一. 權限的由來
形象理解: 遠方的某個山腳下,有一片被森林包圍的草原,草原邊上居住着一羣以牧羊爲生的牧民。
草原邊緣的森林裏,生存着各種動物,包括野狼。
由於羊羣是牧民們的主要生活來源,它們的價值便顯得特別珍貴,爲了防止羊的跑失和野獸的襲擊,每戶牧民都用柵欄把自己的羊羣圈了起來,只留下一道小門,以便每天傍晚供羊羣外出到一定範圍的草原上活動,實現了一定規模的保護和管理效果。
最初,野狼只知道在森林裏逮兔子等野生動物生存,沒有發現遠處草原邊上的羊羣,因此,在一段時間裏實現了彼此和平相處,直到有一天,一只爲了追逐兔子而湊巧跑到了森林邊緣的狼,用它那靈敏的鼻子嗅到了遠處那隱隱約約的烤羊肉香味。
當晚,突然出現的狼羣襲擊了草原上大部分牧民飼養的羊,它們完全無視牧民們修築的僅僅能攔住羊羣的矮小柵欄,輕輕一躍便突破了這道防線……雖然聞訊而來的牧民們合作擊退了狼羣,但是羊羣已經遭到了一定的損失。
事後,牧民們明白了柵欄不是僅僅用來防止羊羣逃脫的城牆,各戶牧民都在忙着加高加固了柵欄……
正因爲如此,計算機用戶纔有了分類:管理員、普通用戶、受限用戶、來賓等……
二. 權限的指派
1.普通權限
雖然Win2\X\V\win7等系統提供了“權限”的功能,但是這樣就又帶來一個新問題:權限如何分
配纔是合理的?如果所有人擁有的權限都一樣,那麼就等於所有人都沒有權限的限制,那和使用Win9x有什麼區別?幸好,系統默認就爲我們設置好了“權限組”(Group),只需把用戶加進相應的組即可擁有由這個組賦予的操作權限,這種做法就稱爲權限的指派。
默認情況下,系統爲用戶分了8個組,並給每個組賦予不同的操作權限,管理員組
(Administrators)、高權限用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件複製組(Replicator)、來賓用戶組(Guests),匪名用戶組(Ahthenticated users)
其中備份操作組和文件複製組爲維護系統而設置,平時不會被使用
系統默認的分組是依照一定的管理憑據指派權限的,而不是胡亂產生,管理員組擁有大部分的計算機操作權限(並不是全部),能夠隨意修改刪除所有文件和修改系統設置只有程序信任組(特殊權限)。再往下就是高權限用戶組,這一部分用戶也能做大部分事情,但是不能修改系統設置,不能運行一些涉及系統管理的程序。普通用戶組則被系統拴在了自己的地盤裏,不能處理其他用戶的文件和運行涉及管理的程序等。來賓用戶組的文件操作權限和普通用戶組一樣,但是無法執行更多的程序。
2.特殊權限
除了上面提到的6個默認權限分組,系統還存在一些特殊權限成員,這些成員是爲了特殊用
途而設置,分別是:SYSTEM(系統)、Trustedinstaller(信任程序)、Everyone(所有人)、CREATOR OWNER(創建者) 等,這些特殊成員不被任何內置用戶組吸納,屬於完全獨立出來的賬戶。 前面我提到管理員分組的權限時並沒有用“全部”來形容,祕密就在此,不要相信系統描述的“有不受限制的完全訪問權”,它不會傻到把自己完全交給人類,管理員分組同樣受到一定的限制,只是沒那麼明顯罷了,真正擁有“完全訪問權”的只有一個成員:SYSTEM。這個成員是系統產生的,真正擁有整臺計算機管理權限的賬戶,一般的操作是無法獲取與它等價的權限的。 “所有人”權限與普通用戶組權限差不多,它的存在是爲了讓用戶能訪問被標記爲“公有”的文件,這也是一些程序正常運行需要的訪問權限——任何人都能正常訪問被賦予“Everyone”權限的文件,包括來賓組成員。
被標記爲“創建者”權限的文件只有建立文件的那個用戶才能訪問,做到了一定程度的隱私保護。
但是,所有的文件訪問權限均可以被管理員組用戶和SYSTEM成員忽略,除非用戶使用了NTFS加密。
無論是普通權限還是特殊權限,它們都可以“疊加”使用,“疊加”就是指多個權限共同使用,例如一個賬戶原本屬於Users組,而後我們把他加入Administrators組在加入Trustedinstaller等權限提升,那麼現在這個賬戶便同時擁有兩個或多個權限身份,而不是用管理員權限去覆蓋原來身份。權限疊加並不是沒有意義的,在一些需要特定身份訪問的場合,用戶只有爲自己設置了指定的身份才能訪問,這個時候“疊加”的使用就能減輕一部分勞動量了。
距離上一次狼羣的襲擊已經過了很久,羊們漸漸都忘記了恐懼,一天晚上,一隻羊看準了
某處因爲下雨被泡得有點鬆軟低陷的柵欄,跳了出去。可惜這隻羊剛跳出去不久就遭遇了餓狼,不僅屍骨無存,還給狼羣帶來了一個信息:柵欄存在弱點,可以突破!
