Windows系统权限详解

admin管理员组

文章数量:1535476

2024年3月7日发(作者：)

８＿响ｍ删丽啊　丽　曩‘计ｒ鼻机与嘲络创新生活　Ｗｉｎｄｏｗｓ系统权限详解　系统安全是每个系统管理者必　须要了解的东西，而权限设置是系统　安全的一个重要手段，他就像我们就　是一些不能禁止的功能却依然在对　这层安全体系作出威胁，例如格式化　操作、删除修改文件等，这些操作在　Ｗｉｎｄｏ　ＮＴ技术的产物，是基于服　务器安全环境思想来构建的纯３２位　系统。ＮＴ技术没有辜负微软的开　入房间的钥匙，有钥匙我们才能进入　房间。而在系统中我们有权限才能对　计算机看来，只是“不严重”的磁盘文　件处理功能，然而它忽略了一点，操　发它稳定，安全，提供了比较完善的　，多用户环境，最重要的是，它实现了　，系统进行相应的操作。这里给大家总　结了ｗｉｎｄｏｗｓ下系统的权限详解。　权限的由来　如今使用ｗｉｎｄｏｗｓ等操作系统　作系统自身就是驻留在磁盘介质上　的文件！因此，为了保护自己，操作系　统需要在Ｒｉｎｇ　３笼子限制的操作界　面基础上，再产生一个专门用来限制　系统权限的指派从而杜绝了由　Ｗｉｎ９ｘ时代带来的不安全操作习惯　可能引发的大部分严重后果。　权限的指派　的用户，或多或少都会听说过“权　限”（Ｐｒｉｖｉｌｅｇｅ）这个概念，但是真正理　解它的家庭用户，也许并不会太多，　那么，什么是“权限”呢　对于一般的　用户的栅栏，这就是现在我们要讨论　的权限，它是为限制用户而存在的，　而且限制对每个用户并不是一样的，　在这个思想的引导下，有些用户能操　１．普通权限　虽然Ｗｉｎ２０００／ＸＰ等系统提供了　“权限”的功能，但是这样就又带来一　个新问题：权限如何分配才是合理　用户而言，我们可以把它理解为系统　对用户能够执行的功能操作所设立　的额外限制，用于进一步约束计算机　用户能操作的系统功能和内容访问　范围，或者说，权限是指某个特定的　作的范围相对大些，有些只能操作属　于自己的文件，有些甚至什么也不能　做。　正因为如此，计算机用户才有了　分类：管理员、普通用户、受限用户、　的？如果所有人拥有的权限都一样．　那么就等于所有人都没有权限的限　制，那和使用ｗｉｎ９Ｘ有什么区别？幸　好。系统默认就为我们设置好了“权　限组”（Ｇｒｏｕｐ），只需把用户加进相应　用户具有特定的系统资源使用权力。　掌握了“Ｒｉｎｇ级别”概念的读者　也许会问，在８０３８６保护模式中，处　理器不是已经为指令执行做了一个　“运行级别”的限制了吗？而且我们也　知道，面对用户操作的Ｒｉｎｇ　３级别，　相对于系统内核运行的Ｒｉｎｇ　０级别　来说，能直接处理的事务已经被大幅　度缩减了，为什么还要对运行在“权　限少得可怜”的Ｒｉｎｇ　３层次上的操　作系统，人机交互界面上另外建立一　套用于进一步限制用户操作的“权　限”概念呢　这是因为，前者针对的是　机器能执行的指令代码权限，而后者　要针对的对象，是坐在计算机面前的　用户。　对计算机来说，系统执行的代码　可能会对它造成危害，因此处理器产　生了Ｒｉｎｇ的概念，把“裸露在外”的　一来宾等……。　还记得古老的Ｗｉｎｄｏｗｓ　９ｘ和　ＭＳ—ＤＯＳ吗？