Windows下的權限設定詳解

[psac]

Windows下的權限設定詳解

隨著動網論壇的廣泛套用和動網上傳漏洞的被發現以及SQL注入式攻擊越來越多的被使用，WEBSHELL讓防火牆形同虛設，一台即使打了所有微軟修正檔、只讓80連接阜對外開放的WEB伺服器也逃不過被黑的命運。難道我們真的無能為力了嗎？其實，只要你弄明白了NTFS系統下的權限設定問題，我們可以對crackers們說：NO!
　　
　　要打造一台安全的WEB伺服器，那麼這台伺服器就一定要使用NTFS和Windows NT/2000/2003。眾所周知，Windows是一個支持多用戶、多工作的操作系統，這是權限設定的基礎，一切權限設定都是關於用戶和工作而言的，不同的用戶在訪問這台電腦時，將會有不同的權限。

DOS跟WinNT的權限的分別

DOS是個單工作、單用戶的操作系統。但是我們能說DOS沒有權限嗎？不能！當我們開啟一台裝有DOS操作系統的電腦的時候，我們就擁有了這個操作系統的管理員權限，而且，這個權限無處不在。所以，我們只能說DOS不支持權限的設定，不能說它沒有權限。隨著人們安全意識的提高，權限設定隨著NTFS的發佈誕生了。
　　
　　Windows NT裡，用戶被分成許多組，組和組之間都有不同的權限，當然，一個組的用戶和用戶之間也可以有不同的權限。下面我們來談談NT中一般的用戶組。

　　Administrators,管理員組，預設情況下，Administrators中的用戶對電腦/域有不受限制的完全訪問權。分配給該群組的預設權限允許對整個系統進行完全控制。所以，只有受信任的人員才可成為該群組的成員。
　　
Power Users，進階用戶組，Power Users 可以執行除了為 Administrators 組保留的工作外的其他任何操作系統工作。分配給 Power Users 組的預設權限允許 Power Users 組的成員修改整個電腦的設定。但Power Users 不具有將自己增加到 Administrators 組的權限。在權限設定中，這個組的權限是僅次於Administrators的。

　　Users:普通用戶組，這個組的用戶無法進行有意或無意的改動。因此，用戶可以執行經過驗證的應用程式，但不可以執行大多數舊版應用程式。Users 組是最安全的組，因為分配給該群組的預設權限不允許成員修改操作系統的設定或用戶資料。Users 組提供了一個最安全的程序執行環境。在經過 NTFS 格式化的捲上，預設安全性設定旨在禁止該群組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統註冊表設定、操作系統檔案或程式文件。Users 可以關閉工作站，但不能關閉伺服器。Users 可以新增本機組，但只能修改自己新增的本機組。

Guests:來賓組，按預設值，來賓跟普通Users的成員有同等訪問權，但來賓帳戶的限制更多。

　　Everyone:顧名思義，所有的用戶，這個電腦上的所有用戶都屬於這個組。

　　其實還有一個組也很一般，它擁有和Administrators一樣、甚至比其還高的權限，但是這個組不允許任何用戶的加入，在察看用戶組的時候，它也不會被顯示出來，它就是SYSTEM組。系統和系統級的服務正常執行所需要的權限都是靠它賦予的。由於該群組只有這一個用戶SYSTEM，也許把該群組歸為用戶的行列更為貼切。

[psac]

權限的權力大小分析

權限是有高低之分的，有高權限的用戶可以對低權限的用戶進行操作，但除了Administrators之外，其他組的用戶不能訪問 NTFS 捲上的其他用戶資料，除非他們獲得了這些用戶的使用權。而低權限的用戶無法對高權限的用戶進行任何操作。

　　我們平常使用電腦的程序當中不會感覺到有權限在阻撓你去做某件事情，這是因為我們在使用電腦的時候都用的是Administrators中的用戶登入的。

這樣有利也有弊，利當然是你能去做你想做的任何一件事情而不會遇到權限的限制。弊就是以 Administrators 組成員的身份執行電腦將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 Internet 站點或開啟電子郵件附件的簡單行動都可能破壞系統。

　　不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬程式碼，這些程式碼可以下載到系統並被執行。如果以本機電腦的管理員身份登入，特洛伊木馬可能使用管理訪問權重新格式化您的硬碟，造成不可估量的損失，所以在沒有必要的情況下，最好不用Administrators中的用戶登入。


