[转帖]windows系统帐户权限设置详解

随着动网论坛的广泛应用和动网上传漏洞的被发现以及sql注入式攻击越来越多的被使用，webshell让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的web服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实，只要你弄明白了ntfs系统下的权限设置问题，我们可以对crackers们说:no 

　　要打造一台安全的web服务器，那么这台服务器就一定要使用ntfs和windows nt/2000/2003。众所周知，windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。

　　dos跟winnt的权限的分别

　　dos是个单任务、单用户的操作系统。但是我们能说dos没有权限吗?不能 当我们打开一台装有dos操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说dos不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着ntfs的发布诞生了。

　　windows nt里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈nt中常见的用户组。

　　administrators,管理员组，默认情况下，administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。

　　power users，高级用户组，power users 可以执行除了为 administrators 组保留的任务外的其他任何操作系统任务。分配给 power users 组的默认权限允许 power users 组的成员修改整个计算机的设置。但power users 不具有将自己添加到 administrators 组的权限。在权限设置中，这个组的权限是仅次于administrators的。

　　users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。users 组提供了一个最安全的程序运行环境。在经过 ntfs 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。users 可以关闭工作站，但不能关闭服务器。users 可以创建本地组，但只能修改自己创建的本地组。

　　guests:来宾组，按默认值，来宾跟普通users的成员有同等访问权，但来宾帐户的限制更多。

　　everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

　　其实还有一个组也很常见，它拥有和administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是system组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户system，也许把该组归为用户的行列更为贴切。







权限实例攻击

　　权限将是你的最后一道防线 那我们现在就来对这台没有经过任何权限设置，全部采用windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

　　假设服务器外网域名为http://www.webserver.com，用扫描软件对其进行扫描后发现开放www和ftp服务，并发现其服务软件使用的是iis 5.0和serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。

　　打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的asp木马用nc提交，提示上传成功，成功得到webshell，打开刚刚上传的asp木马，发现有ms-sql、norton antivirus和blackice在运行，判断是防火墙上做了限制，把sql服务端口屏蔽了。

　　通过asp木马查看到了norton antivirus和blackice的pid，又通过asp木马上传了一个能杀掉进程的文件，运行后杀掉了norton antivirus和blackice。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到sql的用户名密码，再登陆进sql执行添加用户，提管理员权限。也可以抓serv-u下的servudaemon.ini修改后上传，得到系统管理员权限。

　　还可以传本地溢出serv-u的工具直接添加用户到administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

　　那我们现在就来看看windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。

　　系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是documents and settings、program files和winnt。对于documents and settings，默认的权限是这样分配的:administrators拥有完全控制权;everyone拥有读&运，列和读权限;power users拥有读&运，列和读权限;system同administrators;users拥有读&运，列和读权限。对于program files，administrators拥有完全控制权;creator owner拥有特殊权限;power users有完全控制权;system同administrators;terminal server users拥有完全控制权，users有读&运，列和读权限。

　　对于winnt，administrators拥有完全控制权;creator owner拥有特殊权限;power users有完全控制权;system同administrators;users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是everyone组完全控制权 

　　现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了 一个人在访问网站的时候，将被自动赋予iusr用户，它是隶属于guest组的。本来权限不高，但是系统默认给的everyone组完全控制权却让它“身价倍增”，到最后能得到administrators了。

　　那么，怎样设置权限给这台web服务器才算是安全的呢?大家要牢记一句话:“最少的服务 最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是system级的哦，对于权限，本着够用就好的原则分配就是了。

　　对于web服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下:各个卷的根目录、documents and settings以及program files，只给administrator完全控制权，或者干脆直接把program files给删除掉;给系统卷的根目录多加一个everyone的读、写权;给e:\www目录，也就是网站目录读、写权。

　　最后，还要把cmd.exe这个文件给挖出来，只给administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个everyone的读、写权?网站中的asp文件运行不需要运行权限吗?”问的好，有深度。是这样的，系统卷如果不给everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。

　　当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷everyone的读、写权。asp文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但asp文件不是系统意义上的可执行文件，它是由web服务的提供者----iis来解释执行的，所以它的执行并不需要运行的权限。