求助高手:電腦帳戶受限制怎樣重新設(shè)置��?
windows下權(quán)限設(shè)置詳解
創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供迎澤網(wǎng)站建設(shè)��、迎澤做網(wǎng)站����、迎澤網(wǎng)站設(shè)計���、迎澤網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)�����、網(wǎng)頁設(shè)計與制作、迎澤企業(yè)網(wǎng)站模板建站服務(wù)�,10多年迎澤做網(wǎng)站經(jīng)驗,不只是建網(wǎng)站����,更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)���。
隨著動網(wǎng)論壇的廣泛應(yīng)用和動網(wǎng)上傳漏洞的被發(fā)現(xiàn)以及sql注入式攻擊越來越多的被使用,webshell讓防火墻形同虛設(shè)���,一臺即使打了所有微軟補(bǔ)丁����、只讓80端口對外開放的web服務(wù)器也逃不過被黑的命運����。難道我們真的無能為力了嗎?其實����,只要你弄明白了ntfs系統(tǒng)下的權(quán)限設(shè)置問題,我們可以對crackers們說:no!
要打造一臺安全的web服務(wù)器��,那么這臺服務(wù)器就一定要使用ntfs和windows nt/2000/2003����。眾所周知,windows是一個支持多用戶�、多任務(wù)的操作系統(tǒng)���,這是權(quán)限設(shè)置的基礎(chǔ),一切權(quán)限設(shè)置都是基于用戶和進(jìn)程而言的�,不同的用戶在訪問這臺計算機(jī)時,將會有不同的權(quán)限�。dos是個單任務(wù)、單用戶的操作系統(tǒng)���。但是我們能說dos沒有權(quán)限嗎�?不能���!當(dāng)我們打開一臺裝有dos操作系統(tǒng)的計算機(jī)的時候���,我們就擁有了這個操作系統(tǒng)的管理員權(quán)限,而且���,這個權(quán)限無處不在�。所以�����,我們只能說dos不支持權(quán)限的設(shè)置����,不能說它沒有權(quán)限。隨著人們安全意識的提高���,權(quán)限設(shè)置隨著ntfs的發(fā)布誕生了�。
windows nt里�,用戶被分成許多組,組和組之間都有不同的權(quán)限��,當(dāng)然���,一個組的用戶和用戶之間也可以有不同的權(quán)限�����。下面我們來談?wù)刵t中常見的用戶組��。
administrators,管理員組���,默認(rèn)情況下,administrators中的用戶對計算機(jī)/域有不受限制的完全訪問權(quán)��。分配給該組的默認(rèn)權(quán)限允許對整個系統(tǒng)進(jìn)行完全控制。所以����,只有受信任的人員才可成為該組的成員。
power users���,高級用戶組�,power users 可以執(zhí)行除了為 administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)��。分配給 power users 組的默認(rèn)權(quán)限允許 power users 組的成員修改整個計算機(jī)的設(shè)置��。但power users 不具有將自己添加到 administrators 組的權(quán)限��。在權(quán)限設(shè)置中��,這個組的權(quán)限是僅次于administrators的�����。
users:普通用戶組�����,這個組的用戶無法進(jìn)行有意或無意的改動��。因此,用戶可以運行經(jīng)過驗證的應(yīng)用程序����,但不可以運行大多數(shù)舊版應(yīng)用程序�����。users 組是最安全的組�����,因為分配給該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料��。users 組提供了一個最安全的程序運行環(huán)境����。在經(jīng)過 ntfs 格式化的卷上,默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性��。用戶不能修改系統(tǒng)注冊表設(shè)置�、操作系統(tǒng)文件或程序文件。users 可以關(guān)閉工作站��,但不能關(guān)閉服務(wù)器���。users 可以創(chuàng)建本地組�����,但只能修改自己創(chuàng)建的本地組�����。
guests:來賓組��,按默認(rèn)值�,來賓跟普通users的成員有同等訪問權(quán),但來賓帳戶的限制更多���。
everyone:顧名思義�,所有的用戶����,這個計算機(jī)上的所有用戶都屬于這個組。
其實還有一個組也很常見���,它擁有和administrators一樣�、甚至比其還高的權(quán)限�����,但是這個組不允許任何用戶的加入,在察看用戶組的時候���,它也不會被顯示出來���,它就是system組�����。系統(tǒng)和系統(tǒng)級的服務(wù)正常運行所需要的權(quán)限都是靠它賦予的�����。由于該組只有這一個用戶system���,也許把該組歸為用戶的行列更為貼切��。
權(quán)限是有高低之分的�,有高權(quán)限的用戶可以對低權(quán)限的用戶進(jìn)行操作�,但除了administrators之外,其他組的用戶不能訪問 ntfs 卷上的其他用戶資料����,除非他們獲得了這些用戶的授權(quán)�。而低權(quán)限的用戶無法對高權(quán)限的用戶進(jìn)行任何操作���。