它们仅仅拥有基本的　ｉｎｇ权限保护（实模式的ＤＯＳ甚至　Ｒ连Ｒｉｎｇ分级都没有），在这个系统架　构里，所有用户的权力都是一样的，　任何人都是管理员，系统没有为环境　安全提供一点保障——它连实际有　用的登录界面都没有提供，仅仅有个　随便按ＥＳＣ都能正常进入系统并进　行任何操作的“伪登录”限制而已。　对这样的系统而言，不熟悉电脑的用　户经常一不小心就把系统毁掉了，而　且病毒木马自然也不会放过如此“松　软”的一块蛋糕，在如今这个提倡信　息安全的时代里，Ｗｉｎｄｏｗｓ　９ｘ成了　名副其实的鸡肋系统，最终淡出人们　的视线，取而代之的是由ＷｉｎｄＯＷＳ　ＮＴ家族发展而来的Ｗｉｎｄｏｗｓ　２０００　和Ｗｉｎｄｏｗｓ　ＸＰ，此外还有近年来致　的组即可拥有由这个组赋予的操作　权限，这种做法就称为权限的指派。　默认情况下。系统为用户分了６　个组，并给每个组赋予不同的操作权　限，依次为：管理员组（Ａｄｍｉｎｉｓｔｒａｔｏｒｓ）、　高权限用户组（Ｐｏｗｅｒ　Ｕｓｅｒｓ）、普通用　户组（Ｕｓｅｒｓ）、备份操作组（Ｂａｃｋｕｐ　Ｏｐｅｒａｔｏｒｓ）、文件复制组（１￣ｅｐｌｉｃａｔｏｒ）、　来宾用户组（Ｇｕｅｓｔｓ），其中备份操作　组和文件复制组为维护系统而设置。　平时不会被使用。　系统默认的分组是依照一定的　管理凭据指派权限的，而不是胡乱产　生，管理员组拥有大部分的计算机操　作权限（并不是全部），能够随意修改　删除所有文件和修改系统设置。再往　下就是高权限用户组，这一部分用户　也能做大部分事情，但是不能修改系　统设置。也不能运行一些涉及系统管　理的程序。普通用户组则被系统拴在　部分用于人机交互的操作界面限　制起来。避免它一时头脑发热发出有　害指令：而对于操作界面部分而言，　用户的每一步操作仍然有可能伤害　到它自己和底层系统——尽管它自　身已经被禁止执行许多有害代码．但　力向桌面用户发展的Ｌｉｎｕｘ系统等。　它们才是能够满足这个安全危机时　代里个人隐私和数据安全等要求的　系统。　Ｗｉｎ２０００／ＸＰ系统是微软　了自己的地盘里，不能处理其他用户　的文件和运行涉及管理的程序等。来　宾用户组的文件操作权限和普通用　户组一样，但是无法执行更多的程　序。　《计算机与网络》２０１２年第０３、ｏ４期　

络　２０１２年第０３、０４期《计算机与网络》　

网　络　８０　计算机与网络创新生活　首先，我们要尽量避免平时使　用管理员账户登录系统。这样会让　一的，不推荐一般用户依葫芦画瓢，因　为这样设定过“最小权限”后。可能　那么我可以很负责的告诉你，你的　共享全完蛋了。　（５）．系统权限指派出现意外。默　些由ＩＥ带来的病毒木马因为得　会对日常使用的一些程序造成影　响。　不到相关权限而感染失败。但是国　内许多计算机用户并没有意识到这　一认情况下，系统会给共享目录指派　一虽然权限设定会给安全防范带　来一定的好处，但是有时候，它也会　闯祸的……“文件共享”（Ｓｈａｒｉｎｇ）是　被使用最多的网络远程文件访问功　能，却也是最容易出问题的一部分，　许多用户在使用一些优化工具后．　发现文件共享功能突然就失效了．　或者无论如何都无法成功共享文　件，这也是很多网络管理员要面对　的棘手问题，如果你也不巧遇到了，　那么可以尝试检查以下几种原因：　（１）．相应的服务被禁止。