2.1 Windows操作系统的安全机制

Windows操作系统的发展

  自1985年Windows操作系统问世以来,其版本随着计算机硬件和软件发展不断升级,架构从16位、32位到64位,桌面操作系统版本从最初的Windows 1.0到大家熟知的Windows 95、Windows 98直至现在的Windows 10,服务器操作系统版本从Windows NT 3.1、Windows NT 4.0直至现在的Windows Server 2016,操作系统内核版本从1.x、2.x直至Windows 10和Windows Server 2016的10.x,其功能在持续更新过程中不断完善。

本章涉及操作系统版本说明

  考虑到Windows操作系统的版本众多,且不同版本之间的功能和操作方式的差异较大。为突出重点,并便于读者理解和开展实验操作,本章主要针对Windows内核进行介绍。所涉及的操作,均在Windows 7和Windows Server 2012环境下进行

2.1.1 Windows操作系统的层次结构

  微软在开发Window服务器操作系统(Windows NT 3.1)之初,便将其定义为能够在用户级实现自主访问控制、提供审计访问对象机制的C2级操作系统

1、操作系统的设计类型

1

2、Windows服务器操作系统的结构

Windows服务器操作系统是层次结构和客户机/服务器结构的混合体
2

(1)、执行者

执行者是运行在内核模式(Kernel Mode)中的部分,它由3层组成
3

(2)、被保护的服务

  也称为被保护的子系统或服务器,提供了应用程序编程接口(Application Programming Interface, API),以具有一定特权的进程形式在用户模式下执行。当应用调用API时,调用者通过局部过程调用(Local Procedure Call, LPC)发送请求信息给对应的服务器,服务器在接收到该请求信息后发送消息应答给调用者。
4

(3)、微内核对象和执行者对象

  在Windows服务器操作系统中,所有的软件和硬件资源都是用对象表示的,如文件、信号量、计时器、线程、进程、内存等.具体可以分为微内核对象和执行者对象两种类型
01.微内核对象(内核对象)

  • 由微内核产生的、对用户不可见的最基本的对象.
  • 输出给执行者的相关应用,提供只有内核最低层才能完成的基本功能。

I、派遣对象(dispatcher object)
  控制调试和同步,它有一个信号状态,允许线程挂起对象的执行,直到信号状态改变.
  主要有事件(Event)、互斥体(Mutant) 、事件对(EventPair)、信号量(Semaphore)、计时器(Timer)、线程(Thread)、进程(Process)等
II、控制对象(control object)
  由执行者和设备驱动控制的不可等待的、没有信号状态的对象.
  主要有中断、设备队列、配置文件(Profiles)、异步过程调用(APCs)、延迟过程调用(DPCs)。

02.执行者对象

  • 大多数执行者对象用于封装一个或多个微内核对象,它在用户模式下可见
  • 执行者为Win32等服务提供一系列的对象,通常服务直接为客户机程序提供执行者对象
  • 服务可以为客户机应用基于一个或多个简单对象构造一个新的对象

2.1.2 Windows服务器的安全模型

  安全是操作系统的核心,Windows操作系统将安全作为系统设计和功能实现的基础,安全模型是实现各类安全功能的基本框架
01、Windows服务器安全模型组成
  在Windows服务器中,安全模型由本地安全认证、安全账户管理器、安全参考监视器、注册、访问控制、对象安全服务等功能模块构成,这些功能模块之间相互作用,共同实现系统的安全功能
5

2.1.2 Windows服务器的安全模型

02、用户账户管理
6
03、用户模式和内核模式
7