红客必学:Windows权限设置详解
核心提示:随着动网论坛的广泛利用和动网上传漏洞的被发现和SQL注进式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,1台即使打了所有微软补钉、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?
随着动网论坛的广泛利用和动网上传漏洞的被发现和SQL注进式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,1台即使打了所有微软补钉、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?实在,只要你弄明白了NTFS系统下的权限设置题目,我们可以对crackers们说:NO!
要打造1台安全的WEB服务器,那末这台服务器就1定要使用NTFS和Windows NT/2000/2003。尽人皆知,Windows是1个支持多用户、多任务的操纵系统,这是权限设置的基础,1切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。
DOS跟WinNT的权限的分别
DOS是个单任务、单用户的操纵系统。但是我们能说DOS没有权限吗?不能!当我们打开1台装有DOS操纵系统的计算机的时候,我们就具有了这个操纵系统的治理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的进步,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成很多组,组和组之间都有不同的权限,固然,1个组的用户和用户之间也能够有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,治理员组,默许情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默许权限答应对全部系统进行完全控制。所以,只有受信任的职员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以履行除为 Administrators 组保存的任务外的其他任何操纵系统任务。分配给 Power Users 组的默许权限答应 Power Users 组的成员修改全部计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户没法进行故意或无意的改动。因此,用户可以运行经过验证的利用程序,但不可以运行大多数旧版利用程序。Users 组是最安全的组,由于分配给该组的默许权限不答应成员修改操纵系统的设置或用户资料。Users 组提供了1个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默许安全设置旨在制止该组的成员危及操纵系统和已安装程序的完全性。用户不能修改系统注册表设置、操纵系统文件或程叙文件。Users 可以封闭工作站,但不能封闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默许值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
实在还有1个组也很常见,它具有和Administrators1样、乃至比其还高的权限,但是这个组不答应任何用户的加进,在视察用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这1个用户SYSTEM,或许把该组回为用户的行列更加贴切。
权限的权利大小分析
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操纵,但除Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们取得了这些用户的授权。而低权限的用户没法对高权限的用户进行任何操纵。
我们平常使用计算机的进程当中不会感觉到有权限在阻止你往做某件事情,这是由于我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有益也有弊,利固然是你能往做你想做的任何1件事情而不会碰到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统轻易遭到特洛伊木马、病毒及其他安全风险的要挟。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。
不熟习的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被履行。假设以本地计算机的治理员身份登录,特洛伊木马可能使用治理访问权重新格式化您的硬盘,造成不可估计的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。Administrators中有1个在系统安装时就创建的默许用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。
因此强烈建议将此帐户设置为使用强密码。永久也不可以从Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“治理员”存在于很多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更加困难。对1个好的服务器治理员来讲,他们通常都会重命名或禁用此帐户。Guests用户组下,也有1个默许用户----Guest,但是在默许情况下,它是被禁用的。假设没有特别必要,不必启用此账户。
小帮助:何谓强密码?就是字母与数字、大小相互组合的大于8位的复杂密码,但这也不完全防得住众多的黑客,只是1定程度上较难堪破解。
我们可以通过“控制面板”--“治理工具”--“计算机治理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击1个NTFS卷或NTFS卷下的1个目录,选择“属性”--“安全”便可以够对1个卷,或1个卷下面的目录进行权限设置,此时我们会看到以下7种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写进、和特别的权限。“完全控制”就是对此卷或目录具有不受限制的完全访问。地位就像Administrators在所有组中的地位1样。选中了“完全控制”,下面的5项属性将被自动被选中。
“修改”则像Power users,选中了“修改”,下面的4项属性将被自动被选中。下面的任何1项没有被选中时,“修改”条件将不再成立。“读取和运行”就是答应读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。
“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写进”就是能往该卷或目录下写进数据。而“特别”则是对以上的6种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过量赘述了。
1台简单服务器的设置实例操纵:
下面我们对1台刚刚安装好操纵系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采取Windows 2000 Server版,安装好了SP4及各种补钉。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除1切没必要要的映照。全部硬盘分为4个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都寄存在该卷的WWWDATABASE目录下。
这样的分类还算是比较符合1台安全服务器的标准了。希看各个新手治理员能公道给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,由于我们可以根据需要给每个卷或每个目录都设置不同的权限,1旦产生了网络安全事故,也能够把损失降到最低。
固然,也能够把网站的数据散布在不同的服务器上,使之成为1个服务器群,每个服务器都具有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有1个特点----有钱:)。
好了,言回正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补钉。为了方便网页制作员对网页进行治理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采取动网7.0的论坛,网站程序在e:\www\bbs下。
仔细的读者可能已留意到了,安装这些服务软件的路径我都没有采取默许的路径或是仅仅更改盘符的默许路径,这也是安全上的需要,由于1个黑客假设通过某些途径进进了你的服务器,但并没有取得治理员权限,他首先做的事情将是查看你开放了哪些服务和安装了哪些软件,由于他需要通过这些来提升他的权限。
1个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已足够抵抗大部份学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”固然有!智者千虑还必有1失呢,就算你现在已把系统安全做的完善无缺,你也要知道新的安全漏洞总是在被不断的发现。
实例攻击
权限将是你的最后1道防线!那我们现在就来对这台没有经过任何权限设置,全部采取Windows默许权限的服务器进行1次摹拟攻击,看看其是否是真的固若金汤。
假定服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用1些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。
打开网站页面,发现使用的是动网的论坛系统,因而在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判定是防火墙上做了限制,把SQL服务端口屏蔽了。
唐山网站建设www.fw8.netTAG:用户,服务器,系统,权限,用户组
|
评论加载中...
|
邮 箱:admin@fw8.net 