电脑账号权限服务器权限
1. 服务器用户权限设置问题
需要限制权限的命令主要有:cmd.exenet.exenet1.exeping.exenetstat.exeftp.exetftp.exetelnet.exe等。
对这些命令单独进行设置,设置为只允许administrators组访问,这样既防止新建用户对系统进行修改,也可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了。特别提醒的是要删除cacls.exe这个程序,防止有人通过命令行来修改权限。(图1)
2. WINDOWS 用户权限怎么设置
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。
DOS跟WinNT的权限的分别
DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限实例攻击
权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。
打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。
通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。
还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。
系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。
对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。
那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。
对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\www目录,也就是网站目录读、写权。
最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。
当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
3. 我在服务器上设置共享权限,其他电脑上怎么登陆权限账号
如果本机的guest用户开启,则别人连接时会默认使用guest。所以你要把guest禁用。方法是右键[我的电脑](或者[计算机]),选[管理],进入[本地用户和组],找到guest用户,右键点[属性],选[禁用]。
在不禁用guest的情况下,使用特定账号登录的方法是:
在其他电脑上进入命令行界面,运行:
net
use
*
/delete
这个命令是把已经用guest建立的连接删除,否则不能用其他账号建立连接。
然后运行:
net
use
\\共享服务器的计算机名\共享目录名
/user:用于共享的账号
然后屏幕会提示提输入密码。输入密码后,回到资源管理器,就可以打开服务器上的共享目录了。如果找不到共享服务器,可以直接在资源管理器的地址栏输入:\\共享服务器的计算机名\共享目录名
4. 文件服务器(FTP)怎么给用户设置权限
摘要 在桌面上右击“我的电脑”,执行“管理”命令,在“计算机管理”窗口的左窗格中依次展开“系统工具”→“本地用户和组”目录,单击选中“用户”选项。在右侧窗格中单击右键,执行“新用户”命令。在打开的“新用户”对话框中填写用户名(如xpzx),并设定密码。然后取消“用户下次登录时需更改密码”复选框,并勾选“用户不能更改密码”和“密码永不过期”复选框,单击“创建”按钮完成该用户的添加。重复这一过程添加其他用户,最后单击“关闭”按钮即可。
5. 电脑的服务器权限哪里设置呀
文件夹目录,鼠标右键有一个安全选项.这个就是权限设置.
6. 如何设置网络服务器权限
1、打开Internet信息服务窗口,在该窗口的左侧显示区域,用鼠标右键单击目标FTP站点,从弹出的快捷菜单中单击“属性”命令,打开目标FTP站点的属性设置窗口,单击该窗口中的“安全帐号”标签,进入到标签设置页面(如下图); 检查该标签页面中的“允许匿名连接”项目是否处于选中状态,要是发现该选项已经被选中的话,那我们必须及时取消它的选中状态;
单击上图中标签页面中的“浏览”按钮,从随后出现的“选择用户或组”设置窗口中,依次将“bbb”、“ccc”用户帐号选中并导入进来,再单击“确认”按钮,返回到Internet信息服务列表窗口;
3、验证共享访问安全
为了检验B部门、C部门的员工在访问FTP服务器时,是否只能看到本部门的上传信息,我们现在就以FTP服务器IP地址为192.168.1.10为例尝试FTP登录访问操作。首先打开IE浏览窗口,并在该窗口址址框中输入URL地址“ftp://192.168.1.10”,单击回车键后,IE会自动弹出一个身份验证对话框,在其中正确输入用户名“bbb”及对应帐号的访问密码,再单击“登录”按钮,在随后弹出的浏览页面中,我们会发现B部门的员工以“bbb”用户帐号登录FTP服务器时,只能访问并管理“bbb”信息上传目录,而看不到“ccc”信息上传目录中的内容。当我们再次在IE浏览窗口中输入URL地址“ftp://192.168.1.10”,然后在身份验证对话框中输入“ccc”用户帐号及对应该帐号的密码时,我们会发现C部门的员工以“ccc”用户帐号登录FTP服务器时,只能访问并管理“ccc”信息上传目录,而看不到“bbb”信息上传目录中的内容。
