Windows安全与活动目录实用工具详解
1. 登录会话与UAC机制
在Windows系统中,系统和网络服务账户可使用计算机账户的凭据进行身份验证,其账户名显示为domain\computer$(若未加入域则为workgroup\computer$)。对于本地账户,登录服务器为计算机名;使用缓存凭据登录时,登录服务器字段可能为空。
在启用用户账户控制(UAC)的Windows Vista及更高版本系统中,当属于管理员组的用户进行交互式登录时,会创建两个登录会话。以MYDOMAIN\Abby为例,一个登录会话包含代表用户完整权限的令牌,另一个则包含过滤后的令牌,其中强大的组被禁用,强大的权限被移除。这就解释了为什么管理员提升权限时,非提升进程存在的驱动器号映射在提升后的进程中未定义。
2. SDelete工具介绍
Windows安全模型的一个基本策略是对象重用保护,即应用程序分配文件空间或虚拟内存时,无法查看该空间中先前存储的数据。Windows在将内存或磁盘扇区提供给应用程序之前,会将其清零。但在删除文件时,文件占用的空间不会被清零。因为Windows假定操作系统单独控制对系统资源的访问,但在操作系统未运行时,可使用原始磁盘编辑器和恢复工具查看和恢复操作系统已释放的数据。即使使用Windows的加密文件系统(EFS)加密文件,新的加密版本文件创建后,原始未加密的文件数据可能仍留在磁盘上,临时文件存储的空间也可能未加密。
SDelete(Secure Delete)是一款用于确保删除文件和EFS加密文件无法被恢复的安全删除应用程序。它通过
