專利名稱:集成訪問授權(quán)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全����,尤其涉及控制對計(jì)算機(jī)系統(tǒng)上資源的訪問。
背景技術(shù):
隨著對計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的依賴性的增加�����,以及對計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的攻擊頻率和復(fù)雜度的增加���,計(jì)算機(jī)安全的主題在本行業(yè)中變得越來越突出�。當(dāng)前的計(jì)算機(jī)安全技術(shù)不足以保護(hù)應(yīng)用程序和操作系統(tǒng)免遭例如病毒�、蠕蟲和特洛伊木馬等惡意軟件(“malware”)的破壞,這些惡意軟件是特別設(shè)計(jì)成破壞或擾亂計(jì)算機(jī)系統(tǒng)�����,以及其它不良動(dòng)作��。
現(xiàn)有的訪問控制安全模型通常都依賴于用戶的證書來授權(quán)對計(jì)算機(jī)上資源的訪問�����。在這些模型中,具有相同證書運(yùn)行或執(zhí)行的每個(gè)進(jìn)程都被給予相同的訪問權(quán)限����,而不管該進(jìn)程是否需要訪問用戶可用的所有資源。此外�,需要訪問資源(例如讀、寫等)的進(jìn)程�,在訪問資源時(shí)指定所需訪問。
例如�,用戶通過用戶帳戶登錄到個(gè)人計(jì)算機(jī)上,并期望能夠訪問存儲在該個(gè)人計(jì)算機(jī)上并使用特定的字處理程序創(chuàng)建的所有字處理文檔�。為了滿足該期望,常規(guī)的訪問控制安全系統(tǒng)準(zhǔn)許在用戶的上下文許可中運(yùn)行的所有程序訪問所有前述字處理文檔�。然而,這是過度級別許可的準(zhǔn)許��,因?yàn)閷?shí)際上除字處理程序之外很少有在用戶的上下文許可中運(yùn)行的程序會需要訪問任一字處理文檔�����。
通常�,惡意軟件利用代碼缺陷來感染進(jìn)程�。一旦惡意軟件在受害進(jìn)程中運(yùn)行���,它就繼承進(jìn)程在其中運(yùn)行的用戶上下文的訪問權(quán)限,并得以訪問用戶可用的所有資源�,這可比原始進(jìn)程所需的多得多。
因此�����,一種改進(jìn)并增強(qiáng)計(jì)算機(jī)上資源的安全性的訪問授權(quán)的集成方法將具有重大的效用��。
圖1是示出實(shí)用程序在其上執(zhí)行的至少部分計(jì)算機(jī)系統(tǒng)中所包含的選定組件的框圖�����。
圖2是示出根據(jù)某些實(shí)施例的實(shí)用程序的選定組件的框圖���。
圖3示出根據(jù)某些實(shí)施例適于由實(shí)用程序使用的示例策略��。
圖4示出根據(jù)某些實(shí)施例實(shí)用程序執(zhí)行對拒絕訪問請求的審核的方法的流程圖����。
圖5示出根據(jù)某些實(shí)施例實(shí)用程序執(zhí)行對固有危險(xiǎn)操作的審核的方法的流程圖�����。
圖6示出根據(jù)某些實(shí)施例實(shí)用程序執(zhí)行學(xué)習(xí)以便于策略微調(diào)的方法的流程圖。
圖7示出根據(jù)某些實(shí)施例實(shí)用程序提供分層的訪問控制檢查的方法的流程圖����。
圖8示出根據(jù)某些實(shí)施例實(shí)用程序確定應(yīng)用程序的安全風(fēng)險(xiǎn)級別的方法的流程圖。
圖9示出根據(jù)一實(shí)施例實(shí)用程序在檢測到異常之后施加更嚴(yán)格策略的方法的流程圖��。
圖10示出根據(jù)一實(shí)施例實(shí)用程序在檢測到異常之后施加策略的方法的流程圖�����。
具體實(shí)施例方式
描述了用于防止計(jì)算機(jī)系統(tǒng)受到有害影響的軟件實(shí)用程序(“實(shí)用程序”)�,這些有害影響會從對計(jì)算機(jī)系統(tǒng)上應(yīng)用程序和操作系統(tǒng)程序的利用中產(chǎn)生。在某些實(shí)施例中�����,實(shí)用程序被實(shí)現(xiàn)為操作系統(tǒng)的整體部分�,并將邏輯驅(qū)動(dòng)的訪問控制層加在操作系統(tǒng)上。例如��,實(shí)用程序以對操作系統(tǒng)訪問控制機(jī)制所必需的方式來實(shí)現(xiàn)��。
該實(shí)用程序可提供一授權(quán)模塊�,該授權(quán)模塊接收對各種安全敏感資源訪問的授權(quán)查詢,并基于集中式策略返回允許或拒絕資源訪問的決定���。策略是確定如何比如通過網(wǎng)絡(luò)���、文件系統(tǒng)、應(yīng)用程序等來管理并保護(hù)資源的一系列規(guī)則和實(shí)踐���。在集中式策略庫中�,策略中的各規(guī)則可集中放置��,這使得各規(guī)則和/或策略可集中取消并集中設(shè)置��。這與分布式或每對象訪問控制模型相反����,通常使用綁定到物理對象的訪問控制列表來實(shí)現(xiàn)。
授權(quán)模塊可通過各個(gè)操作系統(tǒng)組件直接查詢��,這些組件對由用戶模式程序���,例如在用戶上下文中執(zhí)行的應(yīng)用程序發(fā)出的資源訪問請求提供服務(wù)�����?�;蛘?,授權(quán)模塊可通過位于這些操作系統(tǒng)組件之上的“攔截層”來查詢。該攔截層是攔截由用戶模式程序用于訪問資源的系統(tǒng)調(diào)用函數(shù)���,并將“包裝”應(yīng)用于所攔截的系統(tǒng)調(diào)用函數(shù)的代碼�����。該授權(quán)模塊基于當(dāng)事者的身份以及應(yīng)用于該當(dāng)事者的策略來作出其訪問控制決定(即允許或拒絕)����,當(dāng)事者的身份可以是嘗試進(jìn)行資源訪問的應(yīng)用程序-例如應(yīng)用程序進(jìn)程-的身份����,或應(yīng)用程序身份和應(yīng)用程序代表其來執(zhí)行的用戶身份的組合。
在某些實(shí)施例中��,實(shí)用程序提供一審核特征。例如,策略可指示特定動(dòng)作為審核的主題���,不管允許(例如批準(zhǔn))還是拒絕(例如阻攔)授權(quán)���,從而將條目加入審核日志��。該條目可包括對失敗規(guī)則��、資源或?qū)ο?,以及原理的指示�����。對于某些操作�,諸如固有危險(xiǎn)操作,該條目可包括對規(guī)則(不管是允許或拒絕該規(guī)則)��、資源或?qū)ο?��,以及?dāng)事者的指示�。實(shí)用程序還可基于審核觸發(fā)各事件���。例如����,實(shí)用程序可被配置成向當(dāng)事者(例如應(yīng)用程序和/或用戶)或其它感興趣方提供對失敗規(guī)則或固有危險(xiǎn)操作的通知或指示�����。
在某些實(shí)施例中,實(shí)用程序提供一學(xué)習(xí)模式特征��,其中應(yīng)用程序?qū)σ?guī)則進(jìn)行測試或報(bào)告�����。例如����,策略中的規(guī)則可指定對執(zhí)行動(dòng)作的授權(quán)的請求被拒絕。如果學(xué)習(xí)模式被例如策略的創(chuàng)作者激活用于規(guī)則���,則實(shí)用程序不拒絕對執(zhí)行動(dòng)作的請求授權(quán)�,而允許或批準(zhǔn)對執(zhí)行該動(dòng)作的授權(quán)����,并生成表示對執(zhí)行該動(dòng)作的授權(quán)的請求將被拒絕的事件。實(shí)用程序可生成一報(bào)告��,它指示例如本該拒絕的規(guī)則����、在請求該動(dòng)作之前應(yīng)用程序的狀態(tài)等��。學(xué)習(xí)模式特征便于微調(diào)策略�。例如�,策略的創(chuàng)作者可分析該報(bào)告并確定策略或策略中的規(guī)則是否需要更具限制性或限制性較小。
