⑴ 如何為sql Server2008添加登錄賬戶並配置許可權
首先打開資料庫,並以windows身份驗證模式扥牢固資料庫,
然後在左側的【對象資源管理器中】展開【安全性】節點,滑鼠右鍵點擊節點中的【登錄名】,在彈出的菜單中單擊【新建登錄名】,彈出如圖對話框:
然後步驟如下:
1. 在登錄名右側的文本框中輸入新建的管理員賬號名稱;
2. 一對單選按鈕組中,選擇Sql Server 身份驗證,並輸入登錄密碼;
3. 勾選強制實施密碼策略復選框;(密碼策略一般是指加強用戶登錄的密碼方式例如:可能需要至少8個以上字元,或在嘗試若干登陸失敗後該賬號即被禁止登陸等等!如果覺得麻煩可以不必勾選!)
4. 不勾選強制密碼過期;(如果勾選該項的話,則每一次登陸後系統都會提示用戶必須更改現有密碼,如非特殊需求,不建議勾選此項!)
然後繼續點選左側選項頁下的【伺服器角色】,
在右側的伺服器角色面板中,勾選 public 和 sysadmin 兩項!
注意:如果建立的賬號不需要具備系統管理員的許可權時,則不要勾選 sysadmin 項!
繼續點選左側選項頁中的【用戶映射】,
在右側的面板中勾選該賬號可以進行管理操作的資料庫名稱!並在該面板下面的【資料庫角色成員身份】中勾選 db_owner 項!
注意:如果給一個無系統管理許可權的賬號指定管理一個資料庫時,則一定要勾選 db_owner 項!否則該賬號則無法看到該資料庫中的任何數據表!
選後點選【選擇頁】下的【狀態】選項進行設置,
至此,一個新的資料庫管理員已創建完成!
其實,對於專業的DBA管理者來說,T-Sql語句的操作要比這種圖形界面闖建賬號來得更快更靈活!
重要提示(報錯解決方法):
1,賬戶添加後要重啟更新,這里的重啟要右鍵點擊【資料庫】,選擇【重新啟動】。
2,要記得開啟【SQL Server和windows身份驗證】雙重模式。
⑵ 怎樣為SQL資料庫設置一個sa賬戶
這個賬戶是內置的,你沒有創建沒關系。
先使用windows方式登錄到資料庫,然後去用戶里找,裡面有一個sa的用戶,用戶的屬性里可以修改sa的密碼並且啟用該用戶登錄。然後在整個資料庫的屬性中啟用windows和sql server兩種登錄方式,最後,重啟一下sql server的伺服器就可以用sa登錄了。不清楚的來團隊群里問。
⑶ 安裝sql server 2008 時伺服器配置中服務賬戶怎麼選擇
安裝sql server 2008 時伺服器配置中服務賬戶怎麼選擇的方法。
如下參考:
1.為「SQLServer代理」選擇系統,為「SQLServer資料庫引擎」選擇網路服務,為「SQLServeranalysis服務」選擇網路服務。
⑷ xp系統下怎麼安裝sql資料庫
如果安裝SQL Server 2000 的話要選擇個人版
如果安裝SQL Server 2005 的話要選擇開發版
只有出現掛起的現像才需要修改注冊表
SQL Server安裝文件掛起錯誤解決辦法
剛開始使用SQL Server 2000,就給了我一個下馬威。不過最終還是解決了。具體情況和解決方法:
安裝SQL Server 2000的操作系統是Windows 2000 Profession Edition,安裝簡體中文標准版。會提示該版本的操作系統不能安裝伺服器組件,只能安裝SQL Server 2000個人版。於是退出,選擇安裝個人版。卻出現了新的錯誤:
「以前的某個程序安裝已在安裝計算機上創建掛起的文件操作。運行安裝程序之前必須重新啟動計算機。」
接著按照提示重啟計算機,再安裝,仍然出現同樣的提示。再網上查找相關資料,得知是安裝程序在先前的安裝過程中在系統注冊表留下某些信息,導致不能安裝。於是經過多次試,發現刪除掉如下鍵值信息即可安裝:
