打造安全的WEB服务器 系统帐户权限设置详解
      随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说:NO!
　　要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000
/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。
　　DOS跟WinNT的权限的分别
　　DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。
　　Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
　　Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。
　　Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。
　　Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。
　　Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。
　　Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。
　　其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。
权限的权力大小分析
　　权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作

　　我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。
　　不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。
　　因此强烈建议将此帐户设置为使用强密码。永远也不可以从Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。
　　小帮助:何谓强密码?就是字母与数字、大小互相组合的大于8位的复杂密码，但这也不完全防得住众多的黑客，只是一定程度上较为难破解。
　　我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
　　我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。
　　“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。
　　“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。
　　一台简单服务器的设置实例操作:
　　下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序;D盘为软件卷，该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷，网站程序都在该卷下的WWW目录中;F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。
　　这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。
　　当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。
　　好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。
　　细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。
　　一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了，权限设置还有必要吗?”当然有!智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。
深入了解权限背后的意义
　　经过上面的讲解以后，你一定对权限有了一个初步了了解了吧?想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性 、优先性、交叉性的。
　　继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。
　　累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即:“只读”+“完全控制”=“完全控制”。
　　优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。
　　交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。
　　权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议:
　　1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。
　　2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。
　　3.尽量不要把各种软件安装在默认的路径下
　　4.在英文水平不是问题的情况下，尽量安装英文版操作系统。
　　5.切忌在服务器上乱装软件或不必要的服务。
　　6.牢记:没有永远安全的系统，经常更新你的知识。

#1  计算机密码的选择与管理技巧

你是否曾经发现自己的邮箱出了奇怪的问题？你的QQ号码是不是莫名其妙地被盗用过？原因是什么呢？最主要原因的可能就是你的口令选择和保管有问题。

　　一、口令及其重要性

　　什么是口令？口令也就是常说的密码，英文名字是Password。在计算机领域尤其是在网络里面，口令可以说是你的钥匙。具体来说口令是让计算机确认你的一种简单方法。日常生活中我们能够根据容貌、声音和笔迹来认出一个人，但是计算机看不到我们、也听不到，至少大部分的计算机是这样的，所以就要口令来帮忙，口令就是计算机和你之间的一个共同秘密。计算机知道了你的用户名，但是它还不能确定就是你。你要提供口令向计算机证明这就是你。如果你的口令被别的人得到了，就好像你所有的钥匙都给了那个人，那后果是不堪设想的。不过，大家不要急，接着往下看，您将会告诉该怎么做。

　　二、不合适的口令

　　我不知道你的口令是什么样的形式，这里是常见的几类不合适的口令：

　　（1）使用用户名本身，如：用户名是Lizhigang，口令还是lizhigang；

　　（2）用户姓名的各种组合变化，比如用户名是Li zhi gang，他的组合是Li_zhgang、Lzhg、lzg等，或者还会附加上常用数字和出生日期，如lzg80、lzg1980、lzg888等等；

　　（3）常用数字，一般是：0、1、123、12345、888、168等；

　　（4）常用英文单词，特别是计算机常用词或其简单变化，（例如“ qwerty”或“abcdef”）等等可以在词典中查到的单词；

　　（5）指明个人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、电话号码、身份证号码、工作证号码、汽车牌号、汽车执照号、居住的街道名称等）；

　　（6）与要替换的口令相似的新口令；

　　（7）被作为口令例子公布的口令。

　　另外我还见过使用自己电脑的品牌用作口令的，有时候就是显示器的品牌。这些口令是大量应用的，其实这些口令都是很不安全的，不要以为没有人会想得到。这些口令即使是一般人猜几次也能猜出来。至于那些稍微复杂的口令可以使用穷举法来破解，具体说就是利用口令字典，里面包含了可能的口令，把你的名字、电话、英文字典里面的单词都放在里面，然后逐个地去实验。

