[发明专利]视窗系统的类Unix环境下的提权方法和系统

说明书

技术领域

本发明实施方式涉及帐号管理技术领域，更具体地，涉及一种视窗(windows)系统的类Unix环境下的提权方法和系统。

背景技术

随着电脑硬件和软件系统的不断升级，微软公司的视窗(windows)操作系统也在不断升级，从16位、32位一直升级到64位操作系统。从最初的windowsl.0到大家熟知的windows95、NT、97、98、2000、Me、XP、Server、Vista，Windows 7等各种版本的持续更新。

类Unix系统指各种传统的Unix系统(比如FreeBSD、OpenBSD、SUN公司的Solaris)以及各种与传统Unix类似的系统(例如Minix、Linux、QNX等)。它们虽然有的是自由软件，有的是商业软件，但都相当程度地继承了原始Unix的特性，有许多相似处，并且都在一定程度上遵守POSIX规范。目前在windows平台上可以运行一些Unix模拟环境，比如cygnus solutions公司开发的自由软件Cygwin等。

提权是指提高帐号在服务器中的权限，如果某帐号在windows系统中的角色是guest或者普通user，提权后就可以变成超级管理员的权限(Linux下面就是root权限)，可以执行很多高权限的操作，有更高的管理系统的权力。在Linux系统下，可先用低权限的实名帐号登录，然后通过su命令切换到具备一般权限的运维帐号，进行实际的运维操作，如果需要使用更高权限的操作则通过Sudo操作进行临时提权操作。然而，windows系统默认不提供sudo功能，administrator这种高级权限的控制与管理无法适应实名审计和权限最小化分配的安全管理理念。

目前在windows环境下面有一套基于.Net框架的SudoWin工具，由SANS Institute开发完成。Sudowin有涉及系统(system)权限的服务程序，客户端发出sudo命令请求，服务器端接受到该命令请求利用其system高权限将该普通用户帐号临时加入到Administrators组中，然后实现高权限的操作。

然而，目前的Sudowin具有下列缺点：

(1)Sudowin并不支持类Unix环境(举例，不支持Cygwin环境)。比如：如果提权操作由Cygwin自带的命令进行会至少存在2个问题：路径解析不对(Cygwin的路径格式类似Linux的路径)；程序的输出结果不能显示在Cgywin的再次降生外壳程序(BASH，GNU Bourne-Again SHell)上面。

(2)Sudowin进行sudo操作时需要帐号已经登录到系统中，否则不能执行，这与目前只用低权限的实名制帐号登录，切换到一般权限的运维帐号(出于安全保护，运维帐号不能网络登录)使用sudo操作的流程有较大冲突。

(3)在运维工作中需要将实名帐号切换到运维帐号再进行运维工作，但Sudowin不能提供切换帐号的功能。

发明内容

本发明实施方式提出一种视窗(windows)系统的类Unix环境下的提权方法，以在Windows系统中实现类Unix下的命令提权功能。

本发明实施方式提出一种视窗(windows)系统的类Unix环境下的提权系统，以在Windows系统中实现类Unix下的命令提权功能。

本发明实施方式的具体方案如下：

一种视窗(windows)系统的类Unix环境下的提权方法，包括：

将运维帐号加入到管理员组中；

接收提权操作请求，从所述提权操作请求中解析出运维帐号和类Unix格式的提权操作命令，并将所述类Unix格式的提权操作命令转换为windows格式的提权操作命令；

应用所述运维帐号，通过可以用指定的用户帐号进行进程创建的应用编程接口(API)创建子进程，以执行所述windows格式的提权操作命令。

一种视窗(windows)系统的类Unix环境下的提权系统，该装置包括请求模块和提权模块；其中：

请求模块，用于接收提权操作请求，从所述提权操作请求中解析出运维帐号和类Unix格式的提权操作命令，并将所述类Unix格式的提权操作命令转换为windows格式的提权操作命令，其中所述运维帐号被加入到管理员组中；

提权模块，用于应用所述运维帐号，通过可以用指定的用户帐号进行进程创建的API创建子进程，以执行所述windows格式的提权操作命令。