WINDOWS权限安全知识全解(三)作者:中智YS



2.共享权限(Shared Permission) 只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限,如果这个资源同时拥有NTFS和共享两种权限,那么系统中对权限的具体实施将以两种权限中的"较严格的权限"为准──这也是"拒绝优于允许"原则的一种体现! 例如,某个共享资源的NTFS权限设置为完全控制,而共享权限设置为读取,那么远程用户就只能使用"读取"权限对共享资源进行访问了。 注意:如果是FAT16/FAT32文件系统中的共享文件夹,那么将只能受到共享权限的保护,这样一来就容易产生安全性漏洞。这是因为共享权限只能够限制从网络上访问资源的用户,并无法限制直接登录本机的人,即用户只要能够登录本机,就可以任意修改、删除FAT16/FAT32分区中的数据了。因此,从安全角度来看,我们是不推荐在Windows XP中使用FAT16/FAT32分区的。 设置共享权限很简单,在右键选中并点击一个文件夹后,在右键快捷菜单中选择"共享与安全"项,在弹出的属性对话框"共享"选项卡设置界面中点击选中"共享该文件夹"项即可,这将使共享资源使用默认的权限设置(即"Everyone"用户拥有读取权限)。如果想具体设置共享权限,那么请点击"权限"按钮,在打开的对话框中可以看到权限列表中有"完全控制 "、"更改"和"读取"三项权限可供选择。 下面先简单介绍一下这三个权限的含义: ①完全控制:允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹,另外,也可以修改该文件夹中的NTFS访问权限和夺取所有权; ②更改:允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹,但不能创建新文件; ③读取:允许用户读取当前文件夹的文件和子文件夹,但是不能进行写入或删除操作。 说完了权限的含义,我们就可以点击"添加"按钮,将需要设置权限的用户或用户组添加进来了。在缺省情况下,当添加新的组或用户时,该组或用户将具备"读取"(Read)权限,我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。 接着再来说说令很多读者感到奇怪的"组和用户名称"列表中的"Everyone"组的含义。在Windows 2000中,这个组因为包含了"Anonymous Logon"组,所以它表示"每个人"的意思。但在Windows XP中,请注意──这个组因为只包括"Authenticated Users"和"Guests"两个组,而不再包括"Anonymous Logon"组,所以它表示了"可访问计算机的所有用户",而不再是"每个人"!请注意这是有区别的,"可访问计算机的所有用户"意味着必须是通过认证的用户,而"每个人"则不必考虑用户是否通过了认证。从安全方面来看,这一点是直接导致安全隐患是否存在关键所在! 当然,如果想在 Windows XP中实现Windows 2000中那种"Everyone"设计机制,那么可以通过编辑"本地安全策略"来实现,方法是:在"运行"栏中输入"Secpol.msc"命令打开" 安全设置"管理单元,依次展开"安全设置"→"本地策略",然后进入"安全选项",双击右侧的"网络访问:让‘每个人'权限应用于匿名 用户"项,然后选择"已启用"项即可。 注意:在Windows XP Professional中,最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户,对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。 3.资源复制或移动时权限的变化与处理 在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下: (1)复制资源时 在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。 (2)移动资源时 在移动资源时,一般会遇到两种情况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是首先进行资源的复制,然后从原有位置删除资源的操作。 (3)非NTFS分区 上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的,如果将资源复制或移动到非NTFS分区(如FAT16FAT32分区)上,那么所有的权限均会自动全部丢失。 4.资源所有权的高级管理 有时我们会发现当前登录的用户无法对某个资源进行任何操作,这是什么原因呢?其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的──这将会造成所有人(包括 "Administrator"组成员)都无法访问资源,例如不小心将"zhiguo"这个文件夹的所有用户都删除了,这将会导致所有用户都无法访问这个文件夹,此时很多朋友就会束手无策了,其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。 