Windows操作系統(tǒng)六大用戶組及系統(tǒng)帳戶權(quán)限功能設(shè)置分析

WindowsWindows是一種支持多顧客、多任務(wù)的操作系統(tǒng)，不同的顧客在訪問這臺計(jì)算機(jī)時(shí)，的應(yīng)用程序，但不能夠運(yùn)行大多數(shù)舊版應(yīng)用程序。Users組是最安全的組，由于分派給該組的默認(rèn)權(quán)限不允許組員修改操作系統(tǒng)的設(shè)立或顧客資料。Users組提供了一種最安全的NTFS格式化的卷上，默認(rèn)安全設(shè)立旨在嚴(yán)禁該組的組員危及操作Users能夠創(chuàng)立本地組，但只能修改自己創(chuàng)立的本地組。Users能夠關(guān)閉工作站，但不能2.Power高級顧客組，PowerUsersAdministrators組保存的任務(wù)外的其它任PowerUsersPowerUsers組的組員修改整PowerUsersAdministrators組的權(quán)限。在權(quán)限Administrators的。Users6.SYSTEMAdministrators眾所周知，Windows是一種支持多顧客、多任務(wù)的操作系統(tǒng)，這是權(quán)限設(shè)立的基礎(chǔ)，一切DOSWinNTNTFS的公布誕生了。NT中常見的顧客組。PowerUsers，高級顧客組，PowerUsers能夠執(zhí)行除了為Administrators組保存的任務(wù)PowerUsersPowerUsers組的PowerUsers不含有將自己添加到Administrators組的Administrators的。證的應(yīng)用程序，但不能夠運(yùn)行大多數(shù)舊版應(yīng)用程序。Users組是最安全的組，由于分派給該組的默認(rèn)權(quán)限不允許組員修改操作系統(tǒng)的設(shè)立或顧客資料。Users組提供了一種最安全的程序運(yùn)行環(huán)境。在通過NTFS格式化的卷上，默認(rèn)安全設(shè)立旨在嚴(yán)禁該組的組員危及操Users能夠關(guān)閉工作站，但不能關(guān)閉服務(wù)器。Users能夠創(chuàng)立本地組，但只能修改自己創(chuàng)SYSTEMAdministratorsNTFS卷上的其它顧客資料，除非他們獲得了這些顧客的授能去做你想做的任何一件事情而不會碰到權(quán)限的限制。弊就是以Administrators構(gòu)組員的身份運(yùn)行計(jì)算機(jī)將使系統(tǒng)容易受到特洛伊木馬、病毒及其它安全風(fēng)險(xiǎn)的威脅。訪問Internet站點(diǎn)或打開電子郵件附件的簡樸行動都可能破壞系統(tǒng)。不熟悉的Internet站點(diǎn)或電子郵件附件可能有特洛伊木馬代碼，這些代碼可下列載到系統(tǒng)的顧客登陸。Administrators中有一種在系統(tǒng)安裝時(shí)就創(chuàng)立的默認(rèn)顧客Administrator帳戶含有對服務(wù)器的完全控制權(quán)限，并能夠根據(jù)需要向顧客指派顧客權(quán)利和因此強(qiáng)烈建議將此帳戶設(shè)立為使用強(qiáng)密碼。永遠(yuǎn)也不能夠從Administrators組刪除Administrator帳戶，但能夠重命名或禁用該帳戶。由于大家都懂得“管理員”存在于許多版本的Windows上，因此重命名或禁用此帳戶將使惡意顧客嘗試并訪問該帳戶變得更為困難。對于一種好的服務(wù)器管理員來說，他們普通都會重命名或禁用此帳戶。Guests顧客組下， NTFSNTFS卷下的一種目錄，選擇“屬性”--“安全”就能夠?qū)Α靶薷摹盤owerusers，選中了“修改”，下面的四項(xiàng)屬性將被自動被選中。下面的任何一一臺簡樸服務(wù)器的設(shè)立實(shí)例操作下面我們對一臺剛剛安裝好操作系統(tǒng)和服務(wù)軟件的WEB服務(wù)器系統(tǒng)和其權(quán)限進(jìn)行全方面的WindowsServerSP4及多個(gè)補(bǔ)丁。WEB服務(wù)軟件則是盤為系統(tǒng)卷，只安裝了系統(tǒng)和驅(qū)動程序;DD盤中;EWEBWWW目錄中;F盤是網(wǎng)站數(shù)據(jù)卷，網(wǎng)站W(wǎng)WWDATABASE目錄下。有一種特點(diǎn)有錢。好了，言歸正傳，該服務(wù)器的數(shù)據(jù)庫為MS-SQLMS-SQL的服務(wù)軟件SQL安裝在了方便網(wǎng)頁制作員對網(wǎng)頁進(jìn)行管理，該網(wǎng)站還開通了FTP服務(wù)，F(xiàn)TP服務(wù)軟件使用的是AntivirusBlackICE,d:\nortonAVd:\firewall\blackice,病毒庫已經(jīng)升級到最80217.0的論壇,e:\www\bbs下。權(quán)限將是你的最后一道防線!那我們現(xiàn)在就來對這臺沒有通過任何權(quán)限設(shè)立，全部采用WindowsIIS5.0Serv-u5.1，用某些針對他們的溢出工具后發(fā)現(xiàn)無效，遂放文獻(xiàn)上傳漏洞，便抓包，把修改正的ASPNC提交，提示上傳成功，成功得到SQLASPNortonAntivirusBlackICEPIDASP木立即傳了一SQLSQLSERV-UServUDaemon.iniSERV-Uandsettings、ProgramfilesWinntDocumentsandsettings，默認(rèn)的權(quán)限是這樣files，Administrators擁有完全控制權(quán);Creatorownerowerusers有完全控制全控制權(quán);SYSTEMAdministrators;Users有讀&運(yùn)，列和讀權(quán)限。而非系統(tǒng)卷下的全部Everyone組完全控制權(quán)!太低了!IUSRGuest組的。原Everyone組完全控制權(quán)卻讓它“身價(jià)倍增”，到最后能得到Administrators了。WEB服務(wù)器，就拿剛剛那臺服務(wù)器來說，我是這樣設(shè)立權(quán)限的，大家能夠參考一下:各個(gè)卷的根目錄、DocumentsandsettingsProgramfilesAdministrator完全控Programfiles給刪除掉;Everyone的讀、寫權(quán);e:\www目錄，也就是網(wǎng)站目錄讀、寫權(quán)。者會問:“Everyone的讀、寫權(quán)?ASP固然這也有個(gè)前 虛擬內(nèi)存是分派在系統(tǒng)盤的，如果把虛擬內(nèi)存分派在其它卷上，那WEB服務(wù)的提供者IIS來解釋執(zhí)行的，因此它的執(zhí)行并不需要運(yùn)行的權(quán)限。USER2的訪問權(quán)限之和，事實(shí)上是取其最大的那個(gè)，即“讀取”+“寫入”=