在運行窗口輸入regedit,打開注冊表編輯器,在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager中找到PendingFileRenameOperations,刪除該鍵值,關閉注冊表編輯器。重新安裝SQL Server 2000,哈哈,久違的安裝界面終於浮出水面了。
這個鍵值是安裝程序暫掛項目,只要找到對應的應用程序清除掉就行了。
⑸ 如何恢復XP刪除SQL賬戶
我的電腦右鍵→管理→本地用戶和組→使用者→右鍵新用戶→添加SQLDebugger→確定,就可以了。
⑹ 怎樣在windowsxp系統中安裝SQL資料庫
winxp不是伺服器操作系統,只能安裝sqlserver的網路客戶端和個人版,不能安裝server版。
要安裝server版的sqlserver,需要安裝server版的windows系統,比如windows server 2003、window 2000 server等操作系統。
這是微軟公司為了推銷自己的軟體作的一種限制。如果你只想一個人用就裝個人版的,如果想要建伺服器就只能重新安裝系統了。或者換一個非微軟的資料庫如oracle等就沒有這樣的限制。
⑺ sql2008安裝時,怎麼選擇服務賬戶
NT Authority\System ,系統內置賬號,對本地系統擁有完全控制許可權;在工作組模式下,該賬戶不能網路資源;通常用於服務的運行,不需要密碼。
NT Authority\Network Service ,系統內置賬號,比 SYSTEM 賬戶許可權要小,可以訪問有限的本地系統資源;在工作組模式下,該賬戶能夠以計算機的憑據來訪問網路資源,默認為遠程伺服器的 EVERYONE 和 AUTHENTICATED USER 組的身份;通常用於服務運行,不需要密碼。
NT Authority\Local Service ,系統內置賬號,比 NETWORK SERVICE 賬戶許可權要小,可以訪問有限的本地系統資源;在工作組模式下,該賬戶只能以匿名方式訪問網路資源;通常用於服務的運行,不需要密碼。
⑻ 我的是windows xp系統, 安裝完sql server 2000個人版後,啟動的時候需要選擇登錄用戶了。
新建一個文本文件,復制下面的文字:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="Administrator"
粘貼進文本文件,保存後,修改文件擴展名「.txt」為「.reg」,
雙擊運行,確定 注入注冊表信息。
(如果你看不到文件的擴展名,可以打開任意文件夾,點工具,文件夾選項,查看,去掉隱藏已知文件類型擴展名錢的鉤,確定。)
⑼ sql server 賬戶怎麼設置
右圖你的設置是完全錯誤的,SQL Server 2008 R2 安裝時,伺服器的配置中各服務的賬戶名是有規定的,必須點擊賬戶名的下拉框選擇,記得好像都是"NT AUTHO....." 什麼的。不是你現在填寫的 「sql.......」什麼的,而且好像安裝時沒有密碼,反正我安裝多少次,都是一次安裝成功的。下圖是安裝在W7系統時的配置,供參考。
⑽ 求教高手XP中帳戶許可權設置問題
我在望上找到一點資料,可能對你有用,看一下.
=======
windows下許可權設置詳解
隨著動網論壇的廣泛應用和動網上傳漏洞的被發現以及sql注入式攻擊越來越多的被使用,webshell讓防火牆形同虛設,一台即使打了所有微軟補丁、只讓80埠對外開放的web伺服器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實,只要你弄明白了ntfs系統下的許可權設置問題,我們可以對crackers們說:no!
