您的位置:網站首頁 > 電器維修資料網 > 正文 >
隱患伴隨Windows-guest賬戶
來源: 日期:2013-11-24 19:11:05 人氣:標簽:
盡管Win2000/XP等系統提供了“權限”的功能,但是這樣就又帶來一個新問題:權限如何分配才是合理的?如果所有人擁有的權限都一樣,那么就等于所有人都沒有權限的限制,那和使用Win9x有什么區別?幸好,系統默認就為我們設置好了“權限組”(Group),只需把用戶加進相應的組即可擁有由這個組賦予的操作權限,這種做法就稱為權限的指派。
默認情況下,系統為用戶分了6個組,并給每個組賦予不同的操作權限,依次為:超級管理員組(Administrators)、高權限用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件復制組(ReplICator)、來賓用戶組(Guests),其中備份操作組和文件復制組為維護系統而設置,平時不會被使用。(圖.默認分組)
系統默認的分組是依照一定的管理憑據指派權限的,而不是胡亂產生,超級管理員組擁有大部分的計算機操作權限(并不是全部),能夠隨意修改刪除所有文件和修改系 統設置。再往下就是高權限用戶組,這一部分用戶也能做大部分事情,但是不能修改系統設置,不能運行一些涉及系統管理的程序。普通用戶組則被系統拴在了自己的地盤里,不能處理其他用戶的文件和運行涉及管理的程序等。來賓用戶組的文件操作權限和普通用戶組一樣,但是無法執行更多的程序。(圖.不同賬戶權限的限制)
這是系統給各個組指派的權限說明,細心的用戶也許會發現,為什么里面描述的“不能處理其他用戶的文件”這一條規則并不成立呢,我可以訪問所有文件啊,只是 不能對系統設置作出修改而已,難道是權限設定自身存在問題?實際上,NT技術的一部分功能必須依賴于特有的“NTFS”(NT文件系統)分區才能實現,文 件操作的權限指派就是 敏感的一部分,而大部分家庭用戶的分區為FAT32格式,它并不支持NT技術的安全功能,因此在這樣的文件系統分區上,連來賓用戶 都能隨意瀏覽修改系統超級管理員建立的文件(限制寫入操作的共享訪問除外),但這并不代表系統權限不起作用,我們只要把分區改為NTFS即可。
2.特殊權限
除了上面提到的6個默認權限分組,系統還存在一些特殊權限成員,這些成員是為了特殊用途而設置,分別是:SYSTEM(系統)、Everyone(所有 人)、CREATOR OWNER(創建者)等,這些特殊成員不被任何內置用戶組吸納,屬于完全獨立出來的賬戶。(圖.特殊權限成員)
前面我提到超級管理員分組的權限時并沒有用“全部”來形容,秘密就在此,不要相信系統描述的“有不受限制的完全訪問權”,它不會傻到把自己完全交給人類,管理 員分組同樣受到一定的限制,只是沒那么明顯罷了,真正擁有“完全訪問權”的只有一個成員:SYSTEM。這個成員是系統產生的,真正擁有整臺計算機管理權 限的賬戶,一般的操作是無法獲取與它等價的權限的。
“所有人”權限與普通用戶組權限差不多,它的存在是為了讓用戶能訪問被標記為“公有”的文件,這也是一些程序正常運行需要的訪問權限——任何人都能正常訪問被賦予“Everyone”權限的文件,包括來賓組成員。
被標記為“創建者”權限的文件只有建立文件的那個用戶才能訪問,做到了一定程度的隱私保護。
但是,所有的文件訪問權限均可以被超級管理員組用戶和SYSTEM成員忽略,除非用戶使用了NTFS加密。
無論是普通權限還是特殊權限,它們都可以“疊加”使用,“疊加”就是指多個權限共同使用,例如一個賬戶原本屬于Users組,而后我們把他加入 Administrators組,那么現在這個賬戶便同時擁有兩個權限身份,而不是用超級管理員權限去覆蓋原來身份。權限疊加并不是沒有意義的,在一些需要特 定身份訪問的場合,用戶只有為自己設置了指定的身份才能訪問,這個時候“疊加”的使用就能減輕一部分勞動量了。