当B部门的员工登录进FTP服务器后,想尝试在IE浏览窗口中输入URL地址“ftp://192.168.1.10/ccc”,来达到浏览C部门的信息上传目录时,IE会自动弹出相关提示信息,告诉我们没有浏览对应目录的权限。通过上述验证操作,我们发现不同部门的员工共享使用同一台FTP服务器时,只要进行合适的共享权限设置,就会有效避免部门信息被轻易外泄的风险。
7. navicat软件中用户管理的地方有“服务器权限”和“权限”两项,二者是什么区别和作用
服务器权限:设置对服务器上所有数据库的操作权限。
权限:设置具体的库和具体的表的权限。当与服务器权限设置冲突时,以服务器权限为准。
8. 局域网内共享,用户权限怎么设置怎么设置每台电脑的访问权限
你好:你这种情况用域方式管理是一种聪明的做法,也是非常稳定,非常专业的做法,下面为你分析原因:(你自己看一下有没有按照下面的步骤操作,如果没有按下面的步骤操作试下)
1:你做了域控制器,需要在AD里面建立用户
2:你所有的客户端(共享需要访问的电脑)必须加入到域里面
3:加入域后,你所有的客户端需要用域里建立的用户登录到域
4:在文件服务器上设置权限(你想要什么权限就设置什么)
5:设置权限的时候注意,NTFS分区设置共享时有两个权限要设置,一个是NTFS权限,一个是共享权限,要分权限的时候,需要两个都设置成一样的,不然是不能访问的。
6:欢迎继续询问,希望可以帮到你。
9. windows xp 设置网络共享,服务器要怎么设置访问权限
可以按照以下步骤进行设置修改。
一、检查guest账户是否开启
XP默认情况下不开启guest账户,因此为了其他人能浏览你的计算机,请启用guest账户。同时,为了安全请为guest设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。
二、检查是否拒绝Guest用户从网络访问本机
【XP系统】默认是不允许guest从网络登录的。点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除“GUEST”。
【2003系统】控制面板→管理工具→本地安全策略→本地策略→用户权利指派里,“从网络访问此计算机”中加入guest帐户,而“拒绝从网络访问这台计算机”中删除guest帐户;
三、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享(推荐)”前的勾;
四、设置共享文件夹
五、.改网络访问模式
【XP系统】默认是把从网络登录的所有用户都按来宾账户处理的,即使管理员也只具有来宾的权限。尝试更改网络访问模式。打开组策略编辑器“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
即使不开启guest,也可通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密码为要访问的计算机内的账户和密码。若访问网络时需要账户和密码,可通过输入要访问的计算机内已经的账户和密码来登录。
若不对访问模式进行更改,也许你连输入用户名和密码都办不到,//computername/guest为灰色不可用。即使密码为空,在不开启guest的情况下,你也不可能点确定登录。改成经典模式,最低限度可以达到像2000里没有开启guest账户情况时一样,可以输入用户名和密码来登录你要进入的计算机。也许你还会遇到一种特殊的情况,请看接下来的。
【2003系统】控制面板→管理工具→本地安全策略→本地策略→安全选项里,把“网络访问:本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”(可选,此项设置可去除访问时要求输入密码的对话框,也可视情况设为“经典-本地用户以自己的身份验证”);
10. 电脑新建的默认受限账户都有哪些权限都可以做什么
受限用户:用户可以操作计算机并保存文档,但不能安装程序或更改系统设置。属于(users组)
标准用户:用户可以更改很多系统设置并安装不影响windows系统文件的程序。属于(power
users组)
users:用户无法进行有意或无意的改动,因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
telnet
clients:本组的成员可以访问此系统上的telnet服务器。
session
directory
computers:可以加入会话目录的终端服务器计算机列表。
replicator:支持域中的文件复制
remote
desktop
users:此组中的成员被授予远程登录的权限。
print
operators:成员可以管理域打印机。
power
users:高级用户拥有大部分管理权限,但也有限制。因此,高级用户可以运行进过验证的应用程序,也可以运行旧版的应用程序。
performance
monitor
users:此组的成员可以远程访问以监视此计算机。
performance
log
users:此组的成员可以远程访问以计划此计算机性能计数器的日志。