windows訪問控制機制

A. windows如何實現其訪問控制

XP：在最初的Windows XP以及SP1中，Windows XP內置的防火牆提供了良好的反黑客保護。Windows XP的SP2大大改進了防火牆得保護功能，並且可以阻止惡意程序訪問網路，但是它對於商業應用來講依舊顯得相對簡單，所以許多重視安全性能的用戶依然會使用第三方提供的功能更強的防火牆或是互聯網安全組件來替換它。所有的Windows XP版本都可以通過設置自動下載Windows更新。

Vista：Vista擁有一個與Windows XP SP2的相似卻又有較大改進的防火牆。Internet Explorer 7具有「反釣魚」功能，但是目前已知的是它會稍稍減慢瀏覽網頁的速度，這主要是由於要通過微軟的伺服器進行檢查，然而IE7和其競爭對手Firefox2.0都只能對部分釣魚站點進行清理，因此，在這方面還有待改進。
新的「用戶帳戶控制」系統用於保護用戶的系統，因此在更改重要的系統設置之前將會出現警告信息。但是，盡管按下「確定」按鈕，用戶依然無法立刻完成所需的操作，這令一些高級用戶很反感，所以他們會完全的關閉這項功能。
Windows中具有新的「隨機」層，可以增加Vista系統中對內存配置的更改難度，此以來增加惡意代碼的攻擊難度。Vista具有的一項新技術，也就是內核補丁保護（KPP）技術，盡管KPP並不能夠預防所有病毒、rootkits或者其它惡意軟體對系統的攻擊，但是從安全形度來講，KPP在眾多的防護屏障上又加了一層保護，這對於Intel和AMD的新x64處理器來說，它確實是有益無害的。

2.家庭娛樂方面

XP：Windows XP可以播放MP3和視頻文件、CD、DVD、流媒體文件和其他格式的文件。Media Center Edition是Windows XP的一個更新加強的版本，其更加註重對視頻、音樂及圖像的觀賞、製作。

Vista：Media Center的能力被完全的植入到了Windows Vista中，同時也作了很大程度的增強。Vista通過自帶的Windows Media Player可以播放大多數音頻、視頻文件，並且還可以從網上下載到許多免費的資源
3.圖形用戶界面

XP：Windows XP的用戶界面相對於Windows 2000來說有了很大的改進，但是其開始按鈕在今天看來顯得過大。7TU6_/s1f"E

Vista：非常漂亮的3D圖標，透明的「玻璃」窗口和「Flip 3D」的窗口打開效果。新的圖形系統叫做「Aero」，然而它卻需要耗費大量的系統資源。
一些較老的筆記本也許無法完全支持Aero圖形效果，但可以通過啟用關閉這些特效的模式來保持系統的流暢運行。

桌面搜索引擎已經內置與Vista之中並且完全與系統融合，這與Google的桌面搜索比較相似。Windows XP雖然也有類似的功能，但是大多數人都認為XP的搜索能力較為低下。
同時，Vista具有一個全新的「側邊欄」，可以通過下載小程序或部件，來顯示圖像、時間、新聞及其他信息。目前已有不少側邊欄部件可用，估計在2007年1月30日之後將會有更多的側邊欄部件出現。

4.父母控制
XP：如果沒有安裝第三方軟體，那麼在Windows XP中的幾乎不能防止孩子訪問互聯網中不適當的網站。

Vista：優秀的父母控制已內置於Vista中，與目前第三方提供的軟體功能相差無幾，父母可以完全控制他們孩子的訪問，並且可以查看他們訪問過和試圖訪問的站點。通過對軟體的設置，父母還可以查看他們孩子玩過的游戲、運行過的軟體、發送郵件的痕跡以及即時消息等。

5.網路方面

XP：除非你知道你想做什麼，而且能自己解決，否則，微軟提供的有線連接/無線連接「設置向導」很少能夠快速准確的完成工作，這也大大增加的了用戶網路連接的難度。
Vista：大量的設置改進使得Vista成為了連接網路最容易的操作系統，使用Vista可以輕松的設置有線/無線網路連接。

