alec5439
2005-10-20, 06:53 PM
Windows下的權限設定詳解
隨著動網論壇的廣泛套用和動網上傳漏洞的被發現以及SQL注入式攻擊越來越多的被使用,WEBSHELL讓防火牆形同虛設,一台即使打了所有微軟修正檔、只讓80連接阜對外開放的WEB伺服器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統下的權限設定問題,我們可以對crackers們說:NO!
要打造一台安全的WEB伺服器,那麼這台伺服器就一定要使用NTFS和Windows NT/2000/2003。眾所周知,Windows是一個支持多用戶、多工作的操作系統,這是權限設定的基礎,一切權限設定都是關於用戶和工作而言的,不同的用戶在訪問這台電腦時,將會有不同的權限。
DOS跟WinNT的權限的分別
DOS是個單工作、單用戶的操作系統。但是我們能說DOS沒有權限嗎?不能!當我們開啟一台裝有DOS操作系統的電腦的時候,我們就擁有了這個操作系統的管理員權限,而且,這個權限無處不在。所以,我們只能說DOS不支持權限的設定,不能說它沒有權限。隨著人們安全意識的提高,權限設定隨著NTFS的發佈誕生了。
Windows NT裡,用戶被分成許多組,組和組之間都有不同的權限,當然,一個組的用戶和用戶之間也可以有不同的權限。下面我們來談談NT中一般的用戶組。
Administrators,管理員組,預設情況下,Administrators中的用戶對電腦/域有不受限制的完全訪問權。分配給該群組的預設權限允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該群組的成員。
Power Users,進階用戶組,Power Users 可以執行除了為 Administrators 組保留的工作外的其他任何操作系統工作。分配給 Power Users 組的預設權限允許 Power Users 組的成員修改整個電腦的設定。但Power Users 不具有將自己增加到 Administrators 組的權限。在權限設定中,這個組的權限是僅次於Administrators的。
Users:普通用戶組,這個組的用戶無法進行有意或無意的改動。因此,用戶可以執行經過驗證的應用程式,但不可以執行大多數舊版應用程式。Users 組是最安全的組,因為分配給該群組的預設權限不允許成員修改操作系統的設定或用戶資料。Users 組提供了一個最安全的程序執行環境。在經過 NTFS 格式化的捲上,預設安全性設定旨在禁止該群組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統註冊表設定、操作系統檔案或程式文件。Users 可以關閉工作站,但不能關閉伺服器。Users 可以新增本機組,但只能修改自己新增的本機組。
Guests:來賓組,按預設值,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。
Everyone:顧名思義,所有的用戶,這個電腦上的所有用戶都屬於這個組。
其實還有一個組也很一般,它擁有和Administrators一樣、甚至比其還高的權限,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是SYSTEM組。系統和系統級的服務正常執行所需要的權限都是靠它賦予的。由於該群組只有這一個用戶SYSTEM,也許把該群組歸為用戶的行列更為貼切。
權限的權力大小分析
權限是有高低之分的,有高權限的用戶可以對低權限的用戶進行操作,但除了Administrators之外,其他組的用戶不能訪問 NTFS 捲上的其他用戶資料,除非他們獲得了這些用戶的使用權。而低權限的用戶無法對高權限的用戶進行任何操作。
我們平常使用電腦的程序當中不會感覺到有權限在阻撓你去做某件事情,這是因為我們在使用電腦的時候都用的是Administrators中的用戶登入的。
這樣有利也有弊,利當然是你能去做你想做的任何一件事情而不會遇到權限的限制。弊就是以 Administrators 組成員的身份執行電腦將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 Internet 站點或開啟電子郵件附件的簡單行動都可能破壞系統。
不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬程式碼,這些程式碼可以下載到系統並被執行。如果以本機電腦的管理員身份登入,特洛伊木馬可能使用管理訪問權重新格式化您的硬碟,造成不可估量的損失,所以在沒有必要的情況下,最好不用Administrators中的用戶登入。
Administrators中有一個在系統安裝時就新增的預設用戶----Administrator,Administrator 帳戶具有對伺服器的完全控制權限,並可以根據需要向用戶指派用戶權利和訪問控制權限。