我們平常使用計算機(jī)的過程當(dāng)中不會感覺到有權(quán)限在阻撓你去做某件事情����,這是因為我們在使用計算機(jī)的時候都用的是administrators中的用戶登陸的���。這樣有利也有弊��,利當(dāng)然是你能去做你想做的任何一件事情而不會遇到權(quán)限的限制�����。弊就是以 administrators 組成員的身份運行計算機(jī)將使系統(tǒng)容易受到特洛伊木馬�、病毒及其他安全風(fēng)險的威脅�����。訪問 internet 站點或打開電子郵件附件的簡單行動都可能破壞系統(tǒng)�。不熟悉的 internet 站點或電子郵件附件可能有特洛伊木馬代碼,這些代碼可以下載到系統(tǒng)并被執(zhí)行�。如果以本地計算機(jī)的管理員身份登錄���,特洛伊木馬可能使用管理訪問權(quán)重新格式化您的硬盤,造成不可估量的損失�,所以在沒有必要的情況下,最好不用administrators中的用戶登陸�。administrators中有一個在系統(tǒng)安裝時就創(chuàng)建的默認(rèn)用戶----administrator,administrator 帳戶具有對服務(wù)器的完全控制權(quán)限�,并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問控制權(quán)限。因此強(qiáng)烈建議將此帳戶設(shè)置為使用強(qiáng)密碼�。永遠(yuǎn)也不可以從 administrators 組刪除 administrator 帳戶,但可以重命名或禁用該帳戶���。由于大家都知道“管理員”存在于許多版本的 windows 上,所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難��。對于一個好的服務(wù)器管理員來說���,他們通常都會重命名或禁用此帳戶�。guests用戶組下�,也有一個默認(rèn)用戶----guest,但是在默認(rèn)情況下,它是被禁用的����。如果沒有特別必要���,無須啟用此賬戶。我們可以通過“控制面板”--“管理工具”--“計算機(jī)管理”--“用戶和用戶組”來查看用戶組及該組下的用戶��。
我們用鼠標(biāo)右鍵單擊一個ntfs卷或ntfs卷下的一個目錄����,選擇“屬性”--“安全”就可以對一個卷,或者一個卷下面的目錄進(jìn)行權(quán)限設(shè)置��,此時我們會看到以下七種權(quán)限:完全控制�����、修改�����、讀取和運行�����、列出文件夾目錄����、讀取���、寫入、和特別的權(quán)限����。“完全控制”就是對此卷或目錄擁有不受限制的完全訪問���。地位就像administrators在所有組中的地位一樣���。選中了“完全控制”,下面的五項屬性將被自動被選中�����?����!靶薷摹眲t像power users��,選中了“修改”�����,下面的四項屬性將被自動被選中���。下面的任何一項沒有被選中時�����,“修改”條件將不再成立�����?!白x取和運行”就是允許讀取和運行在這個卷或目錄下的任何文件�����,“列出文件夾目錄”和“讀取”是“讀取和運行”的必要條件�。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄����,不能讀取,也不能運行�����。“讀取”是能夠讀取該卷或目錄下的數(shù)據(jù)�����?���!皩懭搿本褪悄芡摼砘蚰夸浵聦懭霐?shù)據(jù)。而“特別”則是對以上的六種權(quán)限進(jìn)行了細(xì)分���。讀者可以自行對“特別”進(jìn)行更深的研究��,鄙人在此就不過多贅述了�����。
下面我們對一臺剛剛安裝好操作系統(tǒng)和服務(wù)軟件的web服務(wù)器系統(tǒng)和其權(quán)限進(jìn)行全面的刨析�����。服務(wù)器采用windows 2000 server版,安裝好了sp4及各種補(bǔ)丁����。web服務(wù)軟件則是用了windows 2000自帶的iis 5.0����,刪除了一切不必要的映射��。整個硬盤分為四個ntfs卷�,c盤為系統(tǒng)卷,只安裝了系統(tǒng)和驅(qū)動程序����;d盤為軟件卷,該服務(wù)器上所有安裝的軟件都在d盤中���;e盤是web程序卷��,網(wǎng)站程序都在該卷下的www目錄中��;f盤是網(wǎng)站數(shù)據(jù)卷�,網(wǎng)站系統(tǒng)調(diào)用的所有數(shù)據(jù)都存放在該卷的wwwdatabase目錄下���。這樣的分類還算是比較符合一臺安全服務(wù)器的標(biāo)準(zhǔn)了����。希望各個新手管理員能合理給你的服務(wù)器數(shù)據(jù)進(jìn)行分類,這樣不光是查找起來方便��,更重要的是這樣大大的增強(qiáng)了服務(wù)器的安全性�,因為我們可以根據(jù)需要給每個卷或者每個目錄都設(shè)置不同的權(quán)限,一旦發(fā)生了網(wǎng)絡(luò)安全事故�����,也可以把損失降到最低����。當(dāng)然,也可以把網(wǎng)站的數(shù)據(jù)分布在不同的服務(wù)器上���,使之成為一個服務(wù)器群����,每個服務(wù)器都擁有不同的用戶名和密碼并提供不同的服務(wù)���,這樣做的安全性更高����。不過愿意這樣做的人都有一個特點----有錢:)�����。好了����,言歸正傳,該服務(wù)器的數(shù)據(jù)庫為ms-sql��,ms-sql的服務(wù)軟件sql2000安裝在d:\ms-sqlserver2k目錄下�,給sa賬戶設(shè)置好了足夠強(qiáng)度的密碼,安裝好了sp3補(bǔ)丁����。為了方便網(wǎng)頁制作員對網(wǎng)頁進(jìn)行管理,該網(wǎng)站還開通了ftp服務(wù)����,ftp服務(wù)軟件使用的是serv-u 5.1.0.0,安裝在d:\ftpservice\serv-u目錄下���。