首先,我们需要检查一下资源的所有者是谁,如果想查看某个资源(如sony目录)的用户所有权的话,那么只需使用"dir sony /q"命令就可以了。在反馈信息的第一行就可以看到用户是谁了,例如第一行的信息是"lovebookzhong",那么意思就是lovebook这台计算机中的"zhong"用户。 如果想在图形界面中查看所有者是谁,那么需要进入资源的属性对话框,点击"安全"选项卡设置界面中的"高级"按钮,在弹出的"(用户名)高级安全设置"界面中点击"所有者"选项卡,从其中的"目前该项目的所有者"列表中就可以看到当前资源的所有者是谁了。 如果想将所有者更改用户,那么只需在"将所有者更改为"列表中选择目标用户名后,点击"确定"按钮即可。此外,也可以直接在"安全"选项卡设置界面中点击"添加"按钮添加一个用户并赋予相应的权限后,让这个用户来获得当前文件夹的所有权。 注意:查看所有者究竟对资源拥有什么样的权限,可点击进入"有效权限"选项卡设置界面,从中点击"选择"按钮添加当前资源的所有者后,就可以从下方的列表中权限选项的勾取状态来获知了。 五、程序使用权限设定 Windows XP操作系统在文件管理方面功能设计上颇为多样、周全和智能化。这里通过"程序文件使用权限"设置、将"加密文件授权多个用户可以访问"和了解系统日志的访问权限三个例子给大家解释一下如何进行日常应用。 1.程序文件权限设定 要了解Windows XP中关于程序文件的访问权限,我们应首先来了解一下Windows XP在这方面的两个设计, 一、是组策略中软件限制策略的设计; 二、是临时分配程序文件使用权限的设计。 (1)软件限制策略 在"运行"栏中输入 "Gpedit.msc"命令打开组策略窗口后,在"计算机配置"→"Windows设置"→"安全设置"分支中,右键选中"软件限制策略"分 支,在弹出的快捷菜单中选择新建一个策略后,就可以从"软件限制策略"分支下新出现的"安全级别"中看到有两种安全级别的存在了。 这两条安全级别对于程序文件与用户权限之前是有密切联系的: ①不允许的:从其解释中可以看出,无论用户的访问权如何,软件都不会运行; ② 不受限的:这是默认的安全级别,其解释为 "软件访问权由用户的访问权来决定"。显然,之所以在系统中可以设置各种权限,是因为有这个默认安全策略在背后默默支持的缘故。如果想把"不允许的"安全级别设置为默认状态,只需双击进入其属性界面后点击"设为默认值"按钮即可。 (2)临时分配程序文件 为什么要临时分配程序文件的管理权限呢?这是因为在Windows XP中,有许多很重要的程序都是要求用户具有一定的管理权限才能使用的,因此在使用权限不足以使用某些程序的账户时,为了能够使用程序,我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单:右键点击要运行的程序图标,在弹出的快捷菜单中选择"运行方式",在打开的"运行身份"对话框中选中"下列用户"选项,在"用户名"和"密码"右侧的文本框中指定用户及密码即可。 显然,这个临时切换程序文件管理权限的设计是十分有必要的,它可以很好地起到保护系统的目的。 2.授权多个用户访问加密文件 Windows XP在EFS上的改进之一就是可以允许多个用户访问加密文件,这些用户既可以是本地用户,也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组,而只能颁发给用户,所以只能授权单个的账户访问加密文件,而用户组将不能被授权。 要授权加密文件可以被多个用户访问,可以按照如下方法进行操作: 选中已经加密的文件,用鼠标右键点击该加密文件,选择"属性",在打开的属性对话框中"常规"选项卡下点击"高级"按钮,打开加密文件的高级属性对话框,点击其中的"详细信息"按钮(加密文件夹此按钮无效),在打开的对话框中点击"添加"按钮添加一个或多个新用户即可(如果计算机加入了域,则还可以点击"寻找用户"按钮在整个域范围内寻找用户)。 如果要删除某个用户对加密文件的访问权限,那么只需选中此用户后点击"删除"按钮即可。 3.日志的访问权限 什么是日志?我们可以将日志理解为系统日记,这本"日记"可以按系统管理员预先的设定,自动将系统中发生的所有事件都一一记录在案,供管理员查询。既然日志信息具有如此重要的参考作用,那么就应该做好未经授权的用户修改或查看的权限控制。因此,我们非常有必要去了解一下日志的访问权限在Windows XP中是怎样设计的。一般来说,Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。 这三种类型的账户对不同类型的日志拥有不同的访问权限,下面来看一下表格中具体的说明,请注意"√"表示拥有此权限;"×"表示无此权限。 通过对比,可以看出SYSTEM拥有的权限最高,可以对任意类型的日志进行读写和清除操作;Everyone用户则可以读取应用程序和系统日志,但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些,只有SYSTEM 能够对之写入。 如果想为其他用户赋予管理审核安全日志的权限,那么可以在"运行"栏中输入"Gpedit.msc"命令打开组策略编辑器窗口后,依次进入"计算机配置 "→"Windows设置"→"安全设置 "→"本地策略"→"用户权利指派",双击右侧的"管理审核和安全日志"项,在弹出的对话框中添加所需的用户即可。


