计算机技术已经渗透到人们生活和工作的方方面面，大量的敏感信息需要计算机系统处理、存储和传输，系统的安全问题日益成为人们关注的焦点。目前，针对计算机系统安全的研究主要集中在身份认证、访问控制、安全审计、入侵检测等方面。其中访问控制作为信息保密性与完整性保护的重要手段之一，一直是系统安全研究的核心内容，也是本文讨论的主要对象。 Windows操作系统以其功能强大、界面友好和使用方便而得到广大用户的认可，逐渐成为当今桌面操作系统的主流。但Windows系统采用的是自主访问控制DAC(DiscretionaryAccess Control)机制，存在着信息流动过程中其访问权限关系可以被改变的缺点，从而使不具备对资源有访问权限的用户也可以访问该资源，系统管理员权限过大违反安全系统中“最小特权”的安全原则以及对于已经进入主机的入侵无法进行有效控制等缺陷，集中暴露了Windows系统在访问控制方面的不足。 本文在分析Windows系统安全机制和各种系统调用截获技术的基础上，依据BLP模型，针对Windows系统的4种关键资源：文件系统资源、注册表、Socket资源和打印机资源，设计了一种强制访问控制模型WMAC(Windows Mandatory Access Control)，基于WMAC模型建立并实现了强制访问控制系统WMACS(Windows Mandatory Access Control System)，该系统进一步增强了Windows系统的安全性。本文的主要成果体现在以下三个方面： (1)系统分析了Windows操作系统在身份认证、访问控制和日志审计等方面的安全机制；详细研究了Windows系统下的各种系统调用截获技术，并比较了各种截获技术的优缺点及适用领域。 (2)对Windows系统中的资源进行分类，依据BLP模型，针对Windows系统的4种关键资源，设计了一种满足强制访问控制要求的强制访问控制模型WMAC。 (3)根据WMAC模型，针对4种关键资源分别使用最优的系统截获技术实现了强制访问控制系统WMACS，该系统扩展了Windows身份认证的功能，分割了管理员的特权，使系统管理员、系统安全员和系统审计员三权分立，实现了“最小特权原则”；对文件资源、注册表、Socket和打印机实现了强制访问控制，加固了Windows系统在文件、注册表、Socket和打印机的访问检查机制，具备对这4种关键资源强制访问控制的日志审计功能，使其部分安全性指标基本上达到了国家标准三级(安全标记保护级)和《TCSEC》的B1级(标记强制保护级)要求。