盡管Win2000/XP等系統(tǒng)提供了“權(quán)限”的功能，但是這樣就又帶來(lái)一個(gè)新問(wèn)題:權(quán)限如何分配才是合理的?如果所有人擁有的權(quán)限都一樣，那么就等于所有人都沒(méi)有權(quán)限的限制，那和使用Win9x有什么區(qū)別?幸好，系統(tǒng)默認(rèn)就為我們?cè)O(shè)置好了“權(quán)限組”(Group)，只需把用戶加進(jìn)相應(yīng)的組即可擁有由這個(gè)組賦予的操作權(quán)限，這種做法就稱為權(quán)限的指派。

    默認(rèn)情況下，系統(tǒng)為用戶分了6個(gè)組，并給每個(gè)組賦予不同的操作權(quán)限，依次為:超級(jí)管理員組(Administrators)、高權(quán)限用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件復(fù)制組(ReplICator)、來(lái)賓用戶組(Guests)，其中備份操作組和文件復(fù)制組為維護(hù)系統(tǒng)而設(shè)置，平時(shí)不會(huì)被使用。(圖.默認(rèn)分組)

      系統(tǒng)默認(rèn)的分組是依照一定的管理憑據(jù)指派權(quán)限的，而不是胡亂產(chǎn)生，超級(jí)管理員組擁有大部分的計(jì)算機(jī)操作權(quán)限(并不是全部)，能夠隨意修改刪除所有文件和修改系 統(tǒng)設(shè)置。再往下就是高權(quán)限用戶組，這一部分用戶也能做大部分事情，但是不能修改系統(tǒng)設(shè)置，不能運(yùn)行一些涉及系統(tǒng)管理的程序。普通用戶組則被系統(tǒng)拴在了自己的地盤里，不能處理其他用戶的文件和運(yùn)行涉及管理的程序等。來(lái)賓用戶組的文件操作權(quán)限和普通用戶組一樣，但是無(wú)法執(zhí)行更多的程序。(圖.不同賬戶權(quán)限的限制)

      這是系統(tǒng)給各個(gè)組指派的權(quán)限說(shuō)明，細(xì)心的用戶也許會(huì)發(fā)現(xiàn)，為什么里面描述的“不能處理其他用戶的文件”這一條規(guī)則并不成立呢，我可以訪問(wèn)所有文件啊，只是 不能對(duì)系統(tǒng)設(shè)置作出修改而已，難道是權(quán)限設(shè)定自身存在問(wèn)題?實(shí)際上，NT技術(shù)的一部分功能必須依賴于特有的“NTFS”(NT文件系統(tǒng))分區(qū)才能實(shí)現(xiàn)，文 件操作的權(quán)限指派就是 敏感的一部分，而大部分家庭用戶的分區(qū)為FAT32格式，它并不支持NT技術(shù)的安全功能，因此在這樣的文件系統(tǒng)分區(qū)上，連來(lái)賓用戶 都能隨意瀏覽修改系統(tǒng)超級(jí)管理員建立的文件(限制寫入操作的共享訪問(wèn)除外)，但這并不代表系統(tǒng)權(quán)限不起作用，我們只要把分區(qū)改為NTFS即可。

      2.特殊權(quán)限

      除了上面提到的6個(gè)默認(rèn)權(quán)限分組，系統(tǒng)還存在一些特殊權(quán)限成員，這些成員是為了特殊用途而設(shè)置，分別是:SYSTEM(系統(tǒng))、Everyone(所有 人)、CREATOR OWNER(創(chuàng)建者)等，這些特殊成員不被任何內(nèi)置用戶組吸納，屬于完全獨(dú)立出來(lái)的賬戶。(圖.特殊權(quán)限成員)