殺毒軟件和防火墻用的分別是norton antivirus和blackice,路徑分別為d:\nortonav和d:\firewall\blackice,病毒庫已經(jīng)升級到最新���,防火墻規(guī)則庫定義只有80端口和21端口對外開放。網(wǎng)站的內(nèi)容是采用動網(wǎng)7.0的論壇,網(wǎng)站程序在e:\www\bbs下��。細(xì)心的讀者可能已經(jīng)注意到了,安裝這些服務(wù)軟件的路徑我都沒有采用默認(rèn)的路徑或者是僅僅更改盤符的默認(rèn)路徑���,這也是安全上的需要��,因為一個黑客如果通過某些途徑進(jìn)入了你的服務(wù)器����,但并沒有獲得管理員權(quán)限�,他首先做的事情將是查看你開放了哪些服務(wù)以及安裝了哪些軟件,因為他需要通過這些來提升他的權(quán)限���。一個難以猜解的路徑加上好的權(quán)限設(shè)置將把他阻擋在外�。相信經(jīng)過這樣配置的web服務(wù)器已經(jīng)足夠抵擋大部分學(xué)藝不精的黑客了����。讀者可能又會問了:“這根本沒用到權(quán)限設(shè)置嘛!我把其他都安全工作都做好了�����,權(quán)限設(shè)置還有必要嗎����?”當(dāng)然有�����!智者千慮還必有一失呢�����,就算你現(xiàn)在已經(jīng)把系統(tǒng)安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發(fā)現(xiàn)���。權(quán)限將是你的最后一道防線�!那我們現(xiàn)在就來對這臺沒有經(jīng)過任何權(quán)限設(shè)置�����,全部采用windows默認(rèn)權(quán)限的服務(wù)器進(jìn)行一次模擬攻擊����,看看其是否真的固若金湯。
假設(shè)服務(wù)器外網(wǎng)域名為[imga][/imga]���,用掃描軟件對其進(jìn)行掃描后發(fā)現(xiàn)開放www和ftp服務(wù)��,并發(fā)現(xiàn)其服務(wù)軟件使用的是iis 5.0和serv-u 5.1��,用一些針對他們的溢出工具后發(fā)現(xiàn)無效���,遂放棄直接遠(yuǎn)程溢出的想法��。打開網(wǎng)站頁面����,發(fā)現(xiàn)使用的是動網(wǎng)的論壇系統(tǒng)����,于是在其域名后面加個/upfile.asp,發(fā)現(xiàn)有文件上傳漏洞����,便抓包,把修改過的asp木馬用nc提交�����,提示上傳成功�,成功得到webshell,打開剛剛上傳的asp木馬�����,發(fā)現(xiàn)有ms-sql、norton antivirus和blackice在運行����,判斷是防火墻上做了限制,把sql服務(wù)端口屏蔽了�。通過asp木馬查看到了norton antivirus和blackice的pid,又通過asp木馬上傳了一個能殺掉進(jìn)程的文件�,運行后殺掉了norton antivirus和blackice。再掃描���,發(fā)現(xiàn)1433端口開放了,到此����,便有很多種途徑獲得管理員權(quán)限了,可以查看網(wǎng)站目錄下的conn.asp得到sql的用戶名密碼��,再登陸進(jìn)sql執(zhí)行添加用戶�����,提管理員權(quán)限�。也可以抓serv-u下的servudaemon.ini修改后上傳,得到系統(tǒng)管理員權(quán)限。還可以傳本地溢出serv-u的工具直接添加用戶到administrators等等���。大家可以看到�,一旦黑客找到了切入點�,在沒有權(quán)限限制的情況下,黑客將一帆風(fēng)順的取得管理員權(quán)限�。
那我們現(xiàn)在就來看看windows 2000的默認(rèn)權(quán)限設(shè)置到底是怎樣的。對于各個卷的根目錄��,默認(rèn)給了everyone組完全控制權(quán)�。這意味著任何進(jìn)入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統(tǒng)卷下有三個目錄比較特殊�,系統(tǒng)默認(rèn)給了他們有限制的權(quán)限,這三個目錄是documents and settings�����、program files和winnt�����。對于documents and settings�,默認(rèn)的權(quán)限是這樣分配的:administrators擁有完全控制權(quán);everyone擁有讀運����,列和讀權(quán)限�����;power users擁有讀運��,列和讀權(quán)限����;system同administrators;users擁有讀運����,列和讀權(quán)限。對于program files����,administrators擁有完全控制權(quán)��;creator owner擁有特殊權(quán)限;power users有完全控制權(quán);system同administrators;terminal server users擁有完全控制權(quán)�����,users有讀運��,列和讀權(quán)限。對于winnt��,administrators擁有完全控制權(quán)�����;creator owner擁有特殊權(quán)限;power users有完全控制權(quán);system同administrators;users有讀運�����,列和讀權(quán)限���。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限���,也就是everyone組完全控制權(quán)!
