下载文档原格式
Windows系统如何设置用户账户权限Windows操作系统为用户账户提供了灵活的权限配置工具,用户可以通过权限设置来限制或者添加用户对系统和文件的访问权限。
本文将介绍如何在Windows系统中设置用户账户权限,以帮助用户更好地保护系统和数据的安全。
一、打开用户账户设置1. 前往Windows“控制面板”:点击Windows开始菜单,选择“控制面板”选项。
2. 进入用户账户设置页:在控制面板中,选择“用户账户”或类似的选项,打开用户账户设置页。
二、修改用户账户权限1. 选择用户账户:在用户账户设置页中,找到你需要修改权限的用户账户,并点击该账户。
2. 进入账户权限页:在用户账户详细信息页中,选择“更改账户类型”或类似选项,进入账户权限页。
3. 选择权限类型:在账户权限页中,可以看到当前用户账户的权限类型,一般包括“标准用户”和“管理员”。
选择合适的权限类型,点击“更改账户类型”或类似按钮。
4. 设定权限级别:在弹出的权限级别设置页中,根据需要调整用户账户的权限级别。
管理员权限可以让用户对系统进行完全控制,而标准用户权限则限制了某些高级操作的执行。
5. 保存并应用权限设置:完成权限调整后,点击“确定”或“应用”按钮,保存并应用新的用户账户权限设置。
三、高级权限设置除了上述基本的用户账户权限设置外,Windows系统还提供了更细致和专业的权限配置工具。
用户可以根据需要进行高级权限设置,以满足不同的安全需求。
1. 访问控制列表(ACL):Windows的文件系统使用ACL来定义文件和文件夹的访问权限。
用户可以通过右键点击文件或者文件夹,选择“属性”选项,进入“安全”选项卡,来进行ACL的设置。
2. 用户组和角色:用户组和角色可以方便地管理一组具有相同访问权限的用户账户。
用户可以在用户账户设置页中,选择“管理用户账户”或类似选项,进入用户组和角色管理界面,进行用户组和角色的创建和配置。
3. 组策略编辑器:组策略编辑器是Windows系统中用于配置用户权限和计算机设置的专业工具。
Windows XP用户帐户权限设置详解1:标准用户该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件.2:受限用户该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改.3:其他用户(1)系统***--有对计算机的完全访问控制权.(2)备份操作员不能根改安全性设置(3)客人--权限同受限用户(4)高级用户--权限同标准用户在XP中设置用户权限按照一下步骤进行:进入"控制面板",在"控制面板"中双击"管理工具"打中开"管理工具",在"管理工具"中双击"计算机管理"打开"计算机管理"控制台,在"计算机管理"控制台左面窗口中双击"本地用户和组",再单下面的"用户",右面窗口即显示此计算机上的所有用户。
要更改某用户信息,右击右面窗口的该用户的图标,即弹出快捷菜单,该菜单包括:设置密码、删除、重命名、属性、帮助等项,单击设置密码、删除、重命名等项可进行相应的操作。
单击属性弹出属性对话框,“常规”选项卡可对用户密码安全,帐户的停锁等进行设置,“隶属于”选项卡可改变用户组,方法如下:先选中下面列表框中的用户,单击“删除”按纽,如此重复删除列表中的所有用户,单击“添加”按纽,弹出“选择组”对话柜,单击“高级”按纽,单击“立即查找”按纽,下面列表框中列出所有的用户组,Administrators组为***组(其成员拥有所有权限),Power Users组为超级用户组(其成员拥有除计算机管理以外的所有权限,可安装程序),User组为一般用户组(其成员只执行程序,不能安装和删程序)。
Windows 操作系统六大顾客组及系统帐户权限功效设立分析在Windows 系统中,顾客名和密码对系统安全的影响毫无疑问是最重要。
通过一定方式获得计算机顾客名,然后再通过一定的办法获取顾客名的密码,已经成为许多黑客的重要攻击方式。
即使现在许多防火墙软件不端涌现,功效也逐步加强,但是通过获取顾客名和密码的攻击方式仍然时有发生。
其实通过加固Windows 系统顾客的权限,在一定程度上对安全有着很大的协助。
Windows 是一种支持多顾客、多任务的操作系统,不同的顾客在访问这台计算机时,将会有不同的权限。
同时,对顾客权限的设立也是是基于顾客和进程而言的,Windows 里,顾客被分成许多组,组和组之间都有不同的权限,并且一种组的顾客和顾客之间也能够有不同的权限。
下列就是常见的顾客组。
ers普通顾客组,这个组的顾客无法进行故意或无意的改动。
因此,顾客能够运行通过验证的应用程序,但不能够运行大多数旧版应用程序。
Users 组是最安全的组,由于分派给该组的默认权限不允许组员修改操作系统的设立或顾客资料。
Users 组提供了一种最安全的程序运行环境。
在通过NTFS 格式化的卷上,默认安全设立旨在严禁该组的组员危及操作系统和已安装程序的完整性。
顾客不能修改系统注册表设立、操作系统文献或程序文献。
Users 能够创立本地组,但只能修改自己创立的本地组。
Users 能够关闭工作站,但不能关闭服务器。
2.Power Users高级顾客组,Power Users 能够执行除了为Administrators 组保存的任务外的其它任何操作系统任务。
分派给Power Users 组的默认权限允许Power Users 组的组员修改整个计算机的设立。
但Power Users 不含有将自己添加到Administrators 组的权限。
在权限设立中,这个组的权限是仅次于Administrators 的。
3.Administrators管理员组,默认状况下,Administrators 中的顾客对计算机/域有不受限制的完全访问权。
windows权限设置Windows权限设置是指在Windows操作系统中对用户或用户组的权限进行配置和管理的过程。
通过权限设置,可以控制用户对系统资源和文件的访问和操作权限,从而保护系统的安全性和稳定性。
在Windows中,权限可以应用到多个级别,包括整个系统、特定目录或文件和特定应用程序。
为了进行权限设置,需要使用管理员账户登录到Windows系统,并以管理员身份运行相关的权限管理工具。
在Windows权限设置中,主要涉及以下几个概念和步骤:1. 用户和用户组:Windows操作系统中的用户可以单独配置权限,也可以被分为不同的用户组,并对每个用户组设置统一的权限。
用户组可以简化权限设置,使管理员能够更好地管理多个用户的权限。
2. 文件和目录权限:对于文件和目录,可以设置不同的权限,包括读取、写入、执行和删除等权限。
通过设置特定的权限,可以限制用户对文件和目录的访问和操作。
3. 应用程序权限:某些应用程序可能需要特定的权限才能正常运行。