要打造一台安全的web伺服器,那麼這台伺服器就一定要使用ntfs和windows nt/2000/2003。眾所周知,windows是一個支持多用戶、多任務的操作系統,這是許可權設置的基礎,一切許可權設置都是基於用戶和進程而言的,不同的用戶在訪問這台計算機時,將會有不同的許可權。dos是個單任務、單用戶的操作系統。但是我們能說dos沒有許可權嗎?不能!當我們打開一台裝有dos操作系統的計算機的時候,我們就擁有了這個操作系統的管理員許可權,而且,這個許可權無處不在。所以,我們只能說dos不支持許可權的設置,不能說它沒有許可權。隨著人們安全意識的提高,許可權設置隨著ntfs的發布誕生了。
windows nt里,用戶被分成許多組,組和組之間都有不同的許可權,當然,一個組的用戶和用戶之間也可以有不同的許可權。下面我們來談談nt中常見的用戶組。
administrators,管理員組,默認情況下,administrators中的用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認許可權允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該組的成員。
power users,高級用戶組,power users 可以執行除了為 administrators 組保留的任務外的其他任何操作系統任務。分配給 power users 組的默認許可權允許 power users 組的成員修改整個計算機的設置。但power users 不具有將自己添加到 administrators 組的許可權。在許可權設置中,這個組的許可權是僅次於administrators的。
users:普通用戶組,這個組的用戶無法進行有意或無意的改動。因此,用戶可以運行經過驗證的應用程序,但不可以運行大多數舊版應用程序。users 組是最安全的組,因為分配給該組的默認許可權不允許成員修改操作系統的設置或用戶資料。users 組提供了一個最安全的程序運行環境。在經過 ntfs 格式化的卷上,默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統注冊表設置、操作系統文件或程序文件。users 可以關閉工作站,但不能關閉伺服器。users 可以創建本地組,但只能修改自己創建的本地組。
guests:來賓組,按默認值,來賓跟普通users的成員有同等訪問權,但來賓帳戶的限制更多。
everyone:顧名思義,所有的用戶,這個計算機上的所有用戶都屬於這個組。
其實還有一個組也很常見,它擁有和administrators一樣、甚至比其還高的許可權,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是system組。系統和系統級的服務正常運行所需要的許可權都是靠它賦予的。由於該組只有這一個用戶system,也許把該組歸為用戶的行列更為貼切。
許可權是有高低之分的,有高許可權的用戶可以對低許可權的用戶進行操作,但除了administrators之外,其他組的用戶不能訪問 ntfs 卷上的其他用戶資料,除非他們獲得了這些用戶的授權。而低許可權的用戶無法對高許可權的用戶進行任何操作。
我們平常使用計算機的過程當中不會感覺到有許可權在阻撓你去做某件事情,這是因為我們在使用計算機的時候都用的是administrators中的用戶登陸的。這樣有利也有弊,利當然是你能去做你想做的任何一件事情而不會遇到許可權的限制。弊就是以 administrators 組成員的身份運行計算機將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 internet 站點或打開電子郵件附件的簡單行動都可能破壞系統。不熟悉的 internet 站點或電子郵件附件可能有特洛伊木馬代碼,這些代碼可以下載到系統並被執行。如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬碟,造成不可估量的損失,所以在沒有必要的情況下,最好不用administrators中的用戶登陸。administrators中有一個在系統安裝時就創建的默認用戶----administrator,administrator 帳戶具有對伺服器的完全控制許可權,並可以根據需要向用戶指派用戶權利和訪問控制許可權。因此強烈建議將此帳戶設置為使用強密碼。永遠也不可以從 administrators 組刪除 administrator 帳戶,但可以重命名或禁用該帳戶。由於大家都知道「管理員」存在於許多版本的 windows 上,所以重命名或禁用此帳戶將使惡意用戶嘗試並訪問該帳戶變得更為困難。對於一個好的伺服器管理員來說,他們通常都會重命名或禁用此帳戶。guests用戶組下,也有一個默認用戶----guest,但是在默認情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。我們可以通過「控制面板」--「管理工具」--「計算機管理」--「用戶和用戶組」來查看用戶組及該組下的用戶。
我們用滑鼠右鍵單擊一個ntfs卷或ntfs卷下的一個目錄,選擇「屬性」--「安全」就可以對一個卷,或者一個卷下面的目錄進行許可權設置,此時我們會看到以下七種許可權:完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、和特別的許可權。「完全控制」就是對此卷或目錄擁有不受限制的完全訪問。地位就像administrators在所有組中的地位一樣。選中了「完全控制」,下面的五項屬性將被自動被選中。「修改」則像power users,選中了「修改」,下面的四項屬性將被自動被選中。下面的任何一項沒有被選中時,「修改」條件將不再成立。「讀取和運行」就是允許讀取和運行在這個卷或目錄下的任何文件,「列出文件夾目錄」和「讀取」是「讀取和運行」的必要條件。「列出文件夾目錄」是指只能瀏覽該卷或目錄下的子目錄,不能讀取,也不能運行。「讀取」是能夠讀取該卷或目錄下的數據。「寫入」就是能往該卷或目錄下寫入數據。而「特別」則是對以上的六種許可權進行了細分。讀者可以自行對「特別」進行更深的研究,鄙人在此就不過多贅述了。
