=======
windows下權限設置詳解
隨著動態論壇的廣泛應用,動態上傳漏洞的發現,sql註入攻擊的使用越來越多,webshell使得防火墻名存實亡,即使應用了所有的微軟補丁,壹個只對外開放80端口的web服務器也難逃被黑的命運。我們真的無能為力嗎?其實只要了解ntfs系統下權限設置的問題,我們就可以對破解者說不!
要建立安全的web服務器,此服務器必須使用ntfs和windows nt/2000/2003。眾所周知,windows是支持多用戶多任務的操作系統,這是權限設置的基礎。所有權限設置都基於用戶和流程。不同的用戶在訪問這臺計算機時會有不同的權限。Dos是壹個單任務單用戶操作系統。但是我們能說dos沒有權威嗎?不能!當我們打開壹臺安裝了dos操作系統的電腦,我們就擁有了這個操作系統的管理員權限,這個權限無處不在。所以只能說dos不支持權限的設置,不是說它沒有權限。隨著人們安全意識的提高,權限設置隨著ntfs的發布而誕生。
在windows nt中,用戶被分成許多組,每個組都有不同的權限。當然,壹個組中的用戶也可以有不同的權限。先說壹下nt中常見的用戶群。
管理員,管理員組。默認情況下,管理員中的用戶對計算機/域擁有無限制的完全訪問權限。分配給該組的默認權限允許完全控制整個系統。所以,只有信任的人才能成為這個群的成員。
超級用戶、高級用戶組、超級用戶可以執行任何其他操作系統任務,但保留給管理員組的任務除外。分配給超級用戶組的默認權限允許超級用戶組的成員修改整個計算機的設置。但是,超級用戶無權將自己添加到管理員組中。在權限設置中,該組的權限僅次於管理員。
用戶:壹般用戶組,該組中的用戶不能有意無意地進行更改。因此,用戶可以運行經過驗證的應用程序,但不能運行大多數遺留應用程序。用戶組是最安全的組,因為分配給該組的默認權限不允許成員修改操作系統設置或用戶數據。用戶組提供了壹個最安全的程序運行環境。在ntfs格式化的卷上,默認安全設置旨在防止該組成員危及操作系統和已安裝程序的完整性。用戶不能修改系統註冊表設置、操作系統文件或程序文件。用戶可以關閉工作站,但不能關閉服務器。用戶可以創建本地組,但只能修改自己創建的本地組。
客人:客群。默認情況下,來賓擁有與普通用戶相同的訪問權限,但是來賓帳戶有更多的限制。
所有人:顧名思義,所有用戶,這臺電腦上的所有用戶都屬於這個組。
其實還有壹個普通組,擁有和管理員壹樣甚至更高的權限,但是這個組不允許任何用戶加入,查看用戶組時也不會顯示。就是系統組。系統和系統級服務正常運行所需的權限取決於它。由於該組中只有壹個用戶系統,因此將該組歸類為用戶可能更合適。
有不同級別的權限。高權限的用戶可以操作低權限的用戶,但是其他組的用戶除了管理員不能訪問其他用戶在ntfs卷上的數據,除非得到這些用戶的授權。低權限的用戶不能對高權限的用戶做任何事情。
我們在使用電腦的時候通常不會覺得自己有權利阻止妳做某件事,因為我們都是用administrators裏面的用戶登錄的。這有利也有弊。當然,好處是可以隨心所欲,不受職權限制。缺點是以管理員組成員的身份運行計算機會使系統容易受到特洛伊病毒、病毒和其他安全風險的攻擊。壹個簡單的行為,訪問互聯網網站或打開電子郵件附件可以破壞系統。陌生的互聯網網站或電子郵件附件可能帶有特洛伊馬代碼,可以下載到系統中並執行。