1. 论坛系统升级为Xenforo,欢迎大家测试!
    排除公告

走出Windows权限迷魂阵

本帖由 PiKa2005-09-04 发布。版面名称:主机讨论

  1. PiKa

    PiKa New Member

    注册:
    2005-09-04
    帖子:
    8
    赞:
    0
    在电脑应用中经常会看到"权限"这个词,特别是Windows 2000/XP被越来越多的朋友装进电脑后,常常会有读者问,什么是权限呢?它到底有什么用?下面我们将用几个典型实例为大家讲解windows中的权限应用,让你不仅可以在不安装任何软件的情况下,限制别人访问你的文件夹、指定用户不能使用的程序,而且还有来自微软内部的加强系统安全的绝招。

    --------------------------------------------------------------------------------
    初识Windows的权限首先,要完全使用windows权限的所有功能,请确保在应用权限的分区为NTFS文件系统。本文将以windowsXP简体中文专业版+SP2作为范例讲解。
    1.什么是权限?
    举个形象的例子,windows就像一个实验室,其中有导师A、导师B;学生A、学生B.大家都能在实验室里面完成实验。但在这里又是分等级的.两位导师可以指定学生能使用什么样的实验工具,不能碰什么工具,从而使得实验室不会因为学生乱用实验工具.而出现问题。同时.两位导师又能互相限制对方对实验工具的使用。因此.windows中的权限就是对某个用户或同等级的用户进行权力分配和限制的方法。正是有了它的出现,windows中的用户要遵循这种"不平等"的制度,而正是这个制度,才使得windows可以更好地为多个用户的使用创造了良好,稳定的运行环境。
    2.权限都包含有什么?
    在以NT内核为基础的Windows 2000/XP中,权限主要分为七大类完全控制、修改,读取和运行、列出文件夹目录、读取、写入、特别的权限(见图1)。
    [​IMG]
    其中完全控制包含了其他六大权限.只要拥有它,就等同于拥有了另外六大权限,其余复选框会被自动选中.属于"最高等级"的权限。
    而其他权限的等级高低分别是:特别的权限>读取和运行>修改>写入>读取。
    默认情况下,Windows XP将启用"简单文件共享",这意味着安全性选项卡和针对权限的高级选项都不可用.也就不能进行本文所述的那些权限应用操作了。请现在就右击任意文件或文件夹.选择"属性",如果没有看到"安全"选项卡,你可以通过如下方法打开它。
    打开"我的电脑",点击"工具→文件夹选项→查看",接着在然后单击取消"使用简单文件共享(推荐)"复选框即可。 实战权限"正面"应用以下应用的前提,是被限制的用户不在Administrators组,否则将可能发生越权访问,后面"反面应用"会讲到。执行权限设置的用户至少需要为Power Users组的成员,才有足够权限进行设置。
    实例1:我的文档你别看-保护你的文件或文件夹
    假设A电脑中有三个用户,用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作自己的"test"文件夹。
    第一步:右击"test"文件夹并选择"属性",进入"安全"选项卡,你将会看到"组或用户名称"栏里有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他们分别表示名为A电脑的管理员组,创建、所有者组,系统组,用户组以及用户User1对此文件夹的权限设置。当然,不同的电脑设置和软件安装情况,此栏里的用户或用户组信息不一定就是和我描述的一样.但正常情况下最少将包含3项之一:Administrators、SYSTEM、Users或Everyone(见图2)。
    [​IMG]
    第二步:依次选中并删除Administrators、CREATOR OWNER、SYSTEM、Users,仅保留自己使用的Userl账户。在操作中可能会遇到如图3的提示框。
    [​IMG]
    其实只要单击"高级"按钮,在"权限"选项卡中,取消"从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目"的复选框,在弹出对话框中单击"删除"即可。该操作使此文件夹清除了从上一级目录继承来的权限设置,仪保留了你使用的User1账户。
    就这么轻松,你就实现了其他用户,甚至系统权限都无法访问"test"文件夹的目的。
    ★需要注意的是,如果这个文件夹中需要安装软件,那么就不要删除"SYSTEM",不然可能引起系统访问出错
    ★Administrator并不是最高指挥官:你可能会问,为什么这里会有一个"SYSTEM"账户呢?同时许多朋友认为windows2000/XP中的Administrator是拥有权限最高的用户,其实不然,这个"SYSTEM"才具有系统最高权限,因为它是"作为操作系统的一部分工作",任何用户通过某种方法获取了此权限,就能凌驾一切。

    --------------------------------------------------------------------------------
    实例2:上班时间别聊天-禁止用户使用某程序
    第一步:找到聊天程序的主程序,如QQ,其主程序就是安装目录下的QQ.exe,打开它的属性对话框,进入"安全"选项卡,选中或添加你要限制的用户,如User3。
    第二步:接着选择"完全控制"为"拒绝","读取和运行"也为"拒绝"。
    第三步:单击"高级"按钮进入高级权限没置,选中User3,点"编辑"按钮,进入权限项目。在这里的"拒绝"栏中选中"更改权限"和"取得所有权"的复选框。
    也可以使用组策略编辑器来实现此功能,但安全性没有上面方法高。点击"开始→运行",输入"gpedit.msc",回车后打开组策略编辑器,进入"计算机设置→windows设置→安全设置→软件限制策略→其他规则",右击,选择"所有任务→新路径规则",接着根据提示设置想要限制的软件的主程序路径,然后设定想要的安全级别,是"不允许的"还是"受限制的"。

