Windows

動的ネットワークフォーラムの広範な応用とオンラインネットワークでの抜け穴の発見とSQLインジェクション攻撃の増加により、WEBSHELLはたとえ彼らが攻撃を受けたとしてもファイアウォールを役に立たなくします。 Microsoftのすべてのパッチ、つまりポート80しか開かないWebサーバーは、ハッキングされた結果から逃れることはできません。私たちは本当に無力か？実際、あなたがNTFSシステムの下で許可設定を理解する限り、我々はクラッカーに言うことができます：いいえ！安全なWebサーバを構築するために、このサーバはNTFSとWindows NT /2000/2003を使わなければなりません。ご存じのとおり、Windowsはマルチユーザー、マルチタスクのオペレーティングシステムであり、これがアクセス許可設定の基本となり、すべてのアクセス許可設定はユーザーとプロセスに基づいています。アクセス許可DOSはシングルタスクのシングルユーザーオペレーティングシステムです。しかし、DOSには許可がないと言えるでしょうか。いいえ！ DOSオペレーティングシステムでコンピュータを開くと、このオペレーティングシステムに対する管理者権限が与えられ、この権限は至る所にあります。したがって、DOSはパーミッションの設定をサポートしていないと言えるだけで、パーミッションがないとは言えません。セキュリティの意識が高まるにつれて、NTFSのリリースに伴って許可設定が生まれました。

Windows NTでは、ユーザーはグループに分けられ、グループとグループには異なる権限がありますもちろん、グループ内のユーザーは異なる権限を持つことができます。 NTの一般的なユーザーグループについて話しましょう。

管理者、管理者グループ、デフォルトでは、管理者のユーザーはコンピュータ/ドメインへの無制限のフルアクセス権を持っています。このグループに割り当てられているデフォルトの権限では、システム全体を完全に制御できます。したがって、信頼できる人だけがグループのメンバーになることができます。

パワーユーザー、パワーユーザー、パワーユーザーは、Administratorsグループ用に予約されている以外のオペレーティングシステムのタスクを実行できます。 Power Usersグループに割り当てられている既定のアクセス許可では、Power Usersグループのメンバはコンピュータ全体の設定を変更できます。ただし、Power Usersには、Administratorsグループに自分自身を追加する権限がありません。権限設定では、このグループの権限は管理者に次いで2番目です。

ユーザー：通常のユーザーグループ。このグループのユーザーは意図的または意図的でない変更を加えることはできません。したがって、ユーザーは認証されたアプリケーションを実行できますが、ほとんどのレガシーアプリケーションは実行できません。 Usersグループは最も安全なグループです。グループに割り当てられている既定のアクセス許可では、メンバーはオペレーティングシステムの設定やユーザープロファイルを変更できません。 Usersグループは最も安全なプログラム実行環境の1つを提供します。 NTFSフォーマットのボリュームでは、デフォルトのセキュリティ設定は、このグループのメンバーがオペレーティングシステムとインストールされているプログラムの整合性を危うくするのを防ぐように設計されています。ユーザーはシステムレジストリ設定、オペレーティングシステムファイル、またはプログラムファイルを変更することはできません。ユーザーはワークステーションをシャットダウンできますが、サーバーをシャットダウンすることはできません。ユーザーはローカルグループを作成できますが、自分が作成したローカルグループしか変更できません。

ゲスト：ゲストグループ、デフォルトでは、ゲストは通常​​のユーザーと同じアクセス権を持ちますが、ゲストアカウントにはより多くの制限があります。

全員：名前が示すように、このコンピュータのすべてのユーザー、すべてのユーザーがこのグループに属します。

実際、非常に一般的なグループもありますが、管理者と同じ権限を持っていますが、どのユーザーも参加することはできません。表示されている、SYSTEMグループです。システムおよびシステムレベルのサービスが正しく機能するために必要な権限が割り当てられています。このグループにはSYSTEMユーザーが1人しかいないので、そのグループをユーザーとして分類する方が適切かもしれません。

権限の高低ユーザー特権が高いユーザーは権限の低いユーザーでも操作できますが、管理者以外のユーザーはNTFSボリューム上の他のユーザーデータにアクセスできません。これらのユーザーから許可を得ました。低い特権を持つユーザーは、高い特権を持つユーザーに対して操作を実行できません。

