计算机的资源和网络资源。 一般有两种类型的帐号:管理员帐号(Administrator)和访问者帐号(Guest)。 管理员帐号可以创建新帐号,创建新帐号的工具是系统的标准配置,它随系统同时安装。从范围的角度来看,Windows NT/XP还可以分为两种类型的帐号:全局帐号和本地帐号。全局帐号可以在整个域内应用,而本地帐号只能在生成它的本机上应用。
Windows 支持工作组。通过工作组,可以方便地给一组相关的用户授予特权和权限。在Windows 中,有两种类型的工作组:全局工作组和本地工作组。本地工作组只能在本地的系统或域内使用。在本地系统的级别上,本地工作组可以用于管理它们所处系统的特权和权限;在域的级别上,本地工作组可以用于管理它们所处的域服务器中的特权和权限。总之,只有在创建它的本地系统或域中才能利用本地工作组实现对特权和权限的管理。全局工作组可以在系统中相互信任的域中使用。利用全局工作组,系统管理员能够有效地将用户按他们的需要进行排序。
域和委托
域(domain):是windows NT的功能核心,域是共享同一个认证数据库的一个或多个windows计算机的一个集合。对于用户的好处是他们登录到域上,可以访问域里的其他资源和服务,不需要再登录到每台服务器。域是win 的安全管理边界。
域由一个主域控制器(PDC)、备份域控制器(BDC)、服务器和工作站组成。建立域可以把机构中不同的部门区分开来。虽然设定正确的域配置并不能保证人们获得一个安全的网络系统,但使管理员可控制网络用户的访问。
委托是一种管理方法,它将两个域连接在一起,并允许域中的用户互相访问。委托关系可使用户帐号和工作组能够在建立它们的域之外的域中使用。委托分为两个部分,即受托域和委托域。受托域使用户帐号可以被委托域使用。这样,用户只需要一个用户名和口令就可以访问多个域。
活动目录(AD)
活动目录包括两个方面:目录和与目录相关的服务。
目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体
目录服务是使目录中所有信息和资源发挥作用的服务
活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息容器方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
AD是一种与win2K集成在一起的目录服务,它不仅包含目录本身(即存储信息的位置),还为网络上的其他用户、应用程序、计算机提供各种信息。原来存储在注册表中的信息都可以存储在AD中。
活动目录的主要作用就是通过提供一个公共的位置来存储、访问和管理整个网络中的各种信息。
活动目录实现了所有资源,包括用户、组和计算机连接、外设、数据库、web访问、访问、网络资源等的统一管理。另外,还支持用户、组和计算机帐号的分层次名称空间。活动目录使用DNS作为定位器,将预中的对象组织成组织单元(OU)结构,允许多个域连接成树状结构。在AD中所有的域控制器(DC)都是平等的。
Windows 安全登录过程以及远程安全登录(参考监视器)
本地登录过程:
- 用户按Ctrl+Alt+Del键,引起硬件中断,被操作系统捕获。这样使操作系统激活WinLogon进程。
- WinLogon 进程通过调用标识与鉴别DLL,将登录窗口(帐号名和口令登录提示符) 展示在用户面前。
- WinLogon 进程发送帐号名和加密口令到本地安全认证(LSA)。如果用户帐号是Windows 计算机的本地帐号,则本地安全认证访问安全帐号管理数据库。否则,本地安全认证就通过NetLogon服务建立一条安全通道访问主域服务器或备份域服务器的安全帐号管理模块(SAM),鉴别登录请求。
- 如果用户具有有效的用户名和口令,则本地安全认证产生一一个访问令牌,包括用户帐号SID和用户工作组SID。访问令牌也得到用户的特权(LUID), 然后该访问令牌传送回WinLogon进程。
- WinL ogon进程传送访问令牌到Win32模块,同时发出一个请求,以便为用户建立登录进程。
- 登录进程建立用户环境,包括启动Desktop Explorer和显示背景等。
远程登录过程:
- 用户将用户名和口令输人到网络客户机软件的登录窗口。
- 该客户机软件打开NetBIOS连接到服务器上的NetLogon服务。该客户机软件对口令加密,发送登录证书到服务器的WinIogon进程。
- 服务器的WinLogon进程发送帐号名和加密口令到本地安全认证(LSA)。如果用户帐号是WindowsNT/XP计算机的本地帐号,则本地安全认证访问安全帐号管理数据库。否则,本地安全认证通过NetLogon服务建立一条安全通道访问主域服务器或备份域服务器的安全帐号管理(SAM),鉴别登录请求。
- 如果用户具有有效的用户名和口令,则本地安全认证产生-一个访问令牌,包括用户帐号SID和用户工作组SID。访问令牌也得到用户的特权(LUID), 然后该访问令牌传送回WinLogon进程。
- WinLogon进程传送访问令牌到WindowsNT/XP的Server服务,它将访问令牌与被客户机打开的NetBIOS连接联系起来。在具有访问令牌所建证书的服务器上,可完成任何在NetBIOS连接时所发送的其他操作。
