Windows下安全权限设置详解.docx
《Windows下安全权限设置详解.docx》由会员分享,可在线阅读,更多相关《Windows下安全权限设置详解.docx(53页珍藏版)》请在冰豆网上搜索。
Windows下安全权限设置详解
Windows下安全权限设置详解-
WindowsXP中可以被禁止的服务对照
服务其实是Win2000/XP/2003中一种特殊的应用程序类型,不过它是在后台运行,所以我们在任务管理器看不到它。
安装WinXP后,通常系统会默认启动许多服务,其中有些服务是普通用户根本用不到的,不但占用系统资源,还有可能被黑客所利用。
查看正在启用的服务项目
以WinXP为例,首先你要使用系统管理员账户或以拥有Administrator权限的用户身份登录,然后在“运行”中输入“cmd.exe”打开命令行窗口,再输入“netstart”回车后,就会显示出系统正在运行的服务
为了更详细地查看各项服务的信息,我们可以在“开始→控制面板→管理工具”中双击“服务”,或者直接在“运行”中输入“Services.msc”打开服务设置窗口
关闭、禁止与重新启用服务
服务分为三种启动类型:
1.自动:
如果一些无用服务被设置为自动,它就会随机器一起启动,这样会延长系统启动时间。
通常与系统有紧密关联的服务才必须设置为自动。
2.手动:
只有在需要它的时候,才会被启动。
3.已禁用:
表示这种服务将不再启动,即使是在需要它时,也不会被启动,除非修改为上面两种类型。
如果我们要关闭正在运行的服务,只要选中它,然后在右键菜单中选择“停止”即可。
但是下次启动机器时,它还可能自动或手动运行。
如果服务项目确实无用,可以选择禁止服务。
在右键菜单中选择“属性”,然后在“常规→启动类型”列表中选择“已禁用”,这项服务就会被彻底禁用。
如果以后需要重新起用它,只要在此选择“自动”或“手动”即可;也可以通过命令行“netstart服务名”来启动,比如“netstartClipbook”。
必须禁止的服务
1.NetMeetingRemoteDesktopSharing:
允许受权的用户通过NetMeeting在网络上互相访问对方。
这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。
2.UniversalPlugandPlayDeviceHost:
此服务是为通用的即插即用设备提供支持。
这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。
攻击者只要向某个拥有多台WinXP系统的网络发送一个虚假的UDP包,就可能会造成这些WinXP主机对指定的主机进行攻击(DDoS)。
另外如果向该系统1900端口发送一个UDP包,令“Location”域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。
3.Messenger:
俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息,此服务与WindowsMessenger无关。
如果服务停止,Alerter消息不会被传输)。
这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。
而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。
4.TerminalServices:
允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。
如果你不使用WinXP的远程控制功能,可以禁止它。
5.RemoteRegistry:
使远程用户能修改此计算机上的注册表设置。
注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。
6.FastUserSwitchingCompatibility:
在多用户下为需要协助的应用程序提供管理。
WindowsXP允许在一台电脑上进行多用户之间的快速切换,但是这项功能有个漏洞,当你点击“开始→注销→快速切换”,在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。
如果不经常使用,可以禁止该服务。
或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
7.Telnet:
允许远程用户登录到此计算机并运行程序,并支持多种TCP/IPTelnet客户,包括基于UNIX和Windows的计算机。
又一个危险的服务,如果启动,远程用户就可以登录、访问本地的程序,甚至可以用它来修改你的ADSLModem等的网络设置。
除非你是网络专业人员或电脑不作为服务器使用,否则一定要禁止它。
8.PerformanceLogsAndAlerts:
收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。
为了防止被远程计算机搜索数据,坚决禁止它。
9.RemoteDesktopHelpSessionManager:
如果此服务被终止,远程协助将不可用。
10.TCP/IPNetBIOSHelper:
NetBIOS在Win9X下就经常有人用它来进行攻击,对于不需要文件和打印共享的用户,此项也可以禁用。
2楼
可以禁止的服务
以上十项服务是对安全威胁较大的服务,普通用户一定要禁用它。
另外还有一些普通用户可以按需求禁止的服务:
1.Alerter:
通知所选用户和计算机有关系统管理级警报。
如果你未连上局域网且不需要管理警报,则可将其禁止。
2.IndexingService:
本地和远程计算机上文件的索引内容和属性,提供文件快速访问。
这项服务对个人用户没有多大用处。
3.ApplicationLayerGatewayService:
为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。
如果你没有启用Internet连接共享或WindowsXP的内置防火墙,可以禁止该服务。
4.UninterruptiblePowerSupply:
管理连接到计算机的不间断电源,没有安装UPS的用户可以禁用。
5.PrintSpooler:
将文件加载到内存中以便稍后打印。
如果没装打印机,可以禁用。
6.SmartCard:
管理计算机对智能卡的读取访问。
基本上用不上,可以禁用。
7.SsdpDiscoveryService:
启动家庭网络上的upnp设备自动发现。
具有upnp的设备还不多,对于我们来说这个服务是没有用的。
8.AutomaticUpdates:
自动从WindowsUpdate网络更新补丁。
利用WindowsUpdate功能进行升级,速度太慢,建议大家通过多线程下载工具下载补丁到本地硬盘后,再进行升级。
9.Clipbook:
启用“剪贴板查看器”储存信息并与远程计算机共享。
如果不想与远程计算机进行信息共享,就可以禁止。
10.ImapiCd-burningComService:
用Imapi管理CD录制,虽然WinXP中内置了此功能,但是我们大多会选择专业刻录软件,另外如果没有安装刻录机的话,也可以禁止该服务。
舍,如:
RoutingandRemoteAccess、NetLogon、NetworkDDE和NetworkDDEDSDM。
11.Workstation:
创建和维护到远程服务的客户端网络连接。
如果服务停止,这些连接都将不可用。
12.ErrorReportingService:
服务和应用程序在非标准环境下运行时,允许错误报告。
如果你不是专业人员,这个错误报告对你来说根本没用。
再就是如下几种服务对普通用户而言也没有什么作用,大家可以自己决定取
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。
难道我们真的无能为力了吗?
