Cómo configurar los permisos de seguridad para Windows

Con la aplicación extensiva Dongwangluntan y vulnerabilidad pase en línea dinámica que se encontró y ataques de inyección SQL se utilizan cada vez más, WebShell cortafuegos inútil, incluso jugando una Todos los parches de Microsoft, los servidores web que solo abren el puerto 80, no pueden escapar al destino de ser hackeado. ¿Somos realmente impotentes? De hecho, si usted averiguar los permisos con los problemas del sistema NTFS, podemos decir que las galletas se :! NO para construir un servidor web seguro, entonces este servidor para asegurarse de utilizar NTFS y Windows NT /2000/2003. Como todos sabemos, Windows es un multi-usuario, multi-tarea Caozuojitong, que es la base de permisos, todos los permisos se basan en el proceso en términos de usuarios y diferentes usuarios el acceso a este equipo, habrá diferentes Permisos. DOS es un sistema operativo de una sola tarea y de un solo usuario. ¿Pero podemos decir que DOS no tiene permiso? No! Cuando abrimos una computadora con un sistema operativo DOS, tenemos privilegios de administrador para el sistema operativo, y este permiso está en todas partes. Por lo tanto, solo podemos decir que DOS no admite la configuración de permisos, no se puede decir que no tenga permisos. A medida que aumentaba la conciencia de seguridad de las personas, las configuraciones de permisos nacieron con el lanzamiento de NTFS.

En Windows NT, los usuarios se dividen en grupos y los grupos y grupos tienen permisos diferentes. Por supuesto, los usuarios de un grupo pueden tener permisos diferentes. Vamos a hablar de los grupos de usuarios comunes en NT.

Administradores, Grupo de administradores, de forma predeterminada, los usuarios de administradores tienen acceso completo sin restricciones a las computadoras /dominios. Los permisos predeterminados asignados a este grupo permiten el control total de todo el sistema. Por lo tanto, solo el personal de confianza puede convertirse en miembro del grupo.

Los usuarios avanzados, los usuarios avanzados y los usuarios avanzados pueden realizar cualquier tarea del sistema operativo que no sean las reservadas para el grupo Administradores. Los permisos predeterminados asignados al grupo de usuarios avanzados permiten a los miembros del grupo de usuarios avanzados modificar las configuraciones de toda la computadora. Sin embargo, los usuarios avanzados no tienen permiso para agregarse al grupo de administradores. En la configuración de permisos, los permisos de este grupo solo son superados por los administradores.

Usuarios: grupos de usuarios normales, los usuarios de este grupo no pueden realizar cambios intencionales o involuntarios. Por lo tanto, los usuarios pueden ejecutar aplicaciones autenticadas, pero no la mayoría de las aplicaciones heredadas. El grupo Usuarios es el grupo más seguro porque los permisos predeterminados asignados al grupo no permiten que los miembros modifiquen la configuración del sistema operativo o los perfiles de usuario. El grupo Usuarios proporciona uno de los entornos de ejecución de programas más seguros. En los volúmenes con formato NTFS, la configuración de seguridad predeterminada está diseñada para evitar que los miembros de este grupo comprometan la integridad del sistema operativo y los programas instalados. Los usuarios no pueden modificar la configuración del registro del sistema, los archivos del sistema operativo o los archivos de programa. Los usuarios pueden apagar la estación de trabajo pero no pueden apagar el servidor. Los usuarios pueden crear grupos locales, pero solo los grupos locales que ellos mismos creen.

Invitados: los grupos de invitados, de forma predeterminada, los invitados tienen el mismo acceso que los usuarios normales, pero la cuenta de invitado tiene más restricciones.

Todos: Como su nombre lo indica, todos los usuarios, todos los usuarios en esta computadora pertenecen a este grupo.

Hay un grupo también son comunes, que tiene, y administradores, e incluso más alta que la autoridad también, pero este grupo no permite que cualquier usuario pueda unirse, cuando se ve un grupo de usuarios, no lo hará Se muestra, es el grupo SISTEMA. Se le asignan los permisos necesarios para que los servicios a nivel del sistema y del sistema funcionen correctamente. Dado que este grupo tiene solo un SISTEMA de usuario, puede ser más apropiado clasificar el grupo como usuario.