在某些實(shí)施例中�����,實(shí)用程序作為分層訪問控制檢查的一部分執(zhí)行��。在此�����,實(shí)用程序執(zhí)行其策略檢查作為一系列訪問控制檢查的一部分�。例如��,當(dāng)作出資源請求時(shí)���,常規(guī)訪問控制機(jī)制開始時(shí)可被調(diào)用以確定對所請求資源是否授權(quán)�����。在常規(guī)訪問控制機(jī)制開始確定有所請求資源的授權(quán)之后���,實(shí)用程序可被調(diào)用以檢查其策略以確定對所請求資源是否有授權(quán)�。隨后����,可另外調(diào)用一個(gè)或多個(gè)其它訪問控制檢查,以最終確定對所請求資源是否有授權(quán)�����。
參照附圖的圖1-10�,實(shí)用程序的各個(gè)實(shí)施例及其優(yōu)點(diǎn)可得到最佳的理解。附圖的元件并不必然成比例���,而是著重于清晰地說明本發(fā)明的各個(gè)原理�����。貫穿各個(gè)附圖����,相似標(biāo)號用于各個(gè)附圖的相似和相應(yīng)組件��。
圖1是示出通常實(shí)用程序在其上執(zhí)行的至少部分計(jì)算機(jī)系統(tǒng)中所包含的選定組件的框圖���。這些計(jì)算機(jī)系統(tǒng)100可包括用于執(zhí)行計(jì)算機(jī)程序的一個(gè)或多個(gè)中央處理單元(“CPU”)102���、用于存儲使用中的程序和數(shù)據(jù)(包括數(shù)據(jù)結(jié)構(gòu))的計(jì)算機(jī)存儲器104�����、用于持久存儲程序和數(shù)據(jù)的諸如硬盤的持久存儲裝置106�����、用于讀取存儲在計(jì)算機(jī)可讀介質(zhì)上的程序和數(shù)據(jù)的諸如CD-ROM驅(qū)動(dòng)器的計(jì)算機(jī)可讀介質(zhì)驅(qū)動(dòng)器108��,以及用于諸如通過因特網(wǎng)連接計(jì)算機(jī)系統(tǒng)和其它計(jì)算機(jī)系統(tǒng),以交換程序和/或數(shù)據(jù)(包括數(shù)據(jù)結(jié)構(gòu))的網(wǎng)絡(luò)連接110���。
實(shí)用程序可在由計(jì)算機(jī)系統(tǒng)100或其它裝置執(zhí)行的諸如程序模塊的計(jì)算機(jī)可讀指令的一般環(huán)境中描述�����。一般而言�����,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程���、程序���、對象、組件���、數(shù)據(jù)結(jié)構(gòu)等�。存儲器104和持久存儲裝置106是可包含實(shí)現(xiàn)實(shí)用程序的指令的計(jì)算機(jī)可讀介質(zhì)�����?����?梢岳斫?��,存儲器104和持久存儲器106可具有除實(shí)現(xiàn)實(shí)用程序的指令外的各種其它內(nèi)容�。
可以理解�����,計(jì)算機(jī)系統(tǒng)100可包括用于顯示程序輸出的一個(gè)或多個(gè)顯示裝置�,諸如視頻顯示器或LCD面板���,以及用于接收用戶輸入的一個(gè)或多個(gè)輸入裝置,諸如鍵盤��、話筒�����,或諸如鼠標(biāo)的定位裝置�。盡管如上配置的計(jì)算機(jī)系統(tǒng)100通常用于支持實(shí)用程序的操作,可以理解�����,實(shí)用程序可使用各種類型和配置的并具有各種組件的裝置來實(shí)現(xiàn)�。
圖2是根據(jù)某些實(shí)施例示出實(shí)用程序的選定組件的框圖。如圖2中所示��,實(shí)用程序包括授權(quán)模塊202�,它被實(shí)現(xiàn)為適于在計(jì)算機(jī)系統(tǒng)100上執(zhí)行的操作系統(tǒng)204的整體組件�����。授權(quán)模塊202通常用作對高風(fēng)險(xiǎn)進(jìn)程的保護(hù)添加層��,這些高風(fēng)險(xiǎn)進(jìn)程諸如面向網(wǎng)絡(luò)的應(yīng)用程序、面向網(wǎng)絡(luò)的服務(wù)和操作系統(tǒng)組件��、處理不受信任內(nèi)容的應(yīng)用程序�,以及例如通常通過因特網(wǎng)傳送的代碼的不受信任代碼。授權(quán)模塊202提供用于執(zhí)行對計(jì)算機(jī)系統(tǒng)100上可用資源的策略驅(qū)動(dòng)的訪問控制的邏輯���。
實(shí)用程序還包括策略206��,授權(quán)模塊202可通過各策略作出其訪問控制決定��。策略206是確定允許或拒絕對訪問資源的授權(quán)的請求的規(guī)則�。在某些實(shí)施例中����,策略206被編譯成由操作系統(tǒng)204尤其是授權(quán)模塊202實(shí)施的運(yùn)行時(shí)(例如二進(jìn)制)規(guī)則。在某些實(shí)施例中�,策略206被實(shí)現(xiàn)為集中式策略存儲器的一部分,該集中式策略存儲器使得策略206(包括策略206中的規(guī)則)可由例如用戶和/或管理員集中取消并設(shè)置�。
授權(quán)模塊202可由各個(gè)操作系統(tǒng)內(nèi)核組件208查詢,這些組件對由例如當(dāng)事者212a的當(dāng)事者發(fā)出的資源訪問請求提供服務(wù)����。授權(quán)模塊202還可由攔截層210查詢,該攔截層210攔截由例如當(dāng)事者212b的當(dāng)事者發(fā)出的要訪問資源的系統(tǒng)調(diào)用函數(shù)。攔截層210對所攔截的系統(tǒng)調(diào)用函數(shù)應(yīng)用包裝����,使得授權(quán)模塊202能夠?qū)蓱?yīng)用的策略206執(zhí)行訪問控制檢查。例如���,應(yīng)用包裝可包括確定當(dāng)事者的身份和/或與計(jì)算系統(tǒng)100相關(guān)聯(lián)的各個(gè)環(huán)境因子����,并向授權(quán)模塊202提供該信息作為對執(zhí)行系統(tǒng)調(diào)用的授權(quán)請求的一部分����,以使授權(quán)模塊202能執(zhí)行訪問控制檢查。此外����,授權(quán)模塊202可由例如當(dāng)事者212c的當(dāng)事者直接查詢。
在某些實(shí)施例中���,由授權(quán)模塊202執(zhí)行的訪問控制檢查是作出資源訪問請求的當(dāng)事者和應(yīng)用于該當(dāng)事者的策略的作用�����。這樣,授權(quán)模塊202基于當(dāng)事者的身份-調(diào)用應(yīng)用程序的身份,或者調(diào)用應(yīng)用程序的身份和執(zhí)行應(yīng)用程序的用戶的身份-以及可應(yīng)用于當(dāng)事者的策略中的規(guī)則來作出其訪問控制決定(即允許或拒絕)�����。在某些實(shí)施例中�,授權(quán)模塊202還可考慮各個(gè)參數(shù),諸如���,作為示例����,請求訪問的類型����、環(huán)境因子-例如公司網(wǎng)絡(luò)內(nèi)或與公用網(wǎng)絡(luò)相連并在其上執(zhí)行應(yīng)用程序的計(jì)算機(jī)-以及當(dāng)事者的身份、可應(yīng)用于作出其訪問控制決定的當(dāng)事者的策略中的規(guī)則���。