現(xiàn)在大家知道為什么我們剛剛在測試的時候能一帆風(fēng)順的取得管理員權(quán)限了吧����?權(quán)限設(shè)置的太低了!一個人在訪問網(wǎng)站的時候�����,將被自動賦予iusr用戶��,它是隸屬于guest組的。本來權(quán)限不高���,但是系統(tǒng)默認(rèn)給的everyone組完全控制權(quán)卻讓它“身價倍增”���,到最后能得到administrators了。那么����,怎樣設(shè)置權(quán)限給這臺web服務(wù)器才算是安全的呢?大家要牢記一句話:“最少的服務(wù)+最小的權(quán)限=最大的安全”對于服務(wù)���,不必要的話一定不要裝����,要知道服務(wù)的運行是system級的哦����,對于權(quán)限�����,本著夠用就好的原則分配就是了�。對于web服務(wù)器����,就拿剛剛那臺服務(wù)器來說�,我是這樣設(shè)置權(quán)限的,大家可以參考一下:各個卷的根目錄���、documents and settings以及program files�����,只給administrator完全控制權(quán)����,或者干脆直接把program files給刪除掉���;給系統(tǒng)卷的根目錄多加一個everyone的讀��、寫權(quán)��;給e:\www目錄����,也就是網(wǎng)站目錄讀���、寫權(quán)��。最后�����,還要把cmd.exe這個文件給挖出來��,只給administrator完全控制權(quán)����。經(jīng)過這樣的設(shè)置后,再想通過我剛剛的方法入侵這臺服務(wù)器就是不可能完成的任務(wù)了��?����?赡苓@時候又有讀者會問:“為什么要給系統(tǒng)卷的根目錄一個everyone的讀��、寫權(quán)���?網(wǎng)站中的asp文件運行不需要運行權(quán)限嗎?”問的好����,有深度��。是這樣的�����,系統(tǒng)卷如果不給everyone的讀�、寫權(quán)的話���,啟動計算機(jī)的時候���,計算機(jī)會報錯,而且會提示虛擬內(nèi)存不足���。當(dāng)然這也有個前提----虛擬內(nèi)存是分配在系統(tǒng)盤的�����,如果把虛擬內(nèi)存分配在其他卷上�,那你就要給那個卷everyone的讀��、寫權(quán)�。asp文件的運行方式是在服務(wù)器上執(zhí)行��,只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器�����,這沒錯��,但asp文件不是系統(tǒng)意義上的可執(zhí)行文件�����,它是由web服務(wù)的提供者----iis來解釋執(zhí)行的�����,所以它的執(zhí)行并不需要運行的權(quán)限���。
經(jīng)過上面的講解以后,你一定對權(quán)限有了一個初步了了解了吧�����?想更深入的了解權(quán)限�,那么權(quán)限的一些特性你就不能不知道了,權(quán)限是具有繼承性、累加性 ���、優(yōu)先性、交叉性的��。
繼承性是說下級的目錄在沒有經(jīng)過重新設(shè)置之前��,是擁有上一級目錄權(quán)限設(shè)置的�����。這里還有一種情況要說明一下�����,在分區(qū)內(nèi)復(fù)制目錄或文件的時候���,復(fù)制過去的目錄和文件將擁有它現(xiàn)在所處位置的上一級目錄權(quán)限設(shè)置�����。但在分區(qū)內(nèi)移動目錄或文件的時候��,移動過去的目錄和文件將擁有它原先的權(quán)限設(shè)置���。
累加是說如一個組group1中有兩個用戶user1�����、user2��,他們同時對某文件或目錄的訪問權(quán)限分別為“讀取”和“寫入”�,那么組group1對該文件或目錄的訪問權(quán)限就為user1和user2的訪問權(quán)限之和����,實際上是取其最大的那個,即“讀取”+“寫入”=“寫入”��。 又如一個用戶user1同屬于組group1和group2����,而group1對某一文件或目錄的訪問權(quán)限為“只讀”型的,而group2對這一文件或文件夾的訪問權(quán)限為“完全控制”型的�����,則用戶user1對該文件或文件夾的訪問權(quán)限為兩個組權(quán)限累加所得�����,即:“只讀”+“完全控制”=“完全控制”。
優(yōu)先性���,權(quán)限的這一特性又包含兩種子特性����,其一是文件的訪問權(quán)限優(yōu)先目錄的權(quán)限����,也就是說文件權(quán)限可以越過目錄的權(quán)限�����,不顧上一級文件夾的設(shè)置����。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限,也就是說“拒絕”權(quán)限可以越過其它所有其它權(quán)限���,一旦選擇了“拒絕”權(quán)限�,則其它權(quán)限也就不能取任何作用�,相當(dāng)于沒有設(shè)置。
