访问令牌(Access tokens) 访问令牌是描述进程或线程的安全上下文的对象.令牌中的信息包括与进程或线程关联的用户帐户的标识和特权信息.当用户登录时,系统通过将用户密码与安全数据库(如域认证中的NTDS或本地认证中的SAM文件)中存储的信息进行比较来验证用户密码.如果密码经过验证,则系统将生成访问令牌.代表该用户执行的每个进程都有此访问令牌的副本.(通常我们在输入密码登陆进入Windows界面时就是一个生成访问令牌的过程)当线程与安全对象进行交互或尝试执行需要特权的系统任务时,系统使用访…

授权和访问控制组件 下图说明了授权Windows访问控制过程. 在此图中,主题 (由用户启动) 访问对象(如共享文件夹)的过程. 将用户的访问令牌中的信息与对象的安全描述 (AES) 中的访问控制项进行比较,并做出访问决策. 安全主体的 SID 用于用户的访问令牌和对象的安全描述符中的 AES. 授权和访问控制过程 安全主体与以下组件和技术密切相关: 安全标识符 访问令牌 安全描述符和访问控制列表 权限 当线程尝试访问安全对象时,系统将授予或拒绝访问. 如果该对象没有 DACL (自由 访问控制…

principals:主体 主体包含标识(identity 对用来来说就是用户名,对程序来说就是SID)和用户角色(role 对用户来说就是 组名 对程序来说就是组SID)subject:主体.主语identifier:标识符 鉴定人authority:专家 授权 官方Access Control Model:访问控制模型=访问令牌+安全描述符 ,访问者拥有访问令牌.用户成功登入操作系统后,操作系统将分配给访问者一个令牌,该令牌包含(用户SID和组SID.特权.其他). Security Des…

1.定义 ACL是一个windows中的表示用户(组)权限的列表. Access Control List(ACL) Access Control Entry(ACE) ... 2.分类 ACL分为两类 1,Discretionary Access Control List (DACL)  自由访问控制列表 2,System Access Control List (SACL) 系统访问控制列表 DACL是 安全对象(securable object) 的一个属性(我的理解),用来表示 安全对象…

访问控制列表(ACL:Access Control List) ACL列表的结构 ACL 中的每个 ACE 标识一个受信者,并指定该受信者访问规则.安全对象的安全描述符 可以包含两种类型的 ACL:DACL 和 SACL. DACL:自主访问控制列表(DACL)是安全描述符中最重要的,它里面包含零个或多个访问控制项(ACE,Access Control Entry),每个访问控制项的内容描述了允许或拒绝特定账户对这个对象执行特定操作. SACL:系统访问控制列表(SACL) 主要是用于系统审计的…

AccessControl 命名空间 结构图 解说: DirectorySecurity=目录ACLFileSecurity=文件ACLFileSystemAuditRule=目录和文件中SACL中的ACEFileSystemAccessRule=目录和文件中DACL中的ACEGetAccessControl=ACL(AccessControlList)The security descriptors of all the access control sections of the direc…

安全主体(security principal)? 安全主体是任何可通过操作系统进行身份验证的实体,例如用户帐户.计算机帐户.在用户或计算机帐户的安全上下文中运行的线程或进程,或者这些帐户的安全组. 安全主体一直是控制对计算机中安全资源Windows的基础. 每个安全主体在操作系统中由 SID (唯一) . 来源:docs.microsoft.com 身份验证 |认证(Authentication) 身份验证是验证对象或人员身份的过程. 当你对某个对象进行身份验证时,目的就在于验证该对象是否为正…

访问控制项 具体内容 : https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ifs/access-control-entry   访问控制条目(ACE)是访问控制列表(ACL)中的元素.一个ACL可以包含零个或多个ACE.每个ACE控制或监视指定受托者(Trustees)对对象的访问.ACE有六种类型,所有安全对象都支持其中三种.其他三种类型是目录服务对象支持的特定于对象的ACE.所有类型的ACE都包含以下访问控制信息: 安全标识…

安全描述符(Security Descriptors,SD) 定义 安全描述符是与安全对象的安全信息,它含有这个对象所有者的SID,以及一个访问控制列表(ACL,Access Control List),访问控制列表又包括了DACL(Discretionary Access Control List)和SACL(System Access Control List)以及一组控制位,用于限定安全描述符含义. 安全描述符包含与安全对象关联的安全信息(安全对象是可以具有安全描述符的对象.比如文件.管道…

访问控制模型的各个部分 访问控制模型有两个基本部分: 访问令牌,其中包含有关已登录用户的信息 安全描述符,其中包含用于保护安全对象 的安全信息 用户登录时 ,系统会对用户 的帐户名和密码进行身份验证. 如果登录成功,系统将创建访问令牌. 代表 此 用户执行的每一个进程都将具有此访问令牌的副本. 访问令牌包含 安全标识符 ,用于标识用户的帐户以及该用户所属的任何组帐户. 令牌还包含用户或用户组拥有的权限列表. 当进程尝试访问安全对象或执行需要特权的系统管理任务时,系统使用此令牌来标识关联的用户.…