⑴ 什麼是系統訪問許可權
1.普通許可權
雖然Win2000/XP等系統提供了「許可權」的功能,但是這樣就又帶來一個新問題:許可權如何分配才是合理的?如果所有人擁有的許可權都一樣,那麼就等於所有人都沒有許可權的限制,那和使用Win9x有什麼區別?幸好,系統默認就為我們設置好了「許可權組」(Group),只需把用戶加進相應的組即可擁有由這個組賦予的操作許可權,這種做法就稱為許可權的指派。
默認情況下,系統為用戶分了6個組,並給每個組賦予不同的操作許可權,依次為:管理員組(Administrators)、高許可權用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件復制組(Replicator)、來賓用戶組(Guests),其中備份操作組和文件復制組為維護系統而設置,平時不會被使用。(圖.默認分組)
系統默認的分組是依照一定的管理憑據指派許可權的,而不是胡亂產生,管理員組擁有大部分的計算機操作許可權(並不是全部),能夠隨意修改刪除所有文件和修改系統設置。再往下就是高許可權用戶組,這一部分用戶也能做大部分事情,但是不能修改系統設置,不能運行一些涉及系統管理的程序。普通用戶組則被系統拴在了自己的地盤里,不能處理其他用戶的文件和運行涉及管理的程序等。來賓用戶組的文件操作許可權和普通用戶組一樣,但是無法執行更多的程序。(圖.不同賬戶許可權的限制)
這是系統給各個組指派的許可權說明,細心的用戶也許會發現,為什麼裡面描述的「不能處理其他用戶的文件」這一條規則並不成立呢,我可以訪問所有文件啊,只是不能對系統設置作出修改而已,難道是許可權設定自身存在問題?實際上,NT技術的一部分功能必須依賴於特有的「NTFS」(NT文件系統)分區才能實現,文件操作的許可權指派就是最敏感的一部分,而大部分家庭用戶的分區為FAT32格式,它並不支持NT技術的安全功能,因此在這樣的文件系統分區上,連來賓用戶都能隨意瀏覽修改系統管理員建立的文件(限制寫入操作的共享訪問除外),但這並不代表系統許可權不起作用,我們只要把分區改為NTFS即可。
2.特殊許可權
除了上面提到的6個默認許可權分組,系統還存在一些特殊許可權成員,這些成員是為了特殊用途而設置,分別是:SYSTEM(系統)、Everyone(所有人)、CREATOR OWNER(創建者)等,這些特殊成員不被任何內置用戶組吸納,屬於完全獨立出來的賬戶。(圖.特殊許可權成員)
前面我提到管理員分組的許可權時並沒有用「全部」來形容,秘密就在此,不要相信系統描述的「有不受限制的完全訪問權」,它不會傻到把自己完全交給人類,管理員分組同樣受到一定的限制,只是沒那麼明顯罷了,真正擁有「完全訪問權」的只有一個成員:SYSTEM。這個成員是系統產生的,真正擁有整台計算機管理許可權的賬戶,一般的操作是無法獲取與它等價的許可權的。
「所有人」許可權與普通用戶組許可權差不多,它的存在是為了讓用戶能訪問被標記為「公有」的文件,這也是一些程序正常運行需要的訪問許可權——任何人都能正常訪問被賦予「Everyone」許可權的文件,包括來賓組成員。
被標記為「創建者」許可權的文件只有建立文件的那個用戶才能訪問,做到了一定程度的隱私保護。
但是,所有的文件訪問許可權均可以被管理員組用戶和SYSTEM成員忽略,除非用戶使用了NTFS加密。
無論是普通許可權還是特殊許可權,它們都可以「疊加」使用,「疊加」就是指多個許可權共同使用,例如一個賬戶原本屬於Users組,而後我們把他加入Administrators組,那麼現在這個賬戶便同時擁有兩個許可權身份,而不是用管理員許可權去覆蓋原來身份。許可權疊加並不是沒有意義的,在一些需要特定身份訪問的場合,用戶只有為自己設置了指定的身份才能訪問,這個時候「疊加」的使用就能減輕一部分勞動量了。
·無形的柵欄 完全解析Windows系統許可權(2)
3.NTFS與許可權
在前面我提到了NTFS文件系統,自己安裝過Win2000/XP的用戶應該會注意到安裝過程中出現的「轉換分區格式為NTFS」的選擇,那麼什麼是NTFS?NTFS(New Technology File System)是一個特別為網路和磁碟配額、文件加密等管理安全特性設計的磁碟格式,只有使用NT技術的系統對它直接提供支持,也就是說,如果系統崩潰了,用戶將無法使用外面流行的普通光碟啟動工具修復系統,因此,是使用傳統的FAT32還是NTFS,一直是個倍受爭議的話題,但如果用戶要使用完全的系統許可權功能,或者要安裝作為伺服器使用,建議最好還是使用NTFS分區格式。
