(1)標(biāo)識(shí)與鑒別

標(biāo)識(shí)和鑒別是操作系統(tǒng)基礎(chǔ)的安全機(jī)制。操作系統(tǒng)利用標(biāo)識(shí)來(lái)跟蹤用戶的操作，用戶一 旦完成了身份鑒別，就要對(duì)基于該標(biāo)識(shí)的所有行為負(fù)責(zé)。關(guān)于標(biāo)識(shí)與簽別機(jī)制的詳細(xì)內(nèi)容請(qǐng)參見(jiàn)本書(shū)第二章中“身份鑒別”的有關(guān)內(nèi)容。

◇Windows的身份標(biāo)識(shí)與鑒別

Winclows的安全主體類型主要包括用戶賬戶、組賬戶、計(jì)算機(jī)和服務(wù)，使用安全標(biāo)識(shí)符（Security Identifler，SID）在系統(tǒng)內(nèi)部進(jìn)行標(biāo)記。SID的創(chuàng)建者和作用范圍依賴于賬戶類型。

對(duì)于用戶賬戶，就由本地安全授權(quán)機(jī)構(gòu)(LSA)生成在該系統(tǒng)內(nèi)惟一的SID。而對(duì)于域賬戶則是由域安全授權(quán)機(jī)構(gòu)來(lái)產(chǎn)生SID。活動(dòng)目錄把域賬戶SID當(dāng)作該SID所標(biāo)識(shí)的用戶或組的一 個(gè)對(duì)象屬性來(lái)存儲(chǔ)，而域賬戶SID在域內(nèi)是唯一的。當(dāng)授予用戶、組、服務(wù)或者其它安全主體訪問(wèn)對(duì)象的權(quán)限時(shí)，操作系統(tǒng)會(huì)把安全標(biāo)識(shí)符和權(quán)限寫入對(duì)象的訪問(wèn)控制列表中。安全標(biāo)識(shí)是—串字符，例如：S-l-5-21-1534169462-1651380828-111620651-500。

鑒別是使用戶和標(biāo)識(shí)建立聯(lián)系的過(guò)程，Winclows本地登錄驗(yàn)證身份鑒別是通過(guò)安全通道將用戶鑒別信息與預(yù)先存儲(chǔ)的信息進(jìn)行對(duì)比的過(guò)程。Winclows本地用戶信息加密存儲(chǔ)在注冊(cè)表中，并且只有syslem賬戶才有權(quán)限進(jìn)行訪問(wèn)，而system作為系統(tǒng)內(nèi)置賬戶，不可從交互界面登記，因此確保了用戶信息不會(huì)被任何一個(gè)用戶賬號(hào)獲取。用戶對(duì)鑒別信息的操作，例如更改密碼等都通過(guò)一個(gè)以system權(quán)限運(yùn)行的服務(wù)“security Accounts Manager”來(lái)實(shí)現(xiàn)。而遠(yuǎn)程登錄則較為復(fù)雜，在Winclows發(fā)展中經(jīng)歷了SMB鑒別協(xié)議、LM鑒別機(jī)制、NTML 鑒別機(jī)制、Kerberos鑒別體系等階段。