如果一个计算机系统有多个用户，并且允许多个进程并发执行，那么读取数据就必须有一定的规则。为此，这种机制必须保证文件、内存段、CPU等可以操作的资源只能由操作系统授予合理权限的进程操作。 　　

　　例如，内存寻址硬件确保一个进程只能在它自己的地址空间中运行。计时器确保没有进程可以占用CPU。用户不能访问设备控制寄存器，因此各种外围设备的完整性受到保护。 　　

　　那么，保护Protection是控制进程或用户对计算机系统定义的资源的访问的任何机制。该机制必须提供方法来指定要施加的控制并实施它们。 　　

　　保护可以通过检测构建的子系统之间的潜在错误来提高系统的可靠性。接口错误的早期检测可以防止健康的子系统被另一个有故障的子系统污染。此外，未受保护的资源无法抵御未授权或不合格用户的使用或滥用。虽然面向保护的系统提供了一种区分授权和未授权的方法. 　　

　　具有适当保护机制的系统仍然可能发生故障并允许非法访问。例如，用户的授权信息(即他自己对系统的身份验证方式)被盗。那么当文件和存储器保护仍然工作时，他的数据仍然可能被复制或删除。 　　

　　这是一种像安全security的职责所在，它被定义用来保护系统免受外部和内部攻击。一样的攻击，可以迅速大规模传播。这包括病毒和蠕虫、拒绝访问攻击(将使用系统中的所有资源，并阻止合法用户访问系统中的任何资源。)、身份盗窃、服务盗窃(未经授权使用系统)。针对上述内容的保护是以下操作系统包含的系统功能，但有些操作系统会将一些规则或附加软件放入其中。由于安全事件的惊人增加，操作系统的安全特性正在成为一个快速发展的研究和实现领域。 　　

　　保护安全要求操作系统能够区分所有用户。大多数操作系统在Windows中维护一个用户名和用户身份标识user identifier(user IDS).的列表，这在这些数字中被称为安全标识security ID（SID）。.每个用户都是唯一的。当用户登录操作系统时，身份验证阶段将确定适当的用户ID。这个用户ID将与用户拥有的所有进程和线程相关联。当用户解释这个ID时，它将通过用户名列表查询用户名。 　　

　　在某些环境中，我们更喜欢通过集合而不是单个用户来区分用户。比如UNI系统中一个文件的所有者拥有对该文件的所有操作权限，同时一组被选中的用户可以读取该文件。为了实现这个目标。我们需要一个组名和属于这个组的一组用户。这种分组功能可以通过系统范围的组名和组标识（group identifier）.来实现，一个用户可以是其中一个或多个的成员，当然，这取决于操作系统设计的选择。用户组ID也可以包含在每个关联的进程和线程中。 　　

　　在正常的系统使用过程中，用户ID和组ID对用户来说就足够了。但是，有时用户需要提升他们的特权来获得执行某个操作的额外权限。假设用户需要访问受限设备。操作系统提供了各种方式来允许特权提升。例如，在UNIX中，程序中的setuid属性使程序使用文件所有者的用户id而不是当前用户ID运行程序。这个进程将使用这个有效的UID运行，直到它的额外特权被关闭或终止。