視窗技術之研討與管理簡介
DESCRIPTION
視窗技術之研討與管理簡介. 一窺視窗內部的技術奧秘. 曹祖聖 台灣微軟資深講師 [email protected]. 講師簡介 How am I ?. 姓名:曹祖聖 Jimy Cao 郵件:jimy c [email protected] 證照:MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT 現任: 台灣微軟資深講師 巨匠電腦講師 聖擎科技股份有限公司軟體總技術長 光明頂軟體股份有限公司研發顧問 行動智慧股份有限公司技術顧問 凌天科技有限公司技術顧問 專業電腦圖書作家 電腦雜誌專欄作家. - PowerPoint PPT PresentationTRANSCRIPT
視窗技術之研討與管理簡介視窗技術之研討與管理簡介視窗技術之研討與管理簡介視窗技術之研討與管理簡介
曹祖聖台灣微軟資深講師
曹祖聖台灣微軟資深講師
一窺視窗內部的技術奧秘一窺視窗內部的技術奧秘
22/67/67
講師簡介 How am I ?講師簡介 How am I ?
姓名:曹祖聖 姓名:曹祖聖 Jimy CaoJimy Cao
郵件:郵件: [email protected]@top-light.com.tw
證照:證照: MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT
現任:現任:台灣微軟資深講師台灣微軟資深講師巨匠電腦講師巨匠電腦講師聖擎科技股份有限公司軟體總技術長聖擎科技股份有限公司軟體總技術長光明頂軟體股份有限公司研發顧問光明頂軟體股份有限公司研發顧問行動智慧股份有限公司技術顧問行動智慧股份有限公司技術顧問凌天科技有限公司技術顧問凌天科技有限公司技術顧問專業電腦圖書作家專業電腦圖書作家電腦雜誌專欄作家電腦雜誌專欄作家
姓名:曹祖聖 姓名:曹祖聖 Jimy CaoJimy Cao
郵件:郵件: [email protected]@top-light.com.tw
證照:證照: MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT
現任:現任:台灣微軟資深講師台灣微軟資深講師巨匠電腦講師巨匠電腦講師聖擎科技股份有限公司軟體總技術長聖擎科技股份有限公司軟體總技術長光明頂軟體股份有限公司研發顧問光明頂軟體股份有限公司研發顧問行動智慧股份有限公司技術顧問行動智慧股份有限公司技術顧問凌天科技有限公司技術顧問凌天科技有限公司技術顧問專業電腦圖書作家專業電腦圖書作家電腦雜誌專欄作家電腦雜誌專欄作家
33/67/67
講師簡介 How am I ?講師簡介 How am I ?
經歷:經歷:一級棒資訊股份有限公司系統分析師、專案經理一級棒資訊股份有限公司系統分析師、專案經理華彩教育訓練中心、資策會教育訓練中心講師華彩教育訓練中心、資策會教育訓練中心講師巨匠電腦認證中心兼任講師、專任講師、顧問講師巨匠電腦認證中心兼任講師、專任講師、顧問講師微軟 微軟 TechEd 2000TechEd 2000 、、 20012001 、、 20022002 、、 2003 2003 研討會講師 研討會講師 (6 (6 場場 ))
微軟 微軟 PDC 2002 PDC 2002 研討會講師 研討會講師 (2 (2 場場 ))
微軟 微軟 Windows 2000 Windows 2000 實力札根研討會講師 實力札根研討會講師 (2 (2 場場 ))
微軟 微軟 DevCon DevCon 專業 專業 .NET .NET 開發技術研討會講師 開發技術研討會講師 (8 (8 場場 ))
微軟 微軟 Visual Studio .NET Visual Studio .NET 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))
微軟 微軟 Windows Server 2003 Windows Server 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))
微軟 微軟 Office 2003 Office 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))
微軟 微軟 2003 ISV Training2003 ISV Training 、、 Smart Client ISV Training Smart Client ISV Training 講師講師第一屆認證博覽會講師、巨匠精英展望會講師 第一屆認證博覽會講師、巨匠精英展望會講師 (( 全省巡迴 全省巡迴 3 3 場場 ))
東海、成功、淡江 東海、成功、淡江 … … 等大專院校資訊技能生涯規劃講座講師等大專院校資訊技能生涯規劃講座講師大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問