在某些實(shí)施例中�����,實(shí)用程序可包括可任選的異常檢測模塊214����,如圖2中虛線或“短劃”線所示。異常檢測模塊214通常用來監(jiān)視計(jì)算機(jī)系統(tǒng)100和在計(jì)算機(jī)系統(tǒng)100上執(zhí)行的程序的行為����,以便檢測異常狀態(tài)。在某些實(shí)施例中����,異常檢測模塊214在檢測到異常之后向?qū)嵱贸绦蛱峁┑谝粋€(gè)通知,在檢測到先前檢測到的異常的停止之后提供第二個(gè)通知��。這使得實(shí)用程序能在檢測到異常后激活策略206的實(shí)施直到該異常結(jié)束后才不再實(shí)施策略206���?����;蛘?,實(shí)用程序開始時(shí)可施加限制較少的策略集���,而在檢測到異常時(shí)施加更具限制性的策略集���,直到異常結(jié)束時(shí)再次施加限制較少的策略集。異常檢測模塊214可在計(jì)算機(jī)系統(tǒng)100上執(zhí)行的單個(gè)進(jìn)程中��,或在計(jì)算機(jī)系統(tǒng)100上執(zhí)行的一組進(jìn)程中,或整個(gè)計(jì)算機(jī)系統(tǒng)100中檢測異常�����。
實(shí)用程序的前述各方面僅是說明性的�����,且并非旨在對所示組件和/或?qū)嵱贸绦虻氖褂梅秶蚬δ茏鞒鋈魏蜗拗?����。例如���,在某些?shí)施例中,授權(quán)模塊202無需實(shí)現(xiàn)為操作系統(tǒng)204的一部分或集成在其中���,但可獨(dú)立于操作系統(tǒng)204或在其外實(shí)現(xiàn)����,例如作為非操作系統(tǒng)程序?qū)崿F(xiàn)����。此外�,在某些實(shí)施例中��,策略206無需被實(shí)現(xiàn)為集中式策略存儲器或作為其部分���。因而�����,策略206無需集中于一個(gè)地方�����,而可使用例如分布式模型來實(shí)現(xiàn)��。此外��,即使策略206如所述作授權(quán)模塊202的一部分或包含在其中���,策略206仍然僅需對授權(quán)模塊202可訪問。
在以下討論中����,實(shí)用程序的各個(gè)實(shí)施例將結(jié)合各個(gè)說明性示例來描述?�?梢岳斫猓瑢?shí)用程序的各個(gè)實(shí)施例可用于與各方面中這些示例有很大不同的情形中��。
圖3示出根據(jù)某些實(shí)施例適用于實(shí)用程序的示例策略��。該示例策略包括要保護(hù)web服務(wù)器應(yīng)用程序的規(guī)則���。作為示例,請求資源的應(yīng)用程序進(jìn)程(如項(xiàng)302所示)被檢查�,以確定它是否是WebServerX web服務(wù)器進(jìn)程,如項(xiàng)304所示��。如果授權(quán)模塊202確定請求應(yīng)用程序進(jìn)程是WebServerX web服務(wù)器進(jìn)程����,則授權(quán)模塊202基于包括在策略中的各項(xiàng)規(guī)則允許或拒絕對請求資源的授權(quán)。
如圖所示�,示例策略包含對WebServerX進(jìn)程批準(zhǔn)的特權(quán)或訪問權(quán)限,且缺省是拒絕對所請求資源的授權(quán)��,如規(guī)則306所示���,除非指定了特權(quán)或訪問權(quán)限�。換言之��,除在策略中明確準(zhǔn)許了所請求資源之外,對請求資源的授權(quán)會被拒絕���。在某些實(shí)施例中�����,該策略可包含指定訪問限制的規(guī)則����,例如指定要拒絕的對執(zhí)行特定動(dòng)作的授權(quán)或拒絕對訪問資源的授權(quán)的規(guī)則�����,或?qū)е聦徍?例如記錄一事件)的規(guī)則��。
示例策略中的第一個(gè)規(guī)則是對允許WebServerX進(jìn)程寫如項(xiàng)308所示的“$html”文件����、如項(xiàng)310所示的“$WebDirectories”的指示?����!?html”是例如*.html���、*.gif等的文件類型集合的表示�。“$WebDirectories”是配置成web目錄���,并可由不同于諸如安全管理員的策略創(chuàng)建者的諸如web管理員的管理員定義的目錄集合的表示��。例如��,響應(yīng)于請求將由參數(shù)“$html”定義的文件類型寫到由“$WebDirectories”定義的目錄之一的WebServerX進(jìn)程,授權(quán)模塊202基于該規(guī)則返回一允許決定(即準(zhǔn)許授權(quán))����。因而,策略中的規(guī)則可應(yīng)用于動(dòng)態(tài)的獨(dú)立定義的對象組���,諸如“$WebDirectories”�����,以及動(dòng)態(tài)地可配置的環(huán)境參數(shù)�����,諸如“$html”�����。
在示例策略中的第二個(gè)規(guī)則是這樣的一個(gè)指示���,如果WebServerX進(jìn)程代表用戶A執(zhí)行(如項(xiàng)314所示)����,則允許WebServerX進(jìn)程寫入“$FTP上載目錄”(如項(xiàng)312所示)���。例如�,響應(yīng)于代表用戶A執(zhí)行的請求寫入“$FTP上載目錄”的WebServerX進(jìn)程����,授權(quán)模塊202返回一允許決定(即授權(quán)的許可)。
示例策略中的第三個(gè)規(guī)則是對允許輸入http通信的指示����,如項(xiàng)316所示。例如�,響應(yīng)于請求接收輸入http數(shù)據(jù)(例如接收在網(wǎng)絡(luò)連接上傳送的http數(shù)據(jù)信息包)的WebServerX進(jìn)程,授權(quán)模塊202基于該規(guī)則返回一允許決定(即授權(quán)的許可)���。
示例策略中的第四個(gè)規(guī)則是這樣的一個(gè)指示���,如果啟用變量“$FTP”(如項(xiàng)320所示)�,則允許“FTP通信”(如項(xiàng)318所示)��。在此���,“$FTP”是變量�����,并可由不同于創(chuàng)建該策略的安全管理員的管理員來設(shè)置��。例如,授權(quán)模塊202執(zhí)行運(yùn)行時(shí)檢查以確定變量“$FTP”是否啟用���,如果啟用了�,則響應(yīng)于請求收發(fā)由參數(shù)“FTP通信”定義的數(shù)據(jù)的WebServerX進(jìn)程��,授權(quán)模塊202基于該規(guī)則返回一允許決定(即授權(quán)的許可)�。或者��,如果“$FTP”未啟用,則授權(quán)模塊202將響應(yīng)于前述訪問請求(如項(xiàng)306所示)而返回拒絕決定(即授權(quán)的拒絕)�。
可以理解,策略可包括定義操作系統(tǒng)內(nèi)外對象的特權(quán)����,諸如以上示例特權(quán)所示的應(yīng)用程序進(jìn)程。策略中的各個(gè)規(guī)則可使用一豐富模式(Schema)指定����,該模式類似于使用編譯或解釋編程語言來編寫代碼。例如���,該模式可支持包括條件和臨時(shí)條件����,例如“只有如果Y才允許X”����,對可動(dòng)態(tài)配置的環(huán)境參數(shù)和變量的依賴性,對規(guī)則中的環(huán)境因素等的依賴性����。此外,參數(shù)的使用便于創(chuàng)建應(yīng)用于當(dāng)前和將來的對象的規(guī)則�����。例如,特定類型文檔可由參數(shù)表示���,且使用該參數(shù)可創(chuàng)建指定施加于現(xiàn)存或后來創(chuàng)建的該特定類型的所有文檔的限制的規(guī)則����。在某些實(shí)施例中�����,策略可例如通過彈出對話框來指定某些決定要提交給終端用戶來作出���。
圖4示出根據(jù)某些實(shí)施例實(shí)用程序執(zhí)行對拒絕訪問請求的審核的方法400的流程圖����。作為示例��,用戶(例如UserABC)已登錄到計(jì)算機(jī)上����,啟動(dòng)了字處理應(yīng)用程序(例如WPApp)��,并請求打開存儲在計(jì)算機(jī)上目錄(例如YZDir)中的文件(例如FileX)。結(jié)果���,WPApp發(fā)出對訪問存儲在目錄YZDir中資源FileX的請求��。從啟動(dòng)步驟開始���,在步驟402授權(quán)模塊202接收授權(quán)查詢,例如對授權(quán)訪問存儲在YZDir中的FileX的請求�。
