(2)訪問控制

訪問控制技術是計算機安全領域一項傳統的技術，其基本任務是防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。操作系統的訪問控制是操作系統安全控制保護中重要的一環，在身份識別的基礎上，根據身份對提出的資源訪問請求加以控制。

在訪問控制中，對其訪問必須進行控制的資源稱為客體；必須控制其對客體的訪問的活動資源稱為主體。主體即訪問的發起者，通常為進程、程序或用戶。客體包括各種資源，如文件、設備、信號量等。訪問控制中第三個元素是保護規則，它定義了主體與客體可臺旨的相互作用途徑。

訪問控制的目的是為了限制訪問主體對訪問客體的訪問權限，從而使計算機系統在合法范圍內使用。它決定用戶能做什么，也決定代表一定用戶身份的進程禽黽做什么，其中主體是某個用戶，也可以是用戶啟動的進程和服務。

目前常用的訪問機制模型有三種，即自主訪問控制、強制訪問控制和基于角色的訪問控制。

Windows的訪問控制

Winclows使用訪問控制列表(ACL)來描述允許的訪問權限信息。ACL可由管理員或對

象所有者管理。例如管理員可以給其它用戶修改或者訪問對象的權限，也可以收回用戶不再需要的權限。Windows里對每一安全對象保持一份ACL。ACL是對象安全描述符中的基本組成部分，它包括有權訪問對象的用戶和組的SID。如下圖所示：

　　注：Windows系統的ACL存儲在NTFS文件系統的流中，因此必須使用NTFS文件系統才能提供AC己功能。