时间:2007-6-2 分类:Computer

友荐云推荐

看看大家怎么说:2

19农场主 在2007-06-02 11:56说:
[M][B] [ftc=#ffffff][fts=6]'ьàъу[/ft][/ft] [ftc=#99cc32],[fts=6][B]*[/B][/ft][/ft]

[ftc=#d9d9f3][fts=2]=.............=[/ft][/ft]
[ftc=#c0d9d9]
╭╮ ╭╮
ˋ \ ⌒∞ ˊ
ˊ([ftc=#99cc32]●[/ft]﹏[ftc=#99cc32]●[/ft])ˋ
の∞の
*
*
*[/ft][/M]

[B][ffg,#d9efe2,#ffffff]… !.好文章!!就是要支持!!! ≡*___[/ft][/B][/R]
中智YS 在2007-06-02 11:46说:
六、内置安全主体与权限

在Windows XP中,有一群不为人知的用户,它们的作用是可以让我们指派权限到某种"状态"的用户(如"匿名用户"、"网络用户")等,而不是某个特定的用户或组(如 "zhong"、"CPCW"这类用户)。这样一来,对用户权限的管理就更加容易精确控制了。这群用户在Windows XP中,统一称

为内置安全主体。下面让我们来了解一下:

1.安全主体的藏身之处

下面假设需要为一个名为"zhiguo"的目录设置内置安全主体中的"Network"类用户权限为例,看看这群"默默无闻"的用户藏身在系统何处。

首先进入"zhiguo"目录属性界面的"安全"选项卡设置界面,点击其中的"添加"按钮,在弹出的"选择用户或组"对话框中点击"对象类型"按钮。

在弹出对话框中只保留列表中的"内置安全主体"项,并点击"确定"按钮。

在接下来的对话框中点击"高级"按钮,然后在展开的对话框中点击"立即查找"按钮,就可以看到内置安全主体中包含的用户列表了。

2.安全主体作用说明

虽然内置安全主体有很多,但正常能在权限设置中使用到的并不多,所以下面仅说明其中几个较重要的:

①Anonymous Logon:任何没有经过Windows XP验证程序(Authentication),而以匿名方式登录域的用户均属于此组;

②Authenticated Users:与前项相反,所有经过Windows XP验证程序登录的用户均属于此组。设置权限和用户权力时,可考虑用此项代替

Everyone组;

③BATCH:这个组包含任何访问这台计算机的批处理程序(Batch Process);
④DIALUP:任何通过拨号网络登录的用户;
⑤Everyone:指所有经验证登录的用户及来宾(Guest);
⑥Network:任何通过网络登录的用户;
⑦Interactive:指任何直接登录本机的用户;
⑧Terminal server user:指任何通过终端服务登录的用户。
......
在明白了内置安全主体的作用后,在进行权限的具体指派时就可以让权限的应用精确程度更高、权限的应用效果更加高效。显然,Windows XP中设置此类账户是十分有必要的,毕竟计算机是以应用为主,以应用类型进行账户分类,必然会使权限的管理不再混乱,管理更加合理!

亲,你怎么看?