在步驟404,授權(quán)模塊202標(biāo)識請求對訪問存儲在YZDir中FileX的授權(quán)的主體��。在以上示例中��,當(dāng)事者可以是WPApp或WPApp和UserABC的組合��。在步驟406���,授權(quán)模塊202例如從集中式策略存儲器中標(biāo)識可應(yīng)用于已標(biāo)識當(dāng)事者的策略�����,諸如策略206�,并基于當(dāng)事者的身份和可應(yīng)用策略執(zhí)行訪問控制檢查���。在步驟408�,授權(quán)模塊202確定在步驟406中執(zhí)行的訪問控制檢查的結(jié)果是否是拒絕訪問。繼續(xù)以上示例��,授權(quán)模塊202分析已標(biāo)識的可應(yīng)用策略���,以在步驟408確定策略中的規(guī)則或特權(quán)是否授權(quán)當(dāng)事者訪問存儲在YZDir中的FileX���。
如果授權(quán)模塊202確定可應(yīng)用策略授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作,則在步驟420授權(quán)模塊202返回一允許決定���,它是對當(dāng)事者被授權(quán)執(zhí)行所請求動(dòng)作的指示�,并繼續(xù)到結(jié)束步驟��?���;蛘撸绻跈?quán)模塊202確定可應(yīng)用策略未授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作�����,則在步驟410授權(quán)模塊202返回一拒絕決定�,它是對當(dāng)事者未被授權(quán)執(zhí)行所請求動(dòng)作的指示。在步驟412���,授權(quán)模塊202可向當(dāng)事者返回一出錯(cuò)字符串��,通知當(dāng)事者缺乏執(zhí)行所請求動(dòng)作的授權(quán)�����。
在步驟414�,授權(quán)模塊202進(jìn)行檢查以確定是否啟用了審核��。與可應(yīng)用策略或規(guī)則相關(guān)聯(lián)的標(biāo)記或記錄可指示是否要執(zhí)行審核�����。如果未啟用審核����,則授權(quán)模塊202繼續(xù)到結(jié)束步驟?���;蛘撸绻麊⒂昧藢徍?,則授權(quán)模塊202在步驟416在審核日志中記入一條目����。該條目可標(biāo)識被拒絕的請求����、失敗規(guī)則、當(dāng)事者����,和/或已請求資源。
在步驟418��,授權(quán)模塊202可基于被拒絕請求的審核觸發(fā)一個(gè)或多個(gè)事件���。例如�,授權(quán)模塊202可通過例如電子郵件����、語音郵件、文本消息等向安全管理員提供當(dāng)事者嘗試執(zhí)行未經(jīng)授權(quán)動(dòng)作的一指示����,在當(dāng)事者嘗試執(zhí)行未經(jīng)授權(quán)動(dòng)作之后終止應(yīng)用進(jìn)程,在當(dāng)事者嘗試執(zhí)行未經(jīng)授權(quán)動(dòng)作之后施加更嚴(yán)格的策略集等。在觸發(fā)各事件之后�,授權(quán)模塊202繼續(xù)到結(jié)束步驟。
本領(lǐng)域技術(shù)人員會理解�����,對于在此揭示的這些和其它過程及方法�,在過程和方法中執(zhí)行的功能可按不同順序?qū)崿F(xiàn)��。此外����,所示步驟僅是示例性的,且一些步驟是可任選的�����,可與較少步驟組合�����,或可擴(kuò)展成其它步驟�,而不偏離本發(fā)明的本質(zhì)。
圖5示出根據(jù)某些實(shí)施例實(shí)用程序執(zhí)行固有危險(xiǎn)操作的審核的方法500的流程圖�。作為示例,用戶(例如UserABC)已登錄到計(jì)算機(jī)上,啟動(dòng)了web瀏覽器程序(例如WebBrowser)�,并請求訪問未受信任的網(wǎng)站上(例如WebSiteY)的網(wǎng)頁(例如PageX)。結(jié)果����,WebBrowser發(fā)出對從WebSiteY檢索PageX的請求。步驟502-508基本上與方法400的步驟402-408相似�����。
如果在步驟508�,授權(quán)模塊202確定可應(yīng)用策略未授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作,則在步驟510授權(quán)模塊202返回一拒絕決定���,它是對當(dāng)事者未被授權(quán)執(zhí)行所請求動(dòng)作的指示��。在以上示例中��,WebBrowser不具有訪問未受信任網(wǎng)站W(wǎng)ebSiteY的授權(quán)���。在步驟512,授權(quán)模塊202可向當(dāng)事者返回一出錯(cuò)字符串���,通知當(dāng)事者缺乏執(zhí)行所請求動(dòng)作的授權(quán)���。在返回出錯(cuò)字符串之后���,授權(quán)模塊繼續(xù)到結(jié)束步驟。
或者�,如果授權(quán)模塊202確定可應(yīng)用策略授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作,則在步驟514授權(quán)模塊202返回一允許決定���,它是對當(dāng)事者被授權(quán)執(zhí)行所請求動(dòng)作的指示。在步驟516����,授權(quán)模塊202進(jìn)行檢查以確定已授權(quán)動(dòng)作是否是固有的危險(xiǎn)操作。例如����,實(shí)用程序可維護(hù)一個(gè)固有危險(xiǎn)操作的列表,且授權(quán)模塊202可檢查該列表以確定已授權(quán)動(dòng)作是否被列為固有危險(xiǎn)操作�����。
如果發(fā)現(xiàn)已授權(quán)動(dòng)作是固有的危險(xiǎn)操作��,則在步驟518���,授權(quán)模塊202執(zhí)行審核操作����。例如,授權(quán)模塊202可在固有危險(xiǎn)操作的審核日志中記入指示對執(zhí)行固有危險(xiǎn)操作的請求和授權(quán)的一條目���。該條目還可包括對請求對執(zhí)行固有危險(xiǎn)操作的授權(quán)的當(dāng)事者的指示�����。授權(quán)模塊202還可執(zhí)行其它動(dòng)作�,這些動(dòng)作可通過執(zhí)行固有危險(xiǎn)操作的授權(quán)來觸發(fā)����。在步驟518執(zhí)行審核操作之后,或在步驟516確定已授權(quán)動(dòng)作不是固有危險(xiǎn)操作�,授權(quán)模塊202繼續(xù)到結(jié)束步驟。
在某些實(shí)施例中�����,授權(quán)模塊202可在固有危險(xiǎn)操作的審核日志中記入指示對執(zhí)行固有危險(xiǎn)操作的授權(quán)請求的一條目��。繼續(xù)上述示例�����,假設(shè)訪問未受信任網(wǎng)站W(wǎng)ebSiteY被示為固有的危險(xiǎn)操作,且此外可應(yīng)用策略未準(zhǔn)許WebBrowser訪問WebSiteY的授權(quán)�,則授權(quán)模塊202返回拒絕決定(步驟510),并在例如固有危險(xiǎn)操作審核日志中記錄對執(zhí)行固有危險(xiǎn)操作的授權(quán)的請求和隨后的授權(quán)否定��。授權(quán)模塊202還可記錄請求對執(zhí)行固有危險(xiǎn)操作的授權(quán)的當(dāng)事者的指示�����。