交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時又為用戶設(shè)置了該文件夾的訪問權(quán)限����,且所設(shè)權(quán)限不一致時��,它的取舍原則是取兩個權(quán)限的交集��,也即最嚴(yán)格����、最小的那種權(quán)限�����。如目錄a為用戶user1設(shè)置的共享權(quán)限為“只讀”���,同時目錄a為用戶user1設(shè)置的訪問權(quán)限為“完全控制”��,那用戶user1的最終訪問權(quán)限為“只讀”�。
權(quán)限設(shè)置的問題我就說到這了��,在最后我還想給各位讀者提醒一下���,權(quán)限的設(shè)置必須在ntfs分區(qū)中才能實現(xiàn)的��,fat32是不支持權(quán)限設(shè)置的�。同時還想給各位管理員們一些建議:
1.養(yǎng)成良好的習(xí)慣,給服務(wù)器硬盤分區(qū)的時候分類明確些��,在不使用服務(wù)器的時候?qū)⒎?wù)器鎖定��,經(jīng)常更新各種補(bǔ)丁和升級殺毒軟件���。
2.設(shè)置足夠強(qiáng)度的密碼�����,這是老生常談了,但總有管理員設(shè)置弱密碼甚至空密碼�。
3.盡量不要把各種軟件安裝在默認(rèn)的路徑下
4.在英文水平不是問題的情況下,盡量安裝英文版操作系統(tǒng)�。
5.切忌在服務(wù)器上亂裝軟件或不必要的服務(wù)。
6.牢記:沒有永遠(yuǎn)安全的系統(tǒng)��,經(jīng)常更新你的知識���。
一. 權(quán)限的由來
遠(yuǎn)方的某個山腳下�,有一片被森林包圍的草原����,草原邊上居住著一群以牧羊為生的牧民�����。草原邊緣的森林里���,生存著各種動物,包括野狼���。
由于羊群是牧民們的主要生活來源�,它們的價值便顯得特別珍貴��,為了防止羊的跑失和野獸的襲擊��,每戶牧民都用柵欄把自己的羊群圈了起來��,只留下一道小門�����,以便每天傍晚供羊群外出到一定范圍的草原上活動����,實現(xiàn)了一定規(guī)模的保護(hù)和管理效果。
最初����,野狼只知道在森林里逮兔子等野生動物生存�,沒有發(fā)現(xiàn)遠(yuǎn)處草原邊上的羊群��,因此��,在一段時間里實現(xiàn)了彼此和平相處�,直到有一天,一只為了追逐兔子而湊巧跑到了森林邊緣的狼����,用它那靈敏的鼻子嗅到了遠(yuǎn)處那隱隱約約的烤羊肉香味。
當(dāng)晚�����,突然出現(xiàn)的狼群襲擊了草原上大部分牧民飼養(yǎng)的羊����,它們完全無視牧民們修筑的僅僅能攔住羊群的矮小柵欄����,輕輕一躍便突破了這道防線……雖然聞訊而來的牧民們合作擊退了狼群,但是羊群已經(jīng)遭到了一定的損失����。
事后���,牧民們明白了柵欄不是僅僅用來防止羊群逃脫的城墻,各戶牧民都在忙著加高加固了柵欄……
如今使用Windows 2000/XP等操作系統(tǒng)的用戶����,或多或少都會聽說過“權(quán)限”(Privilege)這個概念,但是真正理解它的家庭用戶��,也許并不會太多�,那么,什么是“權(quán)限”呢?對于一般的用戶而言�,我們可以把它理解為系統(tǒng)對用戶能夠執(zhí)行的功能操作所設(shè)立的額外限制,用于進(jìn)一步約束計算機(jī)用戶能操作的系統(tǒng)功能和內(nèi)容訪問范圍��,或者說�,權(quán)限是指某個特定的用戶具有特定的系統(tǒng)資源使用權(quán)力。
掌握了“Ring級別”概念的讀者也許會問��,在如今盛行的80386保護(hù)模式中�����,處理器不是已經(jīng)為指令執(zhí)行做了一個“運行級別”的限制了嗎?而且我們也知道,面對用戶操作的Ring 3級別相對于系統(tǒng)內(nèi)核運行的Ring 0級別來說����,能直接處理的事務(wù)已經(jīng)被大幅度縮減了,為什么還要對運行在“權(quán)限少得可憐”的Ring 3層次上的操作系統(tǒng)人機(jī)交互界面上另外建立起一套用于進(jìn)一步限制用戶操作的“權(quán)限”概念呢?這是因為�����,前者針對的是機(jī)器能執(zhí)行的指令代碼權(quán)限�����,而后者要針對的對象�����,是坐在計算機(jī)面前的用戶���。
對計算機(jī)來說����,系統(tǒng)執(zhí)行的代碼可能會對它造成危害�,因此處理器產(chǎn)生了Ring的概念���,把“裸露在外”的一部分用于人機(jī)交互的操作界面限制起來����,避免它一時頭腦發(fā)熱發(fā)出有害指令;而對于操作界面部分而言,用戶的每一步操作仍然有可能傷害到它自己和底層系統(tǒng)——盡管它自身已經(jīng)被禁止執(zhí)行許多有害代碼����,但是一些不能禁止的功能卻依然在對這層安全體系作出威脅,例如格式化操作��、刪除修改文件等����,這些操作在計算機(jī)看來,只是“不嚴(yán)重”的磁盤文件處理功能�,然而它忽略了一點,操作系統(tǒng)自身就是駐留在磁盤介質(zhì)上的文件!因此����,為了保護(hù)自己,操作系統(tǒng)需要在Ring 3籠子限制的操作界面基礎(chǔ)上���,再產(chǎn)生一個專門用來限制用戶的柵欄�,這就是現(xiàn)在我們要討論的權(quán)限����,它是為限制用戶而存在的�,而且限制對每個用戶并不是一樣的���,在這個思想的引導(dǎo)下�,有些用戶能操作的范圍相對大些����,有些只能操作屬于自己的文件,有些甚至什么也不能做……