B. 訪問控制技術的類型機制

訪問控制可以分為兩個層次：物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求，而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站，信息安全重點關注的是二者兼顧，物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式：自主訪問控制（DAC）、強制訪問控制（MAC）和基於角色訪問控制（RBAC）。
1）自主訪問控制
自主訪問控制（Discretionary Access Control，DAC）是一種接入控制服務，通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件，文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問，並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略，通常，可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者，可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表（ACL）。
③每次訪問時都以基於訪問控制列表檢查用戶標志，實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式，是應用最廣泛的訪問控制策略。然而，它所提供的安全性可被非法用戶繞過，授權用戶在獲得訪問某資源的許可權後，可能傳送給其他用戶。主要是在自由訪問策略中，用戶獲得文件訪問後，若不限制對該文件信息的操作，即沒有限制數據信息的分發。所以DAC提供的安全性相對較低，無法對系統資源提供嚴格保護。
2）強制訪問控制
強制訪問控制（MAC）是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象，按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中，每個用戶及文件都被賦予一定的安全級別，只有系統管理員才可確定用戶和組的訪問許可權，用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別，決定用戶是否可以訪問該文件。此外，MAC不允許通過進程生成共享文件，以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略，一般採用3種方法：限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統，對專用或簡單系統較有效，但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式，常用的分為4級：絕密級（Top Secret）、秘密級（Secret）、機密級（Confidential）和無級別級（Unclas sified），其中T>S>C>U。所有系統中的主體（用戶，進程）和客體（文件，數據）都分配安全標簽，以標識安全等級。
通常MAC與DAC結合使用，並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後，才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊，由於用戶不能直接改變強制訪問控制屬性，所以強制訪問控制提供了一個不可逾越的、更強的安全保護層，以防範偶然或故意地濫用DAC。
3）基於角色的訪問控制
角色（Role）是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層，表示為許可權和用戶的關系，所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制（Role-Based Access Control，RBAC）是通過對角色的訪問所進行的控制。使許可權與角色相關聯，用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色，用戶可依其責任和資格分派相應的角色，角色可依新需求和系統合並賦予新許可權，而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性，降低管理開銷，提高企業安全策略的靈活性。
RBAC模型的授權管理方法，主要有3種：
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組（Group，許可權分配的單位與載體）指定一個角色。
RBAC支持三個著名的安全原則：最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務，如核對賬目等。後者可通過許可權的抽象控制一些操作，如財務操作可用借款、存款等抽象許可權，而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問，並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法，一般在操作系統的控制下，按照事先確定的規則決定是否允許主體訪問客體，貫穿於系統全過程。
訪問控制矩陣（Access Contro1 Matrix）是最初實現訪問控制機制的概念模型，以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性，列表示客體的訪問許可權屬性，矩陣格表示所在行的主體對所在列的客體的訪問授權，空格為未授權，Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問，實現認證與訪問控制的分離。在實際應用中，對於較大系統，由於訪問控制矩陣將變得非常大，其中許多空格，造成較大的存儲空間浪費，因此，較少利用矩陣方式，主要採用以下2種方法。
1）訪問控制列表
訪問控制列表（Access Control List，ACL）是應用在路由器介面的指令列表，用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表，表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL，容易判斷出對特定客體的授權訪問，可訪問的主體和訪問許可權等。當將該客體的ACL置為空，可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時，雖然需要遍歷查詢所有客體的ACL，耗費較多資源，但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式，以少量工作組的形式，而不許單個個體出現，可極大地縮減列表大小，增加系統效率。
2）能力關系表
能力關系表（Capabilities List）是以用戶為中心建立訪問許可權表。與ACL相反，表中規定了該用戶可訪問的文件名及許可權，利用此表可方便地查詢一個主體的所有授權。相反，檢索具有授權訪問特定客體的所有主體，則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢，主要優點是，可集中存儲用戶身份信息，用戶只需一次向伺服器驗證身份，即可使用多個系統的資源，無需再向各客戶機驗證身份，可提高網路用戶的效率，減少網路操作的成本，增強網路安全性。根據登入的應用類型不同，可將SSO分為3種類型。
1）對桌面資源的統一訪問管理
對桌面資源的訪問管理，包括兩個方面：
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展，「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具，可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略，Windows並不主動提供與其他系統的直接連接。現在，已經有第三方產品提供上述功能，利用Active Directory存儲其他應用的用戶信息，間接實現對這些應用的SSO服務。
2）Web單點登入
由於Web技術體系架構便捷，對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中，Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用，提供完整的Web SSO解決方案。
3）傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上，實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面，可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API，通過調用信息安全基礎設施提供的訪問管理服務，實現統一訪問管理。
在不同的應用系統之間，同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排（EAI）平台建設一同進行。