圖6示出根據(jù)某些實(shí)施例實(shí)用程序執(zhí)行學(xué)習(xí)以便于策略微調(diào)的方法600的流程圖��。作為示例���,用戶(例如UserABC)已登錄到計(jì)算機(jī)上,啟動(dòng)了web瀏覽器程序(例如WebBrowser)����,并請求訪問網(wǎng)站上(例如WebSiteY)的網(wǎng)頁(例如PageX)。結(jié)果�����,WebBrowser發(fā)出對從WebSiteY檢索PageX的請求�。步驟602-608基本上與方法400的步驟402-408相似��。
如果在步驟608�����,授權(quán)模塊202確定可應(yīng)用策略授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作����,則在步驟610授權(quán)模塊202返回一允許決定���,它是對當(dāng)事者被授權(quán)執(zhí)行所請求動(dòng)作的指示�,并繼續(xù)到結(jié)束步驟�����?��;蛘?�,如果授權(quán)模塊202確定可應(yīng)用策略未授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作��,則在步驟612授權(quán)模塊202檢查以確定�,是否啟用了對拒絕執(zhí)行所請求動(dòng)作的授權(quán)的策略中規(guī)則的學(xué)習(xí)����。繼續(xù)如上示例�,可應(yīng)用于WebBrowser的策略可包含明確拒絕WebBrower訪問因特網(wǎng)的規(guī)則���,因而WebSiteY還可提供對應(yīng)用學(xué)習(xí)而不應(yīng)用該規(guī)則的指示�����。
如果授權(quán)模塊202確定未啟用對拒絕執(zhí)行所請求動(dòng)作的授權(quán)的規(guī)則的學(xué)習(xí)���,則在步驟618,授權(quán)模塊202返回一拒絕決定���,它是對當(dāng)事者未被授權(quán)執(zhí)行所請求動(dòng)作的指示���。在以上示例中��,明確拒絕WebBrowser訪問因特網(wǎng)以及WebSiteY的規(guī)則����,可不具有對應(yīng)用學(xué)習(xí)的指示。在此實(shí)例中�����,應(yīng)用規(guī)則而WebBrowser被拒絕訪問WebSiteY的授權(quán)。在步驟620����,授權(quán)模塊202可向當(dāng)事者返回一出錯(cuò)字符串,通知當(dāng)事者缺乏執(zhí)行所請求動(dòng)作的授權(quán)��。在返回出錯(cuò)字符串之后����,授權(quán)模塊繼續(xù)到結(jié)束步驟。
或者���,如果在步驟612�,授權(quán)模塊202確定啟用了對拒絕執(zhí)行所請求動(dòng)作的授權(quán)的規(guī)則的學(xué)習(xí)�,則在步驟614,授權(quán)模塊202在學(xué)習(xí)報(bào)告日志中記入指示失敗規(guī)則的一條目�。該條目還可包括請求對執(zhí)行導(dǎo)致失敗規(guī)則的動(dòng)作的授權(quán)的當(dāng)事者的指示。在步驟616��,授權(quán)模塊202返回一允許決定��,它是對當(dāng)事者被授權(quán)執(zhí)行所請求動(dòng)作的指示���,并繼續(xù)到結(jié)束步驟����。因而,授權(quán)模塊202批準(zhǔn)對執(zhí)行所請求動(dòng)作的授權(quán)����,并記錄對該事件的指示,而不是應(yīng)用可應(yīng)用規(guī)則����。然后安全管理員或其它感興趣用戶可分析學(xué)習(xí)報(bào)告日志的內(nèi)容,以確定規(guī)則或策略是否太嚴(yán)格或不夠嚴(yán)格����,并在真正實(shí)施或?qū)崿F(xiàn)該規(guī)則或策略之前微調(diào)該規(guī)則或策略。
在某些實(shí)施例中����,授權(quán)模塊202可在學(xué)習(xí)報(bào)告日志中記入指示提供對執(zhí)行請求動(dòng)作的授權(quán)的規(guī)則的一條目����。繼續(xù)以上示例,假設(shè)規(guī)則明確地授權(quán)WebBrowser訪問因特網(wǎng)以及WebSiteY并提供對應(yīng)用學(xué)習(xí)的指示��,則授權(quán)模塊202返回一允許決定(步驟610)并記錄提供對執(zhí)行請求動(dòng)作的授權(quán)的規(guī)則的指示。該信息還可用來微調(diào)規(guī)則或策略���。例如�����,如果從記錄日志中的條目確定訪問資源的授權(quán)太容易得到批準(zhǔn)��,則可調(diào)整或改變規(guī)則或策略以減少批準(zhǔn)對訪問資源的授權(quán)的實(shí)例�。
圖7示出根據(jù)某些實(shí)施例實(shí)用程序提供分層訪問控制檢查的方法700的流程圖�����。再次參看前面示例之一�,用戶(例如UserABC)已登錄到計(jì)算機(jī)上,啟動(dòng)了字處理應(yīng)用程序(例如WPApp)���,并請求打開存儲在計(jì)算機(jī)上目錄(例如YZDir)中的文件(例如FileX)���。結(jié)果,WPApp發(fā)出對訪問存儲在目錄YZDir中資源FileX的請求��。從啟動(dòng)步驟開始,在步驟702授權(quán)模塊202接收授權(quán)查詢����,例如對授權(quán)訪問存儲在YZDir中的FileX的請求。
在步驟704����,運(yùn)行在用戶的計(jì)算機(jī)上的操作系統(tǒng)執(zhí)行一常規(guī)訪問控制檢查。繼續(xù)以上示例�����,操作系統(tǒng)可檢查以確定用戶是否具有打開(例如讀訪問)YZDir中FileX的權(quán)限��。在步驟706����,操作系統(tǒng)使用其常規(guī)訪問檢查機(jī)制來確定是否要拒絕對FileX的用戶訪問。
如果操作系統(tǒng)的常規(guī)訪問檢查機(jī)制確定應(yīng)拒絕用戶訪問FileX�,則在步驟708操作系統(tǒng)返回一拒絕決定,并繼續(xù)到結(jié)束步驟���。拒絕決定是用戶未獲執(zhí)行所請求動(dòng)作(例如打開FileX)的授權(quán)的指示����?��;蛘?,如果操作系統(tǒng)的常規(guī)訪問檢查機(jī)制確定不應(yīng)拒絕用戶對FileX的訪問���,則在步驟710授權(quán)模塊210標(biāo)識請求對存儲在YZDir中FileX的授權(quán)的當(dāng)事者�。
在步驟712�,授權(quán)模塊202從例如集中式策略存儲器中標(biāo)識可應(yīng)用于已標(biāo)識當(dāng)事者的策略,諸如策略206��,并基于當(dāng)事者的身份和可應(yīng)用策略執(zhí)行訪問控制策略���。繼續(xù)以上示例�����,授權(quán)模塊202分析已標(biāo)識的可應(yīng)用策略以在步驟714確定策略中的規(guī)則或特權(quán)是否授權(quán)當(dāng)事者訪問存儲在YZDir中的FileX��。
如果授權(quán)模塊202確定可應(yīng)用策略授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作��,則在步驟720授權(quán)模塊202返回一允許決定��,它是對當(dāng)事者被授權(quán)執(zhí)行所請求動(dòng)作的指示�����,并繼續(xù)到結(jié)束步驟�����?�;蛘?�,如果授權(quán)模塊202確定可應(yīng)用策略未授權(quán)當(dāng)事者來執(zhí)行所請求的動(dòng)作���,則在步驟716授權(quán)模塊202返回一拒絕決定���,它是對當(dāng)事者未被授權(quán)執(zhí)行所請求動(dòng)作的指示。在步驟718���,授權(quán)模塊202可向當(dāng)事者返回一出錯(cuò)字符串���,并繼續(xù)到結(jié)束步驟。該出錯(cuò)字符串可通知當(dāng)事者缺乏執(zhí)行所請求動(dòng)作的授權(quán)����。
