㈠ 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1)自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(ACL)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。
3)基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(Access Contro1 Matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(Access Control List,ACL)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(Capabilities List)是以用戶為中心建立訪問許可權表。與ACL相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將SSO分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展,「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具,可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現對這些應用的SSO服務。
2)Web單點登入
由於Web技術體系架構便捷,對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案。
3)傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。
㈡ NTFS文件系統中有哪些訪問許可控制
NTFS 許可權級別如下所示:
完全控制:用戶可以對文件執行任何操作,其中包括接管該文件。建議僅給管理員授予此訪問級別。
修改:用戶可以查看和修改文件和文件屬性,包括在目錄中刪除和添加文件,或刪除和添加文件的屬性。用戶不能接管文件或更改文件的許可權。
讀取和運行:用戶可以運行可執行文件(包括腳本)。
列出文件夾目錄:用戶可以查看文件夾內容的列表。
讀取:用戶可以查看文件和文件屬性。
寫入:用戶可以將內容寫入文件。
要點 如果沒有給 IUSR_computername 帳戶指派某個資源的「讀取和運行」許可權,就會導致拒絕匿名用戶訪問該資源。在向訪問控制列表 (ACL) 添加用戶或組時指派的默認許可權為「讀取和運行」、「列出文件夾目錄」和「讀取」。
以下是設置 NTFS 許可權時的最佳操作列表:
將許可權指派給組而不是用戶。由於直接維持用戶帳戶效率不高,因此最好不要將許可權直接指派給用戶。
如果可能,避免更改文件系統對象的默認許可權,尤其是系統文件夾和根文件夾。更改默認許可權可能會出現意外的訪問問題或者降低安全性。
從不拒絕 Everyone 組訪問某個對象的許可權。如果拒絕 Everyone 訪問某個對象的許可權,則管理員也不能訪問該對象。更好的解決方案是刪除 Everyone 組,只要給其他用戶、組或計算機授予訪問該對象的許可權即可。也可能需要給 Administrators 組和 LocalSystem 授予「完全控制」。
如果對象具有顯式允許許可權,則繼承的拒絕許可權並不禁止訪問該對象。顯式許可權優於繼承的許可權,其中包括繼承的拒絕許可權。
拒絕許可權僅應用於以下特殊情形:
要從具有「允許」許可權的組中排除部分成員。
在給用戶或組授予「完全控制」後要排除一個特殊的許可權。
在配置網站的 NTFS 許可權時要小心謹慎。許可權設置不恰當可能拒絕有效用戶訪問需要的文件和目錄。例如,即使用戶有查看和執行程序的正確許可權,但用戶可能沒有訪問運行此程序所需的特定動態鏈接庫 (DLL) 的許可權。要保證用戶可以安全和不間斷地訪問文件,可將相關文件放在同一目錄,並指派合適的 NTFS 許可權。
㈢ 關於NTFS文件系統中.ACL,和ACE是指什麼.
ACL:訪問控制列表
ACE:訪問控制條目
㈣ 如何在Linux下設置訪問控制列表(ACL)來控制用戶的許可權
Linux下的訪問控制列表(ACL)主要用來控制用戶的許可權,可以做到不同用戶對同一文件有不同的許可權,那麼具體要如何操作呢?下面小編就教你如何在Linux下設置訪問控制列表(ACL)來控制用戶的許可權。
使用擁有許可權控制的Liunx,工作是一件輕松的任務。它可以定義任何user,group和other的許可權。無論是在桌面電腦或者不會有很多用戶的虛擬Linux實例,或者當用戶不願意分享他們之間的文件時,這樣的工作是很棒的。然而,如果你是在一個大型組織,你運行了NFS或者Samba服務給不同的用戶,然後你將會需要靈活的挑選並設置很多復雜的配置和許可權去滿足你的組織不同的需求。
Linux(和其他Unix等POSIX兼容的操作系統)有一種被稱為訪問控制列表(ACL)的許可權控制方法,它是一種許可權分配之外的普遍範式。例如,默認情況下你需要確認3個許可權組:owner、group和other。而使用ACL,你可以增加許可權給其他用戶或組別,而不單只是簡單的「other」或者是擁有者不存在的組別。可以允許指定的用戶A、B、C擁有寫許可權而不再是讓他們整個組擁有寫許可權。
