跟着动网论坛的遍及应用和动网上传裂痕的被发明以及SQL注入式进攻越来越多的被利用,WEBSHELL让防火墙形同虚设,一台纵然打了所有微软补丁、只让80端口对外开放的WEB处事器也逃不外被黑的运气。莫非我们真的无能为力了吗?其实,只要你弄大白了NTFS系统下的权限配置问题,我们可以对crackers们说:NO!
要打造一台安详的WEB处事器,那么这台处事器就必然要利用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操纵系统,这是权限配置的基本,一切权限配置都是基于用户和历程而言的,差异的用户在会见这台计较机时,将会有差异的权限。DOS是个单任务、单用户的操纵系统。可是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操纵系统的计较机的时候,我们就拥有了这个操纵系统的打点员权限,并且,这个权限无处不在。所以,我们只能说DOS不支持权限的配置,不能说它没有权限。跟着人们安详意识的提高,权限配置跟着NTFS的宣布降生了。
Windows NT里,用户被分成很多组,组和组之间都有差异的权限,虽然,一个组的用户和用户之间也可以有差异的权限。下面我们来谈谈NT中常见的用户组。
Administrators,打点员组,默认环境下,Administrators中的用户对计较机/域有不受限制的完全会见权。分派给该组的默认权限答允对整个系统举办完全节制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保存的任务外的其他任何操纵系统任务。分派给 Power Users 组的默认权限答允 Power Users 组的成员修改整个计较机的配置。但Power Users 不具有将本身添加到 Administrators 组的权限。在权限配置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法举办有意或无意的窜改。因此,用户可以运行颠末验证的应用措施,但不行以运行大大都旧版应用措施。Users 组是最安详的组,因为分派给该组的默认权限不答允成员修改操纵系统的配置或用户资料。Users 组提供了一个最安详的措施运行情况。在颠末 NTFS 名目化的卷上,默认安详配置旨在克制该组的成员危及操纵系统和已安装措施的完整性。用户不能修改系统注册表配置、操纵系统文件或措施文件。Users 可以封锁事情站,但不能封锁处事器。Users 可以建设当地组,但只能修改本身建设的当地组。
Guests:宾客组,按默认值,宾客跟普通Users的成员有同等会见权,但宾客帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计较机上的所有用户都属于这个组。
其实尚有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,可是这个组不答允任何用户的插手,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的处事正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的队列更为贴切。
权限是有坎坷之分的,有高权限的用户可以对低权限的用户举办操纵,但除了Administrators之外,其他组的用户不能会见 NTFS 卷上的其他用户资料,除非他们得到了这些用户的授权。而低权限的用户无法对高权限的用户举办任何操纵。
我们泛泛利用计较机的进程傍边不会感受到有权限在阻挠你去做某件工作,这是因为我们在利用计较机的时候都用的是Administrators中的用户登岸的。这样有利也有弊,利虽然是你能去做你想做的任何一件工作而不会碰着权限的限制。弊就是以 Administrators 构成员的身份运行计较机将使系统容易受到特洛伊木马、病毒及其他安详风险的威胁。会见 Internet 站点或打开电子邮件附件的简朴动作都大概粉碎系统。不熟悉的 Internet 站点或电子邮件附件大概有特洛伊木马代码,这些代码可以下载到系统并被执行。假如以当地计较机的打点员身份登录,特洛伊木马大概利用打点会见权从头名目化您的硬盘,造成不行估计的损失,所以在没有须要的环境下,最好不消Administrators中的用户登岸。Administrators中有一个在系统安装时就建设的默认用户----Administrator,Administrator 帐户具有对处事器的完全节制权限,并可以按照需要向用户指派用户权利和会见节制权限。因此强烈发起将此帐户配置为利用强暗码。永远也不行以从 Administrators 组删除 Administrator 帐户,但可以重定名或禁用该帐户。由于各人都知道“打点员”存在于很多版本的 Windows 上,所以重定名或禁用此帐户将使恶意用户实验并会见该帐户变得更为坚苦。对付一个好的处事器打点员来说,他们凡是城市重定名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,可是在默认环境下,它是被禁用的。假如没有出格须要,无须启用此账户。我们可以通过“节制面板”--“打点东西”--“计较机打点”--“用户和用户组”来查察用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目次,选择“属性”--“安详”就可以对一个卷,可能一个卷下面的目次举办权限配置,此时我们会看到以下七种权限:完全节制、修改、读取和运行、列出文件夹目次、读取、写入、和出格的权限。“完全节制”就是对此卷或目次拥有不受限制的完全会见。职位就像Administrators在所有组中的职位一样。选中了“完全节制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再创立。“读取和运行”就是答允读取和运行在这个卷或目次下的任何文件,“列出文件夹目次”和“读取”是“读取和运行”的须要条件。“列出文件夹目次”是指只能欣赏该卷或目次下的子目次,不能读取,也不能运行。“读取”是可以或许读取该卷或目次下的数据。“写入”就是能往该卷或目次下写入数据。而“出格”则是对以上的六种权限举办了细分。读者可以自行对“出格”举办更深的研究,不才在此就不外多赘述了。