因此強烈建議將此帳戶設定為使用強密碼。
永遠也不可以從Administrators 組移除 Administrator 帳戶,但可以重新命名或禁用該帳戶。由於大家都知道「管理員」存在於許多版本的 Windows 上,所以重新命名或禁用此帳戶將使惡意用戶嘗試並訪問該帳戶變得更為困難。
對於一個好的伺服器管理員來說,他們通常都會重新命名或禁用此帳戶。Guests用戶組下,也有一個預設用戶----Guest,但是在預設情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。
何謂強密碼?就是字母與數位、大小互相組合的大於8位的複雜密碼,但這也不完全防得住眾多的黑客,只是一定程度上較為難破解。
我們可以通過「控制台」--「系統管理工具」--「電腦管理」--「用戶和用戶組」來檢視用戶組及該群組下的用戶。
我們用滑鼠右鍵按下一個NTFS磁碟區或NTFS磁碟區下的一個目錄,選項「內容」--「安全」就可以對一個磁碟區,或者一個磁碟區下面的目錄進行權限設定,此時我們會看到以下七種權限:完全控制、修改、讀取和執行、列出資料夾目錄、讀取、寫入、和特別的權限。「完全控制」就是對此磁碟區或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選了「完全控制」,下面的五項內容將被自動被選。
「修改」則像Power users,選了「修改」,下面的四項內容將被自動被選。下面的任何一項沒有被選時,「修改」條件將不再成立。「
讀取和執行」就是允許讀取和執行在這個磁碟區或目錄下的任何文件,「列出資料夾目錄」和「讀取」是「讀取和執行」的必要條件。
「列出資料夾目錄」是指只能瀏覽該磁碟區或目錄下的子目錄,不能讀取,也不能執行。
「讀取」是能夠讀取該磁碟區或目錄下的資料。「寫入」就是能往該磁碟區或目錄下寫入資料。而「特別」則是對以上的六種權限進行了細分。讀者可以自行對「特別」進行更深的研究,鄙人在此就不過多贅述了。
一台簡單伺服器的設定實例操作:
下面我們對一台剛剛安裝好操作系統和服務軟體的WEB伺服器系統和其權限進行全面的刨析。伺服器採用Windows 2000 Server版,安裝好了SP4及各種修正檔。
WEB服務軟體則是用了Windows 2000原有的的IIS 5.0,移除了一切不必要的映射。整個硬碟分為四個NTFS磁碟區,C碟為系統磁碟區,只安裝了系統和驅動程式;D碟為軟體磁碟區,該伺服器上所有安裝的軟體都在D碟中;E碟是WEB程序磁碟區,網站程序都在該磁碟區下的WWW目錄中;F盤是網站資料磁碟區,網站系統使用的所有資料都存放在該磁碟區的WWWDATABASE目錄下。
這樣的分類還算是比較符合一台安全伺服器的標準了。希望各個新手管理員能合理給你的伺服器資料進行分類,這樣不光是搜尋起來方便,更重要的是這樣大大的增強了伺服器的安全性,因為我們可以根據需要給每個磁碟區或者每個目錄都設定不同的權限,一旦發生了網路安全事故,也可以把損失降到最低。
當然,也可以把網站的資料分佈在不同的伺服器上,使之成為一個伺服器群,每個伺服器都擁有不同的用戶名和密碼並提供不同的服務,這樣做的安全性更高。不過願意這樣做的人都有一個特點----有錢。
好了,言歸正傳,該伺服器的資料庫為MS-SQL,MS-SQL的服務軟體SQL2000安裝在d:ms-sqlserver2K目錄下,給SA賬戶設定好了足夠強度的密碼,安裝好了SP3修正檔。為了方便網頁製作員對網頁進行管理,該網站還開通了FTP服務,FTP服務軟體使用的是SERV-U 5.1.0.0,安裝在d:ftpserviceserv-u目錄下。
殺毒軟體和防火牆用的分別是Norton Antivirus和BlackICE,路徑分別為d:nortonAV和d:firewallblackice,病毒庫已經昇級到最新,防火牆規則庫定義只有80連接阜和21連接阜對外開放。網站的內容是採用動網7.0的論壇,網站程序在e:wwwbbs下。
細心的讀者可能已經注意到了,安裝這些服務軟體的路徑我都沒有採用預設的路徑或者是僅僅更改磁碟代號的預設路徑,這也是安全上的需要,因為一個黑客如果通過某些途徑進入了你的伺服器,但並沒有獲得管理員權限,他首先做的事情將是檢視你開放了哪些服務以及安裝了哪些軟體,因為他需要通過這些來提升他的權限。
一個難以猜解的路徑加上好的權限設定將把他阻擋在外。相信經過這樣組態的WEB伺服器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了:
「這根本沒用到權限設定嘛!我把其他都安全工作都做好了,權限設定還有必要嗎?」當然有!
智者千慮還必有一失呢,就算你現在已經把系統安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發現。
作者已不可考!!