下面我們對一台剛剛安裝好操作系統和服務軟體的web伺服器系統和其許可權進行全面的刨析。伺服器採用windows 2000 server版,安裝好了sp4及各種補丁。web服務軟體則是用了windows 2000自帶的iis 5.0,刪除了一切不必要的映射。整個硬碟分為四個ntfs卷,c盤為系統卷,只安裝了系統和驅動程序;d盤為軟體卷,該伺服器上所有安裝的軟體都在d盤中;e盤是web程序卷,網站程序都在該卷下的www目錄中;f盤是網站數據卷,網站系統調用的所有數據都存放在該卷的wwwdatabase目錄下。這樣的分類還算是比較符合一台安全伺服器的標准了。希望各個新手管理員能合理給你的伺服器數據進行分類,這樣不光是查找起來方便,更重要的是這樣大大的增強了伺服器的安全性,因為我們可以根據需要給每個卷或者每個目錄都設置不同的許可權,一旦發生了網路安全事故,也可以把損失降到最低。當然,也可以把網站的數據分布在不同的伺服器上,使之成為一個伺服器群,每個伺服器都擁有不同的用戶名和密碼並提供不同的服務,這樣做的安全性更高。不過願意這樣做的人都有一個特點----有錢:)。好了,言歸正傳,該伺服器的資料庫為ms-sql,ms-sql的服務軟體sql2000安裝在d:\ms-sqlserver2k目錄下,給sa賬戶設置好了足夠強度的密碼,安裝好了sp3補丁。為了方便網頁製作員對網頁進行管理,該網站還開通了ftp服務,ftp服務軟體使用的是serv-u 5.1.0.0,安裝在d:\ftpservice\serv-u目錄下。殺毒軟體和防火牆用的分別是norton antivirus和blackice,路徑分別為d:\nortonav和d:\firewall\blackice,病毒庫已經升級到最新,防火牆規則庫定義只有80埠和21埠對外開放。網站的內容是採用動網7.0的論壇,網站程序在e:\www\bbs下。細心的讀者可能已經注意到了,安裝這些服務軟體的路徑我都沒有採用默認的路徑或者是僅僅更改盤符的默認路徑,這也是安全上的需要,因為一個黑客如果通過某些途徑進入了你的伺服器,但並沒有獲得管理員許可權,他首先做的事情將是查看你開放了哪些服務以及安裝了哪些軟體,因為他需要通過這些來提升他的許可權。一個難以猜解的路徑加上好的許可權設置將把他阻擋在外。相信經過這樣配置的web伺服器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了:「這根本沒用到許可權設置嘛!我把其他都安全工作都做好了,許可權設置還有必要嗎?」當然有!智者千慮還必有一失呢,就算你現在已經把系統安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發現。許可權將是你的最後一道防線!那我們現在就來對這台沒有經過任何許可權設置,全部採用windows默認許可權的伺服器進行一次模擬攻擊,看看其是否真的固若金湯。
假設伺服器外網域名為[imga]http://www.gdjyj.com.cn/jyjbbs/pic/url.gif[/imga]http://www.webserver.com,用掃描軟體對其進行掃描後發現開放www和ftp服務,並發現其服務軟體使用的是iis 5.0和serv-u 5.1,用一些針對他們的溢出工具後發現無效,遂放棄直接遠程溢出的想法。打開網站頁面,發現使用的是動網的論壇系統,於是在其域名後面加個/upfile.asp,發現有文件上傳漏洞,便抓包,把修改過的asp木馬用nc提交,提示上傳成功,成功得到webshell,打開剛剛上傳的asp木馬,發現有ms-sql、norton antivirus和blackice在運行,判斷是防火牆上做了限制,把sql服務埠屏蔽了。通過asp木馬查看到了norton antivirus和blackice的pid,又通過asp木馬上傳了一個能殺掉進程的文件,運行後殺掉了norton antivirus和blackice。再掃描,發現1433埠開放了,到此,便有很多種途徑獲得管理員許可權了,可以查看網站目錄下的conn.asp得到sql的用戶名密碼,再登陸進sql執行添加用戶,提管理員許可權。也可以抓serv-u下的servudaemon.ini修改後上傳,得到系統管理員許可權。還可以傳本地溢出serv-u的工具直接添加用戶到administrators等等。大家可以看到,一旦黑客找到了切入點,在沒有許可權限制的情況下,黑客將一帆風順的取得管理員許可權。
那我們現在就來看看windows 2000的默認許可權設置到底是怎樣的。對於各個卷的根目錄,默認給了everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統卷下有三個目錄比較特殊,系統默認給了他們有限制的許可權,這三個目錄是documents and settings、program files和winnt。對於documents and settings,默認的許可權是這樣分配的:administrators擁有完全控制權;everyone擁有讀&運,列和讀許可權;power users擁有讀&運,列和讀許可權;system同administrators;users擁有讀&運,列和讀許可權。對於program files,administrators擁有完全控制權;creator owner擁有特殊許可權;power users有完全控制權;system同administrators;terminal server users擁有完全控制權,users有讀&運,列和讀許可權。對於winnt,administrators擁有完全控制權;creator owner擁有特殊許可權;power users有完全控制權;system同administrators;users有讀&運,列和讀許可權。而非系統卷下的所有目錄都將繼承其父目錄的許可權,也就是everyone組完全控制權!
