★Windows 权限设置介绍

随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO!
　　
　　要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。
　　
　　DOS跟WinNT的权限的分别
　　DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。
　　
　　Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
　　
　　Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。
　　
　　Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。
　　
　　Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。
　　
　　Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。
　　
　　Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。
　　
　　其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。
　　
　　权限的权力大小分析
　　权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
　　
　　我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。
　　
　　不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。
　　
　　因此强烈建议将此帐户设置为使用强密码。永远也不可以从Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。
　　
　　小帮助：何谓强密码？就是字母与数字、大小互相组合的大于8位的复杂密码，但这也不完全防得住众多的黑客，只是一定程度上较为难破解。
　　
　　我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
　　
　　我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。
　　
　　“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。
　　
　　“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。
　　
　　一台简单服务器的设置实例操作：
　　
　　下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。
　　
　　这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。
　　
　　当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱。
　　
　　好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。
　　
　　细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。
　　
　　一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。
　　
　　实例攻击
　　权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。
　　
　　假设服务器外网域名为http://www.webserver.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。
　　
　　打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。

★教你多种保护措施限用移动硬盘

从驱动下手，限用移动硬盘

　　我们知道，当移动硬盘插入到计算机对应的USB端口中后，Windows系统就会自动使用内置的USB接口驱动来安装好移动硬盘的驱动程序，这样一来移动硬盘就能正常使用了。相反，要是我们事先将Windows系统内置的USB接口驱动卸载掉的话，那么日后其他人即使将移动硬盘插入到本地计算机中，移动硬盘也会因为缺少对应驱动程序的支持而不能正常使用。在卸载USB接口驱动程序时，我们可以按照如下步骤进行操作:

　　首先用鼠标单击系统桌面中的“我的电脑”图标，从其后出现的快捷菜单中单击“属性”选项，打开本地计算机的系统属性设置窗口；　　

　　单击该设置窗口中的“硬件”标签，然后在对应标签页面中单击“设备管理器”按钮，进入到本地系统的设备列表界面;展开该界面中的“通用串行总线控制器”项目，并用鼠标选中该分支项目下面的“USB Root Hub”子项，再用鼠标右键单击该子项，从弹出的如图1所示快捷菜单中，执行“卸载”命令，这样我们就能将其中的一个USB接口驱动程序卸载掉了;按照相同的操作方法，可以将计算机系统中其他USB接口驱动程序统统卸载干净。

　　小提示:

　　由于卸载USB接口驱动程序会影响其他USB设备的正常使用，为此我们还可以从USB接口驱动程序访问权限出发，来阻止普通用户不能随意访问USB接口驱动程序，这样的话普通用户即使将移动硬盘插入到计算机中，也会因为无权访问对应驱动程序而不能使用移动硬盘。要想限制访问USB接口驱动程序，我们可以按照如下步骤来进行：

　　首先打开本地系统的设备列表窗口，展开该窗口中的“通用串行总线控制器”项目，并用鼠标选中该分支项目下面的“USB Root Hub”子项，再用鼠标右键单击该子项，从弹出的快捷菜单中执行“属性”命令，打开USB Root Hub的属性设置窗口；　　

　　单击该设置窗口中的“驱动程序”标签，并在对应的标签页面中单击“驱动程序详细信息”按钮，打开如图2所示的驱动程序文件列表窗口，找到USB接口使用的具体驱动文件，例如usbd.sys、usbhub.sys文件;

　　下面我们可以打开本地的系统资源管理器窗口，找到usbd.sys、usbhub.sys这两个文件，然后用鼠标右键单击它们，并执行右键菜单中的 “属性”命令，打开这两个文件的属性设置窗口，单击该窗口中的“安全”标签，之后在对应的标签页面中我们就能有针对性地设置它们的访问权限了。需要提醒各位的是，这种访问权限的设置方法只适合于Windows 2000或Windows 2003操作系统。

从端口下手，限用移动硬盘

　　将计算机系统自带的USB接口驱动卸载掉，虽然可以达到限制使用移动硬盘的目的，但是如果普通用户从网上下载安装USB接口的万能驱动的话，那么移动硬盘又能被正常使用了。但是，如果我们能够想办法将本地计算机的USB端口“封锁”起来的话，那么普通用户不管使用什么类型的驱动程序，都无法正常使用移动硬盘;要“封锁”本地计算机的USB端口，我们可以按照如下步骤来进行:

　　首先打开本地系统的“开始”菜单，并执行其中的“运行”命令，在弹出的运行对话框中，输入“regedit”字符串命令，单击“确定”按钮后，进入到本地系统的注册表编辑窗口;　　

　　在该编辑窗口左侧显示区域，找到“HKEY_LOCAL_MACHINE” 分支项目，然后用鼠标逐一展开该分支项目下面的“SYSTEM\CurrentControlSet\Services\usbhub”，在对应 “usbhub”子项所在的右侧显示区域中，检查一下是否存在一个名为“Start”的双字节值，如果找不到的话，我们可以依次单击菜单栏中的“编辑”/ “新建”/“Dword值”命令，并将刚刚创建的Dword值取名为“Start”.

　　接下来用鼠标双击“Start”双字节值，在其后出现的数值设置对话框中，选中“十进制”项目，同时在“数值数据”文本框中输入“4”，并单击“确定”按钮，最后将计算机系统重新启动一下，这样的话移动硬盘不管插入到计算机的哪个USB端口中，都将不能正常工作。

　　从盘符下手，限用移动硬盘

　　除了通过上面的两种方法可以限制使用移动硬盘外，我们还能着眼磁盘管理器，来将移动硬盘的盘符删除掉，从而达到限制使用移动硬盘的目的。下面就是该方法的具体操作步骤:

　　首先将移动硬盘先插入到本地计算机系统中，然后用鼠标右键单击系统桌面中的“我的电脑”图标，从弹出的右键菜单中执行“管理”命令，打开本地系统的计算机管理窗口;　　

　　其次在该窗口的左侧显示区域，用鼠标展开其中的“存储”分支，并选中该分支下面的“磁盘管理”项目，在对应“磁盘管理”项目右下方的显示区域中，找到移动硬盘所对应的驱动器号，用鼠标鼠标右键单击该驱动器号，从弹出的快捷菜单中执行“更改驱动器名和路径”命令，打开如图4所示的对话框;

　　在该对话框中，选中移动硬盘所使用的驱动器号，并单击一下其中的“删除”按钮，再单击“确定”按钮，这样一来移动硬盘的逻辑盘符就被删除掉了。此时，我们尝试打开“我的电脑”窗口时，就会发现移动硬盘的盘符消失了;即使我们日后重新插入移动硬盘时，移动硬盘盘符也无法显示在“我的电脑”窗口中，这样一来我们就能实现限制使用移动硬盘的目的了。

　　小提示：

　　当我们尝试打开磁盘管理窗口时，要是系统弹出“逻辑磁盘管理器服务已停用”之类的错误提示时，我们可以依次单击“开始”/“运行”命令，在弹出的系统运行框中输入字符串命令“services.msc”，单击“确定”按钮，打开系统的服务列表窗口;接着找到该窗口中的“Logical Disk Manager Administrative Service”项目，并用鼠标双击该项目，在其后出现的属性设置窗口中单击“启动”按钮，将“Logical Disk Manager Administrative Service”服务重新启动起来，这样一来我们日后就能顺利打开磁盘管理窗口了。

★一个很实用的命令－－－replace

用来替换文件的replace，连正在使用的文件也能替换。非常无敌。
比如：在C：\下建一个目录，c：\aaa
然后复制一首mp3到c:\aaa并命名为c:\aaa\a.mp3
然后再复制另一首歌到C:\a.mp3
然后用media player 播放c:\aaa\a.mp3
在命令提示符下输入：replace c:\a.mp3 c:\aaa
过一会，是不是播放的歌已变为另一首。
用这个命令来替换系统文件真是太爽了，并且系统文件保护也对它无效。
再也不用到安全模式下去替换文件了

格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]

[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的
目录。
/A 把新文件加入目标目录。不能和
/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您
进行确认。
/R 替换只读文件以及未受保护的
文件。
/S 替换目标目录中所有子目录的文件。
不能与 /A 命令选项
搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。
不能与 /A 命令行开关搭配使用

★三个小命令检查电脑是否被安装木马

一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过 “net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧!

联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。