Windows system >> Conocimiento de Windows > >> Síntesis de Windows Tutorial >> Habilidades de Windows

Configuración detallada de permisos de Windows

Con la amplia aplicación del foro de redes dinámicas y el descubrimiento de lagunas en Internet y el uso cada vez mayor de los ataques de inyección SQL, WEBSHELL hace que los firewalls sean inútiles. Uno incluso hace que todos los parches de Microsoft, solo los 80 puertos estén abiertos al público. El servidor WEB también escapa a la suerte de ser hackeado. ¿Somos realmente impotentes? De hecho, siempre que entienda la configuración de permisos bajo el sistema NTFS, podemos decirle a los craqueadores: ¡NO! Para crear un servidor WEB seguro, este servidor debe usar NTFS y Windows NT /2000/2003. Como todos sabemos, Windows es un sistema operativo multiusuario y multitarea. Esta es la base de la configuración de permisos. Todas las configuraciones de permisos se basan en los usuarios y los procesos. Los diferentes usuarios tendrán acceso diferente a esta computadora. Permisos. La diferencia entre los permisos de DOS y WinNT
DOS es un sistema operativo de una sola tarea y un solo usuario. ¿Pero podemos decir que DOS no tiene permiso? No! Cuando abrimos una computadora con un sistema operativo DOS, tenemos privilegios de administrador para este sistema operativo, y este permiso está en todas partes. Por lo tanto, solo podemos decir que DOS no admite la configuración de permisos, no se puede decir que no tenga permisos. A medida que aumentaba la conciencia de seguridad de las personas, las configuraciones de permisos nacieron con el lanzamiento de NTFS. En Windows NT, los usuarios se dividen en grupos y los grupos y grupos tienen permisos diferentes. Por supuesto, los usuarios de un grupo pueden tener permisos diferentes. Vamos a hablar de los grupos de usuarios comunes en NT. Administradores, grupo de administradores, de forma predeterminada, los usuarios de administradores tienen acceso completo sin restricciones a las computadoras /dominios. Los permisos predeterminados asignados a este grupo permiten el control total de todo el sistema. Por lo tanto, solo el personal de confianza puede convertirse en miembro del grupo. Los usuarios avanzados, los grupos de usuarios avanzados y los usuarios avanzados pueden realizar cualquier tarea del sistema operativo que no sean las reservadas para el grupo de administradores. Los permisos predeterminados asignados al grupo de usuarios avanzados permiten a los miembros del grupo de usuarios avanzados modificar las configuraciones de toda la computadora. Sin embargo, los usuarios avanzados no tienen permiso para agregarse al grupo de administradores. En la configuración de permisos, los permisos de este grupo solo son superados por los administradores. Usuarios: grupos de usuarios ordinarios, los usuarios de este grupo no pueden realizar cambios intencionales o no intencionales. Por lo tanto, los usuarios pueden ejecutar aplicaciones autenticadas, pero no la mayoría de las aplicaciones heredadas. El grupo Usuarios es el grupo más seguro porque los permisos predeterminados asignados al grupo no permiten que los miembros modifiquen la configuración del sistema operativo o los perfiles de usuario. El grupo Usuarios proporciona uno de los entornos de ejecución de programas más seguros. En los volúmenes con formato NTFS, la configuración de seguridad predeterminada está diseñada para evitar que los miembros de este grupo comprometan la integridad del sistema operativo y los programas instalados. Los usuarios no pueden modificar la configuración del registro del sistema, los archivos del sistema operativo o los archivos de programa. Los