【windows】windows安全基础

windows安全基础

• 安全主体 security principal

是可以进行身份验证的实体。
哪个安全主体在要求访问？这个维度可以是用户，计算机和进程。一旦确认以后，系统就会发放SID。
例子：你正在运行服务，该进程需要访问计算机上的文件。操作系统需要知道谁要求访问这些文件。这个时候需要有适用于它的安全主体。
您将在windows中找到任何对象或实体都有一个安全主体（security principal）

• 安全标识符 security identifier（SID）

类似于系列号。windows中创建对象或实体时，会创建一个唯一的SID。每个安全主体都有一个唯一SID。
如果你强烈渴望更详细的看看SID，记住两个搜索的地方，WIKI和微软的开发人员中心。
较短的本地SID：S-1-1-0 较长的是域SID：S-1-1-1-1111111-1111111111-111111111-1111
我们不需要纠结身份证的每一个数字都是什么含义，同理我们也不需要知道SID的每一节是啥意思，只需要掌握如何用就行了。

并非所有的知识您都需要仔细学习，适当的取舍与删减在个人的成长过程中会经常运用。
如果您不确定什么知识是您确切需要的，可以参考edx平台上的安全，取证的入门课程。（自己花二十分钟，每个菜单点点很容易就会找到的。）
把听不明白的术语记录下来，再回过头来学习windows server 系列的课程时，您就会发现什么rand0 rand1，你怎么备份数据，硬件怎么读取设置，特么管我鸟事。
也不必纠结最优的解，如果怕麻烦，最好就是管他三七二十一还是二十几，windows server课程全部刷掉就行了。

打开注册表-CMD-regedit HKEY_LOCAL_MACHINE  SOFTWARE  Microsoft  Windows NT  CurrentVersion  ProfileList
这里已用户的SID命名

创建一个用户test，系统为用户提供一个SID，不需要时删除了这个用户。以后再创建一个用户名字还是test，系统为用户提供一个新的SID。即使用户名一样，系统也可以通过不同的SID区分它们。如果这时在另一个域中创建一个用户还是test，分配的SID还是一个新的。所有的SID都不一样。类似于身份证，没有相同的。

• ACE / ACL 为了确定是否允许安全主体访问

Access Control Entry/Access Control List 访问控制条目和列表

例子：比如test用户对应的SID要访问word，系统需要确定是否允许test用户访问，使用SID为test用户创建ACE/ACL，最后就是一个SID是否匹配的问题。

攻击者是否有可能获得用户的SID，使用它去访问呢？这就引入了新的部分，windows的安全流程

• Access Token

为了防止未经授权的访问，windows使用access token。它包含该安全主体的上下文，SID，权限，组成员等。
例子：有一个用户test，通过域控制器对test进行身份验证。账户密码正确以后，域控制器会为该用户生成一个access token，访问令牌会包含（user SID，group SID等信息）。然后将其传递给用户。用户手里就有access token了，他使用这个访问令牌来访问网络上的资源。注销或重启登陆，会让access token的数字签名发生变化。

此域中海油一个文件共享服务器，设置了ACL（Group SID）。当用户尝试访问共享文件时，其令牌将传递到文件服务器与ACL中的SID信息进行比较。访问令牌使用数字签名等技术来确保是否篡改。这个数字签名的秘钥在域服务器中。

参考资料：http://itfreetraining.com/server/basics-security/