AccessAccessControlList(ACL)訪問掌握列表訪問掌握是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問掌握涉及的技術(shù)也比較廣，包括入網(wǎng)訪問掌握、網(wǎng)絡(luò)權(quán)限掌握、名目級掌握以及屬性控制等多種手段。訪問掌握列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告知路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于 源地址、目的地址、端口號等的特定指示條件來打算。訪問掌握列表從概念上來講并不簡單，簡單的是對它的 配置和使用，很多初學(xué)者往往在使用訪問掌握列表時消滅錯誤。下面是對幾種訪問掌握列表的簡要總結(jié)。IP訪問掌握列表一個標準IP訪問掌握列表匹配IP包中的源地址或源地址中的一局部，可對匹配的包實行拒絕或允許兩個操作。編號范圍是199的訪問掌握列表是標準IP訪問掌握列表。IP訪問掌握列表IP訪問掌握列表比標準IP訪問掌握列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100199的訪問掌握列表是擴展IP訪問掌握列表。命名的IP訪問掌握列表所謂命名的IP訪問掌握列表是以列表名代替列表編號來定IP語句與編號方式中相像。標準IPX訪問掌握列表標準IPX訪問掌握列表的編號范圍是800-899，它檢查IPX源網(wǎng)絡(luò)號和目的網(wǎng)絡(luò)號，同樣可以檢查源地址和目的地址的節(jié)點號局部。擴展IPX訪問掌握列表IPX訪問掌握列表在標準IPX訪問掌握列表的根底上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協(xié)議類型、源Socket、目標Socket。擴展IPX訪問掌握列表的編號范圍是900-999。命名的IPX訪問掌握列表與命名的IP訪問掌握列表一樣，命名的IPX訪問掌握列表是使用列表名取代列表編號。從而便利定義和引用列表，同樣有標準和擴展之分。AccessAccesstoken訪問令牌WhatAreAccessTokens?什么是訪問令牌？訪問令牌是一個被保護的對象，包含了與用戶帳戶相關(guān)的辨識和特權(quán)信息。當用戶登陸到一臺windows計算機，登陸進程會驗證用戶的登陸憑據(jù)。成功后，登陸進程返回一個SIDSIDLSA〔主訪問令牌〕。該訪問令牌包括了由登錄進程返回的SIDs和一份由本地安全策略分發(fā)給用戶以及用戶安全組的特權(quán)列表。此后，這份訪問令牌的拷貝會跟每個代表用戶執(zhí)行的線程和進程鏈接。2種訪問令牌，主要令牌和代表令牌。每個進程有一個主要令牌，其描述了與該進程相關(guān)的用戶帳戶的安全上下文。主要訪問令牌主要是安排給一個進程去表示改進程的默認安全信息。代表令牌通常C/S的情景。代表令牌使得一個線程可以執(zhí)行在與其所在進程不同的安全上下文中。SID以及帳戶的特權(quán)。用戶權(quán)利和訪問對象〔賜予給這些帳戶和組的ad對象，文件，注冊表設(shè)置〕的許可：Securityprincipals，SIDs，Securitydescriptorsandaccesscontrollists(ACLs).UserrightsandpermissionsRelationshipofAccessTokenstoOtherAuthorizationandAccessControlComponentssidsid。更具體的訪問令牌組件列表實例：User SIDGroupssid列表！PrivilegesAlistofprivilegesheldonthelocalcomputerbytheuserandbytheuser’ssecuritygroups.DefaultOwnerTheSIDfortheuserorsecuritygroupwho,bydefault,becomestheownerofanyobjectthattheusereithercreatesortakesownershipof.PrimaryGroupeDresyy.snsdyyePOSIXsubsystemandisignoredbytherestofWindowsServer2022.DefaultDiscretionaryAccessControlList(DACL)Abuilt-insetofpermissionsthattheoperatingsystemappliestoobjectscreatedbytheuserifnootheraccesscontrolinformationisavailable.ThedefaultDACLgrantsFullControltoCreatorOwnerandSystem.SourceTheprocessthatcausedtheaccesstokentobecreated,suchasSessionManager,LANManager,orRemoteProcedureCall(RPC)Server.TypeAvalueindicatingwhethertheaccesstokenisaprimaryorimpersonationtoken.ImpersonationLevelAvaluethatindicatestowhatextentaservicecanadoptthesecuritycontextofaclientrepresentedbythisaccesstoken.StatisticsInformationabouttheaccesstokenitself.Theoperatingsystemusesthisinformationinternally.RestrictingSIDsAnoptionallistofSIDsaddedtoanaccesstokenbyaprocesswithauthoritytocreatearestrictedtoken.RestrictingSIDscanlimitathread’saccesstollrntheuserisallowed.TSSessionIDAvaluethatindicateswhethertheaccesstokenisassociatedwiththeTerminalServicesclientsession.SessionReferenceReservedforinternaluse.SandBoxInertNonzeroifthetokenincludestheSANDBOX_INERTflag.AuditPolicySinceWindowsServer2022,usedforperuserauditing.OriginIntroducedwithWindowsServer2022.Ifthetokenresultedfromalogonusingexplicitcredentials,thenthetokenwillcontaintheIDofthelogonsessionthatcreatedit.Ifthetokenresultedfromnetworkauthentication,thenthisvaluewillbezero.CreatingtheSIDListforUserAccounttoAccessSystemTheMechanismforImpersonationAnaccesstokenisaprotectedobjectthatcontainsinformationabouttheidentityandprivilegesassociatedwithauseraccount.WhenauserlogsoninteractivelyortriestomakeanetworkconnectiontoacomputerrunningWindows,thelogonprocessauthenticatestheuser’slogoncredentials.Ifauthenticationissuccessful,thelogonprocessreturnsasecurityidentifier(SID)fortheuserandalistofSIDsfortheuser’ssecuritygroups.TheLocalSecurityAuthority(LSA)onthecomputerusesthisinformationtocreateanaccesstokninthiscase,theprimaryaccesstoken—thatincludestheSIDsreturnedbythelogonprocessaswellasalistofprivilegesassignedbylocalsecuritypolicytotheuserandtotheuserssecuritygroups.AfterLSAcreatestheprimaryaccesstoken,acopyoftheaccesstokenisattachedtoeveryprocessandthreadthatexecutesontheuser’sbehalheneverathreadorprocessinteractswithasecurableobjectortriestoperformasystemtaskthatrequiresprivileges,theoperatingsystemcheckstheaccesstokenassociatedwiththethreadtodeterminethelevelofauthorizationforthethread.Therearetwokindsofaccesstokens,primaryandimpersonation.Everyprocesshasaprimarytokenthatdescribesthesecuritycontextoftheuseraccountassociatedwiththeprocess.Aprimaryaccesstokenistypicallyassignedtoaprocesstorepresentthedefau