如果您以本地計算機的管理員身份登錄,特洛伊可能會使用管理訪問權限來重新格式化您的硬盤,從而造成不可估量的損失,因此在不必要的情況下,最好不要以管理員中的用戶身份登錄。在系統安裝時創建的管理員-管理員中有壹個默認用戶。管理員帳戶對服務器具有完全控制權限,並且可以根據需要向用戶分配用戶權限和訪問控制權限。因此,強烈建議將此帳戶設置為使用強密碼。您永遠不能從管理員組中刪除管理員帳戶,但可以重命名或禁用它。眾所周知,Administrator存在於許多版本的windows中,重命名或禁用此帳戶將使惡意用戶更難嘗試和訪問它。對於壹個好的服務器管理員,他們通常會重命名或禁用這個帳戶。在guess用戶組下,還有壹個默認用戶——guest,但是默認情況下,它是禁用的。除非特別必要,否則不需要激活這個賬號。我們可以通過控制面板-管理工具-計算機管理-用戶和用戶組查看用戶組和該組下的用戶。
我們可以右鍵單擊ntfs卷或ntfs卷下的目錄,然後選擇“屬性”-“安全性”,為卷或卷下的目錄設置權限。此時,我們將看到以下七種權限:完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入和特殊權限。“完全控制”意味著對該卷或目錄擁有無限制的完全訪問權限。狀態就像所有組中管理員的狀態壹樣。當選擇“完全控制”時,將自動選擇以下五個屬性。“修改”就像超級用戶。如果選擇“修改”,將自動選擇以下四個屬性。當未選擇以下任何壹項時,“修改”條件將不再成立。“讀取並運行”是指允許讀取並運行該卷或目錄中的任何文件,“列出文件夾目錄”和“讀取”是“讀取並運行”的必要條件。“列出文件夾目錄”是指只能瀏覽卷或目錄下的子目錄,不能讀取或運行。“讀取”意味著能夠讀取該卷或目錄中的數據。“寫入”意味著數據可以寫入卷或目錄。而“特殊”是上述六項權利的細分。讀者可以自己對“特別”進行更深入的研究,這裏就不贅述了。
我們來綜合分析壹下壹個剛安裝了操作系統和服務軟件的web服務器系統及其權限。服務器是windows 2000 server版本,安裝了sp4和各種補丁。Web服務軟件使用windows 2000附帶的iis 5.0,並刪除所有不必要的映射。整個硬盤分為四個ntfs卷,驅動器C是壹個系統卷,只安裝了系統和驅動程序。D盤是軟件卷,這個服務器上安裝的所有軟件都在D盤;e盤是壹個web程序卷,所有網站程序都在這個卷下的www目錄中;驅動器F是壹個網站數據卷,網站系統調用的所有數據都存放在這個卷的wwwdatabase目錄下。這種分類非常符合安全服務器的標準。希望每個新手管理員能夠合理的對妳的服務器數據進行分類,不僅方便查找,更重要的是大大增強了服務器的安全性,因為我們可以根據需要對每個卷或者目錄設置不同的權限,壹旦發生網絡安全事故,可以將損失降到最低。當然,網站的數據也可以分布在不同的服務器上,使之成為壹個服務器組,每個服務器都有不同的用戶名和密碼,提供不同的服務,更加安全。但是,願意這樣做的人都有壹個特點——錢:)。好了,言歸正傳,服務器的數據庫是ms-sql,在d:\ms-sqlserver2k目錄下安裝ms-sql的服務軟件sql2000,並為sa帳號設置足夠強度的密碼,安裝sp3補丁。為了方便網頁制作者管理網頁,網站還開通了ftp服務。ftp服務軟件使用serv-u 5.1.0.0,安裝在d:\ftpservice\serv-u目錄下。Norton antivirus和blackice分別用於殺毒軟件和防火墻,路徑分別為D: \ Nordonav和d:\firewall\blackice。