重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:空间域名、网页空间、营销软件、网站建设、牟平网站维护、网站推广。
要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和WindowsNT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
WindowsNT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
PowerUsers,高级用户组,PowerUsers可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。分配给PowerUsers组的默认权限允许PowerUsers组的成员修改整个计算机的设置。但PowerUsers不具有将自己添加到Administrators组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users组提供了一个最安全的程序运行环境。在经过NTFS格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users可以关闭工作站,但不能关闭服务器。Users可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问NTFS卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以Administrators组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问Internet站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的Internet站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。
Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从Administrators组删除Administrator帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的Windows上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Powerusers,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows2000Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows2000自带的IIS5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。
希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:/ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。
为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U5.1.0.0,安装在d:/ftpservice/serv-u目录下。杀毒软件和防火墙用的分别是NortonAntivirus和BlackICE,路径分别为d:/nortonAV和d:/firewall/blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:/www/bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS5.0和Serv-u5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、NortonAntivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了NortonAntivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了NortonAntivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows2000的默认权限设置到底是怎样的`。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documentsandsettings、Programfiles和Winnt。对于Documentsandsettings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读运,列和读权限;Powerusers拥有读运,列和读权限;SYSTEM同Administrators;Users拥有读运,列和读权限。对于Programfiles,Administrators拥有完全控制权;Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Terminalserverusers拥有完全控制权,Users有读运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Users有读运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documentsandsettings以及Programfiles,只给Administrator完全控制权,或者干脆直接把Programfiles给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:/www目录,也就是网站目录读、写权。
最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
在Windows中,权限指的是不同账户对文件、文件夹、注册表等的访问能力。在Windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所使用、修改而造成信息泄露或安全问题。
NTFS(New Technology File System)是Windows NT操作环境和Windows NT高级服务器网络操作系统环境的文件系统。NTFS取代了文件分配表(FAT)文件系统,为Microsoft的Windows系列操作系统提供文件系统。NTFS对FAT和HPFS(高性能文件系统)做了若干改进,例如,支持元数据,并且使用了高级数据结构,便于改善性能、可靠性和磁盘空间利用率,并提供了若干附加扩展功能,如访问控制列表(ACL)和文件系统日志。
在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。另外,在采用NTFS格式的Windows 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全降低到最低。这些在FAT32文件系统下,是不能实现的。
这里讲的Windows文件系统的权限,都是基于磁盘是NTFS格式的前提下。即磁盘必须是NTFS格式的情况下,才可以对其进行权限设置。右击,查看磁盘的文件系统格式,如图 1所示。
该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,当勾选完全控制权限之后,其他权限会自动勾选。
该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限。
该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径。
该权限允许用户査看资源中的子文件夹与文件名称。
该权限允许用户查看该文件夹中的文件及子文件夹,也允许査看该文件夹的属性、所有者和拥有的权限等。
该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
该权限是对文件系统权限的进一步高级配置,这里不做讲解。
"拒绝优于允许原则"是一项非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,以及更加安全地管理用户权限。
