電腦賬號許可權伺服器許可權
1. 伺服器用戶許可權設置問題
需要限制許可權的命令主要有:cmd.exenet.exenet1.exeping.exenetstat.exeftp.exetftp.exetelnet.exe等。
對這些命令單獨進行設置,設置為只允許administrators組訪問,這樣既防止新建用戶對系統進行修改,也可以防範通過Serv-U的本地提升許可權漏洞來運行這些關鍵的程序了。特別提醒的是要刪除cacls.exe這個程序,防止有人通過命令行來修改許可權。(圖1)
2. WINDOWS 用戶許可權怎麼設置
隨著動網論壇的廣泛應用和動網上傳漏洞的被發現以及SQL注入式攻擊越來越多的被使用,WEBSHELL讓防火牆形同虛設,一台即使打了所有微軟補丁、只讓80埠對外開放的WEB伺服器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統下的許可權設置問題,我們可以對crackers們說:NO!
要打造一台安全的WEB伺服器,那麼這台伺服器就一定要使用NTFS和Windows NT/2000/2003。眾所周知,Windows是一個支持多用戶、多任務的操作系統,這是許可權設置的基礎,一切許可權設置都是基於用戶和進程而言的,不同的用戶在訪問這台計算機時,將會有不同的許可權。
DOS跟WinNT的許可權的分別
DOS是個單任務、單用戶的操作系統。但是我們能說DOS沒有許可權嗎?不能!當我們打開一台裝有DOS操作系統的計算機的時候,我們就擁有了這個操作系統的管理員許可權,而且,這個許可權無處不在。所以,我們只能說DOS不支持許可權的設置,不能說它沒有許可權。隨著人們安全意識的提高,許可權設置隨著NTFS的發布誕生了。
Windows NT里,用戶被分成許多組,組和組之間都有不同的許可權,當然,一個組的用戶和用戶之間也可以有不同的許可權。下面我們來談談NT中常見的用戶組。
Administrators,管理員組,默認情況下,Administrators中的用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認許可權允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該組的成員。
Power Users,高級用戶組,Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何操作系統任務。分配給 Power Users 組的默認許可權允許 Power Users 組的成員修改整個計算機的設置。但Power Users 不具有將自己添加到 Administrators 組的許可權。在許可權設置中,這個組的許可權是僅次於Administrators的。
Users:普通用戶組,這個組的用戶無法進行有意或無意的改動。因此,用戶可以運行經過驗證的應用程序,但不可以運行大多數舊版應用程序。Users 組是最安全的組,因為分配給該組的默認許可權不允許成員修改操作系統的設置或用戶資料。Users 組提供了一個最安全的程序運行環境。在經過 NTFS 格式化的卷上,默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統注冊表設置、操作系統文件或程序文件。Users 可以關閉工作站,但不能關閉伺服器。Users 可以創建本地組,但只能修改自己創建的本地組。
Guests:來賓組,按默認值,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。
Everyone:顧名思義,所有的用戶,這個計算機上的所有用戶都屬於這個組。
其實還有一個組也很常見,它擁有和Administrators一樣、甚至比其還高的許可權,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是SYSTEM組。系統和系統級的服務正常運行所需要的許可權都是靠它賦予的。由於該組只有這一個用戶SYSTEM,也許把該組歸為用戶的行列更為貼切。
許可權實例攻擊
許可權將是你的最後一道防線!那我們現在就來對這台沒有經過任何許可權設置,全部採用Windows默認許可權的伺服器進行一次模擬攻擊,看看其是否真的固若金湯。
假設伺服器外網域名為http://www.webserver.com,用掃描軟體對其進行掃描後發現開放WWW和FTP服務,並發現其服務軟體使用的是IIS 5.0和Serv-u 5.1,用一些針對他們的溢出工具後發現無效,遂放棄直接遠程溢出的想法。
打開網站頁面,發現使用的是動網的論壇系統,於是在其域名後面加個/upfile.asp,發現有文件上傳漏洞,便抓包,把修改過的ASP木馬用NC提交,提示上傳成功,成功得到WEBSHELL,打開剛剛上傳的ASP木馬,發現有MS-SQL、Norton Antivirus和BlackICE在運行,判斷是防火牆上做了限制,把SQL服務埠屏蔽了。
通過ASP木馬查看到了Norton Antivirus和BlackICE的PID,又通過ASP木馬上傳了一個能殺掉進程的文件,運行後殺掉了Norton Antivirus和BlackICE。再掃描,發現1433埠開放了,到此,便有很多種途徑獲得管理員許可權了,可以查看網站目錄下的conn.asp得到SQL的用戶名密碼,再登陸進SQL執行添加用戶,提管理員許可權。也可以抓SERV-U下的ServUDaemon.ini修改後上傳,得到系統管理員許可權。