病毒庫已經升級到最新,防火墻規則庫定義為只有80端口和21端口。網站內容是壹個使用動態Web 7.0的論壇,網站程序在e:\www\bbs下。細心的讀者可能註意到了,我沒有使用默認路徑安裝這些服務軟件或者只是更改了盤符的默認路徑,這也是壹種安全需要,因為如果黑客通過壹些渠道進入妳的服務器,但是沒有獲得管理員權限,他首先會做的就是檢查妳開通了哪些服務,安裝了哪些軟件,因為他需要通過這些來提升自己的權限。壹個難以猜測的路徑和壹個好的權限設置會把他擋在外面。我相信這樣配置的web服務器足以抵禦大部分學習不熟練的黑客。讀者可能又要問了:“這根本不用權限設置啊!其他安全工作我都做了,還有必要設置權限嗎?”當然有!即使是聰明人有時也會點頭。就算妳現在已經把系統安全做的很完美了,也要知道新的安全漏洞總是在被發現。許可將是妳最後的防線!那我們就對這臺沒有設置任何權限,全部使用windows默認權限的服務器進行模擬攻擊,看看是否真的固若金湯。
假設服務器的外網域名為[imga]/jyjbs/PIC/URL。GIF [/imga]。用掃描軟件掃描後發現www和ftp服務都是打開的,服務軟件是iis 5.0和serv-u 5.1。為他們使用了壹些溢出工具後發現無效,於是放棄了直接遠程溢出的想法。打開網站頁面,發現我用的是動態論壇系統,於是在它的域名後面加了壹個/upfile.asp。發現壹個文件上傳漏洞,我搶到包,用nc提交修改後的asp特洛伊,提示上傳成功,我成功拿到了webshell。當我打開新上傳的asp特洛伊時,我發現ms-sql、諾頓殺毒和blackice正在運行。判斷防火墻被限制,sql服務端口被阻塞。我通過asp特洛伊找到了諾頓殺毒和blackice的pid,通過asp特洛伊上傳了壹個可以殺死進程的文件。跑完之後,我殺了諾頓殺毒和小黑。再次掃描,發現端口1433是開放的。此時,有很多方法可以獲得管理員權限。可以在網站目錄中查看conn.asp,獲取sql的用戶名和密碼,然後登錄sql添加用戶,提升管理員權限。也可以抓取serv-u下的servudaemon.ini,修改後上傳獲得系統管理員的權限。也可以通過本地溢出serv-u的工具直接將用戶添加到管理員中,等等。可以看到,黑客壹旦找到突破點,就會順利獲得管理員的權限,沒有權限限制。
那麽我們來看看windows 2000的默認權限是什麽。對於每個卷的根目錄,默認情況下,everyone組擁有完全控制權。這意味著任何進入電腦的用戶都可以在這些根目錄中為所欲為,不受限制。系統卷下有三個特殊的目錄,默認情況下系統給它們有限的權限。這三個目錄是文檔和設置、程序文件和winnt。對於文檔和設置,默認權限分配如下:管理員擁有完全控制權限;大家都讀過&;傳輸、列和讀取權限;超級用戶已閱讀&;傳輸、列和讀取權限;系統與管理員相同;用戶已讀& amp;傳輸、列和讀取權限。對於程序文件,管理員擁有完全控制權;創造者擁有特殊權利;高級用戶擁有完全控制權;系統與管理員相同;終端服務器用戶擁有完全控制權,用戶擁有讀取& amp;傳輸、列和讀取權限。對於winnt,管理員擁有完全控制權;創造者擁有特殊權利;高級用戶擁有完全控制權;系統與管理員相同;用戶已閱讀&;傳輸、列和讀取權限。非系統卷下的所有目錄都將繼承其父目錄的權限,即everyone組擁有完全控制權!
