Windows-操作系統(tǒng)基本體系結(jié)構(gòu)

　　Windows是使用最為廣泛的PC操作系統(tǒng)，其保護(hù)機(jī)制在很大程度上基于從Windows NT開始使用的訪問控制列表。當(dāng)前的Windows版本（Vista）是相當(dāng)復(fù)雜的，因此，回溯一下其先前版本是有益的。Windows NT（Windows v4）的保護(hù)機(jī)制與Unix非常類似，應(yīng)該是從中得到啟動(dòng)，這也遵循Microsoft的一貫哲學(xué)-“接收并擴(kuò)展。”
　　首先，Windows不僅具有讀、寫和執(zhí)行屬性，還有成為所有者（take ownership）、改變權(quán)限（change permissions）和刪除（delete）等單獨(dú)屬性，這意味著Windows支持更加靈活的授權(quán)行為。這些屬性既可用于組，也可以用于用戶，組權(quán)限與Unix系統(tǒng)中的suid程序具有相同的效果。與Unix中只是簡單的“開”與“關(guān)”相比，Windows中的屬性可以設(shè)置為更多的值：AccessDenied、AccessAllowed或System Audit，并按照這個(gè)優(yōu)先級(jí)進(jìn)行解析。如果相關(guān)用戶或組的ACL中看到Access Denied，就不用考慮是否出現(xiàn)了沖突的Access Allowed標(biāo)志。這種豐富的語法帶來的一個(gè)好處是可以更靈活地合理部署各種任務(wù)，以便一些日常配置任務(wù)（比如安裝打印機(jī)）的執(zhí)行不需要完全的管理員權(quán)限（盡管這種情況極少出現(xiàn)）。
　　其次，用戶和資源可以分配到不同管理員的域中，并且在域之間實(shí)行單向或者雙向的信任繼承。在一家典型的大公司中，你可以把所有用戶放到人力資源部門管轄的個(gè)人域中，而把服務(wù)器和打印機(jī)等資源放到部門控制的資源域中；個(gè)人工作站甚至可以由其用戶來管理。通過合理的權(quán)限安排可以達(dá)到以下一些目標(biāo)：部門的資源域信任用戶域，但是反之則不然-這樣腐敗或者粗心的部門管理員就不能在自己所屬域以外做壞事；個(gè)人工作站信任部門（但是反之則不然），這樣用戶可以在本地權(quán)限下執(zhí)行任務(wù)（安裝很多軟件包都需要這個(gè)權(quán)限）。管理員仍然擁有最高權(quán)限（所以無法創(chuàng)建真正抗干擾的審計(jì)跟蹤，除非使用一次性的寫存儲(chǔ)設(shè)備，或?qū)徲?jì)跟蹤寫入到其他人控制的機(jī)器中），但是通過合理的組織方式，他們能做出的損害是有限的。用來管理所有這些問題，并在用戶界面上隱藏ACL細(xì)節(jié)的數(shù)據(jù)結(jié)構(gòu)稱為注冊(cè)表（registry）。
　　在非常大規(guī)模的機(jī)構(gòu)中設(shè)計(jì)Windows安全體系結(jié)構(gòu)的問題包括：命名問題、主體數(shù)量（急?。┰黾訒r(shí)域擴(kuò)展的方式，還要限制其他域的用戶不能成為管理員（否則會(huì)在本地組合全局組之間產(chǎn)生復(fù)雜的交互）。
　　Windows有一個(gè)獨(dú)特之處，即everyone是個(gè)主體，而不是默認(rèn)的控制，因此remove everyone只意味著防止一個(gè)文件被所有人訪問。把everyone設(shè)置為no access，可以迅速將資源鎖定。這樣，很自然地涉及到了能力問題。