還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到,一旦黑客找到了切入點,在沒有許可權限制的情況下,黑客將一帆風順的取得管理員許可權。
那我們現在就來看看Windows 2000的默認許可權設置到底是怎樣的。對於各個卷的根目錄,默認給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。
系統卷下有三個目錄比較特殊,系統默認給了他們有限制的許可權,這三個目錄是Documents and settings、Program files和Winnt。對於Documents and settings,默認的許可權是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀許可權;Power users擁有讀&運,列和讀許可權;SYSTEM同Administrators;Users擁有讀&運,列和讀許可權。對於Program files,Administrators擁有完全控制權;Creator owner擁有特殊許可權;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權,Users有讀&運,列和讀許可權。
對於Winnt,Administrators擁有完全控制權;Creator owner擁有特殊許可權;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀許可權。而非系統卷下的所有目錄都將繼承其父目錄的許可權,也就是Everyone組完全控制權!
現在大家知道為什麼我們剛剛在測試的時候能一帆風順的取得管理員許可權了吧?許可權設置的太低了!一個人在訪問網站的時候,將被自動賦予IUSR用戶,它是隸屬於Guest組的。本來許可權不高,但是系統默認給的Everyone組完全控制權卻讓它「身價倍增」,到最後能得到Administrators了。
那麼,怎樣設置許可權給這台WEB伺服器才算是安全的呢?大家要牢記一句話:「最少的服務+最小的許可權=最大的安全」對於服務,不必要的話一定不要裝,要知道服務的運行是SYSTEM級的哦,對於許可權,本著夠用就好的原則分配就是了。
對於WEB伺服器,就拿剛剛那台伺服器來說,我是這樣設置許可權的,大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files,只給Administrator完全控制權,或者乾脆直接把Program files給刪除掉;給系統卷的根目錄多加一個Everyone的讀、寫權;給e:\www目錄,也就是網站目錄讀、寫權。
最後,還要把cmd.exe這個文件給挖出來,只給Administrator完全控制權。經過這樣的設置後,再想通過我剛剛的方法入侵這台伺服器就是不可能完成的任務了。可能這時候又有讀者會問:「為什麼要給系統卷的根目錄一個Everyone的讀、寫權?網站中的ASP文件運行不需要運行許可權嗎?」問的好,有深度。是這樣的,系統卷如果不給Everyone的讀、寫權的話,啟動計算機的時候,計算機會報錯,而且會提示虛擬內存不足。
當然這也有個前提----虛擬內存是分配在系統盤的,如果把虛擬內存分配在其他卷上,那你就要給那個卷Everyone的讀、寫權。ASP文件的運行方式是在伺服器上執行,只把執行的結果傳回最終用戶的瀏覽器,這沒錯,但ASP文件不是系統意義上的可執行文件,它是由WEB服務的提供者----IIS來解釋執行的,所以它的執行並不需要運行的許可權。
3. 我在伺服器上設置共享許可權,其他電腦上怎麼登陸許可權賬號
如果本機的guest用戶開啟,則別人連接時會默認使用guest。所以你要把guest禁用。方法是右鍵[我的電腦](或者[計算機]),選[管理],進入[本地用戶和組],找到guest用戶,右鍵點[屬性],選[禁用]。
在不禁用guest的情況下,使用特定賬號登錄的方法是:
在其他電腦上進入命令行界面,運行:
net
use
*
/delete
這個命令是把已經用guest建立的連接刪除,否則不能用其他賬號建立連接。
然後運行:
net
use
\\共享伺服器的計算機名\共享目錄名
/user:用於共享的賬號
然後屏幕會提示提輸入密碼。輸入密碼後,回到資源管理器,就可以打開伺服器上的共享目錄了。如果找不到共享伺服器,可以直接在資源管理器的地址欄輸入:\\共享伺服器的計算機名\共享目錄名
4. 文件伺服器(FTP)怎麼給用戶設置許可權
摘要 在桌面上右擊「我的電腦」,執行「管理」命令,在「計算機管理」窗口的左窗格中依次展開「系統工具」→「本地用戶和組」目錄,單擊選中「用戶」選項。在右側窗格中單擊右鍵,執行「新用戶」命令。在打開的「新用戶」對話框中填寫用戶名(如xpzx),並設定密碼。然後取消「用戶下次登錄時需更改密碼」復選框,並勾選「用戶不能更改密碼」和「密碼永不過期」復選框,單擊「創建」按鈕完成該用戶的添加。重復這一過程添加其他用戶,最後單擊「關閉」按鈕即可。
5. 電腦的伺服器許可權哪裡設置呀
文件夾目錄,滑鼠右鍵有一個安全選項.這個就是許可權設置.