    前面我提到超級(jí)管理員分組的權(quán)限時(shí)并沒(méi)有用“全部”來(lái)形容，秘密就在此，不要相信系統(tǒng)描述的“有不受限制的完全訪問(wèn)權(quán)”，它不會(huì)傻到把自己完全交給人類，管理 員分組同樣受到一定的限制，只是沒(méi)那么明顯罷了，真正擁有“完全訪問(wèn)權(quán)”的只有一個(gè)成員:SYSTEM。這個(gè)成員是系統(tǒng)產(chǎn)生的，真正擁有整臺(tái)計(jì)算機(jī)管理權(quán) 限的賬戶，一般的操作是無(wú)法獲取與它等價(jià)的權(quán)限的。

     “所有人”權(quán)限與普通用戶組權(quán)限差不多，它的存在是為了讓用戶能訪問(wèn)被標(biāo)記為“公有”的文件，這也是一些程序正常運(yùn)行需要的訪問(wèn)權(quán)限——任何人都能正常訪問(wèn)被賦予“Everyone”權(quán)限的文件，包括來(lái)賓組成員。

      被標(biāo)記為“創(chuàng)建者”權(quán)限的文件只有建立文件的那個(gè)用戶才能訪問(wèn)，做到了一定程度的隱私保護(hù)。

         但是，所有的文件訪問(wèn)權(quán)限均可以被超級(jí)管理員組用戶和SYSTEM成員忽略，除非用戶使用了NTFS加密。

      無(wú)論是普通權(quán)限還是特殊權(quán)限，它們都可以“疊加”使用，“疊加”就是指多個(gè)權(quán)限共同使用，例如一個(gè)賬戶原本屬于Users組，而后我們把他加入 Administrators組，那么現(xiàn)在這個(gè)賬戶便同時(shí)擁有兩個(gè)權(quán)限身份，而不是用超級(jí)管理員權(quán)限去覆蓋原來(lái)身份。權(quán)限疊加并不是沒(méi)有意義的，在一些需要特 定身份訪問(wèn)的場(chǎng)合，用戶只有為自己設(shè)置了指定的身份才能訪問(wèn)，這個(gè)時(shí)候“疊加”的使用就能減輕一部分勞動(dòng)量了。

        無(wú)形的柵欄 完全解析Windows系統(tǒng)權(quán)限（2）

        3.NTFS與權(quán)限

        在前面我提到了NTFS文件系統(tǒng)，自己安裝過(guò)Win2000/XP的用戶應(yīng)該會(huì)注意到安裝過(guò)程中出現(xiàn)的“轉(zhuǎn)換分區(qū)格式為NTFS”的選擇，那么什么是 NTFS?NTFS(New Technology File System)是一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式，只有使用NT技術(shù)的系統(tǒng)對(duì)它直接提供支持，也就是說(shuō)，如果系統(tǒng)崩潰 了，用戶將無(wú)法使用外面流行的普通光盤啟動(dòng)工具修復(fù)系統(tǒng)，因此，是使用傳統(tǒng)的FAT32還是NTFS，一直是個(gè)倍受爭(zhēng)議的話題，但如果用戶要使用完全的系 統(tǒng)權(quán)限功能，或者要安裝作為服務(wù)器使用，建議 好還是使用NTFS分區(qū)格式。與FAT32分區(qū)相比，NTFS分區(qū)多了一個(gè)“安全”特性(圖.FAT32與NTFS的比較)，在里面，用戶可以進(jìn)一步設(shè)置相關(guān)的文件訪問(wèn)權(quán)限，而且前面 提到的相關(guān)用戶組指派的文件權(quán)限也只有在NTFS格式分區(qū)上才能體現(xiàn)出來(lái)。例如，來(lái)賓組的用戶再也不能隨便訪問(wèn)到NTFS格式分區(qū)的任意一個(gè)文件了，這樣 可以減少系統(tǒng)遭受一般由網(wǎng)站服務(wù)器帶來(lái)的入侵損失，因?yàn)镮IS賬戶對(duì)系統(tǒng)的訪問(wèn)權(quán)限僅僅是來(lái)賓級(jí)別而已，如果入侵者不能提升權(quán)限，那么他這次的入侵可以算 是白忙了。

