Windows权限
注:权限是有⾼低之分的,有⾼权限的⽤户可以对低权限的⽤户进⾏操作,但除了Administrators之外,其他组的⽤户不能访问 NTFS 卷上的其他⽤户资料,除⾮他们获得了这些⽤户的授权。⽽低权限的⽤户⽆法对⾼权限的⽤户进⾏任何操作。
案例详解
我们平常使⽤计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使⽤计算机的时候都⽤的是Administrators中的⽤户登陆的。这样有利也有弊,利当然是你能去做你想做的任何⼀件事情⽽不会遇到权限的限制。弊就是以 Administrators组成员的⾝份运⾏计算机将使系统容易受到特洛伊⽊马、病毒及其他安全风险的威胁。访问 Internet站点或打开电⼦邮件附件的简单⾏动都可能破坏系统。不熟悉的Internet 站点或电⼦邮件附件可能有特洛伊⽊马代码,这些代码可以下载到系统并被执⾏。如果以本地计算机的管理员⾝份登录,特洛伊⽊马可能使⽤管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不⽤Administrators中的⽤户登陆。
Administrators中有⼀个在系统安装时就创建的默认⽤户--Administrator,Administrator帐户具有对服务器的完全控制权限,并可以根据需要向⽤户指派⽤户权利和访问控制权限。因此强烈建议将此帐户设置为使⽤强密码。永远也不可以从Administrators组删除Administrator帐户,但可以重命名或禁⽤该帐户。由于⼤
家都知道“管理员”存在于许多版本的Windows上,所以重命名或禁⽤此帐户将使恶意⽤户尝试并访问该帐户变得更为困难。对于⼀个好的服务器管理员来说,他们通常都会重命名或禁⽤此帐户。Guests⽤户组下,也有⼀个默认⽤户--Guest,但是在默认情况下,它是被禁⽤的。如果没有特别必要,⽆须启⽤此账户。我们可以通过“控制⾯板”->“管理⼯具”->“计算机管理”->“⽤户和⽤户组”来查看⽤户组及该组下的⽤户。
我们⽤⿏标右键单击⼀个NTFS卷或NTFS卷下的⼀个⽬录,选择“属性”--“安全”就可以对⼀个卷,或者⼀个卷下⾯的⽬录进⾏权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运⾏、列出⽂件夹⽬录、读取、写⼊、和特别的权限。“完全控制”就是对此卷或⽬录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位⼀样。选中了“完全控制”,下⾯的五项属性将被⾃动被选中。“修改”则像Power users,选中了“修改”,下⾯的四项属性将被⾃动被选中。下⾯的任何⼀项没有被选中时,“修改”条件将不再成⽴。“读取和运
⾏”就是允许读取和运⾏在这个卷或⽬录下的任何⽂件,“列出⽂件夹⽬录”和“读取”是“读取和运⾏”的必要条件。“列出⽂件夹⽬录”是指只能浏览该卷或⽬录下的⼦⽬录,不能读取,也不能运⾏。“读取”是能够读取该卷或⽬录下的数据。“写⼊”就是能往该卷或⽬录下写⼊数据。⽽“特别”则是对以上的六种权限进⾏了细分。读者可以⾃⾏对“特别”进⾏更深的研究,鄙⼈在此就不过多赘述了。program可以删除吗
下⾯我们对⼀台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进⾏全⾯的刨析。服务器采⽤Windows 2000Server版,安装好了SP4及各种补丁。WEB服务软件则是⽤了Windows 2000⾃带的IIS5.0,删除了⼀切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,⽹站程序都在该卷下的WWW⽬录中;F 盘是⽹站数据卷,⽹站系统调⽤的所有数据都存放在该卷的WWWDATABASE⽬录下。这样的分类还算是⽐较符合⼀台安全服务器的标准了。
希望各个新⼿管理员能合理给你的服务器数据进⾏分类,这样不光是查起来⽅便,更重要的是这样⼤⼤的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个⽬录都设置不同的权限,⼀旦发⽣了⽹络安全事故,也可以把损失降到最低。当然,也可以把⽹站的数据分布在不同的服务器上,使之成为⼀个服务器,每个服务器都拥有不同的⽤户名和密码并提供不同的服务,这样做的安全性更⾼。不过愿意这样做的⼈都有⼀个特点--有钱:)。好了,⾔归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:/ms-sqlserver2K⽬录下,给SA账户设置好了⾜够强度的密码,安装好了SP3补丁。
为了⽅便⽹页制作员对⽹页进⾏管理,该⽹站还开通了FTP服务,FTP服务软件使⽤的是SERV-U5.1.0.0,安装在d:/ftpservice/serv-u⽬录下。杀毒软件和防⽕墙⽤的分别是Norton Antivirus和BlackICE,路径分别为d:/nortonAV和d:/firewall/blackice,病毒库已经升级到最新,防⽕墙规则库定义只
有80端⼝和21端⼝对外开放。⽹站的内容是采⽤动⽹7.0的论坛,⽹站程序在e:/www/bbs下。细⼼的读者可能已经注意到了,安装这些服务软件的路径我都没有采⽤默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为⼀个⿊客如果通过某些途径进⼊了你的服务器,但并没有获得管理员权限,他⾸先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
⼀个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经⾜够抵挡⼤部分学艺不精的⿊客了。读者可能⼜会问了:“这根本没⽤到权限设置嘛!我把其他都安全⼯作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有⼀失呢,就算你现在已经把系统安全做的完美⽆缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后⼀道防线!那我们现在就来对这台没有经过任何权限设置,全部采⽤Windows默认权限的服务器进⾏⼀次模拟攻击,看看其是否真的固若⾦汤。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根⽬录,默认给了Everyone组完全控制权。这意味着任何进⼊电脑的⽤户将不受限制的在这些根⽬录中为所欲为。系统卷下有三个⽬录⽐较特殊,系统默认给了他们有限制的权限,这三个⽬录是Documents and settings、Programfiles和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Adm
inistrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同
Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读取&运⾏,列和读权限。⽽⾮系统卷下的所有⽬录都将继承其⽗⽬录的权限,也就是Everyone组完全控制权!