下面我们对一台方才安装好操纵系统和处事软件的WEB处事器系统和其权限举办全面的刨析。处事器回收Windows 2000 Server版,安装好了SP4及各类补丁。WEB处事软件则是用了Windows 2000自带的IIS 5.0,删除了一切不须要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动措施;D盘为软件卷,该处事器上所有安装的软件都在D盘中;E盘是WEB措施卷,网站措施都在该卷下的WWW目次中;F盘是网站数据卷,网站系统挪用的所有数据都存放在该卷的WWWDATABASE目次下。这样的分类还算是较量切合一台安详处事器的尺度了。但愿各个新手打点员能公道给你的处事器数据举办分类,这样不仅是查找起来利便,更重要的是这样大大的加强了处事器的安详性,因为我们可以按照需要给每个卷可能每个目次都配置差异的权限,一旦产生了网络安详变乱,也可以把损失降到最低。虽然,也可以把网站的数据漫衍在差异的处事器上,使之成为一个处事器群,每个处事器都拥有差异的用户名和暗码并提供差异的处事,这样做的安详性更高。不外愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该处事器的数据库为MS-SQL,MS-SQL的处事软件SQL2000安装在d:\ms-sqlserver2K目次下,给SA账户配置好了足够强度的暗码,安装好了SP3补丁。为了利便网页建造员对网页举办打点,该网站还开通了FTP处事,FTP处事软件利用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目次下。杀毒软件和防火墙用的别离是Norton Antivirus和BlackICE,路径别离为d:\nortonAV和d:\firewall\blackice,病毒库已经进级到最新,防火墙法则库界说只有80端口和21端口对外开放。网站的内容是回收动网7.0的论坛,网站措施在e:\www\bbs下。细心的读者大概已经留意到了,安装这些处事软件的路径我都没有回收默认的路径可能是仅仅变动盘符的默认路径,这也是安详上的需要,因为一个黑客假如通过某些途径进入了你的处事器,但并没有得到打点员权限,他首先做的工作将是查察你开放了哪些处事以及安装了哪些软件,因为他需要通过这些来晋升他的权限。一个难以猜解的路径加上好的权限配置将把他否决在外。相信颠末这样设置的WEB处事器已经足够匹敌大部门学艺不精的黑客了。读者大概又会问了:“这基础没用到权限配置嘛!我把其他都安详事情都做好了,权限配置尚有须要吗?”虽然有!智者千虑还必有一失呢,就算你此刻已经把系统安详做的完美无缺,你也要知道新的安详裂痕老是在被不绝的发明。权限将是你的最后一道防地!那我们此刻就来对这台没有颠末任何权限配置,全部回收Windows默认权限的处事器举办一次模仿进攻,看看其是否真的坚不可摧。
假设处事器外网域名为_blank>,用扫描软件对其举办扫描后发明开放WWW和FTP处事,并发明其处事软件利用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出东西后发明无效,遂放弃直接长途溢出的想法。打开网站页面,发明利用的是动网的论坛系统,于是在其域名后头加个/upfile.asp,发明有文件上传裂痕,便抓包,把修悔改的ASP木马用NC提交,提示上传乐成,乐成获得WEBSHELL,打开方才上传的ASP木马,发明有MS-SQL、Norton Antivirus和BlackICE在运行,判定是防火墙上做了限制,把SQL处事端口屏蔽了。通过ASP木马查察到了Norton Antivirus和BlackICE的PID,又通过ASP木顿时传了一个能杀掉历程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发明1433端口开放了,到此,便有许多种途径得到打点员权限了,可以查察网站目次下的conn.asp获得SQL的用户名暗码,再登岸进SQL执行添加用户,提打点员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,获得系统打点员权限。还可以传当地溢出SERV-U的东西直接添加用户到Administrators等等。各人可以看到,一旦黑客找到了切入点,在没有权限限制的环境下,黑客将一帆风顺的取得打点员权限。
那我们此刻就来看看Windows 2000的默认权限配置到底是奈何的。对付各个卷的根目次,默认给了Everyone组完全节制权。这意味着任何进入电脑的用户将不受限制的在这些根目次中为所欲为。系统卷下有三个目次较量非凡,系统默认给了他们有限制的权限,这三个目次是Documents and settings、Program files和Winnt。对付Documents and settings,默认的权限是这样分派的:Administrators拥有完全节制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对付Program files,Administrators拥有完全节制权;Creator owner拥有非凡权限;Power users有完全节制权;SYSTEM同Administrators;Terminal server users拥有完全节制权,Users有读&运,列和读权限。对付Winnt,Administrators拥有完全节制权;Creator owner拥有非凡权限;Power users有完全节制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目次都将担任其父目次的权限,也就是Everyone组完全节制权!
