Windows7绿茶系统安全标识符如何参与到保证系统安全的工作去呢?账户已经创建好了,而且相应的SID、配置文件,以及权限都设置好那么在使用Windows的过程屮,它们是如何参与到保证系统安全的工作中的?
在登彔的时候,如果用户输入的用户名和密码通过了SAM数据库或者域控制器的验证,那么Windows会自动为该用户生成一个安全访问令牌(SecurityAccessToken),其中包含了这个用户的用户名和SID等信息,同时还包含该账户所在用户组的信息(这些内容被统称为安全配置文件)。访问令牌可以看做是一张电子通行证,里面记录了用于访问对象、执行程序,以及修改系统设置所需的安全验证信息。
访间令牌是可以传递的,例如,如果一个用户在登录后试图运行某个程序,那么这个程序就会获得该用户的访问令牌。
简而言之,用户运行的程序将具有和用户本身同样的特权。例如,对于管理员用户,他登录后就具有管理员权限的访问令牌,而该用户运行的程序也将具有管理员权限,对系统具有完整的控制权。
假设该用户从电子邮件中收到了一个带有病毒的附件,这个病毐会恶意修改系统设置,如果运行该附件,那么这个附件也将存宵理员权限,因此,完全可以实现修改系统设置的目的;但如果该用户是标准/受限账户,没有修改这个系统设置的权限,那么该用户运行感染病毒的附件后,病毒虽然可以运行,但因为缺少权限,则无法修改系统设置,这也就直接阻止了病毒的破坏。
因此,长久以来,很多安全类的书籍或者文章都会建议大家在Windows中创建一个管理员账户,并创建一个标准账户,这样平时可以使用标准账户登录,只有在需要维护系统,或者进行其他需要管理员权限才可以进行的操作时才使用管理员账户登录。
在Windows7中,因为有了全新的用户账户控制功能,该功能可以限制用户的权限,从而进一步保证了系统的安全。
……