在Windows中,可以为特定的应用程序设置权限,以确保其正常运行并防止对系统造成潜在威胁。
4. 设置权限:要设置权限,可以通过以下步骤进行操作:- 打开Windows资源管理器或文件资源管理器,找到要设置权限的文件或目录。
- 右键单击文件或目录,选择“属性”选项。
- 在属性窗口中,选择“安全”选项卡。
- 在“安全”选项卡中,可以查看和修改权限设置。
- 单击“编辑”按钮,可以添加或删除用户或用户组,并设置相应的权限。
- 确定权限设置后,单击“应用”和“确定”按钮保存更改。
需要注意的是,对于Windows权限设置,一定要谨慎操作,以免不小心设置错误或误删系统文件导致系统故障。
建议在进行权限设置之前,先备份重要的文件和系统,以防出现意外情况。
总结起来,Windows权限设置是一种在Windows操作系统中控制用户对系统资源和文件的访问和操作权限的方法。
通过设置用户、用户组以及文件和目录的权限,可以保护系统的安全性和稳定性。
windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力在windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所修改,使系统崩溃我们可以在控制面板中设置账户时设置权限作为微软第一个稳定且安全的操作系统,Windows XP经过几年的磨合过渡期,终于以超过Windows系列操作系统50%的用户占有量成为目前用户使用最多的操作系统。
在慢慢熟悉了Windows XP后,人们逐渐开始不满足基本的系统应用了,他们更加渴望学习一些较深入且实用的知识,以便能让系统充分发挥出Windows XP 的高级性能。
因此本文以Windows XP Professional版本为平台,引领大家感受一下Windo ws XP在"权限"方面的设计魅力!一、什么是权限Windows XP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。
" 权限"(Permission)是针对资源而言的。
也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主,即"设置某个用户可以对哪些资源拥有权限"。
这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。
值得一提的是,有一些Windows用户往往会将"权力"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:"权力"(Right)主要是针对用户而言的。
windows权限设置随着计算机技术的不断发展,我们越来越依赖于计算机来处理各种任务。
然而,在使用计算机的过程中,我们需要注意的一个重要问题就是安全性。
特别是在多人共享计算机的环境下,合理设置Windows权限是非常必要的。
Windows操作系统提供了丰富的权限设置功能,可以控制不同用户对计算机资源的访问权限。
通过合理设置权限,可以避免其他用户对我们的数据进行意外或恶意的操作,确保计算机的安全性。
在本文中,我们将介绍如何设置Windows权限,以保护我们的个人隐私和重要数据。
一、创建用户账户首先,我们需要创建不同的用户账户。
在Windows系统中,每个用户都可以拥有独立的账户,并且可以设置不同的权限。
创建用户账户时,我们需要为每个账户指定一个唯一的用户名和密码,以确保用户之间的隐私和安全。
在Windows系统中,有两种主要类型的用户账户:管理员账户和普通用户账户。
管理员账户拥有最高权限,可以进行系统级别的设置和修改,而普通用户账户只拥有有限的权限,无法修改系统级别的设置。
为了最大程度地保护计算机的安全,我们应该尽量将自己的账户设置为普通用户账户,只在必要时使用管理员账户。
二、设置文件和文件夹权限Windows系统允许我们设置不同文件和文件夹的权限,以确保只有特定的用户能够访问或修改这些文件。
我们可以通过以下步骤设置文件和文件夹权限:1. 选择要设置权限的文件或文件夹,右键点击并选择“属性”。
2. 在属性对话框中,切换到“安全”选项卡。
3. 点击“编辑”按钮,然后选择要修改的用户账户。
4. 在“允许”和“拒绝”列中,选择需要的权限设置,例如读取、写入、执行等。
5. 点击“确定”按钮保存设置。
通过适当设置文件和文件夹权限,我们可以确保只有授权的用户能够访问和修改我们的重要数据,提高数据的安全性。
三、限制应用程序权限在使用Windows系统时,我们会安装各种各样的应用程序。
然而,并非所有的应用程序都是安全可信的。
WINDOWS 用户权限怎么设置二O一一年月日製作首先申明我的系統是香港的繁體正版的在開始運行里輸入cont rol userp asswo rds2(權限管理)按確定輸入密碼:注明:一般電腦沒有多個用戶密碼是空的有多個用戶沒有設定Adm inis trat ou密碼的直接確定就可以了電腦使用者帳戶:下面就是設置用戶權限的: 選擇下面用戶A d minis tr a to rs,A d min yt A d mi nis tr a to rs管理员组Gue s t Gue s ts:来宾组Mrp2P o we r Us e rs,高级用户组選擇內容選擇群組成員資格設定改用戶的權限:下面是你所選擇用戶分配的權限:Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。
下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。
分配给该组的默认权限允许对整个系统进行完全控制。
所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为Administrators 组保留的任务外的其他任何操作系统任务。
分配给Power Users 组的默认权限允许Power Users 组的成员修改整个计算机的设置。
但Power Users 不具有将自己添加到Administrators 组的权限。
在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。
因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。
Users 组提供了一个最安全的程序运行环境。
使用DOS命令(脚本)在Windows 下创建用户和组以及设置其权限参考:net help usernet help groupNet user添加或修改用户帐户或者显示用户帐户信息。