現在大家知道為什麼我們剛剛在測試的時候能一帆風順的取得管理員許可權了吧?許可權設置的太低了!一個人在訪問網站的時候,將被自動賦予iusr用戶,它是隸屬於guest組的。本來許可權不高,但是系統默認給的everyone組完全控制權卻讓它「身價倍增」,到最後能得到administrators了。那麼,怎樣設置許可權給這台web伺服器才算是安全的呢?大家要牢記一句話:「最少的服務+最小的許可權=最大的安全」對於服務,不必要的話一定不要裝,要知道服務的運行是system級的哦,對於許可權,本著夠用就好的原則分配就是了。對於web伺服器,就拿剛剛那台伺服器來說,我是這樣設置許可權的,大家可以參考一下:各個卷的根目錄、documents and settings以及program files,只給administrator完全控制權,或者乾脆直接把program files給刪除掉;給系統卷的根目錄多加一個everyone的讀、寫權;給e:\www目錄,也就是網站目錄讀、寫權。最後,還要把cmd.exe這個文件給挖出來,只給administrator完全控制權。經過這樣的設置後,再想通過我剛剛的方法入侵這台伺服器就是不可能完成的任務了。可能這時候又有讀者會問:「為什麼要給系統卷的根目錄一個everyone的讀、寫權?網站中的asp文件運行不需要運行許可權嗎?」問的好,有深度。是這樣的,系統卷如果不給everyone的讀、寫權的話,啟動計算機的時候,計算機會報錯,而且會提示虛擬內存不足。當然這也有個前提----虛擬內存是分配在系統盤的,如果把虛擬內存分配在其他卷上,那你就要給那個卷everyone的讀、寫權。asp文件的運行方式是在伺服器上執行,只把執行的結果傳回最終用戶的瀏覽器,這沒錯,但asp文件不是系統意義上的可執行文件,它是由web服務的提供者----iis來解釋執行的,所以它的執行並不需要運行的許可權。
經過上面的講解以後,你一定對許可權有了一個初步了了解了吧?想更深入的了解許可權,那麼許可權的一些特性你就不能不知道了,許可權是具有繼承性、累加性 、優先性、交叉性的。
繼承性是說下級的目錄在沒有經過重新設置之前,是擁有上一級目錄許可權設置的。這里還有一種情況要說明一下,在分區內復制目錄或文件的時候,復制過去的目錄和文件將擁有它現在所處位置的上一級目錄許可權設置。但在分區內移動目錄或文件的時候,移動過去的目錄和文件將擁有它原先的許可權設置。
累加是說如一個組group1中有兩個用戶user1、user2,他們同時對某文件或目錄的訪問許可權分別為「讀取」和「寫入」,那麼組group1對該文件或目錄的訪問許可權就為user1和user2的訪問許可權之和,實際上是取其最大的那個,即「讀取」+「寫入」=「寫入」。 又如一個用戶user1同屬於組group1和group2,而group1對某一文件或目錄的訪問許可權為「只讀」型的,而group2對這一文件或文件夾的訪問許可權為「完全控制」型的,則用戶user1對該文件或文件夾的訪問許可權為兩個組許可權累加所得,即:「只讀」+「完全控制」=「完全控制」。
優先性,許可權的這一特性又包含兩種子特性,其一是文件的訪問許可權優先目錄的許可權,也就是說文件許可權可以越過目錄的許可權,不顧上一級文件夾的設置。另一特性就是「拒絕」許可權優先其它許可權,也就是說「拒絕」許可權可以越過其它所有其它許可權,一旦選擇了「拒絕」許可權,則其它許可權也就不能取任何作用,相當於沒有設置。