Administrators中有一個在系統安裝時就新增的預設用戶----Administrator，Administrator 帳戶具有對伺服器的完全控制權限，並可以根據需要向用戶指派用戶權利和訪問控制權限。

　　因此強烈建議將此帳戶設定為使用強密碼。

永遠也不可以從Administrators 組移除 Administrator 帳戶，但可以重新命名或禁用該帳戶。由於大家都知道「管理員」存在於許多版本的 Windows 上，所以重新命名或禁用此帳戶將使惡意用戶嘗試並訪問該帳戶變得更為困難。


對於一個好的伺服器管理員來說，他們通常都會重新命名或禁用此帳戶。Guests用戶組下，也有一個預設用戶----Guest,但是在預設情況下，它是被禁用的。如果沒有特別必要，無須啟用此賬戶。

[psac]

何謂強密碼？就是字母與數位、大小互相組合的大於8位的複雜密碼，但這也不完全防得住眾多的黑客，只是一定程度上較為難破解。

　　我們可以通過「控制台」--「系統管理工具」--「電腦管理」--「用戶和用戶組」來檢視用戶組及該群組下的用戶。

　　我們用滑鼠右鍵按下一個NTFS磁碟區或NTFS磁碟區下的一個目錄，選項「內容」--「安全」就可以對一個磁碟區，或者一個磁碟區下面的目錄進行權限設定，此時我們會看到以下七種權限：完全控制、修改、讀取和執行、列出資料夾目錄、讀取、寫入、和特別的權限。「完全控制」就是對此磁碟區或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選了「完全控制」，下面的五項內容將被自動被選。

　　「修改」則像Power users，選了「修改」，下面的四項內容將被自動被選。下面的任何一項沒有被選時，「修改」條件將不再成立。「


讀取和執行」就是允許讀取和執行在這個磁碟區或目錄下的任何文件，「列出資料夾目錄」和「讀取」是「讀取和執行」的必要條件。

　　「列出資料夾目錄」是指只能瀏覽該磁碟區或目錄下的子目錄，不能讀取，也不能執行。


「讀取」是能夠讀取該磁碟區或目錄下的資料。「寫入」就是能往該磁碟區或目錄下寫入資料。而「特別」則是對以上的六種權限進行了細分。讀者可以自行對「特別」進行更深的研究，鄙人在此就不過多贅述了。



一台簡單伺服器的設定實例操作：

下面我們對一台剛剛安裝好操作系統和服務軟體的WEB伺服器系統和其權限進行全面的刨析。伺服器採用Windows 2000 Server版，安裝好了SP4及各種修正檔。


WEB服務軟體則是用了Windows 2000原有的的IIS 5.0，移除了一切不必要的映射。整個硬碟分為四個NTFS磁碟區，C碟為系統磁碟區，只安裝了系統和驅動程式；D碟為軟體磁碟區，該伺服器上所有安裝的軟體都在D碟中；E碟是WEB程序磁碟區，網站程序都在該磁碟區下的WWW目錄中；F盤是網站資料磁碟區，網站系統使用的所有資料都存放在該磁碟區的WWWDATABASE目錄下。

這樣的分類還算是比較符合一台安全伺服器的標準了。希望各個新手管理員能合理給你的伺服器資料進行分類，這樣不光是搜尋起來方便，更重要的是這樣大大的增強了伺服器的安全性，因為我們可以根據需要給每個磁碟區或者每個目錄都設定不同的權限，一旦發生了網路安全事故，也可以把損失降到最低。

　　當然，也可以把網站的資料分佈在不同的伺服器上，使之成為一個伺服器群，每個伺服器都擁有不同的用戶名和密碼並提供不同的服務，這樣做的安全性更高。不過願意這樣做的人都有一個特點----有錢。

　　好了，言歸正傳，該伺服器的資料庫為MS-SQL，MS-SQL的服務軟體SQL2000安裝在d:\ms-sqlserver2K目錄下，給SA賬戶設定好了足夠強度的密碼，安裝好了SP3修正檔。為了方便網頁製作員對網頁進行管理，該網站還開通了FTP服務，FTP服務軟體使用的是SERV-U 5.1.0.0，安裝在d:\ftpservice\serv-u目錄下。


殺毒軟體和防火牆用的分別是Norton Antivirus和BlackICE,路徑分別為d:\nortonAV和d:\firewall\blackice,病毒庫已經昇級到最新，防火牆規則庫定義只有80連接阜和21連接阜對外開放。網站的內容是採用動網7.0的論壇,網站程序在e:\www\bbs下。