语法net user [UserName [Password | *] [options] [/domain]net user [UserName {Password | *} /add [options] [/domain]net user [UserName [/delete] [/domain]参数UserName指定要添加、删除、修改或查看的用户帐户名。
用户帐户名最多可有20 个字符。
Password为用户帐户指派或更改密码。
输入星号(*)产生一个密码提示在密码提示行处键入密码时不显示密码。
/domain在计算机主域的主域控制器执行操作。
options指定命令行选项。
下表列出了可以使用的有效命令行选项。
命令行选项语法说明/active:{no | yes} 启用或禁用用户帐户。
如果用户帐户不活动,该用户就无法访问计算机中的资源。
默认设置为yes (即活动状态)。
/comment: "text " 提供关于用户账户的描述性说明。
该注释最多可以有48 个字符。
给文本加上引号。
/countrycode:nnn 使用操作系统“国家(地区)”代码为用户帮助和错误消息实现指定的语言文件。
数值0 代表默认的“国家(地区)”代码。
/expiresscreen.width-300)this.width=screen.width-300 '> mm/dd/yyyy | dd/mm/yyyy | mmm,dd ,yyyy} | never}使用户帐户根据指定的date 过期。
过期日期可以是[mm/dd/yyyy], [dd/mm/yyyy] 或[mmm,dd ,yyyy]格式。
它取决于国家(地区)代码。
Windows下安全权限设置详解随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB 服务器也逃不过被黑的命运。
难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。
下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。
分配给该组的默认权限允许对整个系统进行完全控制。
所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。
分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。
但Power Users 不具有将自己添加到 Administrators 组的权限。
在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。
因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。
Users 组提供了一个最安全的程序运行环境。
在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。
用户不能修改系统注册表设置、操作系统文件或程序文件。
Users 可以关闭工作站,但不能关闭服务器。
Users 可以创建本地组,但只能修改自己创建的本地组。
如何设置Windows系统的用户权限在Windows系统中,设置用户权限是非常重要的,可以保护系统的安全性,防止未经授权的人员对系统进行修改或访问敏感数据。
本文将介绍如何设置Windows系统的用户权限,以帮助您更好地保护您的计算机。
首先,要设置Windows系统的用户权限,您需要以管理员身份登录到计算机。
管理员账户可以访问和更改系统的各种设置。
以下是设置用户权限的步骤:1. 打开“控制面板”,可以通过在开始菜单中搜索“控制面板”来找到它。
2. 在控制面板中,找到并点击“用户账户”选项。
3. 在用户账户页面上,您可以看到当前计算机上的所有用户账户列表。
选择您想要设置权限的用户账户,并单击该账户。
4. 在用户账户页面的左侧菜单中,点击“更改用户账户类型”。
5. 在弹出的对话框中,您可以选择将用户账户设置为“管理员”或“标准用户”。
管理员账户具有更高的权限,可以更改系统设置和其他用户账户的权限,而标准用户账户只能访问自己的文件和程序,无法更改系统设置。
根据需要选择适当的账户类型,并点击“确定”按钮。
通过以上步骤,您可以成功设置Windows系统的用户权限。
除此之外,还有一些其他注意事项和高级设置选项,可以在需要时进行调整。
下面是一些建议和额外的设置选项,可以进一步增强系统的安全性和保护您的计算机:1. 设置密码:为所有用户账户设置强密码是保护系统安全的首要步骤。
强密码应包含至少8个字符,包括字母、数字和特殊字符,并且不应与其他常用信息相关。
2. 启用账户控制:在控制面板中,您可以找到“用户账户控制”选项。
启用该选项可以在用户尝试更改系统设置或安装程序时发出提示,以防止未经授权的更改。
3. 创建受限账户:如果您想让用户只能访问特定文件或程序,可以创建一个受限账户。
在控制面板的用户账户页面上,可以选择“创建新账户”,然后将其类型设置为“标准用户”。
通过这种方式,您可以限制用户对系统的访问权限,只允许他们使用特定的应用程序或浏览特定的文件夹。
Windows帐户权限设置!随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。
难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO! 要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。
众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。
DOS跟WinNT的权限的分别DOS是个单任务、单用户的操作系统。
但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。
所以,我们只能说DOS不支持权限的设置,不能说它没有权限。
随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。
下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。
分配给该组的默认权限允许对整个系统进行完全控制。
所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为Administrators 组保留的任务外的其他任何操作系统任务。
分配给Power Users 组的默认权限允许Power Users 组的成员修改整个计算机的设置。
但Power Users 不具有将自己添加到Administrators 组的权限。
在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。