    --------------------------------------------------------------------------------
    实例3:来者是客­-微软内部增强系统安全的秘技
    本实战内容将需要管理员权限。所谓入侵,无非就是利用某种方法获取到管理员级别的权限或系统级的权限,以便进行下一步操作,如添加自己的用户。如果想要使入侵者"进来"之后不能进行任何操作呢?永远只能是客人权限或比这个权限更低,就算本地登录,连关机都不可以。那么,他将不能实施任何破坏活动。
    注意:此法有较高的危险性.建议完全不知道以下程序用途的读者不要尝试.以免误操作引起系统不能进入或出现很多错误。
    第一步:确定要设置的程序
    搜索系统目录下的危险程序,它们可以用来创建用户夺取及提升低权限用户的权限,格式化硬盘,引起电脑崩溃等恶意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
    第二步:按系统调用的可能性分组设置
    按照下面分组.设置这些程序权限。完成一组后,建议重启电脑确认系统运行是否一切正常,查看"事件查看器",是否有错误信息("控制面板→管理工具→事件查看器")。
    (1)cmd.exe、net.exe、gpedit.msc、telnet.exe、command.com
    (仅保留你自己的用户,SYSTEM也删除)
    (2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
    (仅保留你自己的用户,SYSTEM也删除)
    (3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
    (保留你自己的用户和SYSTEM)
    (4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
    (保留你自己的用户和SYSTEM)
    第三步:用户名欺骗
    这个方法骗不了经验丰富的入侵者,但却可以让不够高明的伪黑客们弄个一头雾水。
    打开"控制面板一管理工具一计算机管理",找到"用户",将默认的Administrator和Guest的名称互换,包括描述信息也换掉。完成后,双击假的"Administrator"用户,也就是以前的Guest用户.在其"属性"窗口中把隶属于列表里的Guests组删除.这样.这个假的"管理员"账号就成了"无党派人士",不属于任何组,也就不会继承其权限。此用户的权限几乎等于0,连关机都不可以,对电脑的操作几乎都会被拒绝。如果有谁处心积虑地获取了这个用户的权限,那么他肯定吐血。
    第四步:集权控制,提高安全性
    打开了组策略编辑器,找到"计算机设置→windows设置→安全设置→本地策略→用户权利指派"(见图4),接着根据下面的提示进行设置。
    [​IMG]
    (1)减少可访问此计算机的用户数,减少被攻击机会
    找到并双击"从网络访问此计算机",删除账户列表中用户组,只剩下"Administrators";
    找到并双击"拒绝本地登录",删除列表中的"Guest"用户,添加用户组"Guests"。
    (2)确定不想要从网络访问的用户,加入到此"黑名单"内
    找到并双击"拒绝从刚络访问这台计算机",删除账户列表中的"Guest"用户,添加用户组"Guests";
    找到并双击"取得文件或其他对象的所有权",添加你常用的账户和以上修改过名称为"Guest"的管理员账户,再删除列表中"Administrators"。
    (3)防止跨文件夹操作
    找到并双击"跳过遍历检查",添加你所使用的账户和以上修改过名称为"Guest"的管理员账户,再删除账户列表中的"Administrators"、"Everyone"和"Users"用户组。
    (4)防止通过终端服务进行的密码猜解尝试
    找到并双击"通过终端服务拒绝登录",添加假的管理员账户"Administrator";找到"通过终端服务允许登录",双击,添加你常用的账户和以上修改过名称为"Guest"的管理员账户,再删除账户列表中的"Administrators","Remote Desktop User"和"HelpAssistant"(如果你不用远程协助功能的话才可删除此用户)。
    (5)避免拒绝服务攻击
    找到并双击"调整进程的内存配额",添加你常用的账户,再删除账户列表中的"Administrators"

    --------------------------------------------------------------------------------
    实例4:"你的文档"别独享——突破文件夹"私有"的限制
    windows XP安装完成并进入系统时,会询问是否将"我的文档"设为私有(专用),如果选择了"是",那将使该用户下的"我的文档"文件夹不能被其他用户访问,删除,修改。其实这就是利用权限设置将此文件夹的访问控制列表中的用户和用户组删除到了只剩下系统和你的用户,所有者也设置成了那个用户所有,Administrators组的用户也不能直接访问。如果你把这个文件夹曾经设置为专用,但又在该盘重装了系统,此文件夹不能被删除或修改。可按照下面步骤解决这些问题,让你对这个文件夹的访问,畅通无阻。
    第一步:登录管理员权限的账户,如系统默认的Administrator,找到被设为专用的"我的文档",进入其"属性"的"安全"选项卡,你将会看到你的用户不在里面,但也无法添加和删除。
    第二步:单击"高级"按钮,进入高级权限设置,选择"所有者"选项卡,在"将所有者更改为"下面的列表中选中你现在使用的用户,如"Userl(A\Userl)",然后再选中"替换子容器及对象的所有者"的复选框,然后单击"应用",等待操作完成。
    第三步:再进入这个文件夹看看,是不是不会有任何权限的提示了?可以自由访问了?查看里面的文件,复制、删除试试看.是不是一切都和"自己的"一样了?嘿嘿。如果你想要删除整个文件夹,也不会有什么阻止你了。
     
  2. 夏日阳光

    夏日阳光 New Member

    注册:
    2015-03-26
    帖子:
    2
    赞:
    0
    找到被设为专用的"我的文档",进入其"属性"的"安全"选项卡