現在妳知道為什麽我們在剛剛測試的時候能夠順利獲得管理員的許可了吧?權限設置太低!當壹個人訪問壹個網站時,會自動給壹個iusr用戶,這個用戶屬於訪客群。本來權限不高,但是系統默認給了所有人完全控制權,讓它“身價倍增”,最後得到了管理員。那麽,如何設置這個web服務器的權限才是安全的呢?大家要牢記壹句話:“最小服務+最小權限=最大安全”。對於服務,如果沒有必要,就不要安裝。妳要知道服務的操作是系統級的。對於權限,按照夠用的原則分配就行了。對於web服務器,以剛才的服務器為例。我是這樣設置權限的。可以參考壹下:各卷的根目錄、文檔和設置、程序文件只給管理員完全控制,或者幹脆刪除程序文件;向系統卷的根目錄中多添加壹個每個人的讀寫權限;給e:\www目錄,也就是網站目錄讀寫的權限。最後,我們必須挖出cmd.exe的文件,並且只給管理員完全的控制權。這樣設置之後,就不可能用我剛才的方式入侵這個服務器了。也許這時會有讀者問:“為什麽要給每個人對系統卷根目錄的讀寫權限?在網站中運行asp文件不需要運行權限嗎?”問得好,深。嗯,如果系統卷沒有給每個人讀寫的權限,當妳啟動電腦時,電腦會報錯,提示虛擬內存不足。當然,還有壹個前提——系統盤上分配了虛擬內存。如果虛擬內存分配在其他卷上,那麽您應該給每個人讀寫該卷的權利。誠然,asp文件是在服務器上執行的,只有執行的結果才被送回最終用戶的瀏覽器。但是asp文件不是系統意義上的可執行文件,而是由web服務的提供者IIS來解釋和執行的,所以它的執行不需要運行的權限。
經過上面的講解,妳壹定對權威有了初步的了解吧?如果妳想更多地了解權威,就不能不知道權威的壹些特性。權威具有繼承性、累積性、優先性和重疊性。
繼承是指下級目錄在復位前擁有上級目錄的權限設置。這裏還有壹個情況需要說明。當復制分區中的目錄或文件時,復制的目錄和文件將具有其所在的上壹級目錄權限設置。但是,當移動分區中的目錄或文件時,移動的目錄和文件將保留其原始權限設置。
累加是指如果壹個組group1中有兩個用戶user2,他們對壹個文件或目錄的訪問權限分別是“讀”和“寫”,那麽組group1對該文件或目錄的訪問權限就是user1和user2的訪問權限之和,實際上是最大的壹個,也就是說。另壹個例子是,用戶1同時屬於組1和組2,組1對文件或目錄的訪問權限是“只讀”,而組2對該文件或文件夾的訪問權限是“完全控制”,則用戶1對該文件或文件夾的訪問權限是這兩個組的權限之和,即。
優先級,這個權限特性包括兩個子特性。壹個是文件的訪問權限優先於目錄的權限,這意味著文件權限可以覆蓋目錄的權限,而不管下壹級文件夾的設置如何。另壹個功能是“拒絕”權限優先於其他權限,這意味著“拒絕”權限可以覆蓋所有其他權限。壹旦選擇了“拒絕”權限,其他權限就不能生效,相當於沒有設置。
交集是指當同壹個文件夾同時為壹個用戶設置了該文件夾的訪問權限,且設置的權限不壹致時,其權衡原則是取兩個權限的交集,即最嚴格最小的壹個。如果目錄A為用戶1設置的* *訪問權限為只讀,目錄A為用戶1設置的訪問權限為完全控制,則用戶1的最終訪問權限為只讀。
關於權限設置我就講到這裏。最後想提醒讀者,權限設置只能在ntfs分區實現,fat32不支持權限設置。同時,我也想給管理員壹些建議:
1.養成良好的習慣,對服務器的硬盤進行明確的分類,不用的時候鎖好服務器,經常更新各種補丁,升級殺毒軟件。
2.設置足夠強度的密碼是老生常談,但總有管理員設置弱密碼甚至空密碼。
3.盡量不要在默認路徑安裝各種軟件。
4.當英語水平不成問題時,盡量安裝英文版的操作系統。
5.切勿在服務器上安裝軟件或不必要的服務。
6.記住:沒有永遠安全的系統,經常更新妳的知識。
壹.權力的來源
在遠處的壹座山腳下,有壹片森林環繞的草原,在草原的邊緣住著壹群牧民。在草原邊緣的森林裏,有各種各樣的動物,包括野狼。
因為羊是牧民的主要生活來源,所以價值特別珍貴。為了防止羊群逃跑和被野生動物襲擊,每個牧民都把自己的羊圈起來,只留壹個小門,讓羊每天傍晚都可以出去到壹定範圍的草原上,達到壹定規模的保護和管理效果。
野狼起初只知道抓兔子等野生動物在森林裏生存,卻沒有發現遠處草原邊緣有羊。於是,他們相安無事地生活了壹段時間,直到有壹天,壹只碰巧跑到森林邊緣追兔子的狼,用它靈敏的鼻子聞到了遠處淡淡的烤羊肉的味道。
那天晚上,突如其來的狼群襲擊了草原上大部分牧民養的羊。他們完全無視牧民搭建的只能阻擋羊群的矮柵欄,壹個輕微的跳躍就突破了這道防線...雖然聞訊趕來的牧民配合擊退了狼群,但羊已經受到了壹定的損失。
事後,牧民們明白了,圍欄不僅僅是防止羊逃跑的墻,所有的牧民都忙著加高加固圍欄...