其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:
NO!
WindowsNT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。
下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。
分配给该组的默认权限允许对整个系统进行完全控制。
所以,只有受信任的人员才可成为该组的成员。
PowerUsers,高级用户组,PowerUsers可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。
分配给PowerUsers组的默认权限允许PowerUsers组的成员修改整个计算机的设置。
但PowerUsers不具有将自己添加到Administrators组的权限。
在权限设置中,这个组的权限是仅次于Administrators的。
Users:
普通用户组,这个组的用户无法进行有意或无意的改动。
因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
Users组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。
Users组提供了一个最安全的程序运行环境。
在经过NTFS格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。
用户不能修改系统注册表设置、操作系统文件或程序文件。
Users可以关闭工作站,但不能关闭服务器。
Users可以创建本地组,但只能修改自己创建的本地组。
Guests:
来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:
顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。
系统和系统级的服务正常运行所需要的权限都是靠它赋予的。
由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问NTFS卷上的其他用户资料,除非他们获得了这些用户的授权。
而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。
这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。
弊就是以Administrators组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。
访问Internet站点或打开电子邮件附件的简单行动都可能破坏系统。
不熟悉的Internet站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。
如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。
Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。
因此强烈建议将此帐户设置为使用强密码。
永远也不可以从Administrators组删除Administrator帐户,但可以重命名或禁用该帐户。
由于大家都知道“管理员”存在于许多版本的Windows上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。
对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。
Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。
如果没有特别必要,无须启用此账户。
我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组” 来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:
完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。
“完全控制”就是对此卷或目录拥有不受限制的完全访问。
地位就像Administrators在所有组中的地位一样。
选中了“完全控制”,下面的五项属性将被自动被选中。
“修改”则像Powerusers,选 中了“修改”,下面的四项属性将被自动被选中。
下面的任何一项没有被选中时,“修改”条件将不再成立。
“读 取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。
“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。
“读取”是能够读取该卷或目录下的数据。
“写入”就是能往该卷或目录下写入数据。
而“特别”则是对以上的六种权限进行了细分。
读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。
当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。
不过愿意这样做的人都有一个特点----有钱:
)。
好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:
\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。
为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U.0,安装在d:
\ftpservice\serv-u目录下。
杀毒软件和防火墙用的分别是NortonAntivirus和BlackICE,路径分别为d:
\nortonAV和d:
\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。
网站的内容是采用动网7.0的论坛,网站程序在e:
\www\bbs下。
细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。
相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。
读者可能又会问了:
“这根本没 用到权限设置嘛!
我把其他都安全工作都做好了,权限设置还有必要吗?
”当然有!
智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。
权限将是你的最后一道防线!
那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS5.0和Serv-u5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。
打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、NortonAntivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。
通过ASP木马查看到了NortonAntivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了NortonAntivirus和BlackICE。
再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。
也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。
还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。
大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows2000的默认权限设置到底是怎样的。
对于各个卷的根目录,默认给了Everyone组完全控制权。
这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。
系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documentsandsettings、Programfiles和Winnt。
对于Documentsandsettings,默认的权限是这样分配的:
Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Powerusers拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。
对于Programfiles,Administrators拥有完全控制权;Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Terminalserverusers拥有完全控制权,Users有读&运,列和读权限。
对于Winnt,Administrators拥有完全控制权;Creatorowner拥有特殊权限;Powerusers有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。
而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?
权限设置的太低了!
一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。
本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。
那么,怎样设置权限给这台WEB服务器才算是安全的呢?
大家要牢记一句话:
“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。
对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:
各个卷的根目录、Documentsandsettings以及Programfiles,只给Administrator完全控制权,或者干脆直接把Programfiles给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:
\www目录,也就是网站目录读、写权。
最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。
经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。
可能这时候又有读者会问:
“为什么要给系统卷的根目录一个Everyone的读、写权?
网站中的ASP文件运 行不需要运行权限吗?
”问的好,有深度。
是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。
当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。
ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?
想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性、优先性、交叉性的。
继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。
这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。
但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。
又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:
“只读”+“完全控制”=“完全控制”。
优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。
另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。
交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。
如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。
同时还想给各位管理员们一些建议:
1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
升级会员 