usuarios pueden apagar la estación de trabajo pero no pueden apagar el servidor. Los usuarios pueden crear grupos locales, pero solo pueden modificar los grupos locales que crean. Invitados: Grupo de invitados, de forma predeterminada, el invitado tiene los mismos derechos de acceso que los miembros de los Usuarios normales, pero la cuenta del invitado tiene más restricciones. Todos: como su nombre lo indica, todos los usuarios, todos los usuarios de este equipo pertenecen a este grupo. De hecho, también hay un grupo que es muy común. Tiene los mismos permisos que los Administradores, e incluso más alto. Sin embargo, este grupo no permite que ningún usuario se una. Al ver el grupo de usuarios, no se mostrará. Grupo SISTEMA. Se le asignan los permisos necesarios para que los servicios a nivel del sistema y del sistema funcionen correctamente. Dado que este grupo tiene solo un SISTEMA de usuario, puede ser más apropiado clasificar el grupo como usuario. Análisis de tamaño de potencia de los permisos
Los permisos son altos y bajos. Los usuarios con altos privilegios pueden operar con usuarios con pocos privilegios, pero los usuarios que no son administradores no pueden acceder a otros volúmenes NTFS. Perfiles de usuario a menos que estén autorizados por estos usuarios. Los usuarios con privilegios bajos no pueden realizar ninguna operación en usuarios con privilegios altos. En el proceso de uso de la computadora, no sentimos el permiso de obstaculizarte para hacer algo. Esto se debe a que utilizamos el usuario de los administradores para iniciar sesión cuando se usa la computadora. Esto tiene ventajas y desventajas. Por supuesto, puede hacer lo que quiera sin pasar por las restricciones. La desventaja es que ejecutar la computadora como miembro del grupo de administradores hará que el sistema sea vulnerable a los caballos de Troya, virus y otros riesgos de seguridad. Las acciones simples para acceder a un sitio de Internet o abrir un archivo adjunto de correo electrónico pueden dañar el sistema. Los sitios de Internet desconocidos o los archivos adjuntos de correo electrónico pueden tener un código de caballo de Troya que puede descargarse y ejecutarse en el sistema. Si ha iniciado sesión como administrador de la máquina local, el troyano puede usar el acceso administrativo para reformatear su disco duro, causando un daño inconmensurable, por lo que es mejor no iniciar sesión como administrador en los administradores si no es necesario. Los administradores tienen un usuario predeterminado, Administrador, creado durante la instalación del sistema. La cuenta de Administrador tiene control total sobre el servidor y puede asignar derechos de usuario y derechos de control de acceso a los usuarios según sea necesario. Es muy recomendable que esta cuenta esté configurada para usar una contraseña segura. La cuenta de administrador nunca puede eliminarse del grupo de administradores, pero se puede cambiar su nombre o deshabilitar. Como todos saben que existen "administradores" en muchas versiones de Windows, cambiar el nombre o deshabilitar esta cuenta hará que sea más difícil que un usuario malintencionado intente acceder a la cuenta. Para un buen administrador de servidor, generalmente renombran o deshabilitan esta cuenta. Bajo el grupo Invitados, también hay un usuario predeterminado ---- Invitado, pero por defecto está deshabilitado. No es necesario activar esta cuenta si no es necesario. Poca ayuda: ¿Qué es una contraseña segura? Es una contraseña compleja con más de 8 dígitos combinados con letras, números y tamaños, pero esto no evita por completo a muchos hackers, pero es difícil de descifrar hasta cierto punto.