現在使用Windows 2000/XP等操作系統的用戶,或多或少都聽說過“特權”這個概念,但可能真正理解它的家庭用戶並不多。那麽,什麽是“特權”?對於普通用戶,我們可以理解為系統對用戶可以執行的功能設置的附加限制,用於進壹步限制計算機用戶可以操作的系統功能和內容訪問範圍。或者說,權限意味著特定用戶擁有使用系統資源的特定權利。
掌握了“環級”概念的讀者可能會問,在盛行的80386保護模式下,處理器不是已經對指令執行做了“運行級”的限制嗎?而且我們也知道,面對用戶操作的Ring 3級,與系統內核操作的Ring 0級相比,可以直接處理的事務已經大大減少了。為什麽要在運行在環3級別的操作系統的人機交互界面上建立壹套“權限”概念,用“權限差”來進壹步限制用戶的操作?這是因為前者針對的是機器可以執行的指令代碼權限,後者針對的是坐在電腦前的用戶。
對於計算機來說,系統執行的代碼可能會對它造成傷害,於是處理器就想出了Ring這個概念,限定壹部分“暴露”的操作界面用於人機交互,防止它在壹時發熱發出有害指令;至於操作界面,用戶的每壹步操作仍然可能傷害到自己和底層系統——雖然已經禁止執行很多有害代碼,但是壹些無法禁止的功能仍然在威脅著這個安全系統,比如格式化操作、刪除修改文件等。這些操作在計算機看來只是“不嚴肅”的磁盤文件處理功能,但是它忽略了壹點,操作系統本身就是壹個駐留在磁盤介質上的文件!所以操作系統為了保護自己,需要在Ring 3 cage限制的操作界面基礎上,創建壹個限制用戶的圍欄。這是我們現在要討論的權利。它是為了限制用戶而存在的,對每個用戶的限制是不壹樣的。在這種思想的指導下,有的用戶可以在比較大的範圍內操作,有的只能操作自己的文件,有的甚至什麽都不能做...
正因為如此,計算機用戶被分為:管理員、普通用戶、受限用戶、訪客等...
還記得舊的Windows 9x和MS-DOS嗎?他們只有基本的響鈴權限保護(實模式DOS連響鈴等級都沒有)。在這種系統架構下,所有用戶都擁有相同的權力,任何人都是管理員,系統並沒有為環境安全提供任何保障——它甚至沒有提供壹個實用有用的登錄界面,除了壹個“假登錄”的限制,妳可以正常進入系統,隨便按ESC就可以做任何操作。對於這樣的系統,不熟悉電腦的用戶往往會不小心破壞系統,病毒特洛伊自然不會放過這樣壹塊“軟”蛋糕。在當今崇尚信息安全的時代,Windows 9x已經成為名副其實的雞肋系統,最終淡出了人們的視線。而是從Windows NT家族發展而來的Windows 2000和Windows XP,以及近年來致力於桌面用戶的Linux系統,才是在這個安全危機的時代,能夠滿足個人隱私和數據安全要求的系統。
Win2000/XP系統是微軟Windows NT技術的產物,是基於服務器安全環境思想的純32位系統。NT技術沒有辜負微軟的發展。它穩定安全,提供了壹個相對完善的多用戶環境,最重要的是,它實現了系統權限的分配,從而杜絕了Win9x時代帶來的不安全操作習慣所帶來的最嚴重後果。
二。權力的分配
1.常規權限
雖然Win2000/XP等系統提供了“權限”的功能,但這帶來了壹個新的問題:如何合理分配權限?如果每個人都有相同的權限,說明每個人都沒有權限限制。那和用Win9x有什麽區別?幸運的是,系統默認為我們設置了壹個“權限組”,我們只需要將用戶添加到相應的組中,就可以擁有該組賦予的操作權限。這種做法被稱為權限分配。
默認情況下,用戶分為六組,每組被賦予不同的操作權限,分別是管理員、超級用戶、普通用戶、備份操作員、文件復制器和來賓。為了維護系統,設置了備份操作組和文件復制組。通常情況下,