經歷:經歷:一級棒資訊股份有限公司系統分析師、專案經理一級棒資訊股份有限公司系統分析師、專案經理華彩教育訓練中心、資策會教育訓練中心講師華彩教育訓練中心、資策會教育訓練中心講師巨匠電腦認證中心兼任講師、專任講師、顧問講師巨匠電腦認證中心兼任講師、專任講師、顧問講師微軟 微軟 TechEd 2000TechEd 2000 、、 20012001 、、 20022002 、、 2003 2003 研討會講師 研討會講師 (6 (6 場場 ))
微軟 微軟 PDC 2002 PDC 2002 研討會講師 研討會講師 (2 (2 場場 ))
微軟 微軟 Windows 2000 Windows 2000 實力札根研討會講師 實力札根研討會講師 (2 (2 場場 ))
微軟 微軟 DevCon DevCon 專業 專業 .NET .NET 開發技術研討會講師 開發技術研討會講師 (8 (8 場場 ))
微軟 微軟 Visual Studio .NET Visual Studio .NET 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))
微軟 微軟 Windows Server 2003 Windows Server 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))
微軟 微軟 Office 2003 Office 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))
微軟 微軟 2003 ISV Training2003 ISV Training 、、 Smart Client ISV Training Smart Client ISV Training 講師講師第一屆認證博覽會講師、巨匠精英展望會講師 第一屆認證博覽會講師、巨匠精英展望會講師 (( 全省巡迴 全省巡迴 3 3 場場 ))
東海、成功、淡江 東海、成功、淡江 … … 等大專院校資訊技能生涯規劃講座講師等大專院校資訊技能生涯規劃講座講師大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問
44/67/67
大綱大綱 視窗平台介紹視窗平台介紹
– Windows XPWindows XP– Windows ServerWindows Server– Windows CEWindows CE
視窗作業系統的運作機制視窗作業系統的運作機制– 記憶體管理記憶體管理– 行程管理行程管理– 檔案系統介紹檔案系統介紹– 裝置驅動程式管理裝置驅動程式管理– 視窗安全機制視窗安全機制
其它關鍵程式技術介紹其它關鍵程式技術介紹– GDI+ GDI+ 視窗繪圖技術視窗繪圖技術– Smart DeviceSmart Device– DirectX DirectX 影像與多媒體技術影像與多媒體技術
視窗平台介紹視窗平台介紹– Windows XPWindows XP– Windows ServerWindows Server– Windows CEWindows CE
視窗作業系統的運作機制視窗作業系統的運作機制– 記憶體管理記憶體管理– 行程管理行程管理– 檔案系統介紹檔案系統介紹– 裝置驅動程式管理裝置驅動程式管理– 視窗安全機制視窗安全機制
其它關鍵程式技術介紹其它關鍵程式技術介紹– GDI+ GDI+ 視窗繪圖技術視窗繪圖技術– Smart DeviceSmart Device– DirectX DirectX 影像與多媒體技術影像與多媒體技術
99/67/67
Windows 2003 架構 ( 簡化版 )
Executive
DeviceDrivers
Hardware Abstraction Layer (HAL)
Kernel
User
Kernel
Win32User Apps
Subsystem DLL
System & ServiceProcesses
POSIXOS/2
Win32User/GDI
Environment Subsystems
1010/67/67
Windows 2003 架構 ( 完整版 )
Executive Services APII/O
SystemSecurityMonitor
Win32GDI
ObjectServices
MemoryMgmt
Processes/Threads
Exec.RTL
DeviceDrivers
Hardware Abstraction Layer (HAL)
Kernel
Object ManagementFileSystems
I/ODevices
DMA/BusControl
CacheControl
Clocks/Timers
PrivilegedArchitecture
InterruptDispatch
Registry
User
Kernel
SystemProcesses
Services User AppsEnvironmentSubsystems
Subsystem DLLInterface DLL
Session MgrWinLogon
ReplicatorAlerter
Event Log
Win32POSIXOS/2
1111/67/67
Executive Services APII/O
SystemSecurityMonitor