交叉性是指當同一文件夾在為某一用戶設置了共享許可權的同時又為用戶設置了該文件夾的訪問許可權,且所設許可權不一致時,它的取捨原則是取兩個許可權的交集,也即最嚴格、最小的那種許可權。如目錄a為用戶user1設置的共享許可權為「只讀」,同時目錄a為用戶user1設置的訪問許可權為「完全控制」,那用戶user1的最終訪問許可權為「只讀」。
許可權設置的問題我就說到這了,在最後我還想給各位讀者提醒一下,許可權的設置必須在ntfs分區中才能實現的,fat32是不支持許可權設置的。同時還想給各位管理員們一些建議:
1.養成良好的習慣,給伺服器硬碟分區的時候分類明確些,在不使用伺服器的時候將伺服器鎖定,經常更新各種補丁和升級殺毒軟體。
2.設置足夠強度的密碼,這是老生常談了,但總有管理員設置弱密碼甚至空密碼。
3.盡量不要把各種軟體安裝在默認的路徑下
4.在英文水平不是問題的情況下,盡量安裝英文版操作系統。
5.切忌在伺服器上亂裝軟體或不必要的服務。
6.牢記:沒有永遠安全的系統,經常更新你的知識。
一. 許可權的由來
遠方的某個山腳下,有一片被森林包圍的草原,草原邊上居住著一群以牧羊為生的牧民。草原邊緣的森林裡,生存著各種動物,包括野狼。
由於羊群是牧民們的主要生活來源,它們的價值便顯得特別珍貴,為了防止羊的跑失和野獸的襲擊,每戶牧民都用柵欄把自己的羊群圈了起來,只留下一道小門,以便每天傍晚供羊群外出到一定范圍的草原上活動,實現了一定規模的保護和管理效果。
最初,野狼只知道在森林裡逮兔子等野生動物生存,沒有發現遠處草原邊上的羊群,因此,在一段時間里實現了彼此和平相處,直到有一天,一隻為了追逐兔子而湊巧跑到了森林邊緣的狼,用它那靈敏的鼻子嗅到了遠處那隱隱約約的烤羊肉香味。
當晚,突然出現的狼群襲擊了草原上大部分牧民飼養的羊,它們完全無視牧民們修築的僅僅能攔住羊群的矮小柵欄,輕輕一躍便突破了這道防線……雖然聞訊而來的牧民們合作擊退了狼群,但是羊群已經遭到了一定的損失。
事後,牧民們明白了柵欄不是僅僅用來防止羊群逃脫的城牆,各戶牧民都在忙著加高加固了柵欄……
如今使用Windows 2000/XP等操作系統的用戶,或多或少都會聽說過「許可權」(Privilege)這個概念,但是真正理解它的家庭用戶,也許並不會太多,那麼,什麼是「許可權」呢?對於一般的用戶而言,我們可以把它理解為系統對用戶能夠執行的功能操作所設立的額外限制,用於進一步約束計算機用戶能操作的系統功能和內容訪問范圍,或者說,許可權是指某個特定的用戶具有特定的系統資源使用權力。
掌握了「Ring級別」概念的讀者也許會問,在如今盛行的80386保護模式中,處理器不是已經為指令執行做了一個「運行級別」的限制了嗎?而且我們也知道,面對用戶操作的Ring 3級別相對於系統內核運行的Ring 0級別來說,能直接處理的事務已經被大幅度縮減了,為什麼還要對運行在「許可權少得可憐」的Ring 3層次上的操作系統人機交互界面上另外建立起一套用於進一步限制用戶操作的「許可權」概念呢?這是因為,前者針對的是機器能執行的指令代碼許可權,而後者要針對的對象,是坐在計算機面前的用戶。
對計算機來說,系統執行的代碼可能會對它造成危害,因此處理器產生了Ring的概念,把「裸露在外」的一部分用於人機交互的操作界面限制起來,避免它一時頭腦發熱發出有害指令;而對於操作界面部分而言,用戶的每一步操作仍然有可能傷害到它自己和底層系統——盡管它自身已經被禁止執行許多有害代碼,但是一些不能禁止的功能卻依然在對這層安全體系作出威脅,例如格式化操作、刪除修改文件等,這些操作在計算機看來,只是「不嚴重」的磁碟文件處理功能,然而它忽略了一點,操作系統自身就是駐留在磁碟介質上的文件!因此,為了保護自己,操作系統需要在Ring 3籠子限制的操作界面基礎上,再產生一個專門用來限制用戶的柵欄,這就是現在我們要討論的許可權,它是為限制用戶而存在的,而且限制對每個用戶並不是一樣的,在這個思想的引導下,有些用戶能操作的范圍相對大些,有些只能操作屬於自己的文件,有些甚至什麼也不能做……