系統默認的分組是根據壹定的管理憑證來分配權限,而不是隨機分配。管理員組擁有大部分電腦操作權限(不是全部),可以隨意修改刪除所有文件,修改系統設置。再往下是高權限用戶組,可以做大部分事情,但是不能修改系統設置,不能運行壹些涉及系統管理的程序。普通用戶組被系統綁定在自己的站點上,不能處理其他用戶的文件和運行管理相關的程序。來賓用戶組的文件操作權限與普通用戶組相同,但不能再執行任何程序。
這是對系統分配給每個組的權限的描述。細心的用戶可能會發現為什麽裏面描述的“不能處理其他用戶的文件”這個規則不成立。我可以訪問所有文件,但不能修改系統設置。權限設置本身有問題嗎?事實上,NT技術的壹些功能只有通過特有的“NTFS”(NT文件系統)分區才能實現,而文件操作的權限分配是最敏感的部分。大多數家庭用戶的分區都是FAT32格式,不支持NT技術的安全功能。因此,即使是guest用戶也可以在這樣的文件系統分區上隨意瀏覽和修改系統管理員創建的文件(除了* * *對寫操作的訪問限制),但這並沒有。
2.特殊權限
除了上面提到的六種默認權限組,系統中還有壹些特殊權限成員,是為了特殊目的而設置的,分別是:SYSTEM(系統)、Everyone(所有者)、CREATOR OWNER等。這些特殊會員不被任何內置用戶組吸收,屬於完全獨立的賬號。(圖。享有特權的成員)
我前面沒有用“全部”來形容管理員分組的權限,這就是秘訣。不要相信系統描述的“無限制完全訪問”。它不會蠢到把自己完全交給人類。管理員分組也有壹定限制,但不是那麽明顯。真正擁有“完全權限”的成員只有壹個:system。這個成員是系統生成的,真正擁有整臺電腦管理權限的賬號是無法通過壹般操作獲得其同等權限的。
“所有人”的權限類似於普通用戶組。它的存在是為了允許用戶訪問標記為“public”的文件,這也是壹些程序正常運行所需的訪問權限——任何人都可以正常訪問具有“Everyone”權限的文件,包括guest組的成員。
標記為“創建者”權限的文件只能由創建該文件的用戶訪問,從而實現了壹定程度的隱私保護。
但是,除非用戶使用NTFS加密,否則管理員組用戶和系統成員可以忽略所有文件訪問權限。
普通權限和特殊權限都可以“疊加”使用,也就是多個權限壹起使用。例如,壹個帳戶最初屬於Users組,然後我們將它添加到Administrators組,所以現在該帳戶同時擁有兩個權限,而不是用administrator權限覆蓋原來的身份。權限疊加不是沒有意義的。在壹些需要特定身份訪問的場合,用戶只有為自己設置了指定的身份才能訪問。這時使用“疊加”可以減少壹部分勞動。
3.NTFS和權限
前面我提到了NTFS文件系統。安裝了Win2000/XP的用戶應該註意到在安裝過程中選擇了“將分區格式轉換為NTFS”。那麽什麽是NTFS呢?
NTFS是壹種專門為網絡和磁盤配額、文件加密和其他管理安全功能設計的磁盤格式。只有使用NT技術的系統才能直接支持。也就是說,如果系統崩潰,用戶將無法用流行的常用光盤啟動工具修復系統。所以是用傳統的FAT32還是NTFS壹直是個有爭議的話題。但是,如果用戶想使用完整的系統權限功能或將其安裝為服務器,建議使用NTFS分區格式。
與FAT32分區相比,NTFS分區有壹個“安全”特性,用戶可以進壹步設置相關的文件訪問權限,上面提到的相關用戶組分配的文件權限只能在NTFS分區中體現。例如,guest組中的用戶不再能夠隨便訪問NTFS格式分區中的任何文件,這樣可以減少網站服務器帶來的入侵損失,因為IIS帳戶對系統的訪問權限只在guest級別。如果入侵者不能升級權限,那麽他的入侵可以視為浪費時間。
在使用NTFS分區時,用戶會註意到系統為管理員組中的用戶設置的限制:有些文件即使是管理員也無法訪問,因為它們是由系統成員創建的,並且設置了權限。