Processes/Threads
ObjectServices
MemoryMgmt
Win32GDI
Exec.RTL
DeviceDrivers
Hardware Abstraction Layer (HAL)
Kernel
Object ManagementFileSystems
I/ODevices
DMA/BusControl
CacheControl
Clocks/Timers
PrivilegedArchitecture
InterruptDispatch
Windows 2003 架構 ( 完整版 )
User
Kernel
SystemProcesses
Services User AppsEnvironmentSubsystems
Subsystem DLLInterface DLL
Session MgrWinLogon
ReplicatorAlerter
Event Log
Win32POSIXOS/2
NT
OS
KR
NL
.EX
EN
TO
SK
RN
L.E
XE
1212/67/67
Windows 2003 架構各部元件 #1
Windows 2003 Executive– 作業系統核心部份的最上層– 提供應用程式一般化的介面
• 行程與執行緒的建立與刪除• 記憶體管理• I/O• 行程間呼叫• 安全性
– 在核心模式下執行
1313/67/67
Windows 2003 架構各部元件 #2
Windows 2003 Kernel– 提供低階的作業系統功能
• 執行緒排程• 中斷與例外分配• 多處理器同步
HAL (Hardware Abstraction Layer)– 讓作業系統獨立於硬體平台
• 不同的主機版 ( 晶片組 ) 有不同的 HAL– 提供 I/O 的標準的介面
1414/67/67
Windows 2003 架構各部元件 #3
Device Drivers– I/O 管理員與相對應的週邊硬體之間的介面
• 檔案系統驅動程式、網路通訊協定驅動程式、硬體驅動程式– 驅動程式呼叫 HAL 的功能介面來控制硬體– 可以使用「電腦管理」來檢視所有安裝的驅動程式
Win32 User/GDI (Graphics Device Interface)– 負責實作圖形使用者介面 graphical user interface (GUI)– 視窗的繪製與管理、使用者的介面控制– 繪圖
1515/67/67
Windows 2003 的記憶體定址
Application
(User Process Space)
System
(Kernel, Executive, HAL)
0
2Gb
4Gb
Privileged Memory
Addresses
Unprivileged Memory
Addresses
1616/67/67
子系統元件 API DLLs
• For Win32: Kernel32.DLL, Gdi32.DLL, User32.DLL
Subsystem process• For Win32: CSRSS.EXE
Kernel-Mode GDI Code (Win32 only)
ExecutiveDeviceDrivers
Hardware Abstraction Layer (HAL)
Kernel
User
Kernel
Win32User AppsSubsystem DLL
System & ServiceProcesses
POSIXOS/2
Win32User/GDI
Environment Subsystems
1
2
3
1
2
3
1717/67/67
子系統元件所扮演的角色 API DLLs
– 提供該子系統的所有可供呼叫 API Subsystem process
– Maintains global state of subsystem Win32K.SYS
– 實作 Win32 User/GDI 功能– POSIX 與 OS/2 子系統也會使用這個子系統來做顯示處理
1818/67/67
Win32 子系統 CSRSS.EXE
– 支援主控制模式與視窗模式– 負責建立與刪除 Win32 行程與執行緒
WIN32K.SYS 包含– Window Manager
• 鍵盤、滑鼠輸入,螢幕輸出– Graphics Device Interface (GDI)
子系統中的 DLLs 將 Win32 API 對應到核心模式下的服務呼叫– USER32.DLL, KERNEL32.GDI -> NTOSKRNL
2424/67/67
影片 : Windows 檔案系統介紹 讓您了解各種檔案系統的差異
– 最大的分割大小– 每一單位儲存空間大小– 安全性支援– 資料壓縮支援
選擇– 依據磁碟大小來選擇最有效率的檔案系統
2525/67/67
FAT / FAT32
適用於小型的磁碟上 所有作業系統都支援 適合用在多重作業系統開機的環境下
Windows XP Professional
Windows 98
FAT/FAT32FAT/FAT32FAT/FAT32FAT/FAT32
2727/67/67
