(1)標識與鑒別

標識和鑒別是操作系統基礎的安全機制。操作系統利用標識來跟蹤用戶的操作，用戶一 旦完成了身份鑒別，就要對基于該標識的所有行為負責。關于標識與簽別機制的詳細內容請參見本書第二章中“身份鑒別”的有關內容。

◇Windows的身份標識與鑒別

Winclows的安全主體類型主要包括用戶賬戶、組賬戶、計算機和服務，使用安全標識符（Security Identifler，SID）在系統內部進行標記。SID的創建者和作用范圍依賴于賬戶類型。

對于用戶賬戶，就由本地安全授權機構(LSA)生成在該系統內惟一的SID。而對于域賬戶則是由域安全授權機構來產生SID。活動目錄把域賬戶SID當作該SID所標識的用戶或組的一 個對象屬性來存儲，而域賬戶SID在域內是唯一的。當授予用戶、組、服務或者其它安全主體訪問對象的權限時，操作系統會把安全標識符和權限寫入對象的訪問控制列表中。安全標識是—串字符，例如：S-l-5-21-1534169462-1651380828-111620651-500。

鑒別是使用戶和標識建立聯系的過程，Winclows本地登錄驗證身份鑒別是通過安全通道將用戶鑒別信息與預先存儲的信息進行對比的過程。Winclows本地用戶信息加密存儲在注冊表中，并且只有syslem賬戶才有權限進行訪問，而system作為系統內置賬戶，不可從交互界面登記，因此確保了用戶信息不會被任何一個用戶賬號獲取。用戶對鑒別信息的操作，例如更改密碼等都通過一個以system權限運行的服務“security Accounts Manager”來實現。而遠程登錄則較為復雜，在Winclows發展中經歷了SMB鑒別協議、LM鑒別機制、NTML 鑒別機制、Kerberos鑒別體系等階段。