Podemos ver el grupo de usuarios y los usuarios bajo el grupo a través del "Panel de control" - "Herramientas administrativas" - "Administración de equipos" - "Usuarios y grupos de usuarios". Hacemos clic derecho en un directorio debajo de un volumen NTFS o volumen NTFS, seleccionamos "Propiedades" - "Seguridad" para establecer permisos en un volumen, o un directorio debajo de un volumen, veremos los siguientes siete Permisos: control total, modificación, lectura y ejecución, lista de directorios de carpetas, lectura, escritura y permisos especiales. "Control total" es un acceso completo sin restricciones a este volumen o directorio. El estado es como el estado de los administradores en todos los grupos. Con "Control total" seleccionado, las cinco propiedades a continuación se seleccionarán automáticamente. "Modificar" es como usuarios avanzados, se selecciona "Modificar" y los siguientes cuatro atributos se seleccionarán automáticamente. Cuando cualquiera de los siguientes elementos no está seleccionado, la condición "Modificar" ya no será verdadera. "Leer y ejecutar" es cualquier archivo que permita leer y ejecutar bajo este volumen o directorio. "Listado de directorios de carpetas" y "Lectura" son necesarios para "Leer y ejecutar". "Listado de un directorio de carpeta" significa que solo puede buscar subdirectorios bajo el volumen o directorio, y no se puede leer ni ejecutar. "Leer" es la capacidad de leer datos de ese volumen o directorio. "Escribir" es la capacidad de escribir datos en el volumen o directorio. El "especial" es un desglose de los seis permisos anteriores. Los lectores pueden realizar investigaciones más profundas sobre "especiales" por su cuenta, y no hay muchos detalles aquí. Una simple operación de ejemplo de configuración del servidor: veamos un análisis completo de un sistema de servidor WEB y sus permisos que se acaban de instalar con el sistema operativo y el software de servicio. El servidor utiliza la versión de Windows 2000 Server, SP4 y se instalan varios parches. El software de servicio WEB utiliza IIS 5.0 que viene con Windows 2000 y elimina todas las asignaciones innecesarias. El disco duro completo está dividido en cuatro volúmenes NTFS, el disco C es el volumen del sistema, y solo el sistema y los controladores están instalados, el disco D es el volumen del software y todo el software instalado en el servidor está en el disco D. El disco E es el volumen del programa WEB, el sitio web El programa se encuentra en el directorio WWW debajo del volumen, el disco F es el volumen de datos del sitio web y todos los datos a los que llama el sistema del sitio web se almacenan en el directorio WWWDATABASE del volumen. Dicha clasificación sigue siendo un estándar que está más en línea con un servidor seguro. Espero que cada administrador novato pueda clasificar razonablemente los datos de su servidor, lo que no solo es conveniente de encontrar, sino que, lo que es más importante, mejora enormemente la seguridad del servidor, ya que podemos proporcionar cada volumen o cada directorio según sea necesario. Establezca diferentes permisos y minimice las pérdidas en caso de un incidente de seguridad de la red. Por supuesto, también puede distribuir los datos del sitio web en diferentes servidores para convertirlo en un grupo de servidores. Cada servidor tiene un nombre de usuario y una contraseña diferentes y proporciona diferentes servicios, lo que es más seguro. Pero aquellos que están dispuestos a hacerlo tienen una característica: rica :). Bueno, vamos al trabajo, la base de datos del servidor es MS-SQL, el software de servicio MS-SQL SQL2000 está instalado en el directorio d: ms-sqlserver2K, la cuenta SA está configurada con una contraseña lo suficientemente segura y el parche SP3 está instalado. Con el fin de facilitar el productor de la página web para gestionar la página web, el sitio web también tiene un servicio FTP. El software del servicio FTP utiliza SERV-U 5.1.0.0 y se instala en el directorio d: ftpserviceserv-u. El software antivirus y el firewall son Norton Antivirus y BlackICE respectivamente. Las rutas son d: nortonAV y d: firewallblackice. La base de datos de virus se ha actualizado a la última. La base de reglas del firewall define que solo los puertos 80 y 21 están abiertos al público. El contenido del sitio web es un foro que utiliza la Web 7.0, y el programa del sitio web se encuentra en e: wwwbbs. Los lectores cuidadosos pueden haber notado que la ruta para instalar este software de servicio no usé la ruta predeterminada o simplemente cambié la ruta predeterminada de la letra de la unidad, que también es una necesidad de seguridad, porque un hacker se abre camino a través de ciertos canales. El servidor, pero no obtuvo privilegios de administrador, lo primero que hará es ver qué servicios tiene abiertos y qué software está instalado, ya que necesita usarlos para mejorar sus privilegios. Un camino difícil de adivinar más una buena configuración de permisos lo mantendrá fuera. Creo que el servidor WEB configurado de esta manera es suficiente para resistir a la mayoría de los hackers que no son buenos aprendiendo. El lector puede preguntar de nuevo: "¡Esto no usa la configuración de permisos en absoluto! He hecho todo el trabajo seguro, ¿es necesaria la configuración de permisos?" ¡Por supuesto! El sabio debe tener una pérdida, incluso si ha perfeccionado la seguridad del sistema ahora, también debe saber que constantemente se descubren nuevas vulnerabilidades de seguridad. Instance Attack
¡Los permisos serán tu última línea de defensa! Entonces tomemos un ataque simulado en este servidor que no se ha configurado con ningún permiso y todos usan los permisos predeterminados de Windows para ver si es realmente inexpugnable. Suponga que el nombre de dominio de la red externa del servidor es http://www.webserver.com, escanéelo con el software de escaneo y descubra que abre los servicios WWW y FTP, y encuentra que su software de servicio utiliza IIS 5.0 y Serv-u 5.1, con algunos objetivos Su herramienta de desbordamiento no fue válida y abandonó la idea del desbordamiento remoto directo. Abra la página del sitio web, se encontró que se usa el sistema del foro, así que agregue /upfile.asp detrás de su nombre de dominio, encuentre una vulnerabilidad de carga de archivos, luego capture el paquete, el troyano ASP modificado se envía con NC, lo que provoca el éxito de la carga. Con éxito, WEBSHELL, abrió el troyano ASP que se acaba de cargar, encontró que MS-SQL, Norton Antivirus y BlackICE se están ejecutando. Se considera que el firewall ha realizado restricciones y ha bloqueado el puerto de servicio SQL.