無形的柵欄 完全解析Windows系統權限(2)
3.NTFS與權限
在前面我提到了NTFS文件系統,自己安裝過Win2000/XP的用戶應該會注意到安裝過程中出現的“轉換分區格式為NTFS”的選擇,那么什么是 NTFS?NTFS(New Technology File System)是一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式,只有使用NT技術的系統對它直接提供支持,也就是說,如果系統崩潰 了,用戶將無法使用外面流行的普通光盤啟動工具修復系統,因此,是使用傳統的FAT32還是NTFS,一直是個倍受爭議的話題,但如果用戶要使用完全的系 統權限功能,或者要安裝作為服務器使用,建議 好還是使用NTFS分區格式。與FAT32分區相比,NTFS分區多了一個“安全”特性(圖.FAT32與NTFS的比較),在里面,用戶可以進一步設置相關的文件訪問權限,而且前面 提到的相關用戶組指派的文件權限也只有在NTFS格式分區上才能體現出來。例如,來賓組的用戶再也不能隨便訪問到NTFS格式分區的任意一個文件了,這樣 可以減少系統遭受一般由網站服務器帶來的入侵損失,因為IIS賬戶對系統的訪問權限僅僅是來賓級別而已,如果入侵者不能提升權限,那么他這次的入侵可以算 是白忙了。
使用NTFS分區的時候,用戶才會察覺到系統給超級管理員組用戶設定的限制:一些文件即使是超級管理員也無法訪問,因為它是SYSTEM成員建立的,并且設定了權限。(圖.NTFS權限審核導致訪問被拒絕)
但是NTFS系統會帶來一個眾所周知的安全隱患:NTFS支持一種被稱為“交換數據流”(ALTErnatEDAtaStream,ADs)的存儲特性, 原意是為了和Macintosh的HFS文件系統兼容而設計的,使用這種技術可以在一個文件資源里寫入相關數據(并不是寫入文件中),而且寫進去的數據可 以使用很簡單的方法把它提取出來作為一個獨立文件讀取,甚至執行,這就給入侵者提供了一個可乘之機,例如在一個正常程序里插入包含惡意代碼的數據流,在程 序運行時把惡意代碼提取出來執行,就完成了一次破壞行動。(圖.隱秘的數據流)
不過值得慶幸的是,數據流僅僅能存在于NTFS格式分區內,一旦存儲介質改變為FAT32、CDFS等格式,數據流內容便會消失了,破壞代碼也就不復存在。
4.權限設置帶來的安全訪問和故障
很多時候,超級管理員不得不為遠程網絡訪問帶來的危險因素而擔憂,普通用戶也經常因為新漏洞攻擊或者IE瀏覽器安全漏洞下載的網頁木馬而疲于奔命,實際上合理使用NTFS格式分區和權限設置的組合,足以讓
我們抵御大部分病毒和黑客的入侵。
首先,我們要盡量避免平時使用超級管理員賬戶登錄系統,這樣會讓一些由IE帶來的病毒木馬因為得不到相關權限而感染失敗,但是國內許多計算機用戶并沒有意識到 這一點,或者說沒有接觸到相關概念,因而大部分系統都是以超級管理員賬戶運行的,這就給病毒傳播提供了一個很好的環境。如果用戶因為某些工作需要,必須以管理 員身份操作系統,那么請降低IE的運行權限,有試驗證明,IE運行的用戶權限每降低一個級別,受漏洞感染的幾率就相應下降一個級別,因為一些病毒在例如像 Users組這樣的權限級別里是無法對系統環境做出修改的。降低IE運行權限的方法很多, 簡單的就是使用微軟自家產品“Drop MyRights”對程序的運行權限做出調整。
【看看這篇文章在百度的收錄情況】
相關文章
- 上一篇: 詳解taskmgr.exe進程知識
- 下一篇: 戰場上的安卓:美軍的“鐵血戰士之眼”