WindowsNT的安全模型-电子科技大学

Windows安全模型ReadWindows 安全模型每个驱动程序作者都需要了解的内容Updated July 7 2004 On This Page 简介Windows 安全模型安全场景创建一个文件驱动程序安全责任行动指南和资源本文提供关于为Microsoft Windows 家族操作系统编写安全的内核模式驱动程序的信息其中描述了如何将Windows 安全模型应用于驱动程序并解释驱动程序作者必须采取哪些措施来确保其设备的安全性简介Windows 安全模型基于安全对象操作系统的每个组件都必须确保其负责的对象的安全性因此驱动程序必须保证其设备和设备对象的安全性本文总结了如何将Windows 安全模型应用于内核模式驱动程序以及驱动程序编写人员必须采取哪些措施来确保其设备的安全性一些类型的设备适用于附加的设备特定要求请参阅Microsoft Windows Driver Development Kit DDK 中的设备特定的文档以了解详细信息注意关于本文中讨论的例程和问题的当前文档请参见Windows DDK 最新版本关于如何获取当前的DDK 的信息请参见 Top of page Windows 安全模型Windows 安全模型主要基于每个对象的权限以及少量的系统级特权安全对象包括但不限于进程线程事件和其它同步对象以及文件目录和设备对于每种类型的对象一般的读写和执行权限都映射到详细的对象特定权限中例如对于文件和目录可能的权限包括读或写文件或目录的权限读或写扩展的文件属性的权限遍历目录的权限以及写对象的安全描述符的权限更多信息包括完整的权限列表请参见MSDN 库的安全性节中的安全性常规该库位于安全模型涉及以下概念安全标识符SID 存取令牌安全描述符访问控制列表ACL特权安全标识符SID 安全标识符SID也称为安全主体标识一个用户组或登录会话每个用户都有一个唯一的SID在登录时由操作系统检索SID 由一个权威机构如操作系统或域服务器分发一些SID 是众所周知的并且具有名称和标识符例如SID S-1-1-0 标识所有人或全世界存取令牌每个进程都有一个存取令牌存取令牌描述进程的完整的安全上下文它包含用户的SID用户所属组的SID登录会话的SID以及授予用户的系统级特权列表默认情况下当进程的线程与安全对象交互时系统使用进程的主存取令牌但是一个线程可以模拟一个客户端帐户当一个线程模拟客户端帐户时它除了拥有自己的主令牌之外还有一个模拟令牌模拟令牌描述线程正在模拟的用户帐户的安全上下文模拟在远程过程调用Remote Procedure Call RPC 处理中尤其常见描述线程或进程的受限制的安全上下文的存取令牌被称为受限令牌受限令牌中的SID 只能设置为拒绝访问安全对象而不能设置为允许访问安全对象此外令牌可以描述一组有限的系统级特权用户的SID 和标识保持不变但是在进程使用受限令牌时用户的访问权限是有限的CreateRestrictedToken 函数创建一个受限令牌受限令牌对于运行不可信代码例如电子邮件附件很有用当您右键单击可执行文件选择运行方式并选择保护我的计算机和数据不受未授权程序的活动影响时Microsoft Windows XP 就会使用受限令牌安全描述符每个命名的Windows 对象都有一个安全描述符一些未命名的对象也有安全描述符描述对象的所有者和组SID以及对象的ACL对象的安全描述符通常由创建该对象的函数创建当驱动程序调用IoCreateDevice 或IoCreateDeviceSecure 例程来创建设备对象时系统将一个安全描述符应用于创建的设备对象并为对象设置ACL对于大多数设备ACL 是在设备信息INF 文件中指定的访问控制列表访问控制列表ACL 允许细粒度地控制对对象的访问ACL 是每个对象的安全描述符的一部分每个ACL 包含零个或多个访问控制条目ACE而每个ACE 仅包含一个SID用来标识用户组或计算机以及该SID 拒绝或允许的权限列表设备对象的ACL 可以使用三种方式设置设备对象的ACL在其设备类型的默认安全描述符中设置由RtlCreateSecurityDescriptor 函数通过编程方式创建并由RtlSetDaclSecurityDescriptor 函数进行设置在设备INF 文件中使用安全描述符定义语言Security Descriptor Definition Language SDDL 指定或者在对IoCreateDeviceSecure 例程的调用中指定所有新的驱动程序都应该在INF 文件中使用SDDL 为其设备对象指定ACLSDDL 是一种可扩展的描述语言允许组件以字符串格式创建ACL用户模式和内核模式代码都使用SDDL图1 显示了设备对象的SDDL 字符串的格式图1 设备对象的SDDL 字符串Access 值指定允许的访问类型SID 值指定一个安全标识符确定将Access 值应用于谁例如一个用户或组例如下面的SDDL 字符串允许系统SY 获得任何访问权限而仅允许其他所有人WD 获得读访问权DPAGASYAGRWD头文件wdmsech 还包括一组适用于设备对象的预定义SDDL 字符串例如头文件按如下方式定义SDDL_DEVOBJ_SYS_ALL_ADM_RWX_WORLD_RWX_RES_RWX"DPAGASYAGRGWGXBAAGRGWGX WDAGRGWGXRC" 