檔案系統轉換To: Windows XPTo: Windows XPTo: Windows XPTo: Windows XP
NTFS on Windows 2000
NTFS on Windows 2000
NTFS on Windows NT
NTFS on Windows NT
FATFAT
FATFAT
Conversion notConversion notnecessarynecessary
Conversion notConversion notnecessarynecessary
AutomaticAutomaticconversion duringconversion during
upgrade upgrade
AutomaticAutomaticconversion duringconversion during
upgrade upgrade
Use convert commandUse convert commandUse convert commandUse convert command
Noconversion
Noconversion
NTFS volumeNTFS volume
NTFS volumeNTFS volume
NTFS volumeNTFS volume
NTFS volumeNTFS volume
From:From:From:From:
2828/67/67
NTFS 檔案壓縮 NTFS 檔案與資料夾都有壓縮狀態 當檔案被存取時,會自動在背景進行解壓縮
磁碟空間計算是以未壓縮的大小來算 可以使用不同的顏色來辨別壓縮與否
NTFS partition
FileA
FileB
2929/67/67
壓縮功能的使用建議
決定那一種類型的檔案要壓縮決定那一種類型的檔案要壓縮
避免去壓縮系統或執行檔避免去壓縮系統或執行檔
壓縮固定的檔案,而不要壓縮經常修改的檔案壓縮固定的檔案,而不要壓縮經常修改的檔案
使用不同的顏色來指示壓縮的與否使用不同的顏色來指示壓縮的與否
3131/67/67
EFS 介紹 加密 /解密過程背景處理 已加密檔案只能由加密者存取 允許指定回復代理人 可以在本機與網路上進行 可以使用不同顏色來區分檔案加密與否
~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~
3232/67/67
檔案加密
首先要設定檔案的加密狀態
當檔案被儲存時,檔案會用一系列的加密金鑰進行加密
回復代理人的解密金鑰儲存在 Data Recovery Field (DRF)
~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~
DRFDRF
使用者的解密金鑰儲存在 Data Decryption Field (DDF)
~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~
DDFDDF
3434/67/67
檔案解密
使用解密檔案的金鑰解密檔案
使用使用者的私密金鑰來解開 DDF ,以便取得解密檔案的金鑰
EFS 自動偵測檔案的加密狀態,並且找到使用的私密金鑰
~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~
DDFDDF
~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~
3535/67/67
回復代理人
檔原始的加密者私密金鑰不存在時~~~~
~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~
回復代理人可以使用他的私密金鑰解開 DRF ,以便取得解密檔案的金鑰~~~~
~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~
3939/67/67
什麼是裝置 ? 裝置指的是連接到電腦上的設備 例如 : 顯示卡、印表機、網路卡、數據機 裝置可以分成以下兩大類 :
– Plug and Play 隨插即用型裝置• BIOS 與作業系統可以辨識出裝置並且自動調整裝置使用的資源與安裝適當的驅動程式
– Non-Plug and Play 非隨插即用型裝置• BIOS 與作業系統無法辨識出裝置
4040/67/67
什麼是裝置驅動程式 ? 裝置驅動程式 :
– 一個用來讓裝置和作業系統相互溝通的程式– 當作業系統啟動之後便會自動載入執行
在 Windows 作業系統可以正常使用裝置之前,必須要安裝正確的驅動程式
可以使用「裝置管理員」– 識別、安裝、更新裝置驅動程式– 還原到前一版本的驅動程式– 啟用、停用、移除裝置驅動程式
4141/67/67
什麼是裝置驅動程式的簽署 ? 數位簽章用來證明裝置驅動程式符合微軟一系列的測試,適合安裝在 Windows 上
使用已簽署的裝置驅動程式可以確保效能 與穩定性
Windows 提供以下機制與程式– Windows File Protection – System File Checker – File Signature Verification
4242/67/67
如何設定裝置驅動程式簽署 ?