コンピューターを使用する際に、管理者のユーザーを使用してログインするため、コンピューターを使用する過程で何かをする権限があるとは思われません。これには長所と短所がありますが、もちろん制限を通らずに、必要なことは何でもできます。欠点は、Administratorsグループのメンバとしてコンピュータを実行すると、システムがトロイの木馬、ウイルス、その他のセキュリティ上の危険にさらされることです。インターネットサイトにアクセスしたり、電子メールの添付ファイルを開いたりするという単純な操作は、システムに損傷を与える可能性があります。見慣れないインターネットサイトや電子メールの添付ファイルには、システムにダウンロードされて実行される可能性があるトロイの木馬のコードが含まれている可能性があります。ローカルマシンの管理者としてログインしている場合、このトロイの木馬は管理アクセスを使用してハードドライブを再フォーマットし、計り知れないほどの損害を与える可能性があるため、不要な場合は管理者のユーザーとしてログインしないことをお勧めします。

管理者には、システムのインストール時に作成されたデフォルトのユーザーがいます - 管理者Administratorアカウントは、サーバーを完全に制御し、必要に応じてユーザー権限とアクセス制御権限をユーザーに割り当てることができます。このアカウントは強力なパスワードを使用するように設定することを強くお勧めします。管理者グループから管理者アカウントを削除することはできませんが、アカウントの名前を変更したり無効にしたりすることはできます。 "管理者"は多くのバージョンのWindowsに存在することを誰もが知っているので、このアカウントの名前を変更したり無効にしたりすると、悪意のあるユーザーがそのアカウントにアクセスしてアクセスするのが難しくなります。優れたサーバー管理者にとっては、通常このアカウントの名前を変更するか無効にします。 Guestsグループの下には、デフォルトのユーザー---- Guestもありますが、デフォルトでは無効になっています。必要でなければ、このアカウントをアクティブにする必要はありません。 [コントロールパネル] - [管理ツール] - [コンピュータの管理]を使用して、ユーザーグループとこのグループに属するユーザーを表示できます。

NTFSボリュームまたはNTFSボリュームの下のディレクトリを右クリックし、[プロパティ]を選択してボリュームまたはボリュームの下のディレクトリにアクセスします。設定、この時点で私達は次の7つの許可を見るでしょう：フルコントロール、修正、読み取りと実行、フォルダディレクトリの一覧表示、読み取り、書き込み、そして特別な許可。 「フルコントロール」は、このボリュームまたはディレクトリへの無制限のフルアクセスです。ステータスは、すべてのグループの管理者のステータスに似ています。 「フルコントロール」を選択すると、以下の5つの属性が自動的に選択されます。 - [変更] - [変更]を選択した場合、次の4つの属性が自動的に選択されます。次のいずれかの項目が選択されていないと、[変更]条件は無効になります。 ' Read&Run'は、このボリュームまたはディレクトリの下にあるすべてのファイルの読み込みと実行を許可し、'一覧フォルダdirectory'は<; read&run'です。必要な条件'フォルダディレクトリの一覧表示"は、ボリュームまたはディレクトリの下のサブディレクトリのみを参照でき、読み取りや実行はできないことを意味します。 ' Read'は、ボリュームまたはディレクトリの下のデータを読み取ることができます。 「書き込み」は、ボリュームまたはディレクトリにデータを書き込めるようにすることです。そして「特別」は上記の6つの許可の内訳です。読者は「特別な」のより徹底的な研究を行うことができます、そして、他の人々はここで詳細に入りません。

以下に、オペレーティングシステムとサービスソフトウェアをインストールしたばかりのWebサーバーシステムとそのアクセス許可の包括的な分析を示します。サーバーはWindows 2000 ServerバージョンSP4を使用し、さまざまなパッチがインストールされています。 Webサービスソフトウェアは、Windows 2000独自のIIS 5.0を使用して、不要なマッピングをすべて削除します。ハードディスク全体は4つのNTFSボリュームに分割され、Cディスクはシステムボリュームで、システムとドライバのみがインストールされ、Dディスクはソフトウェアボリューム、サーバーにインストールされたソフトウェアはすべてDディスク、EディスクはWebプログラムボリューム、WebサイトはWebサイトです。プログラムはボリュームの下のWWWディレクトリにあり、FディスクはWebサイトデータボリュームであり、Webサイトシステムによって呼び出されるすべてのデータはボリュームのWWWDATABASEディレクトリに格納されます。そのような分類は、安全なサーバーとより一致する標準です。

