主頁 > 知識庫 > Windows 操作系統(tǒng)賬戶權(quán)限設(shè)置詳解

Windows 操作系統(tǒng)賬戶權(quán)限設(shè)置詳解
熱門標(biāo)簽:蘋果地圖應(yīng)用圖標(biāo)注冊 上海自動外呼系統(tǒng)加盟 申請個人400電話 商洛外呼系統(tǒng)定制開發(fā) 百度地圖如何做地圖標(biāo)注 贛州便宜外呼系統(tǒng) 湖南外呼系統(tǒng) 地圖標(biāo)注輻射字幕素材 外呼系統(tǒng)培訓(xùn)心得
難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統(tǒng)下的權(quán)限設(shè)置問題,我們可以對crackers們說:NO!

要打造一臺安全的WEB服務(wù)器,那么這臺服務(wù)器就一定要使用NTFS和Windows NT/2000/2003。眾所周知,Windows是一個支持多用戶、多任務(wù)的操作系統(tǒng),這是權(quán)限設(shè)置的基礎(chǔ),一切權(quán)限設(shè)置都是基于用戶和進(jìn)程而言的,不同的用戶在訪問這臺計算機時,將會有不同的權(quán)限。

DOS跟WinNT的權(quán)限的分別

DOS是個單任務(wù)、單用戶的操作系統(tǒng)。但是我們能說DOS沒有權(quán)限嗎?不能!當(dāng)我們打開一臺裝有DOS操作系統(tǒng)的計算機的時候,我們就擁有了這個操作系統(tǒng)的管理員權(quán)限,而且,這個權(quán)限無處不在。所以,我們只能說DOS不支持權(quán)限的設(shè)置,不能說它沒有權(quán)限。隨著人們安全意識的提高,權(quán)限設(shè)置隨著NTFS的發(fā)布誕生了。

Windows NT里,用戶被分成許多組,組和組之間都有不同的權(quán)限,當(dāng)然,一個組的用戶和用戶之間也可以有不同的權(quán)限。下面我們來談?wù)凬T中常見的用戶組。

Administrators,管理員組,默認(rèn)情況下,Administrators中的用戶對計算機/域有不受限制的完全訪問權(quán)。分配給該組的默認(rèn)權(quán)限允許對整個系統(tǒng)進(jìn)行完全控制。所以,只有受信任的人員才可成為該組的成員。

Power Users,高級用戶組,Power Users 可以執(zhí)行除了為 Administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 Power Users 組的默認(rèn)權(quán)限允許 Power Users 組的成員修改整個計算機的設(shè)置。但Power Users 不具有將自己添加到 Administrators 組的權(quán)限。在權(quán)限設(shè)置中,這個組的權(quán)限是僅次于Administrators的。

Users:普通用戶組,這個組的用戶無法進(jìn)行有意或無意的改動。因此,用戶可以運行經(jīng)過驗證的應(yīng)用程序,但不可以運行大多數(shù)舊版應(yīng)用程序。Users 組是最安全的組,因為分配給該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。Users 組提供了一個最安全的程序運行環(huán)境。在經(jīng)過 NTFS 格式化的卷上,默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊表設(shè)置、操作系統(tǒng)文件或程序文件。Users 可以關(guān)閉工作站,但不能關(guān)閉服務(wù)器。Users 可以創(chuàng)建本地組,但只能修改自己創(chuàng)建的本地組。

Guests:來賓組,按默認(rèn)值,來賓跟普通Users的成員有同等訪問權(quán),但來賓帳戶的限制更多。

Everyone:顧名思義,所有的用戶,這個計算機上的所有用戶都屬于這個組。

其實還有一個組也很常見,它擁有和Administrators一樣、甚至比其還高的權(quán)限,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是SYSTEM組。系統(tǒng)和系統(tǒng)級的服務(wù)正常運行所需要的權(quán)限都是靠它賦予的。由于該組只有這一個用戶SYSTEM,也許把該組歸為用戶的行列更為貼切。

權(quán)限實例攻擊

權(quán)限將是你的最后一道防線!那我們現(xiàn)在就來對這臺沒有經(jīng)過任何權(quán)限設(shè)置,全部采用Windows默認(rèn)權(quán)限的服務(wù)器進(jìn)行一次模擬攻擊,看看其是否真的固若金湯。

假設(shè)服務(wù)器外網(wǎng)域名為http://www.webserver.com,用掃描軟件對其進(jìn)行掃描后發(fā)現(xiàn)開放WWW和FTP服務(wù),并發(fā)現(xiàn)其服務(wù)軟件使用的是IIS5.0和Serv-u 5.1,用一些針對他們的溢出工具后發(fā)現(xiàn)無效,遂放棄直接遠(yuǎn)程溢出的想法。

打開網(wǎng)站頁面,發(fā)現(xiàn)使用的是動網(wǎng)的論壇系統(tǒng),于是在其域名后面加個/upfile.asp,發(fā)現(xiàn)有文件上傳漏洞,便抓包,把修改過的ASP木馬用NC提交,提示上傳成功,成功得到WEBSHELL,打開剛剛上傳的ASP木馬,發(fā)現(xiàn)有MS-SQL、Norton Antivirus和BlackICE在運行,判斷是防火墻上做了限制,把SQL服務(wù)端口屏蔽了。