Open SystemOpen System11
Select the check box in Administrator optionSelect the check box in Administrator option44
Click Driver SigningClick Driver Signing22
Select the appropriate driver signing option
Select the appropriate driver signing option
33
4343/67/67
什麼是裝置驅動程式回復 ? 當您安裝了有問題的裝置驅動程式 ,而造成系統異常時,可以將裝置驅動程式回復到上一個版本
但是不可以 : – 回復兩個以上的版本– 回復印表機驅動程式– 同時回復一個多功能裝置的驅動程式
4646/67/67
系統行程
(Idle) Process id 0Part of the loaded system imageHome for idle threadsAlso called “System Process” in many displays
(System) Process id 8Part of the loaded system imageHome for kernel-defined threadsThread 0 launches the first “real” process, by running smss.exe (Session Manager)
4747/67/67
系統啟動流程BIOS 載入 MBR 並執行, MBR 會尋找開機磁區BIOS 載入 MBR 並執行, MBR 會尋找開機磁區11
開機磁區載入並執行作業系統的第一個檔案 NTLDR開機磁區載入並執行作業系統的第一個檔案 NTLDR22
NTLDR 將系統切換到 32 位元保護模式NTLDR 將系統切換到 32 位元保護模式33
NTLDR 讀取 boot.ini 顯示開機選單NTLDR 讀取 boot.ini 顯示開機選單44
NTLDR 將系統切換回 16 位元真實模式,然後執行 ntdetect.com 偵測硬體
NTLDR 將系統切換回 16 位元真實模式,然後執行 ntdetect.com 偵測硬體
55
NTLDR 讀取 NTDETECT 偵測到的硬體資訊NTLDR 讀取 NTDETECT 偵測到的硬體資訊66
NTLDR 將系統切換到 32 位元保護模式NTLDR 將系統切換到 32 位元保護模式77
NTLDR 啟動 NTOSKRNL.EXENTLDR 啟動 NTOSKRNL.EXE88
4848/67/67
系統啟動流程
winlogon.exe 登入行程 : 啟動 services.exe & lsass.exe;顯示登入畫面,當使用者登入時,執行
userinit.exe
services.exe 服務控制器,負責啟動 /停止系統服務
lsass.exe Local Security Authentication (LSA) Server
userinit.exe 負責啟動 explorer.exe
explorer.exe 桌面環境
smss.exe Session Manager系統第一個建立的行程負責啟動 csrss.exe 與 winlogon.exe
csrss.exe Win32 子系統
5151/67/67
安全性角色 (Security Principals)– 包含:使用者、群組、服務、電腦– 這些物件都具有 SID
安全性識別碼 SID (Security IDentifier)– 用來唯一辨識物件– 絕對不會重複被使用
安全性描述元 (Security Descriptors)– 用來記錄物件的安全性資訊,包含:
• DACL• SACL
安全性角色 (Security Principals)– 包含:使用者、群組、服務、電腦– 這些物件都具有 SID
安全性識別碼 SID (Security IDentifier)– 用來唯一辨識物件– 絕對不會重複被使用
安全性描述元 (Security Descriptors)– 用來記錄物件的安全性資訊,包含:
• DACL• SACL
安全性元件安全性元件
5252/67/67
DACL– 用來記錄某一個物件,可
以被那些安全性角色所存取,以及存取的權限等級
SACL– 用來記錄某一個物件,所稽核 (Audit) 的對象 ( 安全性角色 ) ,以及所要稽核的動作
DACL– 用來記錄某一個物件,可
以被那些安全性角色所存取,以及存取的權限等級
SACL– 用來記錄某一個物件,所稽核 (Audit) 的對象 ( 安全性角色 ) ,以及所要稽核的動作
DACL 與 DACL Discretionary / System Access Control ListDACL 與 DACL Discretionary / System Access Control List
