用好windows权限之剑

上一篇 / 下一篇 2008-07-03 12:24:18 / 个人分类：安全

用好windows权限之剑

——严防非法入侵

安全前提：分区格式=NTFS

WINDOWS2000/XP拥有强大的的用户和组权限管理功能，在保护系统安全方面有着独特的应用，通过为不同用户分配相应权限，可以限制其对系统重要文件或目录的访问。并以此达到保护系统不受病毒和黑客侵犯的功能。尤其对于“兼职”个人服务器的电脑来说权限设置更为重要，不过要想完全领略权限管理的好处，要求系统分区使用NTFS文件系统，如果你的系统分区还没有ntfs文件系统，可以在“开始”菜单“运行”框中输入“cmd”打开命令行窗口，然后输入“convert c：/fs:ntfs”命令进行转化（其中才“c：”为需要转化的盘符）。

溢出攻击？能溢出不能攻击

溢出攻击是黑客们常用的一种攻击手段，通过溢出入侵往往可以很快获得一定的主机权限，从而实施破坏。我们通过给“cmd.exe”文件设置权限可以有效的抵御溢出攻击，让黑客可以“溢出”但却无法实施攻击，具体步骤如下：

第一步：首先需要创建一个Users组的受限权限用户。使用管理员帐户登录系统，右击“我的电脑”选择“管理”打开“计算机管理（本地）系统工具本地用户和组用户”，然后在右侧窗口中右击，选择“新用户”，输入用户名“safeuser”，注意“密码”要设置复杂一些，单击“确定”按钮即可建立一个隶属于Users组的用户。

第二步:设置关键程序使用权限。打开c:\windows\system32(j假设系统安装在c:盘，如为windows 2000请将“windows”改为“winnt”)，右击文件cmd.exe在右键菜单中选择“属性”，单击“安全”选项卡，删除“组或用户名称”列表中的所有用户和和组，然后单击“添加”按钮。输入用户名“safeuser”，单击“确定”按钮即可。按照此方法将该目录中的“net.exe”，“net1.exe”改为同样的安全权限设置。为了防止一些老鸟黑客通过“tftp.exe”或者ftp.exe两个文件传输本地溢出程序，我们还应该将目录中的“tftp.exe”，ftp.exe两个文件的权限设定为只有safeuser才可以使用。

小提示：★如果希望这个帐户更安全一些，可以在用户名名称前面添加一个“$”符号建立一个隐藏帐户，这样，即使系统被入侵，攻击者也无法使用“net user safeuser password”命令来修改用户密码。

★“cmd.exe”可能是你经常要用到的的命令，但经过上面的设置后，只有在登陆safeuser帐户后才能运行它，如果想在管理员帐户使用这个命令，可以在开始菜单“运行”对话框中输入“runas /user：safeuser cmd”命令，然后根据系统提示输入safeuser帐户密码即可运行。

上传后门？门都没有

为更大程度上保障系统安全，我们还可以将TFTP的传输端口修改为零C:\WINDOWS\SYSTEM32\DRIVER\ETC目录，用“记事本”打开其下的文件services（无扩展名），将“tftp”行中的“69/udp”修改为“0/udp即可，这样，入侵者就不能使用TFTP来传输黑客程序了。”

小提示：如果你确认系统已经转化为NTFS文件系统，但属性对话框中却没有“安全”选项卡，可以打开“我的电脑”，选择菜单“工具→文件夹选项”，单击“查看”选项卡，在“高级设置”中取消“使用简单文件夹共享（推荐）”选项后确定即可。

百毒不侵权限还能这样玩

我们知道，病毒等恶意程序往往会把自己隐藏在windows系统目录中，其实对windows目录的权限进行一些限制，就能防止大部分病毒入侵。

第一步：使用最新的杀毒软件对c:\windows目录进行全面的病毒查杀，确保在设置权限以前该文件夹无毒。

第二步：首先在c：\windows目录右键菜单中选择“属性”，再打开“安全”选项卡，首先删除Administrators和System用户组以外的所有用户组，然后分别设置Administrators和System用户组，在下面的权限列表中去掉“完全控制”，“修改”，“写入”选项前面的勾选（见图4），单击“确定”按钮，使用同样方法对c:\windowsv\system32目录进行权限设置。