可以理解�,可以按與方法700所示相反的順序來執(zhí)行分層訪問檢查�����。例如��,授權(quán)模塊202首先執(zhí)行其訪問控制檢查��。如果授權(quán)模塊202確定授權(quán)應(yīng)給予特定的資源訪問��,則操作系統(tǒng)使用其常規(guī)訪問控制機(jī)制執(zhí)行其安全檢查�。
圖8示出根據(jù)某些實(shí)施例實(shí)用程序確定應(yīng)用程序的安全風(fēng)險(xiǎn)級別的方法800的流程圖�。特別地,實(shí)用程序基于對應(yīng)用程序指定的策略的分析來估計(jì)安全風(fēng)險(xiǎn)的級別和/或應(yīng)用程序的意圖���。作為示例�,用戶可登錄到計(jì)算機(jī)上���,并請求在計(jì)算機(jī)上載入和/或執(zhí)行應(yīng)用程序��。
從啟動(dòng)步驟開始��,運(yùn)行于用戶計(jì)算機(jī)上的操作系統(tǒng)在步驟802接收對載入/執(zhí)行應(yīng)用程序的請求���。在步驟804�,操作系統(tǒng)調(diào)用實(shí)用程序來確定應(yīng)用程序是否具有相應(yīng)策略�。例如,可應(yīng)用于應(yīng)用程序的策略可保持為策略206的一部分����。如果實(shí)用程序確定可應(yīng)用于應(yīng)用程序的策略不存在,則實(shí)用程序通知操作系統(tǒng)可應(yīng)用策略不存在�。在步驟806,操作系統(tǒng)拒絕對載入/執(zhí)行應(yīng)用程序的請求����,并返回一出錯(cuò)情形。在拒絕該請求之后�����,操作系統(tǒng)繼續(xù)到對該請求的結(jié)束步驟�����。
或者�,如果在步驟804,實(shí)用程序確定可應(yīng)用于應(yīng)用程序的策略的確存在��,則在步驟808,實(shí)用程序分析該可應(yīng)用策略以確定與載入/執(zhí)行應(yīng)用程序相關(guān)聯(lián)或由其導(dǎo)致的可能安全風(fēng)險(xiǎn)的級別�����。實(shí)用程序可使得風(fēng)險(xiǎn)級別基于根據(jù)策略中各規(guī)則而批準(zhǔn)的授權(quán)的級別或范圍�����。例如���,如果各規(guī)則授予應(yīng)用程序?qū)芏噘Y源或眾多固有危險(xiǎn)資源的權(quán)利,則實(shí)用程序可將危險(xiǎn)級別設(shè)置得比如果規(guī)則僅授予應(yīng)用程序一些相對安全資源的權(quán)利的要高�。該實(shí)用程序通知操作系統(tǒng),可應(yīng)用策略的確存在���,并繼續(xù)到結(jié)束步驟�����。
圖9示出根據(jù)某些實(shí)施實(shí)用程序在檢測到異常之后施加更嚴(yán)格策略的方法900的流程圖�����。作為示例��,運(yùn)行在計(jì)算機(jī)上的實(shí)用程序可具有兩種策略�,都可應(yīng)用于應(yīng)用程序的PolicyA和PolicyB。此外�,PolicyA比PolicyB限制較少,因?yàn)镻olicyA批準(zhǔn)對更多數(shù)量資源的授權(quán)����。
從啟動(dòng)步驟開始,在步驟902實(shí)用程序施加限制較少的PolicyA�。在步驟904,實(shí)用程序可在執(zhí)行于計(jì)算機(jī)上的應(yīng)用程序?qū)嵗袡z測異常狀態(tài)����。繼續(xù)以上示例,應(yīng)用程序的實(shí)例可在計(jì)算機(jī)上執(zhí)行�,且實(shí)用程序可監(jiān)視執(zhí)行中的應(yīng)用程序進(jìn)程。在監(jiān)視應(yīng)用程序進(jìn)程時(shí)�����,實(shí)用程序可檢測進(jìn)程中的異常情形或狀態(tài)�。例如,應(yīng)用程序可通過跟蹤先前的運(yùn)行于計(jì)算機(jī)上的應(yīng)用程序?qū)嵗齺懋a(chǎn)生有向圖�,該有向圖表示通常由應(yīng)用程序發(fā)出的系統(tǒng)調(diào)用,并從與當(dāng)前應(yīng)用程序進(jìn)程進(jìn)行的系統(tǒng)調(diào)用的比較和有向圖中確定異常狀態(tài)的顯現(xiàn)�����。
在步驟906,實(shí)用程序響應(yīng)于檢測到異常狀態(tài)來施加更嚴(yán)格的PolicyB���,并繼續(xù)到結(jié)束步驟��。在一實(shí)施例中����,實(shí)用程序在檢測到異常狀態(tài)的應(yīng)用程序進(jìn)程上施加更嚴(yán)格的PolicyB�����?����;蛘?���,實(shí)用程序可在應(yīng)用程序(例如應(yīng)用程序的所有實(shí)例或進(jìn)程)上施加更嚴(yán)格的PolicyB�。此外,取決于檢測到的異常�、應(yīng)用程序����,和/或特定策略�,實(shí)用程序可在整個(gè)計(jì)算機(jī)上施加更具限制性的策略集,例如將更具限制性的策略應(yīng)用于在計(jì)算機(jī)上執(zhí)行的所有進(jìn)程��。
圖10示出根據(jù)某些實(shí)施例實(shí)用程序在檢測到異常后施加一策略的方法1000的流程圖��。作為示例��,運(yùn)行在計(jì)算機(jī)上的實(shí)用程序可具有可應(yīng)用于web應(yīng)用程序的策略PolicyA��。從開始步驟開始���,實(shí)用程序在步驟1002不對web應(yīng)用程序施加策略���。因而,PolicyA是休眠的��,且不應(yīng)用于在計(jì)算機(jī)上執(zhí)行的web應(yīng)用程序的實(shí)例�。在步驟1004,實(shí)用程序可在計(jì)算機(jī)上執(zhí)行的web應(yīng)用程序的實(shí)例中檢測到異常狀態(tài)�����。
繼續(xù)以上示例,web應(yīng)用程序的一個(gè)實(shí)例可在計(jì)算機(jī)上執(zhí)行���,且實(shí)用程序可監(jiān)視執(zhí)行中的web應(yīng)用程序進(jìn)程����。在監(jiān)視應(yīng)用程序進(jìn)程時(shí)����,實(shí)用程序可檢測進(jìn)程中的異常情形或狀態(tài)。例如����,應(yīng)用程序可監(jiān)視web應(yīng)用程序進(jìn)程所產(chǎn)生或?qū)е碌木W(wǎng)絡(luò)通信量,并從該網(wǎng)絡(luò)通信量確定異常狀態(tài)在web應(yīng)用程序進(jìn)程中出現(xiàn)�。在步驟1006,實(shí)用程序可在web應(yīng)用程序上(例如在檢測到異常的web應(yīng)用程序進(jìn)程上)施加一休眠策略PolicyA�,并繼續(xù)到結(jié)束步驟�。或者�����,實(shí)用程序可在web應(yīng)用程序的所有實(shí)例或進(jìn)程中施加PolicyA。因而���,休眠策略被激活并應(yīng)用于web應(yīng)用程序��。
從前述內(nèi)容��,可以理解�����,盡管為進(jìn)行說明已對本發(fā)明的特定實(shí)施例進(jìn)行了描述���,但可作各種更改而不背離本發(fā)明的精神和范圍。因此��,本發(fā)明并不受限制��,除了由所附權(quán)利要求書限定�����。
權(quán)利要求
1.一種系統(tǒng)�,用于審核對訪問計(jì)算系統(tǒng)上所提供資源的授權(quán)的請求,所述系統(tǒng)包括集中式策略存儲器�����,具有至少一個(gè)策略,所述策略具有一個(gè)或多個(gè)規(guī)則��;以及授權(quán)組件����,可操作以作為適合在所述計(jì)算系統(tǒng)上執(zhí)行的操作系統(tǒng)的組件執(zhí)行,所述授權(quán)組件還可操作以標(biāo)識當(dāng)事者對訪問資源的請求����;將所述策略應(yīng)用于當(dāng)事者以確定是否要拒絕對訪問所述資源的授權(quán);以及響應(yīng)于確定要拒絕對訪問所述資源的授權(quán)����,返回拒絕對訪問所述資源的授權(quán)的拒絕決定,并將授權(quán)的拒絕記錄在審核日志中�。