ACL支持多種Linux文件系統,包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不確定你的文件系統是否支持ACL,請參考文檔。
在文件系統使ACL生效
首先,我們需要安裝工具來管理ACL。
Ubuntu/Debian 中:
$ sudo apt-get install acl
CentOS/Fedora/RHEL 中:
# yum -y install acl
Archlinux 中:
# pacman -S acl
出於演示目的,我將使用ubuntu server版本,其他版本類似。
安裝ACL完成後,需要激活我們磁碟分區的ACL功能,這樣我們才能使用它。
首先,我們檢查ACL功能是否已經開啟。
$ mount
你可以注意到,我的root分區中ACL屬性已經開啟。萬一你沒有開啟,你需要編輯/etc/fstab文件,在你需要開啟ACL的分區的選項前增加acl標記。
現在我們需要重新掛載分區(我喜歡完全重啟,因為我不想丟失數據),如果你對其它分區開啟ACL,你必須也重新掛載它。
$ sudo mount / -o remount
乾的不錯!現在我們已經在我們的系統中開啟ACL,讓我們開始和它一起工作。
ACL 範例
基礎ACL通過兩條命令管理:setfacl用於增加或者修改ACL,getfacl用於顯示分配完的ACL。讓我們來做一些測試。
我創建一個目錄/shared給一個假設的用戶,名叫freeuser
$ ls -lh /
我想要分享這個目錄給其他兩個用戶test和test2,一個擁有完整許可權,另一個只有讀許可權。
首先,為用戶test設置ACL:
$ sudo setfacl -m u:test:rwx /shared
現在用戶test可以隨意創建文件夾,文件和訪問在/shared目錄下的任何地方。
現在我們增加只讀許可權給用戶test2:
$ sudo setfacl -m u:test2:rx /shared
注意test2讀取目錄需要執行(x)許可權
讓我來解釋下setfacl命令格式:
-m 表示修改ACL。你可以增加新的,或修改存在的ACLu: 表示用戶。你可以使用 g 來設置組許可權test 用戶名:rwx 需要設置的許可權。
現在讓我向你展示如何讀取ACL:
$ ls -lh /shared
你可以注意到,正常許可權後多一個+標記。這表示ACL已經設置成功。要具體看一下ACL,我們需要運行:
$ sudo getfacl /shared
最後,如果你需要移除ACL:
$ sudo setfacl -x u:test /shared
如果你想要立即擦除所有ACL條目:
$ sudo setfacl -b /shared
最後,在設置了ACL文件或目錄工作時,cp和mv命令會改變這些設置。在cp的情況下,需要添加「p」參數來復制ACL設置。如果這不可行,它將會展示一個警告。mv默認移動ACL設置,如果這也不可行,它也會向您展示一個警告。
總結
使用ACL讓在你想要分享的文件上擁有更多的能力和控制,特別是在NFS/Samba服務。此外,如果你的主管共享主機,這個工具是必備的。
上面就是Linux下設置訪問控制列表來控制用戶許可權的方法介紹了,因為ACL的配置和使用較為復雜,初學者在使用的時候容易出現錯誤,希望本文介紹的方法能夠幫助到你。
㈤ NTFS是什麼意思
NTFS是Windows
NT以及之後的Windows
2000、Windows
XP、Windows
Server
2003、Windows
Server
2008、Windows
Vista和Windows
7的標准
文件系統
。NTFS取代了文件分配表(FAT)文件系統,為
Microsoft
的Windows系列
操作系統
提供文件系統。NTFS對FAT和HPFS(高性能文件系統)作了若干改進,例如,支持
元數據
,並且使用了
高級數據結構
,以便於改善性能、可靠性和
磁碟空間
利用率,並提供了若干附加擴展功能,如訪問控制列表(ACL)和文件系統日誌。該文件系統的詳細定義屬於商業秘密
,但
Microsoft
已經將其注冊為
知識產權產品。
NTFS的特點
支持大小
·NTFS可以支持的分區(如果採用
動態磁碟
則稱為卷)大小可以達到2TB。而Win
2000中的FAT32支持分區的大小最大為32GB。
可靠的文件系統
·NTFS是一個可恢復的文件系統。在
NTFS分區
上用戶很少需要運行
磁碟
修復
程序
。NTFS通過使用標準的事務處理日誌和恢復技術來保證分區的一致性。發生系統失敗事件時,NTFS使用
日誌文件
和檢查點信息自動恢復文件系統的一致性。
支持
文件夾
壓縮
·NTFS支持對分區、文件夾和文件的壓縮。任何基於Windows的
應用程序
對NTFS分區上的
壓縮文件
進行讀寫時不需要事先由其他程序進行解壓縮,當對文件進行讀取時,文件將自動進行解壓縮;文件關閉或保存時會自動對文件進行壓縮。
㈥ 移動硬碟格式化文件系統選哪種格式好
移動硬碟選擇NTFS格式比較好,支持的單個文件大
㈦ 格式化移動磁碟時每一個選項的作用 例如文件系統:NTFS FAT(默認) FAT32 exFAT
一、NTFS
