摘 要 為了確保共享資源的安全，我們常常要進(jìn)行訪問控制。如果要在Windows操作系統(tǒng)上進(jìn)行訪問控制，就勢必要了解Windows操作系統(tǒng)的內(nèi)置安全主體及其權(quán)限，以及與這些內(nèi)置安全主體相關(guān)的一些事實(shí)。本文就是來探討這些的。

【關(guān)鍵詞】訪問控制 內(nèi)置安全主體 權(quán)限

在Windows 操作系統(tǒng)中，用戶經(jīng)過身份驗(yàn)證后，操作系統(tǒng)使用內(nèi)置的授權(quán)和訪問控制技術(shù)來確定它們是否有正確的權(quán)限訪問資源。在訪問控制技術(shù)模型中，用戶又被稱為安全主體，在Windows 操作系統(tǒng)中它們由獨(dú)特的安全標(biāo)識符（SID）表示；資源通常指文件、文件夾、打印機(jī)等，它們也被稱為客體；客體通過訪問控制列表（ACL）來分配權(quán)限。

在Windows 操作系統(tǒng)中，安全主體除了大家所熟知的用戶，還有用戶組、內(nèi)置安全主體。接下來，我們就詳細(xì)介紹幾個(gè)與訪問控制較為緊密的內(nèi)置安全主體。

1 Windows操作系統(tǒng)的幾個(gè)內(nèi)置安全主體

System/LocalSystem（S-1-5-18）：系統(tǒng)/本地系統(tǒng)，操作系統(tǒng)使用的服務(wù)帳戶。打開任務(wù)管理器會(huì)發(fā)現(xiàn)一些進(jìn)程就是以System/LocalSystem身份運(yùn)行的。System/LocalSystem是Administrators 組的隱藏成員，所以，任何以System/LocalSystem身份運(yùn)行的進(jìn)程其訪問令牌具有內(nèi)置的 Administrators 組的 SID。以System/LocalSystem身份運(yùn)行的進(jìn)程除了具有管理員權(quán)限，其啟動(dòng)時(shí)機(jī)也較早，在操作系統(tǒng)加載階段即已運(yùn)行，這也是很多病毒想方設(shè)法注冊成為系統(tǒng)服務(wù)的原因。

Everyone（S-1-1-0）：所有人，在運(yùn)行 Windows Server 2003 及以后版本操作系統(tǒng)的計(jì)算機(jī)上，Everyone 包括 Authenticated Users 和 Guest。

AuthenticatedUsers（S-1-5-11）：已驗(yàn)證身份的，包括其身份已經(jīng)得到驗(yàn)證的所有用戶和計(jì)算機(jī)。AuthenticatedUsers 不包括 Guest，即使 Guest 帳戶有密碼。

Creator Owner（S-1-3-0）：創(chuàng)建者，創(chuàng)建對象時(shí)操作系統(tǒng)會(huì)為對象分配所有者，而默認(rèn)情況下創(chuàng)建者就是該對象的所有者。

Windows操作系統(tǒng)里的內(nèi)置安全主體很多，想要了解更多請?jiān)L問微軟TechNet。

2 與內(nèi)置安全主體有關(guān)的一些事實(shí)

2.1 登錄后Administrator帳戶隸屬于Users組

由上面的介紹可知，任何已得到身份驗(yàn)證的用戶和計(jì)算機(jī)都隸屬于AuthenticatedUsers；這樣，當(dāng)內(nèi)置帳戶Administrator登錄后也將隸屬于它。如果我們查看Users組的成員，會(huì)發(fā)現(xiàn)AuthenticatedUsers就在其中。所以，Administrator登錄后將是Users組成員。事實(shí)上，在Windows操作系統(tǒng)中，任何已登錄帳戶都屬于Users組；所以，在設(shè)置文件/文件夾的ACL時(shí)，盡量避免拒絕Users組的權(quán)限，不授予即可，不然可能會(huì)導(dǎo)致不必要的麻煩。

2.2 文件/文件夾創(chuàng)建者默認(rèn)具有完全控制權(quán)限

Windows NT內(nèi)核的操作系統(tǒng)作為《可信計(jì)算機(jī)系統(tǒng)評價(jià)標(biāo)準(zhǔn)》（TCSEC）C2安全級別的操作系統(tǒng)，采用了自主的訪問控制（DAC），DAC最顯著的特點(diǎn)便是資源的所有者能完全控制資源。由上面的介紹可知，默認(rèn)Creator Owner是對象的所有者，那么它也就對所創(chuàng)建對象具有完全控制權(quán)限。

2.3 對系統(tǒng)安裝目錄訪問權(quán)限的變遷

由上面的介紹可知，在運(yùn)行 Windows Server 2003 及以后版本操作系統(tǒng)的計(jì)算機(jī)上，Everyone 包括 AuthenticatedUsers 和 Guest。為了更好的保證系統(tǒng)安裝目錄的安全，這些年微軟在對系統(tǒng)安裝目錄的默認(rèn)權(quán)限上也做了一些變化。

在Windows Server 2003操作系統(tǒng)上默認(rèn)Everyone對系統(tǒng)安裝目錄具有讀取和運(yùn)行權(quán)限，而在Windows Server 2008操作系統(tǒng)上Everyone已經(jīng)沒有了權(quán)限。當(dāng)然，變化并不只體現(xiàn)在服務(wù)器操作系統(tǒng)上，在工作臺操作系統(tǒng)上亦有所變化，請讀者自查。

3 結(jié)語

Windows 操作系統(tǒng)在實(shí)際的生活、工作中仍被大量的使用，當(dāng)我們使用Windows 操作系統(tǒng)來共享資源（通常是文件或文件夾）時(shí)，會(huì)發(fā)現(xiàn)對共享資源進(jìn)行訪問控制是多么重要，那么了解Windows 操作系統(tǒng)的內(nèi)置安全主體就是一件繞不開的事情，希望這篇文章能對有這些需要的讀者有所裨益。

參考文獻(xiàn)

[1]安全標(biāo)識符技術(shù)概述[EB/OL].https：//technet.microsoft.com/zh-cn/library/dn743661（v=ws.11）.aspx.

[2]趙瑞華.Windows 7系統(tǒng)上病毒的一些啟動(dòng)時(shí)機(jī)[J].電腦與信息技術(shù)，2015（23）：43-45.

[3]訪問控制概述[EB/OL]. https：//technet.microsoft.com/zh-cn/library/dn408189（v=ws.11）.aspx.

[4] 張敬.高安全等級操作系統(tǒng)關(guān)鍵技術(shù)研究[D].西安電子科技大學(xué)碩士學(xué)位論文，2014.

作者簡介

趙瑞華（1981-），女，河南省濮陽市人。碩士學(xué)位。研究方向?yàn)椴僮飨到y(tǒng)安全、Web應(yīng)用安全。

作者單位

公安部第三研究所 上海市 200031