幾天後的一個深夜,狼羣專找地面泥濘處的柵欄下手,把柵欄挖鬆了鑽進去,再次洗劫了羊羣。從來以後牧民們開始輪流拿着槍,帶着牧羊犬巡視着羊圈(大家想到什麼!沒錯正是UAC保護 呵呵)
以後狼羣的進攻被牧民們擊退了,而且在不斷吸取教訓,牧民們在加固柵欄時都會把柵欄的根部打在堅硬的泥地上,並且嵌得很深。餓狼們,還會再來嗎?
權限是計算機安全技術的一個進步,但是它也是由人創造出來的,不可避免會存在不足和遺漏,我們在享受權限帶來的便利時,也不能忽視了它可能引起的安全隱患或者設置失誤
導致的衆多問題。要如何纔算合理使用權限,大概,這隻能是個仁者見仁,智者見智的問題了。
今天,你又在用管理員賬戶心安理得的到處逛了嗎????????
NTFS與權限
在前面我提到了NTFS文件系統,安裝過Win XP Vista和win7的用戶應該會注意到安裝過程中出現的“轉換分區格式爲NTFS”的選擇,那麼什麼是NTFS?NTFS(New Technology File System)是一個特別爲Network和磁盤配額、文件加密等管理安全特性設計的磁盤格式,只有使用NT技術的系統對它直接提供支持,也就是說,如果系統崩潰了,用戶將無法使用外面流行的普通光盤啓動工具修復系統,因此,是使用傳統的FAT32還是NTFS,一直是個倍受爭議的話題,但如果用戶要使用完全的系統權限功能,或者要安裝作爲服務器使用,建議最好還是使用NTFS分區格式。
與FAT32分區相比,NTFS分區多了一個“安全”特性,NT用戶可以進一步設置相關的文件訪問權限,而且前面提到的相關用戶組指派的文件權限也只有在NTFS格式分區上才能體現出來。例如,來賓組的用戶再也不能隨便訪問到NTFS格式分區的任意一個文件了,這樣可以減少系統遭受一般由網站服務器帶來的入侵損失,因爲IIS賬戶對系統的訪問權限僅僅是來賓級別而已,如果入侵者不能提升權限,那麼他這次的入侵可以算是白忙了。
使用NTFS分區的時候,用戶纔會察覺到系統給管理員組用戶設定的限制:一些文件即使是管理員也無法訪問,因爲它是SYSTEM成員建立的,並且設定了權限。(圖.NTFS權限審覈導致訪問被拒絕)
但是NTFS系統會帶來一個衆所周知的安全隱患:NTFS支持一種被稱爲“交換數據流”(AlternateDataStream,ADs)的存儲特性,原意是爲了和Macintosh的HFS文件系統兼容而設計的,使用這種技術可以在一個文件資源裏寫入相關數據(並不是寫入文件中),而且寫進去的數據可以使用很簡單的方法把它提取出來作爲一個獨立文件讀取,甚至執行,這就給入侵者提供了一個可乘之機,例如在一個正常程序裏插入包含惡意代碼的數據流,在程序運行時把惡意代碼提取出來執行,就完成了一次破壞行動。
不過值得慶幸的是,數據流僅僅能存在於NTFS格式分區內,一旦存儲介質改變爲FAT32、CDFS,exFAT等格式,數據流內容便會消失了,破壞代碼也就不復存在。
4.權限設置帶來的安全訪問和故障
很多時候,管理員不得不爲遠程Network訪問帶來的危險因素而擔憂,普通用戶也經常因爲新漏洞攻擊或者IE瀏覽器安全漏洞下載的網頁木馬而疲於奔命,實際上合理使用NTFS格式分區和權限設置的組合,足以讓我們抵禦大部分病毒和駭客的入侵。
首先,我們要儘量避免平時使用管理員賬戶登錄系統,這樣會讓一些由IE帶來的病毒木馬因爲得不到相關權限而感染失敗,但是國內許多計算機用戶並沒有意識到這一點,或者說沒有接觸到相關概念,因而大部分系統都是以管理員賬戶運行的,這就給病毒傳播提供了一個很好的環境。如果用戶因爲某些工作需要,必須以管理員身份操作系統,那麼請降低IE的運行權限,有試驗證明,IE運行的用戶權限每降低一個級別,受漏洞感染的機率就相應下降一個級別,因爲一些病毒在例如像Users組這樣的權限級別裏是無法對系統環境做出修改的。降低IE運行權限的方法很多,最簡單的就是使用microsoft自家產品“Drop MyRights”對程序的運行權限做出調整