安全性描述元安全性描述元安全性描述元安全性描述元標頭標頭標頭標頭
擁有者 擁有者 SIDSID擁有者 擁有者 SIDSID
群組 群組 SIDSID群組 群組 SIDSID
DACLDACLDACLDACL
ACEsACEsACEsACEs
SACLSACLSACLSACL
ACEsACEsACEsACEs
5353/67/67
安全性描述元安全性描述元安全性描述元安全性描述元標頭標頭標頭標頭
擁有者 擁有者 SIDSID擁有者 擁有者 SIDSID
群組 群組 SIDSID群組 群組 SIDSID
SACLSACLSACLSACL
ACEsACEsACEsACEs
ACEAccess Control EntriesACEAccess Control Entries
DACLDACLDACLDACL
ACEsACEsACEsACEs
DACL DACL 資料結構資料結構DACL DACL 資料結構資料結構
ACE ACE 標頭標頭ACE ACE 標頭標頭
存取遮罩存取遮罩存取遮罩存取遮罩
使用者使用者 SIDSID使用者使用者 SIDSID 群組群組 SIDSID群組群組 SIDSID
對此物件禁止存取對此物件禁止存取對此物件禁止存取對此物件禁止存取
對此物件允許存取對此物件允許存取對此物件允許存取對此物件允許存取
對某一屬性或子物件禁止存取對某一屬性或子物件禁止存取對某一屬性或子物件禁止存取對某一屬性或子物件禁止存取
對某一屬性或子物件允許存取對某一屬性或子物件允許存取對某一屬性或子物件允許存取對某一屬性或子物件允許存取
5555/67/67
DACLDACLDACLDACL
父物件上的權限設定,預設會繼承給子物件,因此可以減少設定權限的次數
如果子物件上另外設定的權限 (ACE) ,與繼承自父物件的權限衝突,以子物件上的權限設定為主
父物件上的權限設定,預設會繼承給子物件,因此可以減少設定權限的次數
如果子物件上另外設定的權限 (ACE) ,與繼承自父物件的權限衝突,以子物件上的權限設定為主
ACL 的繼承關係Inheritance of ACLACL 的繼承關係Inheritance of ACL
使用者使用者存取物件存取物件使用者使用者存取物件存取物件
DACLDACLDACLDACL
User1User1 Read / WriteRead / Write
Group1Group1 ReadRead
父物件父物件父物件父物件
子物件子物件User1User1 Deny ReadDeny Read
Group1Group1 WriteWrite
User1User1 Read / WriteRead / Write
Group1Group1 ReadRead
User1User1 WriteWrite
Group1Group1 Read / WriteRead / Write
權限繼承權限繼承
5757/67/67
使用者登入使用者登入帳號 帳號 / / 密碼 密碼 / / 網域網域使用者登入使用者登入帳號 帳號 / / 密碼 密碼 / / 網域網域11
Local Security Local Security Subsystem Subsystem 向 向 DC DC 申請申請使用者的 使用者的 Session Session TicketTicket
Local Security Local Security Subsystem Subsystem 向 向 DC DC 申請申請使用者的 使用者的 Session Session TicketTicket
22
Local Security Local Security Subsystem Subsystem 再向 再向 DC DC 申申請 請 Workstation TicketWorkstation Ticket
Local Security Local Security Subsystem Subsystem 再向 再向 DC DC 申申請 請 Workstation TicketWorkstation Ticket
33
11
使用者登入處理程序使用者登入處理程序
Kerberos Kerberos ServiceService
Kerberos Kerberos ServiceService
Domain ControllerDomain Controller
GC GC ServerServer
GC GC ServerServer
TicketTicketTicketTicket22
TicketTicketTicketTicket33
TicketTicketTicketTicket 44
Access Access TokenToken
Access Access TokenToken
66
Local Local SecuritySecurity
SubsystemSubsystem
Local Local SecuritySecurity
SubsystemSubsystem