正因為如此����,計算機(jī)用戶才有了分類:管理員、普通用戶����、受限用戶、來賓等……
還記得古老的Windows 9x和MS-DOS嗎?它們僅僅擁有基本的Ring權(quán)限保護(hù)(實模式的DOS甚至連Ring分級都沒有)����,在這個系統(tǒng)架構(gòu)里,所有用戶的權(quán)力都是一樣的�,任何人都是管理員,系統(tǒng)沒有為環(huán)境安全提供一點保障——它連實際有用的登錄界面都沒有提供����,僅僅有個隨便按ESC都能正常進(jìn)入系統(tǒng)并進(jìn)行任何操作的“偽登錄”限制而已。對這樣的系統(tǒng)而言�����,不熟悉電腦的用戶經(jīng)常一不小心就把系統(tǒng)毀掉了�,而且病毒木馬自然也不會放過如此“松軟”的一塊蛋糕,在如今這個提倡信息安全的時代里�,Windows 9x成了名副其實的雞肋系統(tǒng),最終淡出人們的視線���,取而代之的是由Windows NT家族發(fā)展而來的Windows 2000和Windows XP�,此外還有近年來致力向桌面用戶發(fā)展的Linux系統(tǒng)等�,它們才是能夠滿足這個安全危機(jī)時代里個人隱私和數(shù)據(jù)安全等要求的系統(tǒng)。
Win2000/XP系統(tǒng)是微軟Windows NT技術(shù)的產(chǎn)物�,是基于服務(wù)器安全環(huán)境思想來構(gòu)建的純32位系統(tǒng)。NT技術(shù)沒有辜負(fù)微軟的開發(fā)����,它穩(wěn)定,安全�,提供了比較完善的多用戶環(huán)境,最重要的是�,它實現(xiàn)了系統(tǒng)權(quán)限的指派���,從而杜絕了由Win9x時代帶來的不安全操作習(xí)慣可能引發(fā)的大部分嚴(yán)重后果。
二. 權(quán)限的指派
1.普通權(quán)限
雖然Win2000/XP等系統(tǒng)提供了“權(quán)限”的功能�,但是這樣就又帶來一個新問題:權(quán)限如何分配才是合理的?如果所有人擁有的權(quán)限都一樣,那么就等于所有人都沒有權(quán)限的限制��,那和使用Win9x有什么區(qū)別?幸好��,系統(tǒng)默認(rèn)就為我們設(shè)置好了“權(quán)限組”(Group)�����,只需把用戶加進(jìn)相應(yīng)的組即可擁有由這個組賦予的操作權(quán)限�����,這種做法就稱為權(quán)限的指派�����。
默認(rèn)情況下���,系統(tǒng)為用戶分了6個組�����,并給每個組賦予不同的操作權(quán)限���,依次為:管理員組(Administrators)���、高權(quán)限用戶組(Power Users)���、普通用戶組(Users)���、備份操作組(Backup Operators)、文件復(fù)制組(Replicator)�、來賓用戶組(Guests),其中備份操作組和文件復(fù)制組為維護(hù)系統(tǒng)而設(shè)置�,平時不會被使用。
系統(tǒng)默認(rèn)的分組是依照一定的管理憑據(jù)指派權(quán)限的����,而不是胡亂產(chǎn)生,管理員組擁有大部分的計算機(jī)操作權(quán)限(并不是全部)����,能夠隨意修改刪除所有文件和修改系統(tǒng)設(shè)置。再往下就是高權(quán)限用戶組�,這一部分用戶也能做大部分事情�����,但是不能修改系統(tǒng)設(shè)置����,不能運行一些涉及系統(tǒng)管理的程序���。普通用戶組則被系統(tǒng)拴在了自己的地盤里����,不能處理其他用戶的文件和運行涉及管理的程序等�����。來賓用戶組的文件操作權(quán)限和普通用戶組一樣�����,但是無法執(zhí)行更多的程序�����。
這是系統(tǒng)給各個組指派的權(quán)限說明���,細(xì)心的用戶也許會發(fā)現(xiàn)����,為什么里面描述的“不能處理其他用戶的文件”這一條規(guī)則并不成立呢,我可以訪問所有文件啊�,只是不能對系統(tǒng)設(shè)置作出修改而已,難道是權(quán)限設(shè)定自身存在問題?實際上��,NT技術(shù)的一部分功能必須依賴于特有的“NTFS”(NT文件系統(tǒng))分區(qū)才能實現(xiàn)���,文件操作的權(quán)限指派就是最敏感的一部分,而大部分家庭用戶的分區(qū)為FAT32格式����,它并不支持NT技術(shù)的安全功能,因此在這樣的文件系統(tǒng)分區(qū)上�,連來賓用戶都能隨意瀏覽修改系統(tǒng)管理員建立的文件(限制寫入操作的共享訪問除外),但這并不代表系統(tǒng)權(quán)限不起作用�,我們只要把分區(qū)改為NTFS即可。