正因為如此,計算機用戶才有了分類:管理員、普通用戶、受限用戶、來賓等……
還記得古老的Windows 9x和MS-DOS嗎?它們僅僅擁有基本的Ring許可權保護(實模式的DOS甚至連Ring分級都沒有),在這個系統架構里,所有用戶的權力都是一樣的,任何人都是管理員,系統沒有為環境安全提供一點保障——它連實際有用的登錄界面都沒有提供,僅僅有個隨便按ESC都能正常進入系統並進行任何操作的「偽登錄」限制而已。對這樣的系統而言,不熟悉電腦的用戶經常一不小心就把系統毀掉了,而且病毒木馬自然也不會放過如此「松軟」的一塊蛋糕,在如今這個提倡信息安全的時代里,Windows 9x成了名副其實的雞肋系統,最終淡出人們的視線,取而代之的是由Windows NT家族發展而來的Windows 2000和Windows XP,此外還有近年來致力向桌面用戶發展的Linux系統等,它們才是能夠滿足這個安全危機時代里個人隱私和數據安全等要求的系統。
Win2000/XP系統是微軟Windows NT技術的產物,是基於伺服器安全環境思想來構建的純32位系統。NT技術沒有辜負微軟的開發,它穩定,安全,提供了比較完善的多用戶環境,最重要的是,它實現了系統許可權的指派,從而杜絕了由Win9x時代帶來的不安全操作習慣可能引發的大部分嚴重後果。
二. 許可權的指派
1.普通許可權
雖然Win2000/XP等系統提供了「許可權」的功能,但是這樣就又帶來一個新問題:許可權如何分配才是合理的?如果所有人擁有的許可權都一樣,那麼就等於所有人都沒有許可權的限制,那和使用Win9x有什麼區別?幸好,系統默認就為我們設置好了「許可權組」(Group),只需把用戶加進相應的組即可擁有由這個組賦予的操作許可權,這種做法就稱為許可權的指派。
默認情況下,系統為用戶分了6個組,並給每個組賦予不同的操作許可權,依次為:管理員組(Administrators)、高許可權用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件復制組(Replicator)、來賓用戶組(Guests),其中備份操作組和文件復制組為維護系統而設置,平時不會被使用。
系統默認的分組是依照一定的管理憑據指派許可權的,而不是胡亂產生,管理員組擁有大部分的計算機操作許可權(並不是全部),能夠隨意修改刪除所有文件和修改系統設置。再往下就是高許可權用戶組,這一部分用戶也能做大部分事情,但是不能修改系統設置,不能運行一些涉及系統管理的程序。普通用戶組則被系統拴在了自己的地盤里,不能處理其他用戶的文件和運行涉及管理的程序等。來賓用戶組的文件操作許可權和普通用戶組一樣,但是無法執行更多的程序。
這是系統給各個組指派的許可權說明,細心的用戶也許會發現,為什麼裡面描述的「不能處理其他用戶的文件」這一條規則並不成立呢,我可以訪問所有文件啊,只是不能對系統設置作出修改而已,難道是許可權設定自身存在問題?實際上,NT技術的一部分功能必須依賴於特有的「NTFS」(NT文件系統)分區才能實現,文件操作的許可權指派就是最敏感的一部分,而大部分家庭用戶的分區為FAT32格式,它並不支持NT技術的安全功能,因此在這樣的文件系統分區上,連來賓用戶都能隨意瀏覽修改系統管理員建立的文件(限制寫入操作的共享訪問除外),但這並不代表系統許可權不起作用,我們只要把分區改為NTFS即可。