隨著動網論壇的廣泛套用和動網上傳漏洞的被發現以及SQL注入式攻擊越來越多的被使用,WEBSHELL讓防火牆形同虛設,一台即使打了所有微軟修正檔、只讓80連接阜對外開放的WEB伺服器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統下的權限設定問題,我們可以對crackers們說:NO!
要打造一台安全的WEB伺服器,那麼這台伺服器就一定要使用NTFS和Windows NT/2000/2003。眾所周知,Windows是一個支持多用戶、多工作的操作系統,這是權限設定的基礎,一切權限設定都是關於用戶和工作而言的,不同的用戶在訪問這台電腦時,將會有不同的權限。
DOS跟WinNT的權限的分別
DOS是個單工作、單用戶的操作系統。但是我們能說DOS沒有權限嗎?不能!當我們開啟一台裝有DOS操作系統的電腦的時候,我們就擁有了這個操作系統的管理員權限,而且,這個權限無處不在。所以,我們只能說DOS不支持權限的設定,不能說它沒有權限。隨著人們安全意識的提高,權限設定隨著NTFS的發佈誕生了。
Windows NT裡,用戶被分成許多組,組和組之間都有不同的權限,當然,一個組的用戶和用戶之間也可以有不同的權限。下面我們來談談NT中一般的用戶組。
Administrators,管理員組,預設情況下,Administrators中的用戶對電腦/域有不受限制的完全訪問權。分配給該群組的預設權限允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該群組的成員。
Power Users,進階用戶組,Power Users 可以執行除了為 Administrators 組保留的工作外的其他任何操作系統工作。分配給 Power Users 組的預設權限允許 Power Users 組的成員修改整個電腦的設定。但Power Users 不具有將自己增加到 Administrators 組的權限。在權限設定中,這個組的權限是僅次於Administrators的。
Users:普通用戶組,這個組的用戶無法進行有意或無意的改動。因此,用戶可以執行經過驗證的應用程式,但不可以執行大多數舊版應用程式。Users 組是最安全的組,因為分配給該群組的預設權限不允許成員修改操作系統的設定或用戶資料。Users 組提供了一個最安全的程序執行環境。在經過 NTFS 格式化的捲上,預設安全性設定旨在禁止該群組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統註冊表設定、操作系統檔案或程式文件。Users 可以關閉工作站,但不能關閉伺服器。Users 可以新增本機組,但只能修改自己新增的本機組。
Guests:來賓組,按預設值,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。
Everyone:顧名思義,所有的用戶,這個電腦上的所有用戶都屬於這個組。
其實還有一個組也很一般,它擁有和Administrators一樣、甚至比其還高的權限,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是SYSTEM組。系統和系統級的服務正常執行所需要的權限都是靠它賦予的。由於該群組只有這一個用戶SYSTEM,也許把該群組歸為用戶的行列更為貼切。
權限的權力大小分析
權限是有高低之分的,有高權限的用戶可以對低權限的用戶進行操作,但除了Administrators之外,其他組的用戶不能訪問 NTFS 捲上的其他用戶資料,除非他們獲得了這些用戶的使用權。而低權限的用戶無法對高權限的用戶進行任何操作。
我們平常使用電腦的程序當中不會感覺到有權限在阻撓你去做某件事情,這是因為我們在使用電腦的時候都用的是Administrators中的用戶登入的。
這樣有利也有弊,利當然是你能去做你想做的任何一件事情而不會遇到權限的限制。弊就是以 Administrators 組成員的身份執行電腦將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 Internet 站點或開啟電子郵件附件的簡單行動都可能破壞系統。
不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬程式碼,這些程式碼可以下載到系統並被執行。如果以本機電腦的管理員身份登入,特洛伊木馬可能使用管理訪問權重新格式化您的硬碟,造成不可估量的損失,所以在沒有必要的情況下,最好不用Administrators中的用戶登入。
Administrators中有一個在系統安裝時就新增的預設用戶----Administrator,Administrator 帳戶具有對伺服器的完全控制權限,並可以根據需要向用戶指派用戶權利和訪問控制權限。