因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。
Users组提供了一个最安全的程序运行环境。
在经过NTFS格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。
用户不能修改系统注册表设置、操作系统文件或程序文件。
Users 可以关闭工作站,但不能关闭服务器。
Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。
系统和系统级的服务正常运行所需要的权限都是靠它赋予的。
由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限的权力大小分析权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。
而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。
这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。
弊就是以Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。
访问Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。
不熟悉的Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。
如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。
Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。
因此强烈建议将此帐户设置为使用强密码。
永远也不可以从Administrators 组删除Administrator帐户,但可以重命名或禁用该帐户。
由于大家都知道“管理员”存在于许多版本的Windows上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。
对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。
Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。
如果没有特别必要,无须启用此账户。
何谓强密码?就是字母与数字、大小互相组合的大于8位的复杂密码,但这也不完全防得住众多的黑客,只是一定程度上较为难破解。
我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。
“完全控制”就是对此卷或目录拥有不受限制的完全访问。
地位就像Administrators在所有组中的地位一样。
选中了“完全控制”,下面的五项属性将被自动被选中。
“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。
下面的任何一项没有被选中时,“修改”条件将不再成立。
“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。
“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。
“读取”是能够读取该卷或目录下的数据。
“写入”就是能往该卷或目录下写入数据。
而“特别”则是对以上的六种权限进行了细分。
读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
一台简单服务器的设置实例操作:下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。
服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。
WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。
整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D 盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F 盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。
这样的分类还算是比较符合一台安全服务器的标准了。
希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。
当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。
该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。
为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。
杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。
网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。
细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。
相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。
读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。
权限实例攻击权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。
打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。
通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。
再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp 得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。
也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。
还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。
大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