2.特殊權(quán)限
除了上面提到的6個默認(rèn)權(quán)限分組��,系統(tǒng)還存在一些特殊權(quán)限成員����,這些成員是為了特殊用途而設(shè)置�,分別是:SYSTEM(系統(tǒng))����、Everyone(所有人)、CREATOR OWNER(創(chuàng)建者)等��,這些特殊成員不被任何內(nèi)置用戶組吸納�����,屬于完全獨立出來的賬戶���。(圖.特殊權(quán)限成員)
前面我提到管理員分組的權(quán)限時并沒有用“全部”來形容�����,秘密就在此��,不要相信系統(tǒng)描述的“有不受限制的完全訪問權(quán)”�����,它不會傻到把自己完全交給人類���,管理員分組同樣受到一定的限制����,只是沒那么明顯罷了��,真正擁有“完全訪問權(quán)”的只有一個成員:SYSTEM����。這個成員是系統(tǒng)產(chǎn)生的,真正擁有整臺計算機(jī)管理權(quán)限的賬戶����,一般的操作是無法獲取與它等價的權(quán)限的��。
“所有人”權(quán)限與普通用戶組權(quán)限差不多�����,它的存在是為了讓用戶能訪問被標(biāo)記為“公有”的文件����,這也是一些程序正常運行需要的訪問權(quán)限——任何人都能正常訪問被賦予“Everyone”權(quán)限的文件,包括來賓組成員���。
被標(biāo)記為“創(chuàng)建者”權(quán)限的文件只有建立文件的那個用戶才能訪問��,做到了一定程度的隱私保護(hù)�����。
但是��,所有的文件訪問權(quán)限均可以被管理員組用戶和SYSTEM成員忽略�,除非用戶使用了NTFS加密。
無論是普通權(quán)限還是特殊權(quán)限��,它們都可以“疊加”使用����,“疊加”就是指多個權(quán)限共同使用,例如一個賬戶原本屬于Users組�����,而后我們把他加入Administrators組����,那么現(xiàn)在這個賬戶便同時擁有兩個權(quán)限身份,而不是用管理員權(quán)限去覆蓋原來身份���。權(quán)限疊加并不是沒有意義的�,在一些需要特定身份訪問的場合,用戶只有為自己設(shè)置了指定的身份才能訪問�,這個時候“疊加”的使用就能減輕一部分勞動量了。
3.NTFS與權(quán)限
在前面我提到了NTFS文件系統(tǒng)���,自己安裝過Win2000/XP的用戶應(yīng)該會注意到安裝過程中出現(xiàn)的“轉(zhuǎn)換分區(qū)格式為NTFS”的選擇����,那么什么是NTFS?
NTFS是一個特別為網(wǎng)絡(luò)和磁盤配額�����、文件加密等管理安全特性設(shè)計的磁盤格式��,只有使用NT技術(shù)的系統(tǒng)對它直接提供支持�,也就是說,如果系統(tǒng)崩潰了�,用戶將無法使用外面流行的普通光盤啟動工具修復(fù)系統(tǒng)���,因此���,是使用傳統(tǒng)的FAT32還是NTFS,一直是個倍受爭議的話題,但如果用戶要使用完全的系統(tǒng)權(quán)限功能���,或者要安裝作為服務(wù)器使用�,建議最好還是使用NTFS分區(qū)格式����。
與FAT32分區(qū)相比,NTFS分區(qū)多了一個“安全”特性�����,在里面��,用戶可以進(jìn)一步設(shè)置相關(guān)的文件訪問權(quán)限���,而且前面提到的相關(guān)用戶組指派的文件權(quán)限也只有在NTFS格式分區(qū)上才能體現(xiàn)出來��。例如���,來賓組的用戶再也不能隨便訪問到NTFS格式分區(qū)的任意一個文件了,這樣可以減少系統(tǒng)遭受一般由網(wǎng)站服務(wù)器帶來的入侵損失����,因為IIS賬戶對系統(tǒng)的訪問權(quán)限僅僅是來賓級別而已��,如果入侵者不能提升權(quán)限���,那么他這次的入侵可以算是白忙了。
使用NTFS分區(qū)的時候��,用戶才會察覺到系統(tǒng)給管理員組用戶設(shè)定的限制:一些文件即使是管理員也無法訪問�,因為它是SYSTEM成員建立的,并且設(shè)定了權(quán)限�����。
但是NTFS系統(tǒng)會帶來一個眾所周知的安全隱患:NTFS支持一種被稱為“交換數(shù)據(jù)流”(AlternateDataStream�,ADs)的存儲特性,原意是為了和Macintosh的HFS文件系統(tǒng)兼容而設(shè)計的���,使用這種技術(shù)可以在一個文件資源里寫入相關(guān)數(shù)據(jù)(并不是寫入文件中)�,而且寫進(jìn)去的數(shù)據(jù)可以使用很簡單的方法把它提取出來作為一個獨立文件讀取���,甚至執(zhí)行���,這就給入侵者提供了一個可?/ca
sqlserver的數(shù)據(jù)庫的最大容量?