通過ASP木馬查看到了Norton Antivirus和BlackICE的PID,又通過ASP木馬上傳了一個能殺掉進(jìn)程的文件,運行后殺掉了Norton Antivirus和BlackICE。再掃描,發(fā)現(xiàn)1433端口開放了,到此,便有很多種途徑獲得管理員權(quán)限了,可以查看網(wǎng)站目錄下的conn.asp得到SQL的用戶名密碼,再登陸進(jìn)SQL執(zhí)行添加用戶,提管理員權(quán)限。也可以抓SERV-U下的ServUDaemon.ini修改后上傳,得到系統(tǒng)管理員權(quán)限。

還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到,一旦黑客找到了切入點,在沒有權(quán)限限制的情況下,黑客將一帆風(fēng)順的取得管理員權(quán)限。

那我們現(xiàn)在就來看看Windows 2000的默認(rèn)權(quán)限設(shè)置到底是怎樣的。對于各個卷的根目錄,默認(rèn)給了Everyone組完全控制權(quán)。這意味著任何進(jìn)入電腦的用戶將不受限制的在這些根目錄中為所欲為。

系統(tǒng)卷下有三個目錄比較特殊,系統(tǒng)默認(rèn)給了他們有限制的權(quán)限,這三個目錄是Documents and settings、Program files和Winnt。對于Documents and settings,默認(rèn)的權(quán)限是這樣分配的:Administrators擁有完全控制權(quán);Everyone擁有讀運,列和讀權(quán)限;Power users擁有讀運,列和讀權(quán)限;SYSTEM同Administrators;Users擁有讀運,列和讀權(quán)限。對于Program files,Administrators擁有完全控制權(quán);Creator owner擁有特殊權(quán)限;Power users有完全控制權(quán);SYSTEM同Administrators;Terminal server users擁有完全控制權(quán),Users有讀運,列和讀權(quán)限。

對于Winnt,Administrators擁有完全控制權(quán);Creator owner擁有特殊權(quán)限;Power users有完全控制權(quán);SYSTEM同Administrators;Users有讀運,列和讀權(quán)限。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限,也就是Everyone組完全控制權(quán)!

現(xiàn)在大家知道為什么我們剛剛在測試的時候能一帆風(fēng)順的取得管理員權(quán)限了吧?權(quán)限設(shè)置的太低了!一個人在訪問網(wǎng)站的時候,將被自動賦予IUSR用戶,它是隸屬于Guest組的。本來權(quán)限不高,但是系統(tǒng)默認(rèn)給的Everyone組完全控制權(quán)卻讓它“身價倍增”,到最后能得到Administrators了。

那么,怎樣設(shè)置權(quán)限給這臺WEB服務(wù)器才算是安全的呢?大家要牢記一句話:“最少的服務(wù)+最小的權(quán)限=最大的安全”對于服務(wù),不必要的話一定不要裝,要知道服務(wù)的運行是SYSTEM級的哦,對于權(quán)限,本著夠用就好的原則分配就是了。

對于WEB服務(wù)器,就拿剛剛那臺服務(wù)器來說,我是這樣設(shè)置權(quán)限的,大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files,只給Administrator完全控制權(quán),或者干脆直接把Program files給刪除掉;給系統(tǒng)卷的根目錄多加一個Everyone的讀、寫權(quán);給e:www目錄,也就是網(wǎng)站目錄讀、寫權(quán)。

最后,還要把cmd.exe這個文件給挖出來,只給Administrator完全控制權(quán)。經(jīng)過這樣的設(shè)置后,再想通過我剛剛的方法入侵這臺服務(wù)器就是不可能完成的任務(wù)了。可能這時候又有讀者會問:“為什么要給系統(tǒng)卷的根目錄一個Everyone的讀、寫權(quán)?網(wǎng)站中的ASP文件運行不需要運行權(quán)限嗎?”問的好,有深度。是這樣的,系統(tǒng)卷如果不給Everyone的讀、寫權(quán)的話,啟動計算機的時候,計算機會報錯,而且會提示虛擬內(nèi)存不足。

當(dāng)然這也有個前提----虛擬內(nèi)存是分配在系統(tǒng)盤的,如果把虛擬內(nèi)存分配在其他卷上,那你就要給那個卷Everyone的讀、寫權(quán)。ASP文件的運行方式是在服務(wù)器上執(zhí)行,只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器,這沒錯,但ASP文件不是系統(tǒng)意義上的可執(zhí)行文件,它是由WEB服務(wù)的提供者----IIS來解釋執(zhí)行的,所以它的執(zhí)行并不需要運行的權(quán)限。

標(biāo)簽:遵義 揭陽 試駕邀約 陜西 河北 西安 南陽 青海

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Windows 操作系統(tǒng)賬戶權(quán)限設(shè)置詳解》,本文關(guān)鍵詞  Windows,操作系統(tǒng),賬戶,權(quán)限,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Windows 操作系統(tǒng)賬戶權(quán)限設(shè)置詳解》相關(guān)的同類信息!
  • 本頁收集關(guān)于Windows 操作系統(tǒng)賬戶權(quán)限設(shè)置詳解的相關(guān)信息資訊供網(wǎng)民參考!
    • 推薦文章