(1)標識與鑒別

標識和鑒別是操作系統(tǒng)基礎(chǔ)的安全機制。操作系統(tǒng)利用標識來跟蹤用戶的操作，用戶一 旦完成了身份鑒別，就要對基于該標識的所有行為負責。關(guān)于標識與簽別機制的詳細內(nèi)容請參見本書第二章中“身份鑒別”的有關(guān)內(nèi)容。

◇Windows的身份標識與鑒別

Winclows的安全主體類型主要包括用戶賬戶、組賬戶、計算機和服務(wù)，使用安全標識符（Security Identifler，SID）在系統(tǒng)內(nèi)部進行標記。SID的創(chuàng)建者和作用范圍依賴于賬戶類型。

對于用戶賬戶，就由本地安全授權(quán)機構(gòu)(LSA)生成在該系統(tǒng)內(nèi)惟一的SID。而對于域賬戶則是由域安全授權(quán)機構(gòu)來產(chǎn)生SID。活動目錄把域賬戶SID當作該SID所標識的用戶或組的一 個對象屬性來存儲，而域賬戶SID在域內(nèi)是唯一的。當授予用戶、組、服務(wù)或者其它安全主體訪問對象的權(quán)限時，操作系統(tǒng)會把安全標識符和權(quán)限寫入對象的訪問控制列表中。安全標識是—串字符，例如：S-l-5-21-1534169462-1651380828-111620651-500。

鑒別是使用戶和標識建立聯(lián)系的過程，Winclows本地登錄驗證身份鑒別是通過安全通道將用戶鑒別信息與預(yù)先存儲的信息進行對比的過程。Winclows本地用戶信息加密存儲在注冊表中，并且只有syslem賬戶才有權(quán)限進行訪問，而system作為系統(tǒng)內(nèi)置賬戶，不可從交互界面登記，因此確保了用戶信息不會被任何一個用戶賬號獲取。用戶對鑒別信息的操作，例如更改密碼等都通過一個以system權(quán)限運行的服務(wù)“security Accounts Manager”來實現(xiàn)。而遠程登錄則較為復(fù)雜，在Winclows發(fā)展中經(jīng)歷了SMB鑒別協(xié)議、LM鑒別機制、NTML 鑒別機制、Kerberos鑒別體系等階段。