2.如權(quán)利要求1所述的系統(tǒng),其特征在于����,所述授權(quán)組件還可操作以響應(yīng)于確定要拒絕對訪問所述資源的授權(quán),而將所述當(dāng)事者的指示記錄在審核日志中�。
3.如權(quán)利要求1所述的系統(tǒng)�,其特征在于,所述授權(quán)組件還可操作以響應(yīng)于確定要拒絕對訪問所述資源的授權(quán),而將所述策略中規(guī)則的指示記錄在審核日志中��,所述規(guī)則致使拒絕對訪問所述資源的授權(quán)�。
4.如權(quán)利要求1所述的系統(tǒng),其特征在于����,所述授權(quán)組件還可操作以響應(yīng)于確定要拒絕對訪問所述資源的授權(quán),而將所述請求的資源的指示記錄在審核日志中����。
5.如權(quán)利要求1所述的系統(tǒng),其特征在于�����,所述授權(quán)組件還可操作以基于所述審核日志中的條目來觸發(fā)事件��。
6.如權(quán)利要求5所述的系統(tǒng)�,其特征在于,所述事件是對實(shí)體而非當(dāng)事者的拒絕請求的指示�。
7.如權(quán)利要求5所述的系統(tǒng),其特征在于�,所述事件是對當(dāng)事者應(yīng)用第二策略
8.如權(quán)利要求1所述的系統(tǒng),其特征在于����,所述授權(quán)組件還可操作以將所述策略應(yīng)用于當(dāng)事者�,以確定是否要允許對訪問所述資源的授權(quán)��;以及響應(yīng)于確定允許對訪問所述資源的授權(quán)�����,返回一允許決定����,以允許對訪問資源的授權(quán),并將允許授權(quán)記錄在審核日志中�����。
9.如權(quán)利要求8所述的系統(tǒng)��,其特征在于�,所述授權(quán)組件還可操作以確定對資源的訪問是否涉及固有危險(xiǎn)操作;以及響應(yīng)于確定對資源的訪問涉及固有危險(xiǎn)操作�����,將對訪問涉及所述固有危險(xiǎn)操作的資源的授權(quán)記錄在所述審核日志中�����。
10.一種在計(jì)算系統(tǒng)中用于微調(diào)策略的方法�����,所述方法包括提供集中式策略存儲器�����,所述集中式策略存儲器包括至少一個(gè)策略�,所述策略包括具有對是否要激活所述規(guī)則的學(xué)習(xí)模式的指示的至少一個(gè)規(guī)則,從而如果所述規(guī)則失敗并導(dǎo)致拒絕對訪問資源的授權(quán)并激活學(xué)習(xí)模式����,則批準(zhǔn)對訪問所述資源的授權(quán);以及將所述授權(quán)的批準(zhǔn)和所述規(guī)則的失敗記錄在日志中�����;以及如果所述規(guī)則失敗并導(dǎo)致拒絕對訪問資源的授權(quán)并未激活學(xué)習(xí)模式����,則拒絕對訪問所述資源的授權(quán),從而所述方法由在所述計(jì)算系統(tǒng)上執(zhí)行的操作系統(tǒng)的構(gòu)成組件執(zhí)行�����。
11.如權(quán)利要求10所述的方法,其特征在于�����,還包括如果所述規(guī)則允許對訪問資源的授權(quán)并激活學(xué)習(xí)模式����,則批準(zhǔn)對訪問所述資源的授權(quán);以及將所述授權(quán)的批準(zhǔn)和負(fù)責(zé)允許對訪問所述資源的授權(quán)的規(guī)則的指示記錄在日志中����。
12.一種計(jì)算機(jī)可讀存儲介質(zhì),其內(nèi)容使計(jì)算機(jī)接收一授權(quán)查詢���,所述查詢與對在計(jì)算機(jī)執(zhí)行操作的請求有關(guān)�;標(biāo)識請求執(zhí)行所述操作的當(dāng)事者��;執(zhí)行訪問控制檢查以確定是否要允許對執(zhí)行所述操作的授權(quán)��,所述訪問控制檢查基于所述當(dāng)事者和可應(yīng)用于所述當(dāng)事者的策略��,其中所述策略為保持為集中式策略庫的一部分,且所述策略包括一個(gè)或多個(gè)規(guī)則����;響應(yīng)于確定要允許對執(zhí)行所述操作的授權(quán),確定所請求操作是否是固有危險(xiǎn)操作�;以及響應(yīng)于確定所請求操作是固有危險(xiǎn)操作,將條目輸入審核日志�,所述條目記錄所述對執(zhí)行固有危險(xiǎn)操作的授權(quán)����,從而所述計(jì)算機(jī)指令作為適于在所述計(jì)算機(jī)上執(zhí)行的操作系統(tǒng)的構(gòu)成組件執(zhí)行。
13.如權(quán)利要求12所述的計(jì)算機(jī)可讀存儲介質(zhì)�,其特征在于,還包括使所述計(jì)算機(jī)基于所述審核日志中的條目觸發(fā)事件的內(nèi)容���。
14.一種計(jì)算機(jī)可讀存儲介質(zhì)�,其內(nèi)容使計(jì)算機(jī)接收對將應(yīng)用程序映像載入存儲器的請求��;確定所述應(yīng)用程序映像是否試圖訪問預(yù)定資源�;以及響應(yīng)于確定所述應(yīng)用程序映像試圖訪問所述預(yù)定資源,拒絕對載入所述應(yīng)用程序映像的請求�。
15.如權(quán)利要求14所述的計(jì)算機(jī)可讀存儲介質(zhì),其特征在于��,對訪問所述預(yù)定資源的意圖的確定是基于對可應(yīng)用于所述應(yīng)用程序映像的策略的分析��。
16.一種用于執(zhí)行訪問控制檢查的系統(tǒng),包括授權(quán)查詢組件�����,可操作以接收有關(guān)對資源訪問的授權(quán)查詢��;當(dāng)事者標(biāo)識組件���,可操作以標(biāo)識請求對所述資源的訪問的當(dāng)事者���;策略標(biāo)識組件,可操作以標(biāo)識可應(yīng)用于所述當(dāng)事者的策略���,所述策略由一個(gè)或多個(gè)規(guī)則組成����,所述策略是集中式策略組的一部分����;以及訪問控制檢查組件,可操作以執(zhí)行作為當(dāng)事者功能的訪問控制檢查��,所述策略可應(yīng)用于當(dāng)事者以及資源。
17.如權(quán)利要求16所述的系統(tǒng)���,其特征在于����,所述訪問控制檢查還根據(jù)所述資源上的請求動(dòng)作來執(zhí)行����。
18.如權(quán)利要求16所述的系統(tǒng),其特征在于�����,當(dāng)事者是在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序?qū)嵗?br>
19.如權(quán)利要求16所述的系統(tǒng)��,其特征在于����,當(dāng)事者是在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序?qū)嵗痛砥溥\(yùn)行的應(yīng)用程序?qū)嵗挠脩羯矸莸慕M合�。
20.一種在計(jì)算系統(tǒng)中用于查詢應(yīng)用程序的安全風(fēng)險(xiǎn)的方法,所述方法包括確定是否有可應(yīng)用于應(yīng)用程序映像的策略�;響應(yīng)于確定有可應(yīng)用策略,處理所述應(yīng)用程序映像����;以及響應(yīng)于確定可應(yīng)用策略不存在����,不處理所述程序映像��。
21.如權(quán)利要求20所述的方法����,其特征在于,還包括�����,響應(yīng)于確定有可應(yīng)用策略�����,確定與所述應(yīng)用程序映像相關(guān)聯(lián)的可能安全風(fēng)險(xiǎn)���。
