Windows认证和安全对象的基本概念

Windows认证和安全对象的基本概念

A access B,A就是访问的主体,B就是访问的客体。

A的访问令牌和B的安全描述符决定了A是否可以访问B。

访问的主体是进程。线程是程序执行的流程,线程是没有属于自己的权限的,它的权限来源于所属的进程。

访问的客体是安全对象,所有被访问的对象都有安全描述符,如文件、管道、注册表、事件(回想创建内核对象函数中的lpSecurityAttributes参数)

Token、权限和用户标识

进程的权限继承自创建进程用户和用户所属的用户组。用户有专用数据结构来表示权限---访问令牌(Access Token)。访问令牌包括两个部分:一个是令牌所表示的用户,包括用户标识符(SID),用户所属的用户组等;另一部分是"权限"(Privilege)。

在进程访问安全对象时,会用到 SID。每个安全对象都有访问控制列表(ACL),ACL 说明了哪些用户( SID)能访问本对象,哪些不能,以及能进行哪种访问等。而"权限"在访问某个具体的安全对象时并没有作用,"权限"是表示进程是否能够进行特定的系统操作,如关闭系统、修改系统时间、加载设备驱动等。

访问令牌的类型

Windows 中有两种主要的访问令牌类型:

  • 主令牌(Primary Token):与进程关联,代表进程的默认安全上下文。每个进程都有一个主令牌,由创建该进程的用户决定。
  • 模拟令牌(Impersonation Token):与线程关联,允许线程临时以另一个用户的安全上下文执行操作。这在客户端-服务器模型中非常常见,例如服务器线程在处理客户端请求时,可以模拟客户端的身份来访问资源。

权限(Privilege)详解

权限是系统级别的操作能力,常见的权限包括:

权限名称 常量标识 说明
关闭系统 SeShutdownPrivilege 允许进程关闭系统
修改系统时间 SeSystemtimePrivilege 允许修改系统时间
加载设备驱动 SeLoadDriverPrivilege 允许加载或卸载设备驱动
调试程序 SeDebugPrivilege 允许调试任何进程
备份文件和目录 SeBackupPrivilege 允许绕过文件权限进行备份
创建令牌对象 SeCreateTokenPrivilege 允许创建主令牌

权限默认是禁用的,进程需要通过 AdjustTokenPrivileges 函数显式启用。

创建进程时指定令牌

c 复制代码
// 以指定用户的令牌创建进程
BOOL CreateProcessAsUser(
  HANDLE                hToken,          // 用户令牌句柄
  LPCTSTR               lpApplicationName,
  LPTSTR                lpCommandLine,
  LPSECURITY_ATTRIBUTES lpProcessAttributes,
  LPSECURITY_ATTRIBUTES lpThreadAttributes,
  BOOL                  bInheritHandles,
  DWORD                 dwCreationFlags,
  LPVOID                lpEnvironment,
  LPCTSTR               lpCurrentDirectory,
  LPSTARTUPINFO         lpStartupInfo,
  LPPROCESS_INFORMATION lpProcessInformation
);

// 使用指定令牌创建进程(Windows Vista+)
BOOL CreateProcessWithTokenW(
  HANDLE                hToken,
  DWORD                 dwLogonFlags,
  LPCWSTR               lpApplicationName,
  LPWSTR                lpCommandLine,
  DWORD                 dwCreationFlags,
  LPVOID                lpEnvironment,
  LPCWSTR               lpCurrentDirectory,
  LPSTARTUPINFOW        lpStartupInfo,
  LPPROCESS_INFORMATION lpProcessInformation
);

安全对象

在创建对象时都可以指定对象的安全属性,比如 CreateFileCreatePipeCreateProcessRegCreateKeyExRegSaveKeyEx 等,SECURITY_ATTRIBUTES 结构用于指定对象的安全属性。

对象的安全属性是以安全描述符(Security Descriptor)的形式存在的,安全描述符中包括了访问控制列表。

SECURITY_ATTRIBUTES 结构

c 复制代码
typedef struct _SECURITY_ATTRIBUTES {
  DWORD  nLength;               // 结构大小,sizeof(SECURITY_ATTRIBUTES)
  LPVOID lpSecurityDescriptor;  // 指向安全描述符的指针
  BOOL   bInheritHandle;        // 子进程是否继承该句柄
} SECURITY_ATTRIBUTES, *PSECURITY_ATTRIBUTES;

使用示例:

c 复制代码
SECURITY_ATTRIBUTES sa;
sa.nLength = sizeof(SECURITY_ATTRIBUTES);
sa.lpSecurityDescriptor = NULL;  // 使用默认安全描述符
sa.bInheritHandle = TRUE;        // 允许子进程继承句柄

HANDLE hFile = CreateFile(
    L"test.txt",
    GENERIC_READ | GENERIC_WRITE,
    FILE_SHARE_READ,
    &sa,                         // 传入安全属性
    CREATE_ALWAYS,
    FILE_ATTRIBUTE_NORMAL,
    NULL
);

安全描述符的结构

安全描述符包含以下关键信息:

  1. 所有者 SID:标识对象的所有者
  2. 组 SID:标识对象所属的主组(主要用于 POSIX 兼容)
  3. DACL(自主访问控制列表):控制谁可以访问对象以及如何访问
  4. SACL(系统访问控制列表):记录访问尝试的审计日志

ACL(访问控制列表)