--SQLSERVER2000技術(shù)規(guī)格
--------------系統(tǒng)技術(shù)規(guī)格---------------
--每個服務(wù)器最多可以允許16個SQLSERVER實例
--每個實例可擁有 2147483467 個鎖
--------------數(shù)據(jù)庫技術(shù)規(guī)格--------------
--SQLSERVER的數(shù)據(jù)庫大小1048516TB
--每個數(shù)據(jù)庫可擁有的文件組數(shù)32767
--每個數(shù)據(jù)庫可擁有的文件組數(shù)256
--文件大小(數(shù)據(jù)文件)32TB ---夠大了吧,呵呵!
--文件大小(日志文件)32TB ---夠大了吧,呵呵!
--數(shù)據(jù)庫中的對象數(shù)2 147 483 647
--標(biāo)識符的長度128
--------------表技術(shù)規(guī)格-------------------
--每個數(shù)據(jù)庫中可擁有的表數(shù)受限于數(shù)據(jù)庫中的對象數(shù)
--每個表可擁有的行數(shù)受限于可用的存儲容量
--每個表的主鍵約束數(shù)1
--每個表的外鍵約束數(shù)253
--每個表的引用數(shù)253
--每個表的觸發(fā)器數(shù)受限于數(shù)據(jù)庫中的對象數(shù)
--每個表的簇索引數(shù)1
--每個表的非簇索引數(shù)249
--每個表的唯一約束249非簇的,1成簇的
--------------列技術(shù)規(guī)格-------------------
--每個索引可包含的列數(shù)16
--每個主鍵可包含的列數(shù)16
--每個外鍵可包含的列數(shù)16
--每個表的列數(shù)1024
--索引鍵的大小900字節(jié)
--每個character或binary列的字節(jié)數(shù)8000
--每個text,ntext或image列的字節(jié)數(shù)2GB-2
--每行的字節(jié)數(shù)8060
--每個索引的字節(jié)數(shù)900
--每個主鍵的字節(jié)數(shù)900
--每個外鍵的字節(jié)數(shù)900
--------------SQL技術(shù)規(guī)格-------------------
--批處理大小65536乘以網(wǎng)絡(luò)包大小
--每個SELECT語句可處理的表數(shù)256
--存儲過程源文件的字節(jié)數(shù)小于批處理大小或250MB
--每個存儲過程的參數(shù)數(shù)目1024
--嵌套的子查詢數(shù)32
--嵌套的觸發(fā)器層數(shù)32
--每個SELECT語句可處理的列數(shù)4096
--每個INSERT語句可處理的列數(shù)1024
sqlserver數(shù)據(jù)庫最大連接數(shù)是多少?
打開 SQL Server Management Studio Express 使用超級用戶登錄��。
輸入如下指令:
exec sp_configure 'show advanced options', 1
exec sp_configure 'user connections', 100
select value from master.dbo.sysconfigures where [config]=103
--第二次設(shè)置用戶并發(fā)連接200
exec sp_configure 'show advanced options', 1
exec sp_configure 'user connections', 200
select value from master.dbo.sysconfigures where [config]=103
返回結(jié)果
100
200
也就是說 你設(shè)置成100 就100,設(shè)置成200就200��, 最大是 32767�����, 設(shè)置成 0 就是32767.
0 表示不受限�。但是 sql檢索是返回0的。
---
以上只是理論:
實際上一般的小型服務(wù)器 能并行 60 就相當(dāng)了不起了�。
至強(qiáng)八核的CPU ,8G服務(wù)器內(nèi)存 ,2003 系統(tǒng) ����,設(shè)置成 0 ,采用壓力測試了一番 最高也就 104上下�。跟操作系統(tǒng)和硬件配置有關(guān)系的。
當(dāng)前標(biāo)題:sqlserver受限,sqlserver 約束
路徑分享:
http://weahome.cn/article/hdjpjs.html
重慶分公司
重慶分公司