因此強烈建議將此帳戶設定為使用強密碼。
永遠也不可以從Administrators 組移除 Administrator 帳戶,但可以重新命名或禁用該帳戶。由於大家都知道「管理員」存在於許多版本的 Windows 上,所以重新命名或禁用此帳戶將使惡意用戶嘗試並訪問該帳戶變得更為困難。
對於一個好的伺服器管理員來說,他們通常都會重新命名或禁用此帳戶。Guests用戶組下,也有一個預設用戶----Guest,但是在預設情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。
何謂強密碼?就是字母與數位、大小互相組合的大於8位的複雜密碼,但這也不完全防得住眾多的黑客,只是一定程度上較為難破解。
我們可以通過「控制台」--「系統管理工具」--「電腦管理」--「用戶和用戶組」來檢視用戶組及該群組下的用戶。
我們用滑鼠右鍵按下一個NTFS磁碟區或NTFS磁碟區下的一個目錄,選項「內容」--「安全」就可以對一個磁碟區,或者一個磁碟區下面的目錄進行權限設定,此時我們會看到以下七種權限:完全控制、修改、讀取和執行、列出資料夾目錄、讀取、寫入、和特別的權限。「完全控制」就是對此磁碟區或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選了「完全控制」,下面的五項內容將被自動被選。
「修改」則像Power users,選了「修改」,下面的四項內容將被自動被選。下面的任何一項沒有被選時,「修改」條件將不再成立。「
讀取和執行」就是允許讀取和執行在這個磁碟區或目錄下的任何文件,「列出資料夾目錄」和「讀取」是「讀取和執行」的必要條件。
「列出資料夾目錄」是指只能瀏覽該磁碟區或目錄下的子目錄,不能讀取,也不能執行。
「讀取」是能夠讀取該磁碟區或目錄下的資料。「寫入」就是能往該磁碟區或目錄下寫入資料。而「特別」則是對以上的六種權限進行了細分。讀者可以自行對「特別」進行更深的研究,鄙人在此就不過多贅述了。
一台簡單伺服器的設定實例操作:
下面我們對一台剛剛安裝好操作系統和服務軟體的WEB伺服器系統和其權限進行全面的刨析。伺服器採用Windows 2000 Server版,安裝好了SP4及各種修正檔。
WEB服務軟體則是用了Windows 2000原有的的IIS 5.0,移除了一切不必要的映射。整個硬碟分為四個NTFS磁碟區,C碟為系統磁碟區,只安裝了系統和驅動程式;D碟為軟體磁碟區,該伺服器上所有安裝的軟體都在D碟中;E碟是WEB程序磁碟區,網站程序都在該磁碟區下的WWW目錄中;F盤是網站資料磁碟區,網站系統使用的所有資料都存放在該磁碟區的WWWDATABASE目錄下。
這樣的分類還算是比較符合一台安全伺服器的標準了。希望各個新手管理員能合理給你的伺服器資料進行分類,這樣不光是搜尋起來方便,更重要的是這樣大大的增強了伺服器的安全性,因為我們可以根據需要給每個磁碟區或者每個目錄都設定不同的權限,一旦發生了網路安全事故,也可以把損失降到最低。
當然,也可以把網站的資料分佈在不同的伺服器上,使之成為一個伺服器群,每個伺服器都擁有不同的用戶名和密碼並提供不同的服務,這樣做的安全性更高。不過願意這樣做的人都有一個特點----有錢。
好了,言歸正傳,該伺服器的資料庫為MS-SQL,MS-SQL的服務軟體SQL2000安裝在d:ms-sqlserver2K目錄下,給SA賬戶設定好了足夠強度的密碼,安裝好了SP3修正檔。為了方便網頁製作員對網頁進行管理,該網站還開通了FTP服務,FTP服務軟體使用的是SERV-U 5.1.0.0,安裝在d:ftpserviceserv-u目錄下。
殺毒軟體和防火牆用的分別是Norton Antivirus和BlackICE,路徑分別為d:nortonAV和d:firewallblackice,病毒庫已經昇級到最新,防火牆規則庫定義只有80連接阜和21連接阜對外開放。網站的內容是採用動網7.0的論壇,網站程序在e:wwwbbs下。
細心的讀者可能已經注意到了,安裝這些服務軟體的路徑我都沒有採用預設的路徑或者是僅僅更改磁碟代號的預設路徑,這也是安全上的需要,因為一個黑客如果通過某些途徑進入了你的伺服器,但並沒有獲得管理員權限,他首先做的事情將是檢視你開放了哪些服務以及安裝了哪些軟體,因為他需要通過這些來提升他的權限。
一個難以猜解的路徑加上好的權限設定將把他阻擋在外。相信經過這樣組態的WEB伺服器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了:
「這根本沒用到權限設定嘛!我把其他都安全工作都做好了,權限設定還有必要嗎?」當然有!
智者千慮還必有一失呢,就算你現在已經把系統安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發現。
作者已不可考!!