文件共　个“Ｅｖｅｒｙｏｎｅ”账户访问授权，然而　点，或者说没有接触到相关概念。　实际上它还是要使用Ｇｕｅｓｔ成员完　成访问的工作，但是有时候．　因而大部分系统都是以管理员账户　运行的。这就给病毒传播提供了一　个很好的环境。如果用户因为某些　Ｅｖｅｒｙｏｎｅ却忘记Ｇｕｅｓｔ的存在了，这　是或我们就需要自己给共享目录手　动添加一个Ｇｕｅｓｔ账户，才能完成远　程访问。　（６）．ＮＴＦＳ权限限制。一些刚接　工作需要，必须以管理员身份操作　系统，那么请降低ＩＥ的运行权限，　有试验证明，ＩＥ运行的用户权限每　降低一个级别，受漏洞感染的几率　就相应下降一个级别，因为一些病　毒在例如像Ｕｓｅｒｓ组这样的权限级　触ＮＴＦＳ的用户或者新手管理员经　常会出这个差错，在排除以上所有　问题的前提下依然无法实现文件共　别里是无法对系统环境做出修改　的。降低ＩＥ运行权限的方法很多．　最简单的就是使用微软自家产品　“Ｄｒｏｐ　ＭｙＲｉｇｈｔｓ”对程序的运行权限　做出调整。　对管理员来说。设置服务器的　享，哪里都碰过了就是偏偏不知道　来看看这个目录的“安全”选项卡。　享功能依赖于这４个服务：Ｃｏｍｐｕｔｅｒ　Ｂｒｏｗｓｅｒ、ＴＣＰ／ＩＰ　ＮｅｔＢＩＯＳ　Ｈｅｌｐｅｒ　并在里面设置好Ｅｖｅｒｙｏｎｅ的相应权　限和添加一个Ｇｕｅｓｔ权限进去。如果　它们会说话，也许早就在音箱里叫　唤了：嘿，快看这里！哟嗬！　（７）．系统自身设置问题。如果检　查了以上所有方法都无效，那么可　以考虑重装一个系统了，不要笑，一　Ｓｅｒｖｉｃｅ、Ｓｅｒｖｅｒ、Ｗｏｒｋｓｔａｔｉｏｎ，如果它们　的其中一个被禁止了，文件共享功　能就会出现各种古怪问题如不能通　过计算机名访问等，甚至完全不能　访问。　（２）．内置来宾账户组成员Ｇｕｅｓｔ　访问权限才是他们关心的重点，这　时候就必须搭配ＮＴＦＳ分区来设置　ＩＩＳ了，因为只有ＮＴＦＳ才具备文件　访问权限的特性。然后就是安装　未启用。文件共享功能需要使用　Ｇｕｅｓｔ权限访问网络资源。　（３）．内置来宾账户组成员Ｇｕｅｓｔ　被禁止从网络访问。这问题常见于　ＸＰ系统。因为它在组策略一＞计算　机配置一＞Ｗｉｎｄｏｗｓ设置一＞安全设　些用户的确碰到过这种问题，重装　后什么也没动，却一切都好了。这大　概是因为某些系统文件被新安装的　工具替换掉后缺失了文件共享的功　能。　ＩＩＳ．经过这一步系统会建立两个用　于ＩＩＳ进程的来宾组账户“ＩＵＳＲ．＿机　器名”和“ＩＷＡＭ＿机器名”，但这样　还不够．别忘记系统的特殊成员　“Ｅｖｅｒｙｏｎｅ”，这个成员的存在虽然是　为了方便用户访问的，但是对于网　络服务器最重要的“最小权限”思路　由权限带来的好处是显而易见　置一＞本地策略一＞用户权利指派一＞　拒绝从网络访问这台计算机里把　Ｇｕｅｓｔ账户添加进去了，删除掉即可　真正启用Ｇｕｅｓｔ远程访问权限。　的。但是我们有时候也不得不面对　它给我们带来的麻烦，没办法，谁叫　事物都是有两面性的呢，毕竟正是　因为有了这一圈栅栏。用户安全才　有了保障。　突破系统权限　（网络服务程序运行的权限越小，安　全系数越高）来说，它成了安全隐　患，“Ｅｖｅｒｙｏｎｅ”使得整个服务器的文　件可以随便被访问，一旦被入侵，黑　客就有了提升权限的机会，因此需　要把惹祸的“Ｅｖｅｒｙｏｎｅ”成员从敏感　文件夹的访问权限去掉，要做到这　一（４）．