现在⼤家知道为什么我们刚刚在测试的时候能⼀帆风顺的取得管理员权限了吧?权限设置的太低了!⼀个⼈在访问⽹站的时候,将被⾃动赋予IUSR⽤户,它是⾪属于Guest组的。本来权限不⾼,但是系统默认给的Everyone组完全控制权却让它“⾝价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?⼤家要牢记⼀句话:“最少的服务+最⼩的权限=最⼤的安全”对于服务,不必要的话⼀定不要装,要知道服务的运⾏是SYSTEM级的哦,对于权限,本着够⽤就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,⼤家可以参考⼀下:各个卷的根⽬录、Documents and settings以及Programfiles,只给Administrator完全控制权,或者⼲脆直接把Programfiles给删除掉;给系统卷的根⽬录多加⼀个Everyone的读、写权;给e:/www⽬录,也就是⽹站⽬录读、写权。
最后,还要把这个⽂件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的⽅法⼊侵这台服务器就是不可能完成的任务了。可能这时候⼜有读者会问:“为什么要给系统卷的根⽬录⼀个Everyone的读、写权?⽹站中的ASP⽂件运⾏不需要运⾏权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,⽽且会提⽰虚拟内存不⾜。当然这也有个前提--虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP⽂件的运⾏⽅式是在服务器上执⾏,只把执⾏的结果传回最终⽤户的浏览器,这没错,但ASP⽂件不是系统意义上的可执⾏⽂件,它是由WEB服务的提供者--IIS来解释执⾏的,所以它的执⾏并不需要运⾏的权限。
权限详解
经过上⾯的讲解以后,你⼀定对权限有了⼀个初步了了解了吧?想更深⼊的了解权限,那么权限的⼀些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。
继承性
继承性是说下级的⽬录在没有经过重新设置之前,是拥有上⼀级⽬录权限设置的。这⾥还有⼀种情况要说明⼀下,在分区内复制⽬录或⽂件的时候,复制过去的⽬录和⽂件将拥有它现在所处位置的上⼀级⽬录权限设置。但在分区内移动⽬录或⽂件的时候,移动过去的⽬录和⽂件将拥有它原先的权限设置。
累加
累加是说如⼀个组GROUP1中有两个⽤户USER1、USER2,他们同时对某⽂件或⽬录的访问权限分别为“读取”和“写⼊”,那么组GROUP1对该⽂件或⽬录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最⼤的那个,即“读取”+“写⼊”=“写⼊”。
⼜如⼀个⽤户USER1同属于组GROUP1和GROUP2,⽽GROUP1对某⼀⽂件或⽬录的访问权限为“只读”型的,⽽GROUP2对这⼀⽂件或⽂件夹的访问权限为“完全控制”型的,则⽤户USER1对该⽂件或⽂件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
优先性
优先性,权限的这⼀特性⼜包含两种⼦特性,其⼀是⽂件的访问权限优先⽬录的权限,也就是说⽂件权限可以越过⽬录的权限,不顾上⼀级⽂件夹的设置。另⼀特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,⼀旦选择了“拒绝”权限,则其它权限也就不能取任何作⽤,相当于没有设置。
交叉性
交叉性是指当同⼀⽂件夹在为某⼀⽤户设置了共享权限的同时⼜为⽤户设置了该⽂件夹的访问权限,且
所设权限不⼀致时,它的取舍原则是取两个权限的交集,也即最严格、最⼩的那种权限。如⽬录A为⽤户USER1设置的共享权限为“只读”,同时⽬录A为⽤户USER1设置的访问权限为“完全控制”,那⽤户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒⼀下,权限的设置必须在NTFS分区中才能实现的,FAT32是不⽀持权限设置的。同时还想给各位管理员们⼀些建议:
  1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使⽤服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
  2.设置⾜够强度的密码,这是⽼⽣常谈了,但总有管理员设置弱密码甚⾄空密码。
  3.尽量不要把各种软件安装在默认的路径下 。
  4.在英⽂⽔平不是问题的情况下,尽量安装英⽂版操作系统。
  5.切忌在服务器上乱装软件或不必要的服务。
  6.牢记:没有永远安全的系统,经常更新你的知识。[注:⽂章转载⾃⽹络]

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。