22.如權(quán)利要求20所述的方法����,其特征在于�,還包括��,分析所述可應(yīng)用于策略以確定所述應(yīng)用程序映像的意圖��,從而所述應(yīng)用程序映像的進(jìn)一步處理基于所述應(yīng)用程序映像的意圖���。
23.如權(quán)利要求20所述的方法,其特征在于���,處理所述應(yīng)用程序映像包括載入所述應(yīng)用程序映像���。
24.如權(quán)利要求20所述的方法,其特征在于���,處理所述應(yīng)用程序映像包括執(zhí)行所述應(yīng)用程序映像。
25.一種計(jì)算機(jī)可讀存儲介質(zhì)���,其內(nèi)容使計(jì)算機(jī)監(jiān)視計(jì)算機(jī)以檢測所述計(jì)算機(jī)中的異常狀態(tài)���;以及響應(yīng)于在所述計(jì)算機(jī)中檢測到異常狀態(tài),激活策略在所述計(jì)算機(jī)內(nèi)的應(yīng)用�����。
26.如權(quán)利要求25所述的計(jì)算機(jī)可讀存儲介質(zhì),其特征在于�����,所述異常狀態(tài)在所述計(jì)算機(jī)上執(zhí)行的進(jìn)程中檢測��,且所述策略根據(jù)所述進(jìn)程激活�����。
27.如權(quán)利要求25所述的計(jì)算機(jī)可讀存儲介質(zhì)���,其特征在于���,所述異常狀態(tài)在一個(gè)進(jìn)程組中檢測,且所述策略根據(jù)所述進(jìn)程組激活����。
28.如權(quán)利要求25所述的計(jì)算機(jī)可讀存儲介質(zhì),其特征在于��,所述策略根據(jù)在所述計(jì)算機(jī)上執(zhí)行的所有進(jìn)程激活�。
29.如權(quán)利要求25所述的計(jì)算機(jī)可讀存儲介質(zhì),其特征在于���,還包括的內(nèi)容使計(jì)算機(jī)監(jiān)視計(jì)算機(jī)以檢測所述計(jì)算機(jī)中異常狀態(tài)的終止�;以及響應(yīng)于檢測所述計(jì)算機(jī)中異常狀態(tài)的終止,終止策略在所述計(jì)算機(jī)內(nèi)的應(yīng)用�。
30.如權(quán)利要求25所述的計(jì)算機(jī)可讀存儲介質(zhì),其特征在于��,所述計(jì)算機(jī)指令被集成到適合在所述計(jì)算機(jī)上執(zhí)行的操作系統(tǒng)中���,并作為其一部分執(zhí)行���。
31.如權(quán)利要求25所述的計(jì)算機(jī)可讀存儲介質(zhì),其特征在于���,所述策略被保持為集中式策略庫的一部分���。
32.一種在計(jì)算系統(tǒng)中用于應(yīng)用策略的方法,所述方法包括將第一策略應(yīng)用于計(jì)算機(jī)內(nèi)�;監(jiān)視計(jì)算機(jī)以檢測所述計(jì)算機(jī)中的異常狀態(tài)�;以及響應(yīng)于在所述計(jì)算機(jī)中檢測到異常狀態(tài),將第二策略應(yīng)用于所述計(jì)算機(jī)內(nèi)�����。
33.如權(quán)利要求32所述的方法,其特征在于��,所述第一和第二策略應(yīng)用于在所述計(jì)算機(jī)上執(zhí)行的進(jìn)程�。
34.如權(quán)利要求32所述的方法,其特征在于��,所述第一和第二策略應(yīng)用于在所述計(jì)算機(jī)上執(zhí)行的應(yīng)用程序的實(shí)例���。
35.如權(quán)利要求32所述的方法����,其特征在于�����,所述第一和第二策略應(yīng)用于在所述計(jì)算機(jī)上執(zhí)行的所有進(jìn)程�����。
36.如權(quán)利要求32所述的方法����,其特征在于,所述第一策略比所述第二策略的限制性較小���。
37.如權(quán)利要求32所述的方法���,其特征在于�,所述策略包括用于管理所述計(jì)算機(jī)上資源的至少一個(gè)規(guī)則�。
38.如權(quán)利要求32所述的方法,其特征在于�,所述第一和第二策略被保持為集中式策略庫的一部分。
39.如權(quán)利要求32所述的方法��,其特征在于���,還包括監(jiān)視計(jì)算機(jī)以檢測所述計(jì)算機(jī)中異常狀態(tài)的結(jié)束���;以及在檢測到所述計(jì)算機(jī)中異常狀態(tài)的終止之后,終止所述第二策略在所述計(jì)算機(jī)內(nèi)的應(yīng)用���。
40.如權(quán)利要求39所述的方法��,其特征在于�,還包括將所述第一策略再應(yīng)用于所述計(jì)算機(jī)�����。
41.一種用于應(yīng)用策略以確定對訪問資源的授權(quán)的系統(tǒng)�����,所述系統(tǒng)包括可應(yīng)用于當(dāng)事者的第一策略�����;可應(yīng)用于當(dāng)事者的第二策略����;以及授權(quán)模塊,可操作以將所述第一策略應(yīng)用于當(dāng)事者��,以確定所述當(dāng)事者是否具有對以非異常狀態(tài)在計(jì)算機(jī)上執(zhí)行請求動(dòng)作的授權(quán)���,所述授權(quán)模塊還可操作以將所述第二策略應(yīng)用于當(dāng)事者�,以確定當(dāng)事者是否具有對以異常狀態(tài)在計(jì)算機(jī)上執(zhí)行請求動(dòng)作的授權(quán)����。
42.如權(quán)利要求41所述的系統(tǒng),其特征在于�,所述當(dāng)事者是在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序進(jìn)程。
43.如權(quán)利要求41所述的系統(tǒng),其特征在于��,所述當(dāng)事者是在計(jì)算機(jī)上運(yùn)行的應(yīng)用程序進(jìn)程和在其中運(yùn)行應(yīng)用程序進(jìn)程的用戶環(huán)境的組合��。
44.如權(quán)利要求41所述的方法���,其特征在于����,所述第一和第二策略應(yīng)用于在所述計(jì)算機(jī)上執(zhí)行的應(yīng)用程序的一個(gè)進(jìn)程�����。
45.如權(quán)利要求41所述的系統(tǒng)����,其特征在于,所述第一和第二策略應(yīng)用于在所述計(jì)算機(jī)上執(zhí)行的應(yīng)用程序的所有進(jìn)程�����。
46.如權(quán)利要求45所述的系統(tǒng)����,其特征在于,所述第一策略和所述第二策略被保持為集成式策略的一部分。
全文摘要
提供了一種用于執(zhí)行訪問控制檢查作為操作系統(tǒng)的構(gòu)成組件并利用集中式策略庫的實(shí)用程序�����。該實(shí)用程序作為在計(jì)算機(jī)上執(zhí)行的操作系統(tǒng)的構(gòu)成組件在計(jì)算機(jī)上執(zhí)行����,并接收授權(quán)查詢���,以確定當(dāng)事者是否具有訪問資源的授權(quán)�����。實(shí)用程序應(yīng)用保持在集中式策略庫中的可應(yīng)用于當(dāng)事者的策略來確定訪問資源的授權(quán)是否存在��。如果授權(quán)不存在����,則實(shí)用程序拒絕授權(quán)查詢�,并在審核日志中記錄授權(quán)拒絕的指示。實(shí)用程序可基于授權(quán)查詢的審核觸發(fā)事件�。實(shí)用程序還在審核日志中記錄對訪問資源的授權(quán)的指示。實(shí)用程序還可確定授權(quán)查詢是否是對執(zhí)行固有危險(xiǎn)操作的授權(quán)的請求�,并在審核日志中記錄對執(zhí)行固有危險(xiǎn)操作的授權(quán)的指示。
文檔編號G06F1/00GK1782943SQ20051010886
公開日2006年6月7日 申請日期2005年9月30日 優(yōu)先權(quán)日2004年10月1日
發(fā)明者G·戈蘭, M·韋曼 申請人:微軟公司