2.特殊許可權
除了上面提到的6個默認許可權分組,系統還存在一些特殊許可權成員,這些成員是為了特殊用途而設置,分別是:SYSTEM(系統)、Everyone(所有人)、CREATOR OWNER(創建者)等,這些特殊成員不被任何內置用戶組吸納,屬於完全獨立出來的賬戶。(圖.特殊許可權成員)
前面我提到管理員分組的許可權時並沒有用「全部」來形容,秘密就在此,不要相信系統描述的「有不受限制的完全訪問權」,它不會傻到把自己完全交給人類,管理員分組同樣受到一定的限制,只是沒那麼明顯罷了,真正擁有「完全訪問權」的只有一個成員:SYSTEM。這個成員是系統產生的,真正擁有整台計算機管理許可權的賬戶,一般的操作是無法獲取與它等價的許可權的。
「所有人」許可權與普通用戶組許可權差不多,它的存在是為了讓用戶能訪問被標記為「公有」的文件,這也是一些程序正常運行需要的訪問許可權——任何人都能正常訪問被賦予「Everyone」許可權的文件,包括來賓組成員。
被標記為「創建者」許可權的文件只有建立文件的那個用戶才能訪問,做到了一定程度的隱私保護。
但是,所有的文件訪問許可權均可以被管理員組用戶和SYSTEM成員忽略,除非用戶使用了NTFS加密。
無論是普通許可權還是特殊許可權,它們都可以「疊加」使用,「疊加」就是指多個許可權共同使用,例如一個賬戶原本屬於Users組,而後我們把他加入Administrators組,那麼現在這個賬戶便同時擁有兩個許可權身份,而不是用管理員許可權去覆蓋原來身份。許可權疊加並不是沒有意義的,在一些需要特定身份訪問的場合,用戶只有為自己設置了指定的身份才能訪問,這個時候「疊加」的使用就能減輕一部分勞動量了。
3.NTFS與許可權
在前面我提到了NTFS文件系統,自己安裝過Win2000/XP的用戶應該會注意到安裝過程中出現的「轉換分區格式為NTFS」的選擇,那麼什麼是NTFS?
NTFS是一個特別為網路和磁碟配額、文件加密等管理安全特性設計的磁碟格式,只有使用NT技術的系統對它直接提供支持,也就是說,如果系統崩潰了,用戶將無法使用外面流行的普通光碟啟動工具修復系統,因此,是使用傳統的FAT32還是NTFS,一直是個倍受爭議的話題,但如果用戶要使用完全的系統許可權功能,或者要安裝作為伺服器使用,建議最好還是使用NTFS分區格式。
與FAT32分區相比,NTFS分區多了一個「安全」特性,在裡面,用戶可以進一步設置相關的文件訪問許可權,而且前面提到的相關用戶組指派的文件許可權也只有在NTFS格式分區上才能體現出來。例如,來賓組的用戶再也不能隨便訪問到NTFS格式分區的任意一個文件了,這樣可以減少系統遭受一般由網站伺服器帶來的入侵損失,因為IIS賬戶對系統的訪問許可權僅僅是來賓級別而已,如果入侵者不能提升許可權,那麼他這次的入侵可以算是白忙了。
使用NTFS分區的時候,用戶才會察覺到系統給管理員組用戶設定的限制:一些文件即使是管理員也無法訪問,因為它是SYSTEM成員建立的,並且設定了許可權。
但是NTFS系統會帶來一個眾所周知的安全隱患:NTFS支持一種被稱為「交換數據流」(AlternateDataStream,ADs)的存儲特性,原意是為了和Macintosh的HFS文件系統兼容而設計的,使用這種技術可以在一個文件資源里寫入相關數據(並不是寫入文件中),而且寫進去的數據可以使用很簡單的方法把它提取出來作為一個獨立文件讀取,甚至執行,這就給入侵者提供了一個可