對管理員來說,設置服務器的訪問權限纔是他們關心的重點,這時候就必須搭配NTFS分區來設置IIS了,因爲只有NTFS才具備文件訪問權限的特性。然後就是安裝IIS,經過這一步系統會建立兩個用於IIS進程的來賓組賬戶“IUSR_機器名”和“IWAM_機器名”,但這樣還不夠,別忘記系統的特殊成員“Everyone”,這個成員的存在雖然是爲了方便用戶訪問的,但是對於Network服務器最重要的“最小權限”思路(Network服務程序運行的權限越小,安全係數越高)來說,它成了安全隱患,“Everyone”使得整個服務器的文件可以隨便被訪問,一旦被入侵,駭客就有了提升權限的機會,因此需要把惹禍的“Everyone”成員從敏感文件夾的訪問權限去掉,要做到這一步,只需運行“cacls.exe 目錄名 /R “everyone” /E”即可,在win7中 文件夾選擇不共享。敏感文件夾包括整個系統盤、系統目錄、用戶主目錄等。這是專爲服務器安全設置的,不推薦一般用戶依葫蘆畫瓢,因爲這樣設定過“最小權限”後,可能會對日常使用的一些程序造成影響。
雖然權限設定會給安全防止帶來一定的好處,但是有時候,它也會闖禍的„„ “文件共享”(Sharing)是被使用最多的Network遠程文件訪問功能,卻也是最容易出問題的一部分,許多用戶在使用一些優化工具後,發現文件共享功能突然就失效了,或者無論如何都無法成功共享文件,這也是很多Network管理員要面對的棘手問題,如果你也不巧遇到了,那麼可以嘗試檢查以下幾種原因:
(1).相應的服務被禁止。文件共享功能依賴於這4個服務:Computer Browser、TCP/IP NetBIOS Helper Service、Server、Workstation,如果它們的其中一個被禁止了,文件共享功能就會出現各種古怪問題如不能通過計算機名訪問等,甚至完全不能訪問。
(2).內置來賓賬戶組成員Guest未啓用。文件共享功能需要使用Guest權限訪問Network資源。
(3). 內置來賓賬戶組成員Guest被禁止從Network訪問。,因爲它在組策略(gpedit.msc)->計算機配置->WINDOWS設置->安全設置->本地策略->用戶權利指派->拒絕從Network訪問這臺計算機裏把Guest賬戶添加進去了,刪除掉即可真正啓用Guest遠程訪問權限(家庭用戶不推薦 因爲禁用後將無法進行文件共享)。
(4).限制了匿名訪問的權限。默認情況下,組策略(gpedit.msc)->計算機配置->WINDOWS設置->安全設置->本地策略->安全選項->對匿名連結的額外限制的設置應該是“無。依賴於默認許可權限”或者“不允許枚舉SAM賬號和共享”,如果有工具自作聰明幫你把它設置爲“沒有顯式匿名權限就無法訪問”,那麼我可以很負責的告訴你,你的共享全完蛋了。
(5).系統權限指派出現意外。默認情況下,系統會給共享目錄指派一個“Everyone”賬戶訪問授權,然而實際上它還是要使用Guest成員完成訪問的工作,但是有時候,Everyone卻忘記Guest的存在了,這是或我們就需要自己給共享目錄手動添加一個Guest賬戶,才能完成遠程訪問。
(6).NTFS權限限制。一些剛接觸NTFS的用戶或者新手管理員經常會出這個差錯,在排除以上所有問題的前提下依然無法實現文件共享,哪裏都碰過了就是偏偏不知道來看看這個目錄的“安全”選項卡,並在裏面設置好Everyone的相應權限和添加一個Guest權限進去,如果它們會說話,也許早就在音箱裏叫喚了:嘿,快看這裏!喲嗬!
(7).系統自身設置問題。如果檢查了以上所有方法都無效,那麼可以考慮重裝一個系統了,不要笑,一些用戶的確碰到過這種問題,重裝後什麼也沒動,卻一切都好了。這大概是因爲某些系統文件被新安裝的工具替換掉後缺失了文件共享的功能。
由權限帶來的好處是顯而易見的,但是我們有時候也不得不面對它給我們帶來的麻煩,沒辦法,誰叫事物都是有兩面性的呢,畢竟正是因爲有了這一圈柵欄,用戶安全才有了保障。