6. 如何設置網路伺服器許可權
1、打開Internet信息服務窗口,在該窗口的左側顯示區域,用滑鼠右鍵單擊目標FTP站點,從彈出的快捷菜單中單擊「屬性」命令,打開目標FTP站點的屬性設置窗口,單擊該窗口中的「安全帳號」標簽,進入到標簽設置頁面(如下圖); 檢查該標簽頁面中的「允許匿名連接」項目是否處於選中狀態,要是發現該選項已經被選中的話,那我們必須及時取消它的選中狀態;
單擊上圖中標簽頁面中的「瀏覽」按鈕,從隨後出現的「選擇用戶或組」設置窗口中,依次將「bbb」、「ccc」用戶帳號選中並導入進來,再單擊「確認」按鈕,返回到Internet信息服務列表窗口;
3、驗證共享訪問安全
為了檢驗B部門、C部門的員工在訪問FTP伺服器時,是否只能看到本部門的上傳信息,我們現在就以FTP伺服器IP地址為192.168.1.10為例嘗試FTP登錄訪問操作。首先打開IE瀏覽窗口,並在該窗口址址框中輸入URL地址「ftp://192.168.1.10」,單擊回車鍵後,IE會自動彈出一個身份驗證對話框,在其中正確輸入用戶名「bbb」及對應帳號的訪問密碼,再單擊「登錄」按鈕,在隨後彈出的瀏覽頁面中,我們會發現B部門的員工以「bbb」用戶帳號登錄FTP伺服器時,只能訪問並管理「bbb」信息上傳目錄,而看不到「ccc」信息上傳目錄中的內容。當我們再次在IE瀏覽窗口中輸入URL地址「ftp://192.168.1.10」,然後在身份驗證對話框中輸入「ccc」用戶帳號及對應該帳號的密碼時,我們會發現C部門的員工以「ccc」用戶帳號登錄FTP伺服器時,只能訪問並管理「ccc」信息上傳目錄,而看不到「bbb」信息上傳目錄中的內容。
當B部門的員工登錄進FTP伺服器後,想嘗試在IE瀏覽窗口中輸入URL地址「ftp://192.168.1.10/ccc」,來達到瀏覽C部門的信息上傳目錄時,IE會自動彈出相關提示信息,告訴我們沒有瀏覽對應目錄的許可權。通過上述驗證操作,我們發現不同部門的員工共享使用同一台FTP伺服器時,只要進行合適的共享許可權設置,就會有效避免部門信息被輕易外泄的風險。
7. navicat軟體中用戶管理的地方有「伺服器許可權」和「許可權」兩項,二者是什麼區別和作用
伺服器許可權:設置對伺服器上所有資料庫的操作許可權。
許可權:設置具體的庫和具體的表的許可權。當與伺服器許可權設置沖突時,以伺服器許可權為准。
8. 區域網內共享,用戶許可權怎麼設置怎麼設置每台電腦的訪問許可權
你好:你這種情況用域方式管理是一種聰明的做法,也是非常穩定,非常專業的做法,下面為你分析原因:(你自己看一下有沒有按照下面的步驟操作,如果沒有按下面的步驟操作試下)
1:你做了域控制器,需要在AD裡面建立用戶
2:你所有的客戶端(共享需要訪問的電腦)必須加入到域裡面
3:加入域後,你所有的客戶端需要用域里建立的用戶登錄到域
4:在文件伺服器上設置許可權(你想要什麼許可權就設置什麼)
5:設置許可權的時候注意,NTFS分區設置共享時有兩個許可權要設置,一個是NTFS許可權,一個是共享許可權,要分許可權的時候,需要兩個都設置成一樣的,不然是不能訪問的。
6:歡迎繼續詢問,希望可以幫到你。
9. windows xp 設置網路共享,伺服器要怎麼設置訪問許可權
可以按照以下步驟進行設置修改。
一、檢查guest賬戶是否開啟
