技術領域

本發(fā)明實施方式涉及帳號管理技術領域，更具體地，涉及一種視窗(windows)系統的類Unix環(huán)境下的提權方法和系統。

背景技術

隨著電腦硬件和軟件系統的不斷升級，微軟公司的視窗(windows)操作系統也在不斷升級，從16位、32位一直升級到64位操作系統。從最初的windowsl.0到大家熟知的windows95、NT、97、98、2000、Me、XP、Server、Vista，Windows?7等各種版本的持續(xù)更新。

類Unix系統指各種傳統的Unix系統(比如FreeBSD、OpenBSD、SUN公司的Solaris)以及各種與傳統Unix類似的系統(例如Minix、Linux、QNX等)。它們雖然有的是自由軟件，有的是商業(yè)軟件，但都相當程度地繼承了原始Unix的特性，有許多相似處，并且都在一定程度上遵守POSIX規(guī)范。目前在windows平臺上可以運行一些Unix模擬環(huán)境，比如cygnus?solutions公司開發(fā)的自由軟件Cygwin等。

提權是指提高帳號在服務器中的權限，如果某帳號在windows系統中的角色是guest或者普通user，提權后就可以變成超級管理員的權限(Linux下面就是root權限)，可以執(zhí)行很多高權限的操作，有更高的管理系統的權力。在Linux系統下，可先用低權限的實名帳號登錄，然后通過su命令切換到具備一般權限的運維帳號，進行實際的運維操作，如果需要使用更高權限的操作則通過Sudo操作進行臨時提權操作。然而，windows系統默認不提供sudo功能，administrator這種高級權限的控制與管理無法適應實名審計和權限最小化分配的安全管理理念。

目前在windows環(huán)境下面有一套基于.Net框架的SudoWin工具，由SANS?Institute開發(fā)完成。Sudowin有涉及系統(system)權限的服務程序，客戶端發(fā)出sudo命令請求，服務器端接受到該命令請求利用其system高權限將該普通用戶帳號臨時加入到Administrators組中，然后實現高權限的操作。

然而，目前的Sudowin具有下列缺點：

(1)Sudowin并不支持類Unix環(huán)境(舉例，不支持Cygwin環(huán)境)。比如：如果提權操作由Cygwin自帶的命令進行會至少存在2個問題：路徑解析不對(Cygwin的路徑格式類似Linux的路徑)；程序的輸出結果不能顯示在Cgywin的再次降生外殼程序(BASH，GNU?Bourne-Again?SHell)上面。

(2)Sudowin進行sudo操作時需要帳號已經登錄到系統中，否則不能執(zhí)行，這與目前只用低權限的實名制帳號登錄，切換到一般權限的運維帳號(出于安全保護，運維帳號不能網絡登錄)使用sudo操作的流程有較大沖突。

(3)在運維工作中需要將實名帳號切換到運維帳號再進行運維工作，但Sudowin不能提供切換帳號的功能。

發(fā)明內容

本發(fā)明實施方式提出一種視窗(windows)系統的類Unix環(huán)境下的提權方法，以在Windows系統中實現類Unix下的命令提權功能。

本發(fā)明實施方式提出一種視窗(windows)系統的類Unix環(huán)境下的提權系統，以在Windows系統中實現類Unix下的命令提權功能。

本發(fā)明實施方式的具體方案如下：

一種視窗(windows)系統的類Unix環(huán)境下的提權方法，包括：

將運維帳號加入到管理員組中；

接收提權操作請求，從所述提權操作請求中解析出運維帳號和類Unix格式的提權操作命令，并將所述類Unix格式的提權操作命令轉換為windows格式的提權操作命令；

應用所述運維帳號，通過可以用指定的用戶帳號進行進程創(chuàng)建的應用編程接口(API)創(chuàng)建子進程，以執(zhí)行所述windows格式的提權操作命令。

一種視窗(windows)系統的類Unix環(huán)境下的提權系統，該裝置包括請求模塊和提權模塊；其中：

請求模塊，用于接收提權操作請求，從所述提權操作請求中解析出運維帳號和類Unix格式的提權操作命令，并將所述類Unix格式的提權操作命令轉換為windows格式的提權操作命令，其中所述運維帳號被加入到管理員組中；

提權模塊，用于應用所述運維帳號，通過可以用指定的用戶帳號進行進程創(chuàng)建的API創(chuàng)建子進程，以執(zhí)行所述windows格式的提權操作命令。