Después de la eliminación de las ventanas de la opción del menú del botón derecho en exceso del método discontinuo

Cibercafés y experiencia en gestión de redes. Capacidad de gestión de ancho de banda para lograr

Habilidades de Windows

Conocimiento de Windows

Cómo cambiar el nombre de la cuenta de usuario en Windows 7
Windows 7 Cómo cambiar el nombre de la cuenta de usuario 1, haga clic en Inicio en la esquina in

Cómo ajustar la resolución de pantalla de Windows 7
Windows 7 Cómo ajustar la resolución de pantalla 1, haga clic derecho en el espacio en blanco de

Cómo crear una conexión de red inalámbrica en Windows 7
Windows 7 Cómo crear una conexión de red inalámbrica ¿Cómo crea el sistema Windows 7 una conexión

Consejos de configuración de nivel de bloque del bloqueador de ventanas emergentes de Windows 7
Consejos de configuración de nivel de bloque del bloqueador de ventanas emergentes de Windows 7 1

Sitio de excepciones del bloqueador de ventanas emergentes de configuración de Windows 7
Sitio de excepción del bloqueador de elementos emergentes de la configuración de Windows 7 1. En

Windows 7 restaura el método de configuración por defecto de IE8
Windows 7 restaura la configuración predeterminada de IE8 1, abra IE haga clic en Herramientas,

Acerca de las ventanas

Preguntas frecuentes del sistema

Tutorial de instalación del sistema

Información de Windows

Habilidades de Windows

Comando del sistema

Optimización del sistema

U disco instalado maquina

Artículos de Windows

Bloquee los botones de función importantes en el Administrador de tareas con la Política de grupo

Sistema de ventanas "modo seguro" truco mágico

Deje que múltiples sistemas operativos se ejecuten simultáneamente

Serv-U servidor chino confuso resolución de problemas

Usuario de Win XP y descripción del grupo de usuarios

Vulnerabilidad de cuenta oculta en todo el sistema de Microsoft

Sugerencias para cambiar la configuración de control de la cuenta de usuario en Windows 7

El misterio de la diferencia de velocidad de inicio de la serie de Windows

Windows "master" las habilidades de experiencia de combinación de cinco teclas más comúnmente utilizadas

Descubra fácilmente virus ocultos en sitios web maliciosos

Cómo cambiar la zona horaria en Windows 7

Windows 7 determina si el sistema activa

Conocimiento de Windows

El archivo exe de la computadora del sistema Win7 no puede abrir cómo resolver

La plataforma de desarrollo del navegador Win10 Edge marcará el comienzo de una nueva ola de funciones

¡Evaluación gráfica super detallada de Windows 8! Enseñarle a jugar Win8 (1)

Windows 10 RTM lanzó esta semana 10176 exposición versión compilada

El menú de inicio de Win10 muestra el efecto de mosaico dinámico 3D

¿Cómo se conecta win10 al escritorio remoto? Win10 dos formas de abrir el escritorio remoto

XP debe tener en cuenta varios problemas al actualizar a Windows 7

¿Cómo crear un punto de restauración con el sistema Win10?

Llave de activación de edición profesional de exposición física de la tarjeta Valor genuino de Win10 para jugar!

Herramienta de activación Win10 descargar

Sistema Windows

Tutorial del sistema de Windows XP

Tutorial del sistema de Windows 7

Tutorial del sistema de Windows 8

Tutorial del sistema de Windows 10

Tutorial del sistema de Windows 2003

Tutorial del sistema de Windows 2008

Tutorial del sistema de Windows Vista

Síntesis de Windows Tutorial

Tutorial del sistema de Windows Server

Tutorial del sistema Linux

Tutorial de software de computadora

Tutorial de Windows NT