【windows 访问控制】开篇、访问控制模型模型

访问控制模型的各个部分

 

访问控制模型有两个基本部分：

• 访问令牌，其中包含有关已登录用户的信息
• 安全描述符，其中包含用于保护安全对象 的安全信息

用户登录时 ，系统会对用户 的帐户名和密码进行身份验证。 如果登录成功，系统将创建访问令牌。 代表 此 用户执行的每一个进程都将具有此访问令牌的副本。 访问令牌包含 安全标识符 ，用于标识用户的帐户以及该用户所属的任何组帐户。 令牌还包含用户或用户组拥有的权限列表。 当进程尝试访问安全对象或执行需要特权的系统管理任务时，系统使用此令牌来标识关联的用户。

创建安全对象时，系统会为其分配一个安全描述符，其中包含其创建者指定的安全信息;如果未指定任何安全信息，则为其分配默认安全信息。 应用程序可以使用函数检索和设置现有对象的安全信息。

安全描述符标识对象的所有者，还可以包含以下 访问控制列表：

• DACL (的) 访问控制列表，用于标识允许或拒绝访问对象的用户和组
• SACL ( 访问控制) ，用于 控制系统审核 尝试访问对象

ACL 包含 AES (访问控制) 。 每个 ACE 指定一组访问权限，并包含一个 SID，用于标识允许、拒绝或审核其权限的受信者。 受信者可以是用户帐户、组帐户或 登录会话。

使用函数操作安全描述符、SID 和 ACL 的内容，而不是直接访问它们。 这有助于确保这些结构在语法上保持准确，并防止将来对安全系统的增强功能破坏现有代码。

以下主题提供有关访问控制模型的各个部分的信息：