各初心者管理者があなたのサーバーデータを合理的に分類できることを願っています。これは見つけるのが便利であるだけでなく、さらに重要なことに、必要に応じてそれぞれを提供できるためです。ボリュームまたは各ディレクトリは異なる権限を持ち、ネットワークセキュリティインシデントが発生したら、損失を最小限に抑えることができます。もちろん、Webサイトのデータを異なるサーバーに配布してサーバーグループにすることもでき、各サーバーは異なるユーザー名とパスワードを持ち、異なるサービスを提供します。しかし、そうすることをいとわない人は、機能が豊富です - :)。さて、ビジネスに取り掛かると、サーバーのデータベースはMS-SQL、MS-SQLサービスソフトウェアSQL2000はd：\\ ms-sqlserver2Kディレクトリにインストールされ、SAアカウントは十分に強力なパスワードで設定され、SP3パッチはインストールされます。

Webページ制作者によるWebページの管理を容易にするために、WebサイトにもFTPサービスがあり、FTPサービスソフトウェアはSERV-U 5.1.0.0を使用し、d：\\ ftpservice \\ serv-uディレクトリにインストールされます。ウイルス対策ソフトウェアとファイアウォールは、それぞれNorton AntivirusとBlackICEで、パスはd：\\ nortonAVとd：\\ firewall \\ blackiceで、ウイルスデータベースは最新のものにアップグレードされています。 Webサイトの内容はWeb 7.0を使用しているフォーラムであり、Webサイトプログラムはe：\\ www \\ bbsにあります。慎重な読者はこれらのサービスソフトウェアをインストールするためのパスが私がデフォルトパスを使用しなかったか単にドライブ文字のデフォルトパスを変更しなかったことに気づいたかもしれません。サーバーは、管理者権限を取得しませんでした。彼が最初にすることは、どのサービスを開いているか、どのソフトウェアがインストールされているかを確認することです。

権限の高低ユーザー特権が高いユーザーは権限の低いユーザーでも操作できますが、管理者以外のユーザーはNTFSボリューム上の他のユーザーデータにアクセスできません。これらのユーザーから許可を得ました。低い特権を持つユーザーは、高い特権を持つユーザーに対して操作を実行できません。

コンピューターを使用する際に、管理者のユーザーを使用してログインするため、コンピューターの使用中に何かをする権限があるとは思われません。これには長所と短所がありますが、もちろん制限を通らずに、必要なことは何でもできます。欠点は、Administratorsグループのメンバとしてコンピュータを実行すると、システムがトロイの木馬、ウイルス、その他のセキュリティ上の危険にさらされることです。インターネットサイトにアクセスしたり、電子メールの添付ファイルを開いたりするという単純な操作は、システムに損傷を与える可能性があります。見慣れないインターネットサイトや電子メールの添付ファイルには、システムにダウンロードされて実行される可能性があるトロイの木馬のコードが含まれている可能性があります。ローカルマシンの管理者としてログインしている場合、このトロイの木馬は管理アクセスを使用してハードドライブを再フォーマットし、計り知れないほどの損害を与える可能性があるため、不要な場合は管理者のユーザーとしてログインしないことをお勧めします。

管理者には、システムのインストール時に作成されたデフォルトのユーザーがいます - 管理者Administratorアカウントは、サーバーを完全に制御し、必要に応じてユーザー権限とアクセス制御権限をユーザーに割り当てることができます。このアカウントは強力なパスワードを使用するように設定することを強くお勧めします。管理者グループから管理者アカウントを削除することはできませんが、アカウントの名前を変更したり無効にしたりすることはできます。 「管理者」は多くのバージョンのWindowsに存在することを誰もが知っているので、このアカウントの名前を変更したり無効にしたりすると、悪意のあるユーザーがそのアカウントにアクセスしてアクセスするのが難しくなります。優れたサーバー管理者にとっては、通常このアカウントの名前を変更するか無効にします。 Guestsグループの下には、デフォルトのユーザー---- Guestもありますが、デフォルトでは無効になっています。必要でなければ、このアカウントをアクティブにする必要はありません。
zh-CN"],null,[1],zh-TW"]]]