建 立 建 立 Access TokenAccess Token
建 立 建 立 Access TokenAccess Token
55
DC DC 上的 上的 Kerberos Kerberos Service Service 將將 Workstation Ticket Workstation Ticket 傳回傳回給用戶端給用戶端
DC DC 上的 上的 Kerberos Kerberos Service Service 將將 Workstation Ticket Workstation Ticket 傳回傳回給用戶端給用戶端
44
Local Security Local Security Subsystem Subsystem 產生出 產生出 Access TokenAccess Token
Local Security Local Security Subsystem Subsystem 產生出 產生出 Access TokenAccess Token
55
使用者使用 使用者使用 Access Access Token Token 來產生後續的 來產生後續的 ProcessProcess
使用者使用 使用者使用 Access Access Token Token 來產生後續的 來產生後續的 ProcessProcess
66
5858/67/67
Access Tokens
AccessAccessTokenToken
AccessAccessTokenToken
Security ID: Security ID: S-1-5-21-146...S-1-5-21-146...
Group IDs: Group IDs: EmployeesEmployeesEVERYONEEVERYONESalesSales
User Rights: User Rights: SetChangeNotifyPrivilegeSetChangeNotifyPrivilege - (attributes) 3- (attributes) 3 SetSecurityPrivilege SetSecurityPrivilege - (attributes) 0- (attributes) 0
Security ID: Security ID: S-1-5-21-146...S-1-5-21-146...
Group IDs: Group IDs: EmployeesEmployeesEVERYONEEVERYONESalesSales
User Rights: User Rights: SetChangeNotifyPrivilegeSetChangeNotifyPrivilege - (attributes) 3- (attributes) 3 SetSecurityPrivilege SetSecurityPrivilege - (attributes) 0- (attributes) 0
Access Token 上包含– 使用者帳號的 SID– 使用者所屬群組的 SID– 使用者所擁有的權力 (Right)
Access Token 上包含– 使用者帳號的 SID– 使用者所屬群組的 SID– 使用者所擁有的權力 (Right)
5959/67/67
DomainDomain
OU1OU1
OU2OU2
存取物件存取物件
11
物件權限的檢查程序物件權限的檢查程序
Security SubsystemSecurity SubsystemSecurity SubsystemSecurity Subsystem
DACLDACLDACLDACL
User1User1 Read / WriteRead / Write
Group1Group1 ReadRead
允許存取允許存取
55應用程式應用程式傳送傳送存取要求存取要求
22
檢查物件 檢查物件 ACL ACL 中的中的每一個 每一個 ACEsACEs
看看是否有符合的 看看是否有符合的 SIDSID
33
找到符合的 找到符合的 ACEACE ,繼,繼續找一下個續找一下個
44
6060/67/67
Secondary Logon ProcessSecondary Logon ProcessSecondary Logon ProcessSecondary Logon Process
6262/67/67
GDI+ 包含三個部份– 2D 向量繪圖 (2D vector graphics)– 圖片 (imaging)– 印刷格式 (Typography)
新特色– Gradient Brushes (漸層 )– Cardinal Splines (曲線 )– Path ( 路徑 )– Transformations and Matrix (矩陣變換 )– Scalable Regions ( 繪圖區 )– Alpha Blending (Alpha 混色 )– Antialiasing (線條柔和化 )
GDI+