Los permisos son puntos altos y bajos, hay usuarios altamente privilegiados pueden operar en el usuario con privilegios bajos, pero en Administradores Además, otros grupos de usuarios no pueden acceder a los datos de otros usuarios en un volumen NTFS, a menos que Obtenido la autorización de estos usuarios. Los usuarios con privilegios bajos no pueden realizar ninguna operación en usuarios con privilegios altos. Entre

Normalmente utilizar un ordenador en el proceso no tiene permiso para sentir frustrar a hacer algo, porque cuando usamos las computadoras están utilizando los Administradores de la conexión del usuario. Esto tiene ventajas y desventajas. Por supuesto, puede hacer lo que quiera sin pasar por las restricciones. La desventaja es que ejecutar la computadora como miembro del grupo de administradores hará que el sistema sea vulnerable a los caballos de Troya, virus y otros riesgos de seguridad. Las acciones simples para acceder a un sitio de Internet o abrir un archivo adjunto de correo electrónico pueden dañar el sistema. Los sitios de Internet desconocidos o los archivos adjuntos de correo electrónico pueden tener un código de caballo de Troya que se puede descargar al sistema y ejecutar. Si ha iniciado sesión como administrador del equipo local con acceso administrativo caballo de Troya puede formatear el disco duro, causando daños incalculables, por lo que en ausencia del necesario, no es el mejor en el inicio de sesión de usuario Administradores.

Los administradores tienen un usuario predeterminado se crea ---- administrador cuando se instala el sistema, la cuenta de administrador tiene permisos de control total sobre el servidor y se puede asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. Es muy recomendable que esta cuenta esté configurada para usar una contraseña segura. La cuenta de administrador nunca puede eliminarse del grupo de administradores, pero se puede cambiar su nombre o deshabilitar. Porque todos sabemos y " administrador y " existimos en muchas versiones de ventanas, cambio de nombre o la deshabilita permitir a un usuario malintencionado intenta acceder a la cuenta y se vuelve más difícil. Para un buen administrador de servidor, generalmente renombran o deshabilitan esta cuenta. Bajo el grupo Invitados, también hay un usuario predeterminado ---- Invitado, pero por defecto está deshabilitado. No es necesario activar esta cuenta si no es necesario. Podemos y " Panel de control y " - y " Herramientas administrativas y " - y " la gestión y " equipo; - y " usuarios y grupos " para ver los grupos de usuarios y usuarios en el grupo.

Haga clic derecho en un directorio en el volumen NTFS o un volumen NTFS, seleccione y " Properties " - y " segura y " se puede llevar a cabo el permiso en un rollo, o un directorio siguiente rollo Configuración, en este punto veremos los siguientes siete permisos: control total, modificar, leer y ejecutar, listar directorio de carpetas, leer, escribir y permisos especiales. " Control total " es un acceso completo sin restricciones a este volumen o directorio. El estado es como el estado de los administradores en todos los grupos. Con el "Control total" seleccionado, los siguientes cinco atributos se seleccionarán automáticamente. " Modificar " como usuarios avanzados, seleccionado "Modificar", los siguientes cuatro atributos se seleccionarán automáticamente. Cuando cualquiera de los siguientes elementos no esté seleccionado, la condición " Modificar " ya no será verdadera. Y " leer y ejecutar y " se le permite leer y ejecutar cualquier documento en este volumen o directorio, y " contenido de la carpeta y " y " leer y " es y " leer y ejecutar y " la Condiciones necesarias. “Listado de directorios de carpetas” significa que solo puede explorar los subdirectorios bajo el volumen o directorio, que no se pueden leer ni ejecutar. " Read " es capaz de leer los datos en el volumen o directorio. " Write " puede escribir datos en el volumen o directorio. Y "especial" es subdividir los seis permisos anteriores. Los lectores pueden realizar un estudio más profundo de "especial", y el resto de la gente no entrará en detalles aquí.

A continuación, presentamos un análisis completo de un sistema de servidor WEB y sus permisos que acaban de instalar el sistema operativo y el software de servicio. El servidor usa Windows 2000 Server e instala SP4 y varios parches. El software de servicio web utiliza el IIS 5.0 de Windows 2000, eliminando todas las asignaciones innecesarias. toda NTFS disco duro se divide en cuatro volúmenes, la unidad C para el volumen del sistema, único sistema y los controladores están instalados, los volúmenes de disco de software D en el servidor de todo el software instalado en la unidad D; volumen de disco E es un sitio Web programa Web los programas están en el directorio WWW del volumen; F disco es el volumen de datos del sitio, el sistema llama a todos los sitios de datos se almacenan en el directorio WWWDATABASE el volumen. Dicha clasificación sigue siendo un estándar que está más en línea con un servidor seguro.

