Windows Security子系统:Access Control- -

现在终于慢慢地明白了Windows安全子系统中Access Control的的模型,确实很麻烦,但是,这是高安全性的cost。

Windows基本的的安全架构是基于Access Tokens和Security Descriptor的,任何一个Accesser(访问的发起者)都拥有一个Access Token,而每一个Accessee(访问的接受者)都拥有一个Security Descriptor,系统会在需要进行Access Control的时候进行Tokens和Descriptor的比较,来确定是否允许访问。

每个Access Token都包含有必要的信息,主要是用户的SID,所属Group的SID,logon Session SID,特权列表,Owner的SID,Primary Group的SID,DACL,等等。而Descriptor用来表示每个Securable Object的安全性,包括Object的Owner,Primary Group,DACL,SACL,以及一些和Object本身相关的信息。

然后就是ACL(Access Control List),其中包含有许多的ACE(Access Control Entry),系统在进行Access Control的时候,就是拿它们相互比较的。

基本架构差不多了,细节还有好多不懂。

你可能感兴趣的:(Security)