與FAT32分區相比,NTFS分區多了一個「安全」特性(圖.FAT32與NTFS的比較),在裡面,用戶可以進一步設置相關的文件訪問許可權,而且前面提到的相關用戶組指派的文件許可權也只有在NTFS格式分區上才能體現出來。例如,來賓組的用戶再也不能隨便訪問到NTFS格式分區的任意一個文件了,這樣可以減少系統遭受一般由網站伺服器帶來的入侵損失,因為IIS賬戶對系統的訪問許可權僅僅是來賓級別而已,如果入侵者不能提升許可權,那麼他這次的入侵可以算是白忙了。
使用NTFS分區的時候,用戶才會察覺到系統給管理員組用戶設定的限制:一些文件即使是管理員也無法訪問,因為它是SYSTEM成員建立的,並且設定了許可權。(圖.NTFS許可權審核導致訪問被拒絕)
但是NTFS系統會帶來一個眾所周知的安全隱患:NTFS支持一種被稱為「交換數據流」(AlternateDataStream,ADs)的存儲特性,原意是為了和Macintosh的HFS文件系統兼容而設計的,使用這種技術可以在一個文件資源里寫入相關數據(並不是寫入文件中),而且寫進去的數據可以使用很簡單的方法把它提取出來作為一個獨立文件讀取,甚至執行,這就給入侵者提供了一個可乘之機,例如在一個正常程序里插入包含惡意代碼的數據流,在程序運行時把惡意代碼提取出來執行,就完成了一次破壞行動。(圖.隱秘的數據流)
不過值得慶幸的是,數據流僅僅能存在於NTFS格式分區內,一旦存儲介質改變為FAT32、CDFS等格式,數據流內容便會消失了,破壞代碼也就不復存在。
4.許可權設置帶來的安全訪問和故障
很多時候,管理員不得不為遠程網路訪問帶來的危險因素而擔憂,普通用戶也經常因為新漏洞攻擊或者IE瀏覽器安全漏洞下載的網頁木馬而疲於奔命,實際上合理使用NTFS格式分區和許可權設置的組合,足以讓我們抵禦大部分病毒和黑客的入侵。
首先,我們要盡量避免平時使用管理員賬戶登錄系統,這樣會讓一些由IE帶來的病毒木馬因為得不到相關許可權而感染失敗,但是國內許多計算機用戶並沒有意識到這一點,或者說沒有接觸到相關概念,因而大部分系統都是以管理員賬戶運行的,這就給病毒傳播提供了一個很好的環境。如果用戶因為某些工作需要,必須以管理員身份操作系統,那麼請降低IE的運行許可權,有試驗證明,IE運行的用戶許可權每降低一個級別,受漏洞感染的幾率就相應下降一個級別,因為一些病毒在例如像Users組這樣的許可權級別里是無法對系統環境做出修改的。降低IE運行許可權的方法很多,最簡單的就是使用微軟自家產品「Drop MyRights」對程序的運行許可權做出調整。(圖.用RunAs功能降低IE運行級別)
對管理員來說,設置伺服器的訪問許可權才是他們關心的重點,這時候就必須搭配NTFS分區來設置IIS了,因為只有NTFS才具備文件訪問許可權的特性。然後就是安裝IIS,經過這一步系統會建立兩個用於IIS進程的來賓組賬戶「IUSR_機器名」和「IWAM_機器名」,但這樣還不夠,別忘記系統的特殊成員「Everyone」,這個成員的存在雖然是為了方便用戶訪問的,但是對於網路伺服器最重要的「最小許可權」思路(網路服務程序運行的許可權越小,安全系數越高)來說,它成了安全隱患,「Everyone」使得整個伺服器的文件可以隨便被訪問,一旦被入侵,黑客就有了提升許可權的機會,因此需要把惹禍的「Everyone」成員從敏感文件夾的訪問許可權去掉,要做到這一步,只需運行「cacls.exe 目錄名 /R "everyone" /E」即可。敏感文件夾包括整個系統盤、系統目錄、用戶主目錄等。這是專為伺服器安全設置的,不推薦一般用戶依葫蘆畫瓢,因為這樣設定過「最小許可權」後,可能會對日常使用的一些程序造成影響。
雖然許可權設定會給安全防範帶來一定的好處,但是有時候,它也會闖禍的…… 「文件共享」(Sharing)是被使用最多的網路遠程文件訪問功能,卻也是最容易出問題的一部分,許多用戶在使用一些優化工具後,發現文件共享功能突然就失效了,或者無論如何都無法成功共享文件,這也是很多網路管理員要面對的棘手問題,如果你也不巧遇到了,那麼可以嘗試檢查以下幾種原因:
(1).相應的服務被禁止。文件共享功能依賴於這4個服務:Computer Browser、TCP/IP NetBIOS Helper Service、Server、Workstation,如果它們的其中一個被禁止了,文件共享功能就會出現各種古怪問題如不能通過計算機名訪問等,甚至完全不能訪問。
(2).內置來賓賬戶組成員Guest未啟用。文件共享功能需要使用Guest許可權訪問網路資源。
(3). 內置來賓賬戶組成員Guest被禁止從網路訪問。這問題常見於XP系統,因為它在組策略(gpedit.msc)->計算機配置->Windows設置->安全設置->本地策略->用戶權利指派->拒絕從網路訪問這台計算機里把Guest賬戶添加進去了,刪除掉即可真正啟用Guest遠程訪問許可權。
(4).限制了匿名訪問的許可權。默認情況下,組策略(gpedit.msc)->計算機配置->Windows設置->安全設置->本地策略->安全選項->對匿名連結的額外限制的設置應該是「無。依賴於默認許可許可權」或者「不允許枚舉SAM賬號和共享」,如果有工具自作聰明幫你把它設置為「沒有顯式匿名許可權就無法訪問」,那麼我可以很負責的告訴你,你的共享全完蛋了。
(5).系統許可權指派出現意外。默認情況下,系統會給共享目錄指派一個「Everyone」賬戶訪問授權,然而實際上它還是要使用Guest成員完成訪問的工作,但是有時候,Everyone卻忘記Guest的存在了,這是或我們就需要自己給共享目錄手動添加一個Guest賬戶,才能完成遠程訪問。(圖.手動添加一個賬戶許可權)
(6).NTFS許可權限制。一些剛接觸NTFS的用戶或者新手管理員經常會出這個差錯,在排除以上所有問題的前提下依然無法實現文件共享,哪裡都碰過了就是偏偏不知道來看看這個目錄的「安全」選項卡,並在裡面設置好Everyone的相應許可權和添加一個Guest許可權進去,如果它們會說話,也許早就在音箱里叫喚了:嘿,快看這里!喲嗬!
(7).系統自身設置問題。如果檢查了以上所有方法都無效,那麼可以考慮重裝一個系統了,不要笑,一些用戶的確碰到過這種問題,重裝後什麼也沒動,卻一切都好了。這大概是因為某些系統文件被新安裝的工具替換掉後缺失了文件共享的功能。
由許可權帶來的好處是顯而易見的,但是我們有時候也不得不面對它給我們帶來的麻煩,沒辦法,誰叫事物都是有兩面性的呢,畢竟正是因為有了這一圈柵欄,用戶安全才有了保障。
⑵ java 中有多少修飾符,它們的訪問許可權又是什麼
樓主問的是訪問控制符,只有訪問控制符才說訪問許可權
JAVA裡面 准確來講是有四個訪問控制符 默認、public、private、protected等四個
pravite 只能在同一個類中訪問
protected,可以在同一個類、同一個包、不同包中的子類訪問
默認:在同一個類、同一個包中訪問
public 同一個類,同一個包、不同包中的子類、不同包中的非子類
不知道樓主問的是不是這,如果不是可以再留言
⑶ 什麼是許可權用戶訪問資料庫有哪些許可權
許可權 是指為了保證職責的有效履行,任職者必須具備的,對某事項進行決策的范圍和程度。它常常用「具有批准……事項的許可權」來進行表達。例如,具有批准預算外5000元以內的禮品費支出的許可權。
只有在需要讓某些登錄用戶具有不同的訪問許可權時,該構造塊才是必需的。如果您只是要求用戶登錄,則不需要存儲訪問許可權。
如果您需要讓某些登錄用戶具有不同的訪問許可權,請確保用戶資料庫表格包含一個特定的列,該列指定每個用戶的訪問許可權(「來賓」、「用戶」、「管理員」等)。每個用戶的訪問許可權應該由站點管理員在資料庫中輸入。
在大多數資料庫應用程序中,每當新建一個記錄時,可以將一個列設置為默認值。將該默認值設置為站點上最常用的訪問許可權(例如「來賓」);然後手動更改例外的情況(例如,將「來賓」更改為「管理員」)。用戶現在即可訪問所有管理員頁。
確保資料庫中的每個用戶都具有單一的訪問許可權(例如「來賓」或「管理員」),而不是多項許可權(例如「用戶、管理員」)。如果要為您的頁設置多項訪問許可權(例如,所有來賓和管理員都可以查看該頁),則在頁級別(而不是在資料庫級別)設置這些許可權。
⑷ 資料庫的訪問許可權都有什麼
怎樣允許他人查看或執行查詢,但不能更改數據或查詢設計?