限制了匿名访问的权限。默　认情况下，组策略（ｇｐｅｄｉｔ．ｍｓｃ）一＞计　算机配置一＞Ｗｉｎｄｏｗｓ设置一＞安全　设置一＞本地策略一＞安全选项一＞对　匿名连结的额外限制的设置应该是　“无。依赖于默认许可权限”或者“不　允许枚举ＳＡＭ账号和共享”，如果　有工具自作聪明帮你把它设置为　“没有显式匿名权限就无法访问”，　虽然权限为我们做了不同范围　的束缚。但是这些束缚并不是各自　独立的。它们全都依靠于同样的指　令完成工作。这就给入侵者提供了　“提升权限”（Ａｄｊｕｓｔ　Ｔｏｋｅｎ　Ｐｒｉｖｉｌｅｇｅ）　的基础。　步，只需运行“ｃａｄｓ．ｅｘｅ目录名／　Ｒ”ｅｖｅｒｙｏｎｅ”／Ｅ”即可。敏感文件夹　包括整个系统盘、系统目录、用户主　目录等。这是专为服务器安全设置　所谓“提升权限”，就是指入侵　《计算机与网络》２０１２年第０８、０４期　

网　络　计算机与网络创新生活＿　圃邢丽啊　阿积蜊一８　Ｗｉｎｄｏｗｓ远程桌面连接的使用技巧　在局域网中为了方便与其他工　键，在ｔ叩子键所对应的右侧显示区　到大大增强！　作站交流信息，我们常常会用到远程　域中，我们会看到一个名为　善用远程桌面进行传输文件　桌面功能，许多入会认为这样的功能ＰｏｒｔＮｕｍｂｅｒ的子键，这个子键其实就　在局域网中传输文件时，相信多　简单得几乎不值一提，不过在实际使　是用来定义远程桌面端口号码的，将　数人都会通过文件共享的方式来进　用过程中，我们有时会遇到各种特殊　该子键的数值设置成其他端口号码，　行，可是设置成共享状态的目标文件　的远程桌面连接需求。要想顺利满足　例如可以将其数值设置成“９９９９”；　很容易被其他人偷看到，而且一些别　这些特殊的连接需求，就必须要掌握　完成数值修改操作后，我们再将　有用心的人还会通过共享通道对本　一些远程桌面的使用技巧。这不，本　鼠标定位于注册表分支　地工作站实施攻击。为了确保在局域　文下面为大家贡献的几则远程桌面ＨＫＥＹ　ＬＯＣＡＬ　ＭＡＣＨＩＮＥＳＹＳＴＥＭ一　网中能够安全地传输文件，我们可以　新鲜技巧，值得各位一试！　ＣｕｒｒｅｎｔＣｏｎｔｒｏｌＳｅｔＣｏｎｔｒｏｌＴｅｒｍｉｎａｌ　利用远程桌面程序中自带的磁盘映　让远程桌面端口躲避攻击　ＳｅｒｖｅｒＷｉｎＳｔａｔｉｏｎｓＲＤＰ－Ｔｃｐ，在ＲＤＰ一　射功能，来让局域网中的文件传输进　大家知道，在默认状态下远程桌Ｔｃｐ子键所对应的右侧显示区域中，　行得更安全、更简便，下面就是利用　面使用的端口一般为“３３８９”，如果我　我们同样会看到一个名为　远程桌面功能进行文件传输的具体　们不及时将这个端口号码更改掉的ＰｏｒｔＮｕｍｂｅｒ的子键，把该子键的数值　操作步骤：　话．那么许多别有用心的黑客可能会　也要一并修改过来，例如这里我们也　首先在本地工作站系统桌面中　利用这个端口，来远程控制和入侵本　要将它的数值修改成“９９９９”；　依次单击“开始”／“程序”／“远程桌　地工作站，以便窃取保存在本地工作　完成本地工作站的远程桌面连　面连接”命令，打开远程桌面连接程　站中的各类隐私信息。