ACL 是安全描述符的核心组成部分,它由一系列访问控制项(ACE)组成。每个 ACE 定义了一个用户或用户组的访问权限。

DACL 与 SACL 的区别

特性 DACL SACL
全称 自主访问控制列表 系统访问控制列表
作用 控制访问权限(允许/拒绝) 记录审计日志
默认行为 无 DACL 时允许所有访问 无 SACL 时不审计
ACE 类型 允许 ACE、拒绝 ACE 审计成功 ACE、审计失败 ACE

ACE(访问控制项)的结构

c 复制代码
typedef struct _ACCESS_ALLOWED_ACE {
  ACE_HEADER Header;       // ACE 类型、标志和大小
  ACCESS_MASK Mask;        // 访问权限掩码
  DWORD      SidStart;     // 用户/组的 SID
} ACCESS_ALLOWED_ACE;

访问权限掩码示例

c 复制代码
// 文件对象的常见访问权限
#define FILE_READ_DATA            (0x0001)
#define FILE_WRITE_DATA           (0x0002)
#define FILE_APPEND_DATA          (0x0004)
#define FILE_READ_EA              (0x0008)
#define FILE_WRITE_EA             (0x0010)
#define FILE_EXECUTE              (0x0020)
#define FILE_DELETE_CHILD         (0x0040)
#define FILE_READ_ATTRIBUTES      (0x0080)
#define FILE_WRITE_ATTRIBUTES     (0x0100)

// 标准访问权限
#define DELETE                    (0x00010000)
#define READ_CONTROL              (0x00020000)
#define WRITE_DAC                 (0x00040000)
#define WRITE_OWNER               (0x00080000)
#define SYNCHRONIZE               (0x00100000)

访问检查流程

当进程尝试访问一个安全对象时,Windows 安全引用监视器(SRM)会执行以下步骤:

  1. 获取访问令牌:从进程的主令牌中获取 SID 和权限信息
  2. 检查 DACL :遍历 DACL 中的 ACE,按顺序检查:
    • 如果遇到拒绝 ACE 匹配当前 SID → 拒绝访问
    • 如果遇到允许 ACE 匹配当前 SID → 允许对应权限
    • 如果遍历完 DACL 没有匹配项 → 拒绝访问
  3. 记录审计:如果 SACL 存在,记录访问事件到安全日志

重要规则:拒绝 ACE 优先于允许 ACE。这意味着即使后面有允许 ACE,只要前面有拒绝 ACE 匹配,访问就会被拒绝。

实际应用示例

c 复制代码
// 创建一个安全描述符,只允许管理员访问
PSECURITY_DESCRIPTOR pSD = NULL;
PACL pDacl = NULL;
DWORD dwResult;

// 初始化安全描述符
pSD = (PSECURITY_DESCRIPTOR)LocalAlloc(LPTR, SECURITY_DESCRIPTOR_MIN_LENGTH);
InitializeSecurityDescriptor(pSD, SECURITY_DESCRIPTOR_REVISION);

// 创建 DACL,只允许 Administrators 组访问
SID_IDENTIFIER_AUTHORITY SIDAuth = SECURITY_NT_AUTHORITY;
PSID pAdminSID = NULL;
AllocateAndInitializeSid(&SIDAuth, 2,
    SECURITY_BUILTIN_DOMAIN_RID,
    DOMAIN_ALIAS_RID_ADMINS,
    0, 0, 0, 0, 0, 0,
    &pAdminSID);

// 创建 ACL 并添加允许 ACE
dwResult = SetEntriesInAcl(1, &(EXPLICIT_ACCESS){
    .grfAccessPermissions = GENERIC_ALL,
    .grfAccessMode = GRANT_ACCESS,
    .grfInheritance = NO_INHERITANCE,
    .Trustee = {
        .TrusteeForm = TRUSTEE_IS_SID,
        .TrusteeType = TRUSTEE_IS_GROUP,
        .ptstrName = (LPTSTR)pAdminSID
    }
}, NULL, &pDacl);

SetSecurityDescriptorDacl(pSD, TRUE, pDacl, FALSE);

// 将安全描述符应用到对象
SECURITY_ATTRIBUTES sa = {
    .nLength = sizeof(SECURITY_ATTRIBUTES),
    .lpSecurityDescriptor = pSD,
    .bInheritHandle = FALSE
};

HANDLE hFile = CreateFile(L"secure.txt", GENERIC_ALL, 0, &sa,
    CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);

// 清理资源
if (pAdminSID) FreeSid(pAdminSID);
if (pDacl) LocalFree(pDacl);
if (pSD) LocalFree(pSD);

总结

Windows 的安全模型基于三个核心概念:

  1. 访问令牌(Token):标识进程的身份和权限
  2. 安全描述符(Security Descriptor):定义对象的安全属性
  3. 访问控制列表(ACL):通过 DACL 和 SACL 控制访问和审计

理解这些概念是进行 Windows 系统编程和安全开发的基础。在实际开发中,合理设置安全描述符可以有效防止未授权访问,而正确使用访问令牌则能实现精细化的权限控制。

相关推荐
小职boy3 小时前
不忘初心Windows系统工具箱下载 - 系统优化与维护工具(v1.1)
windows·系统·电脑软件·工具箱
Mininglamp_27185 小时前
Claude Code 封禁中国开发者之后:本地 AI 编程工具的替代方案实测
开发语言·人工智能·windows·开源软件·ai-native
贾斯汀frank5 小时前
C# 15 类型系统改进:Union Types
开发语言·windows·c#
xixixi777775 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_466525296 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz567896 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
2603_954708317 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
YHHLAI7 小时前
Agent 智能体开发实战 · 第四课:完整工具集 —— 打造 AI 编程 Agent 的工具箱
人工智能·windows·microsoft
冰茶丿8 小时前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
长风2309 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全