administrador novato puede esperar razonablemente que todos los datos del servidor a ser clasificados, por lo que no sólo es fácil de encontrar, más importante aún, esta mejora en gran medida la seguridad del servidor, ya que podemos dar a cada uno según sus necesidades Los volúmenes o cada directorio tienen permisos diferentes y, en caso de un incidente de seguridad de la red, se pueden minimizar las pérdidas. Por supuesto, los datos también pueden ser distribuidos en el sitio en distintos servidores, por lo que es un clúster de servidores, cada servidor tiene un nombre de usuario y contraseña diferentes y proporcionan diferentes servicios, haciendo más seguro. Pero aquellos que están dispuestos a hacerlo tienen una característica: tienen dinero :). Así, conseguir en la base de datos del servidor para MS-SQL, software de servicio SQL2000 MS-SQL instalado en el directorio d: \\ bajo MS-sqlserver2K, para establecer la contraseña de la cuenta SA de suficiente intensidad, instalado el parche SP3.

Con el fin de facilitar el personal de producción web para gestionar páginas web, el sitio también abrió un servicio FTP, software de servicio FTP mediante SERV-U 5.1.0.0, instalado en D: \\ ftpservice \\ directorio bajo serv-u. software antivirus y los cortafuegos se utilizan Norton Antivirus y BlackICE, caminos son, respectivamente, d: \\ nortonAV y D: \\ firewall \\ blackice, se ha actualizado a la base de datos de virus más recientes, base de reglas de firewall se define sólo 80 puertos y 21 puertos abiertos. El contenido del sitio web es un foro que utiliza la Web 7.0 y el programa del sitio web se encuentra en e: \\ www \\ bbs. Los lectores atentos pueden haber notado, éstos ruta de instalación de software de servicios no hice uso de la ruta predeterminada o letra de la unidad es simplemente cambiar la ruta por defecto, que se requiere en la seguridad, ya que si un hacker entra en su camino a través de algunos de servidor, pero no obtuvo privilegios de administrador, lo primero que hay que hacer sería ver qué servicios están abiertos y el software instalado, porque él necesita para elevar sus privilegios a través de estos.

Los permisos son puntos altos y bajos, hay usuarios altamente privilegiados pueden operar en el usuario con privilegios bajos, pero en Administradores Además, otros grupos de usuarios no pueden acceder a los datos de otros usuarios en un volumen NTFS, a menos que Obtenido la autorización de estos usuarios. Los usuarios con privilegios bajos no pueden realizar ninguna operación en usuarios con privilegios altos. Entre

Normalmente utilizar un ordenador en el proceso no tiene permiso para sentir frustrar a hacer algo, porque cuando usamos las computadoras están utilizando los Administradores de la conexión del usuario. Esto tiene ventajas y desventajas. Por supuesto, puede hacer lo que quiera sin pasar por las restricciones. La desventaja es que ejecutar la computadora como miembro del grupo de administradores hará que el sistema sea vulnerable a los caballos de Troya, virus y otros riesgos de seguridad. Las acciones simples para acceder a un sitio de Internet o abrir un archivo adjunto de correo electrónico pueden dañar el sistema. Los sitios de Internet desconocidos o los archivos adjuntos de correo electrónico pueden tener un código de caballo de Troya que se puede descargar al sistema y ejecutar. Si ha iniciado sesión como administrador del equipo local con acceso administrativo caballo de Troya puede formatear el disco duro, causando daños incalculables, por lo que en ausencia del necesario, no es el mejor en el inicio de sesión de usuario Administradores.

Los administradores tienen un usuario predeterminado se crea ---- administrador cuando se instala el sistema, la cuenta de administrador tiene permisos de control total sobre el servidor y se puede asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. Es muy recomendable que esta cuenta esté configurada para usar una contraseña segura. La cuenta de administrador nunca puede eliminarse del grupo de administradores, pero se puede cambiar su nombre o deshabilitar. Porque todos sabemos y " administrador y " existimos en muchas versiones de ventanas, cambio de nombre o la deshabilita permitir a un usuario malintencionado intenta acceder a la cuenta y se vuelve más difícil. Para un buen administrador de servidor, generalmente renombran o deshabilitan esta cuenta. Bajo el grupo Invitados, también hay un usuario predeterminado ---- Invitado, pero por defecto está deshabilitado. No es necesario activar esta cuenta si no es necesario.