      使用NTFS分區(qū)的時(shí)候，用戶才會(huì)察覺(jué)到系統(tǒng)給超級(jí)管理員組用戶設(shè)定的限制:一些文件即使是超級(jí)管理員也無(wú)法訪問(wèn)，因?yàn)樗荢YSTEM成員建立的，并且設(shè)定了權(quán)限。(圖.NTFS權(quán)限審核導(dǎo)致訪問(wèn)被拒絕)

      但是NTFS系統(tǒng)會(huì)帶來(lái)一個(gè)眾所周知的安全隱患:NTFS支持一種被稱為“交換數(shù)據(jù)流”(ALTErnatEDAtaStream，ADs)的存儲(chǔ)特性， 原意是為了和Macintosh的HFS文件系統(tǒng)兼容而設(shè)計(jì)的，使用這種技術(shù)可以在一個(gè)文件資源里寫入相關(guān)數(shù)據(jù)(并不是寫入文件中)，而且寫進(jìn)去的數(shù)據(jù)可 以使用很簡(jiǎn)單的方法把它提取出來(lái)作為一個(gè)獨(dú)立文件讀取，甚至執(zhí)行，這就給入侵者提供了一個(gè)可乘之機(jī)，例如在一個(gè)正常程序里插入包含惡意代碼的數(shù)據(jù)流，在程 序運(yùn)行時(shí)把惡意代碼提取出來(lái)執(zhí)行，就完成了一次破壞行動(dòng)。(圖.隱秘的數(shù)據(jù)流)

      不過(guò)值得慶幸的是，數(shù)據(jù)流僅僅能存在于NTFS格式分區(qū)內(nèi)，一旦存儲(chǔ)介質(zhì)改變?yōu)镕AT32、CDFS等格式，數(shù)據(jù)流內(nèi)容便會(huì)消失了，破壞代碼也就不復(fù)存在。

      4.權(quán)限設(shè)置帶來(lái)的安全訪問(wèn)和故障

      很多時(shí)候，超級(jí)管理員不得不為遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)帶來(lái)的危險(xiǎn)因素而擔(dān)憂，普通用戶也經(jīng)常因?yàn)樾侣┒垂艋蛘逫E瀏覽器安全漏洞下載的網(wǎng)頁(yè)木馬而疲于奔命，實(shí)際上合理使用NTFS格式分區(qū)和權(quán)限設(shè)置的組合，足以讓

      我們抵御大部分病毒和黑客的入侵。

    首先，我們要盡量避免平時(shí)使用超級(jí)管理員賬戶登錄系統(tǒng)，這樣會(huì)讓一些由IE帶來(lái)的病毒木馬因?yàn)榈貌坏较嚓P(guān)權(quán)限而感染失敗，但是國(guó)內(nèi)許多計(jì)算機(jī)用戶并沒(méi)有意識(shí)到 這一點(diǎn)，或者說(shuō)沒(méi)有接觸到相關(guān)概念，因而大部分系統(tǒng)都是以超級(jí)管理員賬戶運(yùn)行的，這就給病毒傳播提供了一個(gè)很好的環(huán)境。如果用戶因?yàn)槟承┕ぷ餍枰仨氁怨芾?員身份操作系統(tǒng)，那么請(qǐng)降低IE的運(yùn)行權(quán)限，有試驗(yàn)證明，IE運(yùn)行的用戶權(quán)限每降低一個(gè)級(jí)別，受漏洞感染的幾率就相應(yīng)下降一個(gè)級(jí)別，因?yàn)橐恍┎《驹诶缦?Users組這樣的權(quán)限級(jí)別里是無(wú)法對(duì)系統(tǒng)環(huán)境做出修改的。降低IE運(yùn)行權(quán)限的方法很多， 簡(jiǎn)單的就是使用微軟自家產(chǎn)品“Drop MyRights”對(duì)程序的運(yùn)行權(quán)限做出調(diào)整。

相關(guān)文章

• 上一篇： 詳解taskmgr.exe進(jìn)程知識(shí)
• 下一篇： 戰(zhàn)場(chǎng)上的安卓：美軍的“鐵血戰(zhàn)士之眼”