隨著動(dòng)網(wǎng)論壇的廣泛應(yīng)用和動(dòng)網(wǎng)上傳漏洞的被發(fā)現(xiàn)以及SQL注入式攻擊越來(lái)越多的被使用，WEBSHELL讓防火墻形同虛設(shè)，一臺(tái)即使打了所有微軟補(bǔ)丁、只讓80端口對(duì)外開(kāi)放的WEB服務(wù)器也逃不過(guò)被黑的命運(yùn)。難道我們真的無(wú)能為力了嗎?其實(shí)，只要你弄明白了NTFS系統(tǒng)下的權(quán)限設(shè)置問(wèn)題，我們可以對(duì)crackers們說(shuō)：NO!

　　要打造一臺(tái)安全的WEB服務(wù)器，那么這臺(tái)服務(wù)器就一定要使用NTFS和Windows NT/2000/2003。眾所周知，Windows是一個(gè)支持多用戶、多任務(wù)的操作系統(tǒng)，這是權(quán)限設(shè)置的基礎(chǔ)，一切權(quán)限設(shè)置都是基于用戶和進(jìn)程而言的，不同的用戶在訪問(wèn)這臺(tái)計(jì)算機(jī)時(shí)，將會(huì)有不同的權(quán)限。DOS是個(gè)單任務(wù)、單用戶的操作系統(tǒng)。但是我們能說(shuō)DOS沒(méi)有權(quán)限嗎?不能!當(dāng)我們打開(kāi)一臺(tái)裝有DOS操作系統(tǒng)的計(jì)算機(jī)的時(shí)候，我們就擁有了這個(gè)操作系統(tǒng)的管理員權(quán)限，而且，這個(gè)權(quán)限無(wú)處不在。所以，我們只能說(shuō)DOS不支持權(quán)限的設(shè)置，不能說(shuō)它沒(méi)有權(quán)限。隨著人們安全意識(shí)的提高，權(quán)限設(shè)置隨著NTFS的發(fā)布誕生了。

　　Windows NT里，用戶被分成許多組，組和組之間都有不同的權(quán)限，當(dāng)然，一個(gè)組的用戶和用戶之間也可以有不同的權(quán)限。下面我們來(lái)談?wù)凬T中常見(jiàn)的用戶組。

　　Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對(duì)計(jì)算機(jī)/域有不受限制的完全訪問(wèn)權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。

　　Power Users，高級(jí)用戶組，Power Users 可以執(zhí)行除了為 Administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 Power Users 組的默認(rèn)權(quán)限允許 Power Users 組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但Power Users 不具有將自己添加到 Administrators 組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于Administrators的。

　　Users:普通用戶組，這個(gè)組的用戶無(wú)法進(jìn)行有意或無(wú)意的改動(dòng)。因此，用戶可以運(yùn)行經(jīng)過(guò)驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用程序。Users 組是最安全的組，因?yàn)榉峙浣o該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users 組提供了一個(gè)最安全的程序運(yùn)行環(huán)境。在經(jīng)過(guò) NTFS 格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件。Users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。Users 可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。

　　Guests:來(lái)賓組，按默認(rèn)值，來(lái)賓跟普通Users的成員有同等訪問(wèn)權(quán)，但來(lái)賓帳戶的限制更多。

　　Everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。

　　其實(shí)還有一個(gè)組也很常見(jiàn)，它擁有和Administrators一樣、甚至比其還高的權(quán)限，但是這個(gè)組不允許任何用戶的加入，在察看用戶組的時(shí)候，它也不會(huì)被顯示出來(lái)，它就是SYSTEM組。系統(tǒng)和系統(tǒng)級(jí)的服務(wù)正常運(yùn)行所需要的權(quán)限都是靠它賦予的。由于該組只有這一個(gè)用戶SYSTEM，也許把該組歸為用戶的行列更為貼切。

　　權(quán)限是有高低之分的，有高權(quán)限的用戶可以對(duì)低權(quán)限的用戶進(jìn)行操作，但除了Administrators之外，其他組的用戶不能訪問(wèn) NTFS 卷上的其他用戶資料，除非他們獲得了這些用戶的授權(quán)。而低權(quán)限的用戶無(wú)法對(duì)高權(quán)限的用戶進(jìn)行任何操作。

　　我們平常使用計(jì)算機(jī)的過(guò)程當(dāng)中不會(huì)感覺(jué)到有權(quán)限在阻撓你去做某件事情，這是因?yàn)槲覀冊(cè)谑褂糜?jì)算機(jī)的時(shí)候都用的是Administrators中的用戶登陸的。這樣有利也有弊，利當(dāng)然是你能去做你想做的任何一件事情而不會(huì)遇到權(quán)限的限制。弊就是以 Administrators 組成員的身份運(yùn)行計(jì)算機(jī)將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險(xiǎn)的威脅。訪問(wèn) Internet 站點(diǎn)或打開(kāi)電子郵件附件的簡(jiǎn)單行動(dòng)都可能破壞系統(tǒng)。不熟悉的 Internet 站點(diǎn)或電子郵件附件可能有特洛伊木馬代碼，這些代碼可以下載到系統(tǒng)并被執(zhí)行。如果以本地計(jì)算機(jī)的管理員身份登錄，特洛伊木馬可能使用管理訪問(wèn)權(quán)重新格式化您的硬盤，造成不可估量的損失，所以在沒(méi)有必要的情況下，最好不用Administrators中的用戶登陸。

　　Administrators中有一個(gè)在系統(tǒng)安裝時(shí)就創(chuàng)建的默認(rèn)用戶----Administrator，Administrator 帳戶具有對(duì)服務(wù)器的完全控制權(quán)限，并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問(wèn)控制權(quán)限。因此強(qiáng)烈建議將此帳戶設(shè)置為使用強(qiáng)密碼。永遠(yuǎn)也不可以從 Administrators 組刪除 Administrator 帳戶，但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上，所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問(wèn)該帳戶變得更為困難。對(duì)于一個(gè)好的服務(wù)器管理員來(lái)說(shuō)，他們通常都會(huì)重命名或禁用此帳戶。Guests用戶組下，也有一個(gè)默認(rèn)用戶----Guest,但是在默認(rèn)情況下，它是被禁用的。如果沒(méi)有特別必要，無(wú)須啟用此賬戶。我們可以通過(guò)“控制面板”--“管理工具”--“計(jì)算機(jī)管理”--“用戶和用戶組”來(lái)查看用戶組及該組下的用戶。

　　我們用鼠標(biāo)右鍵單擊一個(gè)NTF

【 頂部 】 【 關(guān)閉 】