此刻各人知道为什么我们方才在测试的时候能一帆风顺的取得打点员权限了吧?权限配置的太低了!一小我私家在会见网站的时候,将被自动赋予IUSR用户,它是附属于Guest组的。原来权限不高,可是系统默认给的Everyone组完全节制权却让它“身价倍增”,到最后能获得Administrators了。那么,奈何配置权限给这台WEB处事器才算是安详的呢?各人要紧记一句话:“最少的处事+最小的权限=最大的安详”对付处事,不须要的话必然不要装,要知道处事的运行是SYSTEM级的哦,对付权限,本着够用就好的原则分派就是了。对付WEB处事器,就拿方才那台处事器来说,我是这样配置权限的,各人可以参考一下:各个卷的根目次、Documents and settings以及Program files,只给Administrator完全节制权,可能爽性直接把Program files给删除去;给系统卷的根目次多加一个Everyone的读、写权;给e:\www目次,也就是网站目次读、写权。最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全节制权。颠末这样的配置后,再想通过我方才的要领入侵这台处事器就是不行能完成的任务了。大概这时候又有读者会问:“为什么要给系统卷的根目次一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷假如不给Everyone的读、写权的话,启动计较机的时候,计较时机报错,并且会提示虚拟内存不敷。虽然这也有个前提----虚拟内存是分派在系统盘的,假如把虚拟内存分派在其他卷上,那你就要给谁人卷Everyone的读、写权。ASP文件的运行方法是在处事器上执行,只把执行的功效传回最终用户的欣赏器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB处事的提供者----IIS来表明执行的,所以它的执行并不需要运行的权限。
颠末上面的讲授今后,你必然对权限有了一个劈头了相识了吧?想更深入的相识权限,那么权限的一些特性你就不能不知道了,权限是具有担任性、累加性 、优先性、交错性的。
担任性是说下级的目次在没有颠末从头配置之前,是拥有上一级目次权限配置的。这里尚有一种环境要说明一下,在分区内复制目次或文件的时候,复制已往的目次和文件将拥有它此刻所处位置的上一级目次权限配置。但在分区内移动目次或文件的时候,移动已往的目次和文件将拥有它原先的权限配置。
累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目次的会见权限别离为“读取”和“写入”,那么组GROUP1对该文件或目次的会见权限就为USER1和USER2的会见权限之和,实际上是取其最大的谁人,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目次的会见权限为“只读”型的,而GROUP2对这一文件或文件夹的会见权限为“完全节制”型的,则用户USER1对该文件或文件夹的会见权限为两个组权限累加所得,即:“只读”+“完全节制”=“完全节制”。
优先性,权限的这一特性又包括两种子特性,其一是文件的会见权限优先目次的权限,也就是说文件权限可以越过目次的权限,掉臂上一级文件夹的配置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何浸染,相当于没有配置。
交错性是指当同一文件夹在为某一用户配置了共享权限的同时又为用户配置了该文件夹的会见权限,且所设权限纷歧致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目次A为用户USER1配置的共享权限为“只读”,同时目次A为用户USER1配置的会见权限为“完全节制”,那用户USER1的最终会见权限为“只读”。
权限配置的问题我就说到这了,在最后我还想给列位读者提醒一下,权限的配置必需在NTFS分区中才气实现的,FAT32是不支持权限配置的。同时还想给列位打点员们一些发起:
1.养成精采的习惯,给处事器硬盘分区的时候分类明晰些,在不利用处事器的时候将处事器锁定,常常更新各类补丁和进级杀毒软件。
2.配置足够强度的暗码,这是老生常谈了,但总有打点员配置弱暗码甚至空暗码。
3.只管不要把各类软件安装在默认的路径下
4.在英文程度不是问题的环境下,只管安装英文版操纵系统。
5.切忌在处事器上乱装软件或不须要的处事。
6.紧记:没有永远安详的系统,常常更新你的常识。