XP默認情況下不開啟guest賬戶,因此為了其他人能瀏覽你的計算機,請啟用guest賬戶。同時,為了安全請為guest設置密碼或相應的許可權。當然,也可以為每一台機器設置一個用戶名和密碼以便計算機之間的互相訪問。
二、檢查是否拒絕Guest用戶從網路訪問本機
【XP系統】默認是不允許guest從網路登錄的。點擊「開始→運行」,在「運行」對話框中輸入「GPEDIT.MSC」,打開組策略編輯器,依次選擇「計算機配置→Windows設置→安全設置→本地策略→用戶權利指派」,雙擊「拒絕從網路訪問這台計算機」策略,刪除「GUEST」。
【2003系統】控制面板→管理工具→本地安全策略→本地策略→用戶權利指派里,「從網路訪問此計算機」中加入guest帳戶,而「拒絕從網路訪問這台計算機」中刪除guest帳戶;
三、我的電腦→工具→文件夾選項→查看→去掉「使用簡單文件共享(推薦)」前的勾;
四、設置共享文件夾
五、.改網路訪問模式
【XP系統】默認是把從網路登錄的所有用戶都按來賓賬戶處理的,即使管理員也只具有來賓的許可權。嘗試更改網路訪問模式。打開組策略編輯器「計算機配置→Windows設置→安全設置→本地策略→安全選項」,雙擊「網路訪問:本地賬號的共享和安全模式」策略,將默認設置「僅來賓—本地用戶以來賓身份驗證」,更改為「經典:本地用戶以自己的身份驗證」。
即使不開啟guest,也可通過輸入本地的賬戶和密碼來登錄你要訪問的計算機,本地的賬戶和密碼為要訪問的計算機內的賬戶和密碼。若訪問網路時需要賬戶和密碼,可通過輸入要訪問的計算機內已經的賬戶和密碼來登錄。
若不對訪問模式進行更改,也許你連輸入用戶名和密碼都辦不到,//computername/guest為灰色不可用。即使密碼為空,在不開啟guest的情況下,你也不可能點確定登錄。改成經典模式,最低限度可以達到像2000里沒有開啟guest賬戶情況時一樣,可以輸入用戶名和密碼來登錄你要進入的計算機。也許你還會遇到一種特殊的情況,請看接下來的。
【2003系統】控制面板→管理工具→本地安全策略→本地策略→安全選項里,把「網路訪問:本地帳戶的共享和安全模式」設為「僅來賓-本地用戶以來賓的身份驗證」(可選,此項設置可去除訪問時要求輸入密碼的對話框,也可視情況設為「經典-本地用戶以自己的身份驗證」);
10. 電腦新建的默認受限賬戶都有哪些許可權都可以做什麼
受限用戶:用戶可以操作計算機並保存文檔,但不能安裝程序或更改系統設置。屬於(users組)
標准用戶:用戶可以更改很多系統設置並安裝不影響windows系統文件的程序。屬於(power
users組)
users:用戶無法進行有意或無意的改動,因此,用戶可以運行經過驗證的應用程序,但不可以運行大多數舊版應用程序。
telnet
clients:本組的成員可以訪問此系統上的telnet伺服器。
session
directory
computers:可以加入會話目錄的終端伺服器計算機列表。
replicator:支持域中的文件復制
remote
desktop
users:此組中的成員被授予遠程登錄的許可權。
print
operators:成員可以管理域列印機。
power
users:高級用戶擁有大部分管理許可權,但也有限制。因此,高級用戶可以運行進過驗證的應用程序,也可以運行舊版的應用程序。
performance
monitor
users:此組的成員可以遠程訪問以監視此計算機。
performance
log
users:此組的成員可以遠程訪問以計劃此計算機性能計數器的日誌。