　　三、绕开口令字典

　　如果你的口令被包含在口令字典中，而且有人真想破解的话，那么被破解只是一个时间问题。一般口令字典由如下的四类内容组成：

　　（1）电话号码

　　包括家庭电话办公电话和移动电话或寻呼机，根据所在地情况选择号码宽度或者加上区号；

　　（2）出生日期

　　分月日、年月、年月日三种，并可选择二位或四位年份。现在上网用户的出生年份集中在1960-1980，开户者的年份范围更小，一般是1960-1975。这样字典就会更小，缩短破解时间；

　　（3）姓名字母

　　分为姓名辅音的组合（2-3位）、中文姓或英文名、中文姓+名、中文姓+ 名字辅音、中文姓+英文名，根据使用频率来进行组合：

　　中文姓氏：

　　李、（黎）、王、张、刘、陈、杨、赵、黄、周、吴、徐、孙、胡、朱、高、何、林、郭、马、罗、梁、宋、郑、谢、韩、唐、冯、于、董、萧、程、曹、袁、邓、许、傅、沈、等等。

　　英文名字：

　　andy、alan、bobcharles,david、frank、george、henry、john、king、lewis、louis、lee、mark、michael、paul、peter、catty、richard、steve、helen、robert、jack、sam、tom、等等

　　除此之外，有时候还加上固定前缀、常用数字和出生日期，姓名可能换位，或者中间分别插入“-”、“_”或“.” 三个常用分隔符。

　　（4）英文、数字

　　包含一个内含5万多词汇的英文词典文件english.txt，另外还有常用数字，也可以设定数字范围后生成新的数字词典。

　　在生成词典文件中，设定了词条的大小写格式和词典宽度范围，常用用户名是3-6个字符，常用口令是3-8个字符。可见常用的不合适的口令几乎都包含在了这个词典中。

　　而且现在的口令字典越来越大，而且现在计算机的运算速度是相当快的，如果你的口令不幸很简单的话，很快就可以被找出来。
　四、选择保险的口令

　　看了上面的内容，你是否感觉选择口令里面也是大有学问啊？那怎样才能找到合适的密码呢？理论上最安全的口令是完全随机地由字母（包括大、小写）、数字、标点符号和特殊字符组合而成的。口令里面不应该包含你的某些容易让人获得的信息，也不应该是那些太常见的字词，而且长度不能太短。现在很多的场合都要求密码不能低于五位了。

　　一个好的口令应该有如下特点：

　　（1）至少有6个字符长度；

　　（2）最好包含有非字母字符，包括数字和特殊字符，如～ ! @ $ % ^ & * （ ） _ - + ={ } [ ] 　 \ ： ； ' < > , . ? / 和空格；

　　（3）必须容易记住而不必写下来；

　　（4）不用看键盘而能迅速键入，使偷看的人不能识别出键入的字符。

　　五、怎样保管口令

　　选择好了口令还要注意保管方法。有人把自家的钥匙放在门框或者窗台上，以为只有自己知道，其实很多小偷都会去这些地方找钥匙。保管口令也是这样的，最好的办法是把它记在脑子里，而不是放在一个具体的位置。做为一个通用准则，口令不应该写下来。写在在记事本、留言条中的口令都可能会被别人发现。

　　为合适的口令要求不能太短，又不是常见的单词名字等。保密性好了，随之而来的问题是不好记忆。如果实在记不住，可以写下来，但要注意以下几点：

　　（1）别把用户名和口令写在一起；

　　（2）以能记住的方式对口令进行改动，增加额外字符，改变字符顺序或截短；

　　（3）如果必须要记录下口令，永远别把口令在电脑前能够一眼看到的地方，特别是显示器上；

　　（4）写下口令的纸条要折叠起来，并放在保险柜或更安全的地方；

　　结束语

　　好了，读到这里你应该对怎样选择口令和保管口令有了新的认识吧。希望本文能够解决你的一些疑问，对你今后使用计算机会有所帮助。如果确实发现了自己的口令存在问题，那么现在就修改它，这就算是本文最后补充的一条规则吧。