这个字符串的第一节允许内核和操作系统SY 完全控制设备第二节允许内置管理员组BA 中的任何人访问整个设备但是不能更改ACL第三节允许所有人WD 读或写设备第四节将相同的权限授予不可信代码RC驱动程序可以按原样使用预定义字符串或者将其用作设备对象特定的字符串模型堆栈中的所有设备对象都应该具有相同的ACL更改堆栈中一个设备对象的ACL 会更改整个设备堆栈的ACL然而将新设备对象添加到堆栈中不会更改任何ACL无论是新设备对象的ACL如果它有ACL还是堆栈中任何现有设备对象的ACL当驱动程序创建一个新的设备对象并将其附加到堆栈顶部时驱动程序应该将堆栈的ACL 复制到新设备对象方法是从该设备对象的下一层驱动程序中复制DeviceObjectCharacteristics 字段IoCreateDeviceSecure 例程支持SDDL 字符串的一个子集它使用预定义的SID例如WD 和SY用户模式API 和INF 文件支持所有SDDL 语法使用ACL 进行安全检查当进程请求访问一个对象时安全检查将对象的ACL 与调用方存取令牌中的SID 进行比较系统按照严格的从上往下的顺序比较ACE并在第一个相关的匹配处停止因此在创建ACL 时应该始终将拒绝ACE 放在相应且允许的ACE 上方下面的例子展示了比较的方法例子1将ACL 与存取令牌比较例子1 显示系统如何将ACL 与调用方进程的存取令牌进行比较假设调用方想要打开具有表1 所示ACL 的文件表1 示例文件ACL 权限SID 访问权允许Accounting 写删除允许Sales 追加拒绝Legal 追加写删除允许Everyone 读此ACL 有4 个ACE分别应用于AccountingSalesLegal 和Everyone 组下一步假设请求进程的存取令牌包含一个用户和三个组的SID顺序如下用户Jim S-1-5-21 组Accounting S-1-5-22 组Legal S-1-5-23 组Everyone S-1-1-0 在比较文件ACL 与存取令牌时系统首先在文件的ACL 中查找用户Jim 的ACE没有找到所以接下去它查找Accounting 组的ACE如表1 所示Accounting 组的ACE 就是文件的ACL 中的第一个条目因此Jim 的进程被授予写或删除文件的权限然后比较过程停止相反如果ACL 中Legal 组的ACE 在Accounting 组的ACE 前面那么进程将无法获得对文件的写追加和删除权限例子2将ACL 与受限令牌比较系统将ACL 与受限令牌比较的方式与将其与不受限令牌比较的方式相同但是受限令牌中的拒绝SID 只能匹配ACL 中的拒绝ACE例子2 显示系统如何将文件的ACL 与受限令牌进行比较假设文件具有与表1 中所示的相同的ACL但是在这个例子中进程具有包含下列SID 的受限令牌用户Jim S-1-5-21 拒绝组Accounting S-1-5-22 拒绝组Legal S-1-5-23 拒绝组Everyone S-1-1-0 文件的ACL 没有列出Jim 的SID所以系统继续比较Accounting 组SID尽管文件的ACL 中存在Accounting 组的ACE并且这条ACE 允许访问但是它与进程的受限令牌中的SID它拒绝访问不匹配因此系统继续比较Legal 组SID文件的ACL 包含Legal 组的一条ACE拒绝访问因此进程不能写追加或删除文件特权特权是用户在本地计算机上执行与系统相关的操作例如加载驱动程序更改时间或关闭系统的权限特权与访问权不同因为特权应用于与系统而不是对象相关的任务和资源并且特权由系统管理员而不是操作系统授予用户或组每个进程的存取令牌都包含一个授予该进程的特权列表特权必须在使用之前专门启用管理员使用Windows 控制面板中的管理工具来启用和审核特权的使用也可以通过编程方式启用特权Top of page 安全场景创建一个文件当进程创建文件或对象的句柄时系统使用Windows 安全模型中阐述的安全构造图2 显示当用户模式进程试图创建一个文件时触发的与安全相关的操作Click to view full-size image 图2 处理CreateFile 请求图2 显示当用户模式应用程序调用CreateFile 函数时系统如何响应下面对圆圈中的数字进行说明1 用户模式应用程序调用CreateFile 函数传递一个有效的Microsoft Win32 文件名2 用户模式Kernel32dll 将请求传递给Ntdlldll该DLL 将Win32 名称转换为Microsoft Windows NT 文件名3 Ntdlldll 使用Windows NT 文件名调用NtCreateFile 函数在Ntoskrnlexe 内部IO 管理器处理NtCreateFile 4 IO 管理器将请求重新打包成一个对象管理器调用5 对象管理器解析符号链接并确保用户对将在其中创建文件的路径具有遍历权限详细信息请参见本文稍后的对象管理器中的安全检查6 对象管理器调用拥有与请求关联的底层对象类型的系统组件对于一个文件创建请求该组件就是IO 管理器它拥有设备对象7 IO 管理器检查设备对象的安全描述符与用户进程的存取令牌以确保用户具有所需的设备访问权详细信息请参见本文稍后的IO 管理器中的安全检查8 如果用户进程具有所需的访问权那么IO 管理器创建一个句柄并将一个IRP_MJ_CREATE 请求发送到设备或文件系统。

