computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 详解Win2000的安全设置(2)
发信站: 听涛站 (2001年09月23日00:33:02 星期天), 站内信件

3、文件和文件夹权限的设置
　　我们知道NT系统的安全性在本地网络中最主要还是可以自由设置各用户、文件和文
件夹的访问权限来保证的。为了控制好服务器上用户的权限，同时也为了预防以后可能
的入侵和溢出，必须安全有效地设置文件夹和文件的访问权限。NT的访问权限分为：读
取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹
和文件对所有用户（Everyone这个组）是完全控制的（Full Control），这根本不能满
足不同网络的权限设置需求，所以你还需要根据应用的需要进行重新设置。
　　要正确有效地设置好系统文件或文件夹的访问权限，必需注意NTFS文件夹和文件权
限有如下属性：
　　⑴、权限具有继承性
　　权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限
设置的，更明了地说就是如果一个用户对某一文件夹具有“读取”的权限，那这个用户
对这个文件夹的下级文件夹同样具有“读取”的权限，除非你打断这种继承关系，重新
设置。但要注意的是这仅是对静态的文件权限来讲，对于文件或文件夹的移动或复制，
其权限的继承性又如何呢？请看下文：
　　a、 在同一NTFS分区间复制或移动
　　在同一NTFS分区间复制到不同文件夹时，它的访问权限是和原文件或文件夹的访问
权限不一样。但在同一NTFS分区间移动一文件或文件夹其访问权限保持不变，继承原先
未移动前的访问的权限。
　　b、在不同NTFS分区间复制或移动
　　在不同NTFS分区间复制文件或文件夹访问权限会随之改变，复制的文件不是继承原
权限，而是继承目标（新）文件夹的访问权限。同样如果是在不同NTFS分区间移动文件
或文件夹则问权限随着移动而改变，也是继承移动后所在文件夹的权限。
　　c、从NTFS分区复制或移动到FAT格式分区
　　因为FAT格式的文件或文件夹根本没有权限设置项，所以原来文件或文件夹也就再没
有访问权限了，
　　⑵、权限具有累加性
　　权限的累加性具体双表现在以下几个方面：
　　a、工作组权限由组中各用户权限累加决定
　　如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或文件夹的访问权
限分别为“只读”型的和“写入”型的，那么组GROUP1对该文件或文件夹的访问权限就
为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“只读”+“写入”=“
写入”。
　　b、用户权限由所属组权限的累决定
　　如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或文件夹的访问权
限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则
用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全
控制”=“完全控制”。
　　⑶、权限的优先性
　　权限的这一特性又包含两种子特性，其一是文件的访问权限优先文件夹的权限，也
就是说文件权限可以越过文件夹的权限，不顾上一级文件夹的设置。另一特性就是“拒
绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择
了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置，下面就具体讲一
下这两种子特性。
　　a、文件权限优先文件夹权限
　　如果一用户USER1对文件夹Folder A的访问权限为只读类型的，在这个文件夹下面有
一个Fiel1文件，我们可以对这个文件Fiel1设置权限为“完全控制”型，而不顾它的上
一级文件Folder A的权限设置情况。
　　b、“拒绝”权限优先其它权限
　　这种情况我们可举这们一个例子，就是一个用户USER1同属于组GROUP1和组GROUP2，
其中组GROUP1对一个文件File1（或文件夹）的访问权限为“完全控制”，而用户GROUP
2对这个文件File1的访问权限设置为“拒绝访问”，那么根据这个特性USER1对文件Fil
e1的访问权限为“拒绝访问”类型，而不管工作组GROUP1对这个文件设置什么权限。
⑷、访问权限和共享权限的交叉性
　　当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问
权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的
那种权限。如文件夹Folder A 为用户USER1设置的共享权限为“只读”，同时文件夹Fo
lder A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“
只读”。当然这个文件夹只能是在NTFS文件格式的分区中，如是FAT格式的分区中也就不
存在“访问权限”了，因为FAT文件格式的文件夹没有本地访问权限的设置。
　　（二）、选择好的远程通讯软件
　　选择一个好的远程通讯软件是非常重要的事，因为网络的不安全因素多数还是出在
远程通讯软件上，Internet太复杂了，任何无意的疏忽都可能给别有用心之人以难得的
良机。选择好一个好的远程通讯软件这不仅仅是应用方面的要求，也更是从安全方面的
考虑。
　　Win2000的Terminal Service是基于RDP（远程桌面协议）的远程控制软件，它的速
度快，操作方便，比较适合用来进行常规操作。但是，Terminal Service也有其不足之
处，由于它使用的是虚拟桌面，再加上微软编程的不严谨，当你使用Terminal Service
进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现直接关机的BUG。所
以，一般需另外选择一个专业的远程通讯软件，如在WinDWOS下的 PcAnyWhere，DOS下的
CarbonCopy就是不错的选择。
　　（三）、设置好IIS
　　IIS是微软的组件中问题最多的一个，要注意很多软件的默认安装是黑客攻击的源头
，是引起不安全因素的根源，微软的IIS也不例外，同时它又是一个网络应用软件，直接
与千变万化的互联网相联系，所以IIS是我们安全配置的重点。
　　首先，为了系统的安全起见我们一般要删除系统盘下的Inetpub目录，在另一分区中
新建一个Inetpub，并使IIS管理器中将主目录指向它。这样即使IIS安全出了问题，也不
会直接影响到整个系统。
　　其次，我们要记住一个原则，那就是：最小的权限+最少的服务=最大的安全。所以
必需把IIS安装时默认的scripts等虚拟目录也一概删除，如果你需要什么权限的目录可
以以后再建（特别注意写权限和执行程序的权限）。
　　然后是应用程序的配置。在IIS管理器中把无用映射都统统删除（当然必须保留如A
SP、ASA等）。在IIS管理器中“主机→属性→WWW服务编辑→主目录配置→应用程序映射
”，然后开始一个个删掉。接着再在应用程序调试书签内，将“脚本错误消息”改为“
发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。
　　最后，为了保险起见，可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样
就可以随时恢复IIS的安全配置。　　
　　好了，我所要讲的就这些，希望对各位有所帮助。在这里我还要强调的是：网络安
全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。
　　很多朋友认为进行了安全配置的主机就是安全的，其实这里有个误区，我们只能说
一台主机在一定的情况下一定的时间内是安全的，随着网络结构的变化、新的漏洞的发
现、管理员和用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安
全制度贯穿整个过程才能做到真正的安全。
　　实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟
服务器是给用户用的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好
的原则。


--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]