在图2中可以看到,毎个权限后面都有允许和拒绝勾选框,假设一个用户Mike属于user用户组和admin用户组,user用户组对某资源性勾选了写权限允许选项,admin用户组勾选了写权限拒绝选项。那么Mike用户对这个资源是否拥有写权限呢了根据。拒绝优于允许原则。,Mike应该执行拒绝写权限。因此,不拥有写权限。
"保持用户最小的权限"作为一个基本原则执行,这一点是非常有必要的。这条原则可以确保资源得到最大限度的安全保障。这项原则可以尽量让用户不能访问或没必要访问的资源得到有效的权限赋予限制。
权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个。新建文件夹目录,在这个目录中有新建文件夹A、新建文件夹B、新建文件夹C等子目录,现在需要对新建文件夹目录及其下的子目录均设置Mike用户有写入权限。因为有继承性原则,所以只需对新建文件夹目录设置Mike用户有写入权限,其下的所有子目录将自动继承这个权限的设置。
假设现在Mike用户既属于A用户组,也属于B用户组,它在A用户组的权限是读取,在B用户组中的权限是写入,那么根据累加原则,Mike用户的实际权限将会是读取+写入两种。
Administrators本地组:本地系统管理员权限组。拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员账号Administrator就是该组的成员,而且无法将它从该组删除。如果这台计算机已加入域,则域的Domain Admins会自动加入到该计算机的Administrators组内。
Backup Operators:备份操作组。该组内的成员,不论他们是否有权访问这台计算机中的文件夹或文件,都可以通过“开始 → 所有程序 → 附件 → 系统工具 → 备份”的途径,备份和还原这些文件夹与文件。
Guests:访客用户组。该组是提供给没有用户的账户,但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为访客用户账号Guest。
Network ConfigurationOperators:网络配置操作组。该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务,也不可以执行与网络服务器设置有关的任务,例如DNS服务器、DHCP服务器的设置。
Power Users:高权限用户组。该组内的用户具备比Users组更多的权利,但比Adminstrators组拥有的去权利少一些,例如:
Remote Desktop Users:远程桌面用户组。该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录。
Users:普通用户组。该组用户只用户一些基本的权利,例如运行应用程序,但是不能修改操作系统的设置,不能更改其他用户的数据,不能关闭服务器级的计算机。所有添加的本地用户账户则自动属于该组。如果计算机已经加入域,则域的Domain Users会自动被加入到计算机的Users组中。
Everyone:任何一个用户都属于这个组。注意,如果Guest账户被启动时,则给Everyone这个组指派权限时必须小心,因为当一个没有账户的用户连接计算机时,他被允许自动利用Guest账户连接,但是因为Guest也属于Everyone组,所以他具备Everyone组所拥有的权限。
Authenticated Users:任何一个利用有效的用户账户连接的用户都属于这个组。建议在设置权限时,尽量针对Authenticated Users组进行设置,而针对Everyone组进行设置。
Interactive:任何在本地登录的用户都属于这个组。
Network:任何通过网络连接此计算机的用户都属于这个组。
Creator Owner:文件夹、文件或打印文件等资源创建者,就是该资源Creator Owner(创建所有者)。不过,如果创建者是属于Administrators组的成员,则其Creator Owner为Adminstrators组。
Anonymous Logo:任何未利用有效的Windows Server 2003账户连接的用户,都属于这个组。注意,在Windows 2003中,Everyone组内并不包含“Anonymous Logon”组。
IIS_WPG:IIS工作进程组。IIS WorkerProcess Group、IIS_WPG的成员具有适当的NTFS权限和必要的用户权限,可以充当IIS 6中工作进程标识。IWAM_计算机名用户通常属于该用户组。
IUSR_计算机名:通常称做“Web匿名用户”账号或“lntemet访问”账号。其中,计算机名是安装IIS时所使用的Netbios服务器名称。正如我们已经了解的那样,当IIS服务器启用匿名身份验证方式,且该服务器上存在针对特定访问请求类型具备适当NTFS权限的IUSR账号时,系统论自动对其加以应用。该用户通常属于User用户组或是Guest用户组
IWAM_账号:是安装IIS时系统自动建立的一个内置账号,主要用于启动进程之外的应用程序的Internet信息服务。该用户属于IIS_WPG用户组。
win10系统的访问权限在:
一、打开win系统电脑上的开始菜单的“设置”;
二、在设置面板中点击隐私选项
三、点击左侧边栏中的账户信息选项
四、在允许应用访问你的账户信息下方点击打开按钮,即可设置该权限。
Win10系统如何获取权限
Windows 10总是替我们想得很周到,各种各样的安全设置,云里雾里感觉老安全了。可是,为什么我自己的电脑,权限反而不是自己的?!删除个C盘的系统文件还要权限?别管那么多,把我的电脑还给我!
对“此电脑”右键选择“管理”进入管理设置;
在“系统工具”的下拉菜单中找到“本地用户和组”,右键点选用户中的Administrator,选择属性;
取消勾选“账户已禁用”项后确定,然后,按下Ctrl+Alt+Del,选择注销,在登陆界面使用Administrator账户登陆到系统,然后删除你需要删除掉的`文件,完毕后再次注销,换回自己常用的账号登录电脑即可(可以勾选账户已禁用项)。
神马?嫌弃Administrator账户切换太麻烦?好吧,其实还有一个方法,就是把自己正在使用的账户提升到最高权限。重复第一步和第二步,不同的是,在第二步时选择自己的登录账户,而不是Administrator,右键点选属性;
在弹出属性页面中,切换选项卡到“隶属于”,然后点击添加按钮;
弹出界面的“输入对象名称来选择”中输入“System Managed Accounts Group”,并点击“检查名称”,这时注意,刚才输入的文字下方出现了一个随文下划线,并且添加了前缀,确认即可;
完成后,重新启动电脑,你的账户就已经获得了最高的系统权限,无论操作什么,点击确定即可,甚至都不需要切换到Administrator了。
1.选取整个硬盘:
system:完全控制
administrator:完全控制
(允许将来自父系的可继承性权限传播给对象)
2/programfiles/commonfiles:
everyone组:读取及运行
列出文件目录
读取
(允许将来自父系的'可继承性权限传播给对象)
3./inetpub/wwwroot:(指的是WEB目录)
iusr_machine:
写入
读取
只要这两个,不要给运行的权限。
(允许将来自父系的可继承性权限传播给对象)
4./winnt/system32:
选择除inetsrv和centsrv以外的所有目录,
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
5./winnt:
选择除了downloadedprogramfiles、help、iistemporarycompressedfiles、offlinewebpages、system32、tasks、temp、web以外的所有目录
去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
6./winnt:
everyone:读取及运行
列出文件目录
读取
(允许将来自父系的可继承性权限传播给对象)
7./winnt/temp:(允许访问数据库并显示在asp页面上)
everyone:修改
(允许将来自父系的可继承性权限传播给对象)
以前有好多,不过这个最经典了,直接设置就可以了,呵呵