分享:windows操作系统账户权限设置详解

随着动态论坛的广泛应用，动态上传漏洞的发现，SQL注入攻击的使用越来越多，WEBSHELL让防火墙形同虚设，一个只让80端口对外开放的WEB服务器，即使微软所有补丁都做了，也难逃被黑的命运。
我们真的无能为力吗？其实只要了解NTFS系统下权限设置的问题，我们就可以说:不会！
要建立安全的WEB服务器，此服务器必须使用NTFS和Windows NT/2000/2003。众所周知，Windows是支持多用户多任务的操作系统，这是权限设置的基础。所有的权限设置都是基于用户和进程的，不同的用户在访问这台计算机时会有不同的权限。
DOS和WinNT权限的区别
DOS是单任务单用户操作系统。但是我们能说DOS没有权威吗？不要！当我们打开一台装有DOS操作系统的电脑，我们就拥有了这个操作系统的管理员权限，这个权限无处不在。所以只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布而诞生。
在Windows NT中，用户被分成许多组，组拥有不同的权限。当然，一个组中的用户也可以有不同的权限。先说NT中常见的用户群。
管理员，管理员组。默认情况下，管理员中的用户对计算机/域拥有无限制的完全访问权限。分配给该组的默认权限允许完全控制整个系统。所以，只有信任的人才能成为这个群的成员。
高级用户组超级用户可以执行任何其他操作系统任务，但管理员组除外。分配给超级用户组的默认权限允许超级用户组的成员修改整个计算机的设置。但是，超级用户无权将自己添加到管理员组。在权限设置上，该组的权限仅次于管理员。
用户:一般用户组，该组用户不能有意无意地进行更改。因此，用户可以运行经过验证的应用程序，但不能运行大多数遗留应用程序。Users是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统设置或用户配置文件。用户组提供最安全的程序运行环境。在NTFS格式化的卷上，默认安全设置旨在防止该组成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。用户可以关闭工作站，但不能关闭服务器。用户可以创建本地组，但只能修改自己创建的本地组。
客人:客人群。默认情况下，来宾拥有与普通用户成员相同的访问权限，但对来宾帐户有更多限制。
Everyone:顾名思义，所有用户，这台计算机上的所有用户都属于这个组。
其实还有一个群体也很常见。它拥有与管理员相同甚至更高的权限，但是这个组不允许任何用户加入。查看用户组时，不会显示。就是系统组。系统级服务正常运行所需的权限依赖于它。由于该组中只有一个用户系统，因此将该组归类为用户可能更合适。
权限实例攻击
权限将是你的最后一道防线！我们现在对这台没有设置任何权限，采用Windows默认权限的服务器进行模拟攻击，看看它是否真的固若金汤。
假设服务器的外网域名称是http://WWW.webserver.com。用扫描软件扫描后发现，www和FTP服务都是开放的，其服务软件为IIS5.0和Serv-u 5.1。一些针对他们的溢出工具被发现无效，于是放弃了直接远程溢出的想法。
打开网站页面，发现自己使用的是在线论坛系统，于是在它的域名中添加了/upfile.asp，发现了一个文件上传漏洞，抓取了包，用NC提交了修改后的asp木马，表示上传成功，成功获得WEBSHELL。打开新上传的ASP木马，发现MS-SQL、诺顿杀毒、BlackICE都在运行。据判断，防火墙存在限制。
通过ASP木马看到了诺顿杀毒和BlackICE的PID，通过ASP木马上传了一个可以杀死进程的文件。跑完之后，我杀了诺顿杀毒和小黑。扫描后发现1433端口是开放的，有很多方法可以获得管理员权限。可以在网站目录中查看conn.asp，获取SQL的用户名和密码，然后登录SQL添加用户，请求管理员权限。也可以抓取SERV-U下的ServUDaemon.ini，修改后上传，得到系统管理员的许可。
还可以通过本地溢出SERV-U等工具直接添加用户到管理员中。可以看到，一旦黑客找到了突破点，在没有权限限制的情况下，黑客会顺利获得管理员权限。
那我们现在来看看Windows 2000的默认权限设置。对于每个卷的根目录，默认情况下，Everyone组拥有完全控制权。这意味着任何进入电脑的用户都可以在这些根目录中为所欲为，不受限制。
系统卷下有三个特殊目录，默认为Documents and settings、Program files和Winnt。对于文档和设置，默认权限分配如下:管理员拥有完全控制权限；每个人都有读取&传输、列和读取权限；超级用户具有读取和传输、列和读取权限；与系统管理员相同；用户拥有读取和传输、列和读取权限。管理员可以完全控制程序文件；创造者拥有特殊权利；超级用户拥有完全控制权；与系统管理员相同；终端服务器用户拥有完全控制权限，用户拥有读取和传输、列和读取权限。
管理员可以完全控制Winnt创造者拥有特殊权利；超级用户拥有完全控制权；与系统管理员相同；用户拥有读取和传输、列和读取权限。而是非系统卷下的所有目录都会继承其父目录的权限，即Everyone组的完全控制权！
现在，你知道我们为什么能在测试中顺利获得管理员的许可了吧？权限设置太低！当一个人访问一个网站时，他会被自动给予IUSR用户，该用户属于来宾组。本来权限不高，但是系统默认给了Everyone组完全控制权，让它“更值钱”，最后得到了Administrators。
那么，这个WEB服务器如何设置权限才是安全的呢？大家要牢记一句话:“最低服务+最低权限=安全”。对于服务，如果没有必要，就不要安装。你要知道服务的操作是系统级的。对于权限，按照够用的原则分配就行了。
对于WEB服务器，以刚才的服务器为例。我这样设置权限。可以参考一下:各卷的根目录、文档和设置、程序文件只给管理员完全控制，或者干脆删除程序文件；将所有人的读写权限添加到系统卷的根目录中；e:给e:www目录，也就是网站目录的读写权限。
最后，我们必须挖出文件cmd.exe，并且只给管理员完全的控制权。这样设置之后，我刚才做的方法是不可能入侵这个服务器的。这时可能会有读者问“为什么要给系统卷的根目录所有人的读写权限？在网站中运行ASP文件不需要运行权限吗？”问得好，深。嗯，如果系统卷没有给每个人读写权限，那么电脑启动的时候会报错，会提示虚拟内存不足。
当然这也有一个前提——虚拟内存是分配在系统盘上的。如果虚拟内存分配在其他卷上，那么您必须授予该卷所有人读写权限。ASP文件在服务器上执行，只有执行结果被发送回最终用户的浏览器。这是真的，但是ASP文件不是系统意义上的可执行文件。它由WEB服务的提供者IIS解释和执行，因此它的执行不需要运行权限。