　　細心的讀者可能已經注意到了，安裝這些服務軟體的路徑我都沒有採用預設的路徑或者是僅僅更改磁碟代號的預設路徑，這也是安全上的需要，因為一個黑客如果通過某些途徑進入了你的伺服器，但並沒有獲得管理員權限，他首先做的事情將是檢視你開放了哪些服務以及安裝了哪些軟體，因為他需要通過這些來提升他的權限。

　　一個難以猜解的路徑加上好的權限設定將把他阻擋在外。相信經過這樣組態的WEB伺服器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了：
「這根本沒用到權限設定嘛！我把其他都安全工作都做好了，權限設定還有必要嗎？」當然有！

智者千慮還必有一失呢，就算你現在已經把系統安全做的完美無缺，你也要知道新的安全漏洞總是在被不斷的發現。

[psac]

實例攻擊

　　權限將是你的最後一道防線！那我們現在就來對這台沒有經過任何權限設定，全部採用Windows預設權限的伺服器進行一次模擬攻擊，看看其是否真的固若金湯。
　　
　　假設伺服器外網域名為http://www.webserver.com，用掃瞄軟體對其進行掃瞄後發現開放WWW和FTP服務，並發現其服務軟體使用的是IIS 5.0和Serv-u 5.1，用一些針對他們的溢位工具後發現無效，遂放棄直接遠端溢位的想法。

　　開啟網站頁面，發現使用的是動網的論壇系統，於是在其域名後面加個/upfile.asp，發現有文件上傳漏洞，便抓包，把修改過的ASP木馬用NC提交，提示上傳成功，成功得到WEBSHELL，開啟剛剛上傳的ASP木馬，發現有MS-SQL、Norton Antivirus和BlackICE在執行，判斷是防火牆上做了限制，把SQL服務連接阜遮閉了。

　　通過ASP木馬檢視到了Norton Antivirus和BlackICE的PID，又通過ASP木馬上傳了一個能殺掉工作的文件，執行後殺掉了Norton Antivirus和BlackICE。再掃瞄，發現1433連接阜開放了，到此，便有很多種途徑獲得管理員權限了，可以檢視網站目錄下的conn.asp得到SQL的用戶名密碼，再登入進SQL執行增加用戶，提管理員權限。也可以抓SERV-U下的ServUDaemon.ini修改後上傳，得到系統管理員權限。

　　還可以傳本機溢位SERV-U的工具直接增加用戶到Administrators等等。大家可以看到，一旦黑客找到了切入點，在沒有權限限制的情況下，黑客將一帆風順的取得管理員權限。
　　
　　那我們現在就來看看Windows 2000的預設權限設定到底是怎樣的。對於各個磁碟區的根目錄，預設給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。

　　系統磁碟區下有三個目錄比較特殊，系統預設給了他們有限制的權限，這三個目錄是Documents and settings、Program files和Winnt。對於Documents and settings，預設的權限是這樣分配的：Administrators擁有完全控制權；Everyone擁有讀&運，列和讀權限；Power users擁有讀&運，列和讀權限；SYSTEM同Administrators;Users擁有讀&運，列和讀權限。對於Program files，Administrators擁有完全控制權；Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權，Users有讀&運，列和讀權限。

　　對於Winnt，Administrators擁有完全控制權；Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運，列和讀權限。


而非系統磁碟區下的所有目錄都將繼承其父目錄的權限，也就是Everyone組完全控制權！

　　現在大家知道為什麼我們剛剛在測試的時候能一帆風順的取得管理員權限了吧？權限設定的太低了！

一個人在訪問網站的時候，將被自動賦予IUSR用戶，它是隸屬於Guest組的。


本來權限不高，但是系統預設給的Everyone組完全控制權卻讓它「身價倍增」，到最後能得到Administrators了。

　　那麼，怎樣設定權限給這台WEB伺服器才算是安全的呢？大家要牢記一句話：「最少的服務+最小的權限=最大的安全」對於服務，不必要的話一定不要裝，要知道服務的執行是SYSTEM級的哦，對於權限，本著夠用就好的原則分配就是了。

　　對於WEB伺服器，就拿剛剛那台伺服器來說，我是這樣設定權限的，大家可以參考一下：各個磁碟區的根目錄、Documents and settings以及Program files，只給Administrator完全控制權，或者乾脆直接把Program files給移除掉；給系統磁碟區的根目錄多加一個Everyone的讀、寫權；給e:\www目錄，也就是網站目錄讀、寫權。