NTFS是Windows NT以及之後的Windows 2000、Windows XP、Windows Server 2003、Windows Server2008、Windows Vista和Windows 7的標准文件系統。NTFS取代了文件分配表(FAT)文件系統,為Microsoft的Windows系列操作系統提供文件系統。NTFS對FAT和HPFS(高性能文件系統)作了若干改進,例如,支持元數據,並且使用了高級數據結構,以便於改善性能、可靠性和磁碟空間利用率,並提供了若干附加擴展功能,如訪問控制列表(ACL)和文件系統日誌。該文件系統的詳細定義屬於商業秘密 ,但 Microsoft 已經將其注冊為 知識產權產品。
二、FAT
FAT是文件配置表(英語:File Allocation Table,首字母縮略字:FAT),是一種由微軟發明並擁有部分專利的文件系統,供MS-DOS使用,也是所有非NT核心的微軟窗口使用的文件系統。
FAT文件系統考慮當時電腦性能有限,所以未被復雜化,因此幾乎所有個人電腦的操作系統都支持。這特性使它成為理想的軟盤和存儲卡文件系統,也適合用作不同操作系統中的數據交流。現在,一般所講的FAT專指FAT32。
三、FAT32
FAT32是Windows系統硬碟分區格式的一種。這種格式採用32位的文件分配表,使其對磁碟的管理能力大大增強,突破了FAT16對每一個分區的容量只有2 GB的限制。由於現在的硬碟生產成本下降,其容量越來越大,運用FAT32的分區格式後,我們可以將一個大硬碟定義成一個分區而不必分為幾個分區使用,大大方便了對磁碟的管理。但由於FAT32分區內無法存放大於4GB的單個文件,且性能不佳,易產生磁碟碎片。目前已被性能更優異的NTFS分區格式所取代。
四、exFAT
exFAT是Microsoft在Windows Embeded 5.0以上(包括Windows CE 5.0、6.0、Windows Mobile5、6、6.1)中引入的一種適合於快閃記憶體的文件系統,為了解決FAT32等不支持4G及其更大的文件而推出。對於快閃記憶體,NTFS文件系統不適合使用,exFAT更為適用。
㈧ acl是什麼意思
訪問控製表(Access Control List),又稱存取控制串列,是使用以訪問控制矩陣為基礎的訪問控製表,每一個(文件系統內的)對象對應一個串列主體。
訪問控製表由訪問控制條目(access control entries,ACE)組成。訪問控製表描述用戶或系統進程對每個對象的訪問控制許可權。訪問控製表的主要缺點是不可以有效迅速地枚舉一個對象的訪問許可權。因此,要確定一個對象的所有訪問許可權需要搜索整個訪問控製表來找出相對應的訪問許可權。
訪問控制列表具有許多作用:
1、如限制網路流量、提高網路性能;
2、通信流量的控制,例如ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網段的通信流量;
3、提供網路安全訪問的基本手段;
4、在路由器埠處決定哪種類型的通信流量被轉發或被阻塞,例如,用戶可以允許E-mail通信流量被路由,拒絕所有的 Telnet通信流量等;
5、訪問控制列表從概念上來講並不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。
與 RBAC 比較
ACL 模型的主要替代方案是基於角色的訪問控制(RBAC) 模型。「最小 RBAC 模型」RBACm可以與 ACL 機制ACLg進行比較,其中僅允許組作為 ACL 中的條目。Barkley (1997)表明RBACm和ACLg是等效的。
在現代 SQL 實現中,ACL 還管理組層次結構中的組和繼承。因此,「現代 ACL」可以表達 RBAC 表達的所有內容,並且在根據管理員查看組織的方式表達訪問控制策略的能力方面非常強大(與「舊 ACL」相比)。
㈨ 重裝系統顯示:獲取硬碟信息失敗,請謹慎操作
一般出現這種情況,可能的原因有兩個,一個是硬碟本身存在故障,另一個是硬碟模式有點問題。
排查:
1、如果遇到獲取硬碟分區失敗的情況,咱們可以先回到pe系統界面,打開「資源管理器」,看看能否正常顯示盤符情況。
如果根本不能正常顯示盤符情況,那麼就可能是硬碟本身存在問題,咱們可以直接換個硬碟試試。
如果可以正常顯示盤符,那麼就點進去看看,若是可以正常打開依舊瀏覽裡面的文件,那麼就可能是硬碟模式存在問題。
硬碟模式問題:
1、重新啟動電腦,在開機頁面出現的時候按下bios熱鍵,直到能夠成功進入到bios設置的操作界面。
這里注意一下,不同品牌、型號、主板電腦的bios熱鍵都不太一樣,要事先上網查詢一下。
2、進入bios設置界面之後,可用鍵盤上的上下左右方向鍵進行移動或者切換,滑鼠是無法操作的。
3、切換到security,將secure boot的enabled更改為disable。
4、再切換到boot菜單,將boot mode修改一下,換為legacy first、legacy support或者auto其中一個即可。
5、找到launch csm,並將其改為enabled。
6、切換到exit菜單,在下面找到boot os(os optimized defaults),將other os改為disabled即可。
7、完成上述修改後按下F10保存即可,然後在出現的彈窗中選擇Yes,最後退出即可。
如果以上模式修改的方法還是不行的話,建議換個pe重裝系統。在這里小編建議大家可以在「小白系統官網」用小白重裝工具製作u盤啟動盤進pe重裝系統。