为了保护本地　接端口号码后，我们日后需要通过远　序界面，单击该界面中的“选项”按　工作站的安全，我们可以尝试按照如　程桌面连接到该工作站时，我们需要　钮，并在其后弹出的选项设置窗口，　下步骤，将远程桌面使用的默认端口　打开对应工作站中的远程桌面连接　单击“本地资源”标签，打开标签设置　号码更改成其他的端口号码：　设置窗口，并在其中设置好需要远程　页面，选中其中的“磁盘驱动器”项　首先以特权身份登录进本地工　连接的工作站地址，之后单击“另存　目，再单击“连接”按钮，开始进行远　作站系统，并用鼠标逐一单击系统桌　为”按钮将远程桌面设置保存成文　程桌面连接；　面中的“开始”、“运行”命令，从弹出　件，接着用写字板之类的文本编辑程　当成功连接到对方工作站系统　的系统运行框中，输入字符串命令　序将前面保存生成的ＲＤＰ文件打　后，我们用鼠标双击对方工作站系统　“ｒｅｇｅｄｉｔ”，单击“确定”按钮后，打开　开，并在文本编辑区域中手工输入一　桌面中的“我的电脑”图标，我们就会　本地工作站的系统注册表编辑界　行“ｓｅｒｖｅｒ　ｐｏｒｔ：ｉ：９９９９”这样的语句，再　看到本地工作站的各个磁盘分区包　面；　将该文件按照原名重新保存一下，这　括光驱等都已经被映射到了对方工　其次在该编辑界面的左侧显示　样一来我们日后就能通过远程桌面　作站中了，这时候我们可以象在本地　区域，用鼠标展开ＨＫＥＹ＿　安全地连接到本地工作站中了。网页　复制、移动文件那样来轻松、安全地　ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ注册表分支，从　教学网提醒大家其他用户只要不知　进行文件传输操作了。文件传输操作　其后弹出的分支列表中依次选中　道新的远程桌面端口号码，他们就无　完毕后，我们必须及时断开远程桌面　ＳＹＳＴＥＭＣｕｒｒｅｎｔＣｏｎｔｒｏｌＳｅｔＣｏｎ一　法与本地工作站创建远程桌面连接　连接，以防止其他用户趁机偷看自己　ｔｒｏｌＴｅｒｍｉｎａｌ　ＳｅｒｖｅｒＷｄｓｒｄｐｗｄＴｄｓｔｃｐ子　了，那么本地工作站的安全性就会得　的隐私信息。　者使用各种系统漏洞和手段，让自己　直接拿到ＳＹＳＴＥＭ权限）。　ＩＩＳ的浏览权限，例如一个ＷｅｂＳｈｅｌｌ　像那只羊或者狼群那样。找到“栅　通常，如果ＩＩｓ或ＳＱＬ两者之一　之类的，然后搜寻整台服务器的薄弱　栏”的薄弱环节，突破系统指派的权　出现了漏洞或设置失误，入侵者会尝　环节（前提：管理员没删除Ｅｖｅｒｙｏｎｅ　限级别，从而把自己当前的权限提高　试直接调用ＳＱＬ注入语句调用特殊　账户权限），例如Ｓｅｒｖ—Ｕ、ＩＩＳ特殊目　多个级别甚至管理员级别的方法。提　的系统存储过程达到直接执行命令　录、各种外部ＣＧＩ程序、ＦＳＯ特殊对　升权限得以成功的前提是管理员设　的愿望，如果这一步成功，那么这台　象等，这场猫和耗子的游戏永远也不　置的失误（例如没有按照“最小权限”　服务器就沦陷了；但如果管理员还有　会结束，如果管理员功底不够扎实，　思路来配置服务器）或者业界出现了　点本事，删除了存储过程或者补好了　那么只能看着入侵者破坏自己的劳　新的溢出漏洞等（例如ＬＳＡＳＳ溢出。　ＳＱＬ注入点呢？入侵者会想办法得到　动成果了。　２０１２年第０３、０４期《计算机与网络》　

本文标签： 系统权限用户操作远程桌面