　　最後，還要把cmd.exe這個文件給挖出來，只給Administrator完全控制權。經過這樣的設定後，再想通過我剛剛的方法入侵這台伺服器就是不可能完成的工作了。可能這時候又有讀者會問：「為什麼要給系統磁碟區的根目錄一個Everyone的讀、寫權？網站中的ASP文件執行不需要執行權限嗎？」問的好，有深度。是這樣的，系統磁碟區如果不給Everyone的讀、寫權的話，啟動電腦的時候，電腦會報告錯誤，而且會提示虛擬記憶體不足。

　　當然這也有個前提----虛擬記憶體是分配在系統碟的，如果把虛擬記憶體分配在其他捲上，那你就要給那個磁碟區Everyone的讀、寫權。ASP文件的執行方式是在伺服器上執行，只把執行的結果傳回最終用戶的瀏覽器，這沒錯，但ASP文件不是系統意義上的可執行文件，它是由WEB服務的提供者----IIS來解釋執行的，所以它的執行並不需要執行的權限。

[psac]

深入瞭解權限背後的意義

　　經過上面的講解以後，你一定對權限有了一個初步了瞭解了吧？想更深入的瞭解權限，那麼權限的一些特性你就不能不知道了，權限是具有繼承性、累加性 、優先性、交叉性的。
　　
　　繼承性是說下級的目錄在沒有經過重新設定之前，是擁有上一級目錄權限設定的。這裡還有一種情況要說明一下，在分區內複製目錄或文件的時候，複製過去的目錄和文件將擁有它現在所處位置的上一級目錄權限設定。但在分區內移動目錄或文件的時候，移動過去的目錄和文件將擁有它原先的權限設定。
　　
　　累加是說如一個組GROUP1中有兩個用戶USER1、USER2，他們同時對某文件或目錄的訪問權限分別為「讀取」和「寫入」，那麼組GROUP1對該檔案或目錄的訪問權限就為USER1和USER2的訪問權限之和，實際上是取其最大的那個，即「讀取」+「寫入」=「寫入」。


又如一個用戶USER1同屬於組GROUP1和GROUP2，而GROUP1對某一文件或目錄的訪問權限為「只讀」型的，而GROUP2對這一文件或資料夾的訪問權限為「完全控制」型的，則用戶USER1對該檔案或資料夾的訪問權限為兩個組權限累加所得，即：「只讀」+「完全控制」=「完全控制」。
　　
　　優先性，權限的這一特性又包含兩種子特性，其一是文件的訪問權限優先目錄的權限，也就是說文件權限可以越過目錄的權限，不顧上一級資料夾的設定。另一特性就是「拒絕」權限優先其它權限，也就是說「拒絕」權限可以越過其它所有其它權限，一旦選項了「拒絕」權限，則其它權限也就不能取任何作用，相當於沒有設定。
　　
　　交叉性是指當同一資料夾在為某一用戶設定了共享權限的同時又為用戶設定了該檔案夾的訪問權限，且所設權限不一致時，它的取捨原則是取兩個權限的交集，也即最嚴格、最小的那種權限。



如目錄A為用戶USER1設定的共享權限為「只讀」，同時目錄A為用戶USER1設定的訪問權限為「完全控制」，那用戶USER1的最終訪問權限為「只讀」。
　　權限設定的問題我就說到這了，在最後我還想給各位讀者提醒一下，權限的設定必須在NTFS分區中才能實現的，FAT32是不支持權限設定的。同時還想給各位管理員們一些建議：

　　1.養成良好的習慣，給伺服器硬碟分區的時候分類明確些，在不使用伺服器的時候將伺服器鎖定，經常更新各種修正檔和昇級殺毒軟體。

　　2.設定足夠強度的密碼，這是老生常談了，但總有管理員設定弱密碼甚至空密碼。

　　3.盡量不要把各種軟體安裝在預設的路徑下

　　4.在英文水準不是問題的情況下，盡量安裝英文版操作系統。

　　5.切忌在伺服器上亂裝軟體或不必要的服務。

　　6.牢記：沒有永遠安全的系統，經常更新你的知識。

原載：《紅客必學:Windows下的權限設定詳解 》出處：PConline

[ 2005-02-16 17:06:26 ] 作者：mrcool

[sim]

感謝................

[羅迪]

領益教津，謝謝！

[乃乃]

受教ㄌ,謝謝大大分享^^