紅客必學:Windows下的許可權設定詳解

heying1229發表於2007-09-22
隨著動網論壇的廣泛應用和動網上傳漏洞的被發現以及SQL隱碼攻擊式攻擊越來越多的被使用,WEBSHELL讓防火牆形同虛設,一臺即使打了所有微軟補丁、只讓80埠對外開放的WEB伺服器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統下的許可權設定問題,我們可以對crackers們說:NO!
  
  要打造一臺安全的WEB伺服器,那麼這臺伺服器就一定要使用NTFS和Windows NT/2000/2003。眾所周知,Windows是一個支援多使用者、多工的作業系統,這是許可權設定的基礎,一切許可權設定都是基於使用者和程式而言的,不同的使用者在訪問這臺計算機時,將會有不同的許可權。

DOS跟WinNT的許可權的分別

  DOS是個單任務、單使用者的作業系統。但是我們能說DOS沒有許可權嗎?不能!當我們開啟一臺裝有DOS作業系統的計算機的時候,我們就擁有了這個作業系統的管理員許可權,而且,這個許可權無處不在。所以,我們只能說DOS不支援許可權的設定,不能說它沒有許可權。隨著人們安全意識的提高,許可權設定隨著NTFS的釋出誕生了。
  
  Windows NT裡,使用者被分成許多組,組和組之間都有不同的許可權,當然,一個組的使用者和使用者之間也可以有不同的許可權。下面我們來談談NT中常見的使用者組。

  Administrators,管理員組,預設情況下,Administrators中的使用者對計算機/域有不受限制的完全訪問權。分配給該組的預設許可權允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該組的成員。
  Power Users,高階使用者組,Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何作業系統任務。分配給 Power Users 組的預設許可權允許 Power Users 組的成員修改整個計算機的設定。但Power Users 不具有將自己新增到 Administrators 組的許可權。在許可權設定中,這個組的許可權是僅次於Administrators的。

  Users:普通使用者組,這個組的使用者無法進行有意或無意的改動。因此,使用者可以執行經過驗證的應用程式,但不可以執行大多數舊版應用程式。Users 組是最安全的組,因為分配給該組的預設許可權不允許成員修改作業系統的設定或使用者資料。Users 組提供了一個最安全的程式執行環境。在經過 NTFS 格式化的捲上,預設安全設定旨在禁止該組的成員危及作業系統和已安裝程式的完整性。使用者不能修改系統登錄檔設定、作業系統檔案或程式檔案。Users 可以關閉工作站,但不能關閉伺服器。Users 可以建立本地組,但只能修改自己建立的本地組。

  Guests:來賓組,按預設值,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。

  Everyone:顧名思義,所有的使用者,這個計算機上的所有使用者都屬於這個組。

  其實還有一個組也很常見,它擁有和Administrators一樣、甚至比其還高的許可權,但是這個組不允許任何使用者的加入,在察看使用者組的時候,它也不會被顯示出來,它就是SYSTEM組。系統和系統級的服務正常執行所需要的許可權都是靠它賦予的。由於該組只有這一個使用者SYSTEM,也許把該組歸為使用者的行列更為貼切。

許可權的權力大小分析

  許可權是有高低之分的,有高許可權的使用者可以對低許可權的使用者進行操作,但除了Administrators之外,其他組的使用者不能訪問 NTFS 捲上的其他使用者資料,除非他們獲得了這些使用者的授權。而低許可權的使用者無法對高許可權的使用者進行任何操作。

  我們平常使用計算機的過程當中不會感覺到有許可權在阻撓你去做某件事情,這是因為我們在使用計算機的時候都用的是Administrators中的使用者登陸的。這樣有利也有弊,利當然是你能去做你想做的任何一件事情而不會遇到許可權的限制。弊就是以 Administrators 組成員的身份執行計算機將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 Internet 站點或開啟電子郵件附件的簡單行動都可能破壞系統。

  不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬程式碼,這些程式碼可以下載到系統並被執行。如果以本地計算機的管理員身份登入,特洛伊木馬可能使用管理訪問權重新格式化您的硬碟,造成不可估量的損失,所以在沒有必要的情況下,最好不用Administrators中的使用者登陸。Administrators中有一個在系統安裝時就建立的預設使用者----Administrator,Administrator 帳戶具有對伺服器的完全控制許可權,並可以根據需要向使用者指派使用者權利和訪問控制許可權。

  因此強烈建議將此帳戶設定為使用強密碼。永遠也不可以從Administrators 組刪除 Administrator 帳戶,但可以重新命名或禁用該帳戶。由於大家都知道“管理員”存在於許多版本的 Windows 上,所以重新命名或禁用此帳戶將使惡意使用者嘗試並訪問該帳戶變得更為困難。對於一個好的伺服器管理員來說,他們通常都會重新命名或禁用此帳戶。Guests使用者組下,也有一個預設使用者----Guest,但是在預設情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。

小幫助:何謂強密碼?就是字母與數字、大小互相組合的大於8位的複雜密碼,但這也不完全防得住眾多的駭客,只是一定程度上較為難破解。

  我們可以透過“控制皮膚”--“管理工具”--“計算機管理”--“使用者和使用者組”來檢視使用者組及該組下的使用者。

  我們用滑鼠右鍵單擊一個NTFS卷或NTFS卷下的一個目錄,選擇“屬性”--“安全”就可以對一個卷,或者一個卷下面的目錄進行許可權設定,此時我們會看到以下七種許可權:完全控制、修改、讀取和執行、列出資料夾目錄、讀取、寫入、和特別的許可權。“完全控制”就是對此卷或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”,下面的五項屬性將被自動被選中。

  “修改”則像Power users,選中了“修改”,下面的四項屬性將被自動被選中。下面的任何一項沒有被選中時,“修改”條件將不再成立。“讀取和執行”就是允許讀取和執行在這個卷或目錄下的任何檔案,“列出資料夾目錄”和“讀取”是“讀取和執行”的必要條件。

  “列出資料夾目錄”是指只能瀏覽該卷或目錄下的子目錄,不能讀取,也不能執行。“讀取”是能夠讀取該卷或目錄下的資料。“寫入”就是能往該卷或目錄下寫入資料。而“特別”則是對以上的六種許可權進行了細分。讀者可以自行對“特別”進行更深的研究,鄙人在此就不過多贅述了。

[@more@]

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10172717/viewspace-970956/,如需轉載,請註明出處,否則將追究法律責任。

相關文章