2022年杭州电子科技大学信息管理与信息系统专业《数据库概论》科目期末试卷B（有答案）一、填空题1、数据模型是由______________、______________和______________三部分组成。

2、数据仓库是______、______、______、______的数据集合，支持管理的决策过程。

3、SQL语言的数据定义功能包括______、______、______和______。

4、在SQL语言中，为了数据库的安全性，设置了对数据的存取进行控制的语句，对用户授权使用____________语句，收回所授的权限使用____________语句。

5、设有关系模式R（A，B，C）和S（E，A，F），若R.A是R的主码，S.A是S的外码，则S.A的值或者等于R中某个元组的主码值，或者______取空值，这是规则，它是通过______和______约束来实现的。

6、____________和____________一起组成了安全性子系统。

7、数据管理技术经历了______________、______________和______________3个阶段。

8、关系数据库中基于数学的两类运算是______________和______________。

9、采用关系模型的逻辑结构设计的任务是将E-R图转换成一组______，并进行______处理。

10、设某数据库中有作者表（作者号，城市）和出版商表（出版商号，城市），请补全如下查询语句，使该查询语句能查询作者和出版商所在的全部不重复的城市。

SELECT城市FROM作者表_____SELECT城市FROM出版商表；二、判断题11、视图是可以更新的。

（）12、数据库模式和实例是一回事。

（）13、在综合分E-R图时，会出现属性冲突，结构冲突，命名冲突。

（）14、在数据库表中，空值表示数值0。

（）15、全码的关系模式一定属于BC范式。

（）16、在第一个事务以S锁方式读数据R时，第二个事务可以进行对数据R加S锁并写数据的操作。

第2章 Windows NT安全原理虽然本书以Windows 2000作为阐述Windows系统安全原理与技术的重点，但由于Windows 2000的大部分核心功能和面向对象的设计都来源于Windows NT 4.0，大部分原有的基础安全结构仍然保持不变，因此本章将首先说明Windows NT 4.0系统安全的基本原理与技术。

2.1 Windows NT系统安全体系图2-1显示了Windows NT 4.0系统体系结构中的多个组成部分以及彼此之间的相关性。

与其他大多数模型类似，这也是一种分层结构：计算机硬件位于底端，而高层的应用程序位于顶端。

用户与最高层的部分进行交互，中间的所有层次都为上一层提供服务并与下一层进行交互。

图2-1 Windows NT4.0安全体系结构该体系结构分为两种模式：内核模式（Kernel Mode）和用户模式（User Mode）。

应用程序及其子系统运行在用户模式下。

该模式拥有较低特权，不能对硬件直接进行访问。

用户模式的应用程序被限定在由操作系统所分配的内存空间内，不能对其他内存地址空间直接进行访问。

用户模式只能使用特殊的应用程序编程接口（API）来从内核模式组件中申请系统服务。

用户模式中包含有以下一些主要的子系统。

z Win32子系统：这是主要的应用程序子系统，所有的32位Windows应用程序都运行在这个子系统之下。

z本地安全子系统：用来支持Windows的登录过程，包括对登录的身份验证和审核工作。

安全子系统需要和Win32子系统进行通信。

z OS/2子系统：被设计用来运行和OS/2 1.x相兼容的应用程序。

z POSIX子系统：被设计用来运行和POSIX 1.x相兼容的应用程序。

而内核模式中的代码则具有极高的特权，可以直接对硬件进行操作以及直接访问所有的内存空间，并不像运行在用户模式下的程序那样被限定在自身特定的地址空间内。

组成内核模式的整套服务被称为“执行服务”（有时也被称为Windows NT Executive）。