答:在安全工作組里,可以指定他人查看查詢返回數據的許可權。如果是操作查詢,還可以允許他們執行查詢,即使限制他們不得查看查詢的基表或基礎查詢。
1、在「設計」視圖中打開查詢。
2、在查詢「設計」視圖中單擊設計網格與欄位列表外的任何地方,以選定查詢。
3、單擊工具欄上的「屬性」按鈕 ,以顯示查詢的屬性表。
4、將「執行許可權」屬性設置為「所有者的」。
設置了此屬性後,應出現以下情形:
所有用戶都具有查詢所有者的查看或執行查詢許可權。
只有查詢所有者才能保存更改過的查詢。
只有查詢所有者才能更改查詢的所有權。
注釋 也可以設置所有新查詢的默認許可權。請在「工具」菜單上單擊「選項」,再單擊「表/查詢」選項卡,然後單擊想要使用的「執行許可權」選項。
問:怎樣定義用戶級安全?
答:
1、加入一個安全工作組或新建一個工作組信息文件。
要點 要完全確保資料庫的安全,請不要使用安裝 Microsoft Access
時創建的工作組信息文件所定義的默認工作組。而應該確保定義所加入的工作組的工作組信息文件是使用唯一的工作組 ID (WID) 創建的,否則應該創建一個新的工作組。
2、激活「登錄」對話框。
操作方法:啟動 Microsoft Access ,打開資料庫,
單擊「工具」菜單「安全」子菜單中的「用戶與組帳號」命令,單擊「用戶」選項卡,確保在「名稱」框中預定義的「管理員」用戶帳號呈高亮度顯示,單擊「更改登錄密碼」選項卡,單擊「新密碼」框,然後鍵入新密碼。不要在「舊密碼」框中輸入任何內容,
在「驗證」框中再次鍵入密碼進行確認,然後單擊「確定」按鈕。退出ACCESS並重新啟動ACCESS,就會出現「登錄」對話框。
3、創建管理員的用戶帳號。
操作方法:
1)打開工作組管理器,按下「聯接。。。」按鈕,選擇 使用在第1 步驟中創建的安全工作組信息文件,退出管理器,啟動 Microsoft Access。
要點 如果要確保資料庫是完全安全的,請不要使用安裝 Microsoft Access
時創建的工作組信息文件中定義的默認工作組,並確保定義所用工作組的工作組信息文件是以唯一的工作組 ID (WID) 創建的,否則就應該重新創建一個工作組信息文件。
2)選擇「工具」菜單「安全」子菜單中的「用戶與組帳號」命令,單擊「用戶」選項卡上的「新建」按鈕, 在「新用戶/組」對話框中,鍵入管理員帳號名稱和個人 ID
(PID),然後單擊「確定」按鈕新建帳號。
警告 一定要記住正確的帳號名和 PID,包括字母的大小寫,並其將其放在安全的地方。如果要重新創建帳號,必須提供其名稱和 PID。遺忘或丟失了帳號名和 PID
將無法恢復。
3)在「可用的組」框中,單擊「管理員組」,然後單擊「添加」按鈕。Microsoft Access
將把新的管理員帳號添加到管理員組並在「隸屬於」框中顯示「管理員組」。
4)單擊「確定」按鈕新建管理員帳號。
4、退出 Microsoft Access 並以新建的管理員身份登錄。
5、刪除管理員組中的管理員帳號。
操作方法:選擇「工具」菜單「安全」子菜單中的「用戶與組帳號」命令,在「用戶」選項卡上的「名稱」框中輸入要移去的用戶。在「隸屬於」框中,選擇要「管理員組」的組,然後單擊「刪除」按鈕。
6、打開要設置安全的資料庫。
7、單擊「工具」菜單「安全」子菜單中的「用戶級安全性向導」命令。
8、根據向導對話框中的指示完成各個步驟。 ]
「用戶級安全性向導」將創建一個新的資料庫,並將原有資料庫中所有對象的副本導出到新的資料庫中,然後通過取消用戶組對新資料庫對象的所有許可權,為向導第一個對話框中的選定對象類型設置安全,然後加密新資料庫。原有資料庫沒有進行任何更改。表之間的關系和所有的鏈接表在新的資料庫中都將重建。
現在,只有在步驟 1
中加入的工作組管理員組成員可以訪問新資料庫中設置了安全的對象。「用戶」組則不具備對這些對象的許可權。要限制用戶和/或組對這些對象的訪問必須為其設置許可權。
另外,你可以定義不同的試圖,這樣就給不同的人,不同的信息表示了