Windows

での権限設定動的フォーラムの広範な適用とオンライン送信における脆弱性の発見およびSQLインジェクション攻撃の増加により、WEBSHELLは、万が一ヒットしてもファイアウォールを無用にします。マイクロソフトのパッチ、80番ポートだけが外の世界を開くことを許可するWEBサーバ、はハッキングされる運命を免れることはできません。私たちは本当に無力か？実際、あなたがNTFSシステムの下でのパーミッション設定を理解している限り、クラッカーに言うことができます：NO！

安全なWebサーバーを構築するために、このサーバーはNTFSとWindowsを使わなければなりません。 NT /2000/2003ご存じのとおり、Windowsはマルチユーザー、マルチタスクのオペレーティングシステムであり、これがアクセス許可設定の基本となり、すべてのアクセス許可設定はユーザーとプロセスに基づいています。 、別の権限があります。

DOSとWinNTのパーミッションの違い

DOSはシングルタスクのシングルユーザーオペレーティングシステムです。しかし、DOSには許可がないと言えるでしょうか。いいえ！ DOSオペレーティングシステムでコンピュータを開くと、このオペレーティングシステムに対する管理者権限が与えられ、この権限は至る所にあります。したがって、DOSはパーミッションの設定をサポートしていないと言えるだけで、パーミッションがないとは言えません。セキュリティの意識が高まるにつれて、NTFSのリリースに伴って許可設定が生まれました。

Windows NTでは、ユーザーはグループに分けられ、グループとグループには異なる権限がありますもちろん、グループ内のユーザーは異なる権限を持つことができます。 NTの一般的なユーザーグループについて話しましょう。

管理者、管理者グループ、デフォルトでは、管理者のユーザーはコンピュータ/ドメインへの無制限のフルアクセス権を持っています。このグループに割り当てられているデフォルトの権限では、システム全体を完全に制御できます。したがって、信頼できる人だけがグループのメンバーになることができます。

パワーユーザー、パワーユーザー、パワーユーザーは、Administratorsグループ用に予約されている以外のオペレーティングシステムのタスクを実行できます。 Power Usersグループに割り当てられている既定のアクセス許可では、Power Usersグループのメンバはコンピュータ全体の設定を変更できます。ただし、Power Usersには、Administratorsグループに自分自身を追加する権限がありません。権限設定では、このグループの権限は管理者に次いで2番目です。

ユーザー：通常のユーザーグループ。このグループのユーザーは意図的または意図的でない変更を加えることはできません。したがって、ユーザーは認証されたアプリケーションを実行できますが、ほとんどのレガシーアプリケーションは実行できません。 Usersグループは最も安全なグループです。グループに割り当てられている既定のアクセス許可では、メンバーはオペレーティングシステムの設定やユーザープロファイルを変更できません。 Usersグループは最も安全なプログラム実行環境の1つを提供します。 NTFSフォーマットのボリュームでは、デフォルトのセキュリティ設定は、このグループのメンバーがオペレーティングシステムとインストールされているプログラムの整合性を危うくするのを防ぐように設計されています。ユーザーはシステムレジストリ設定、オペレーティングシステムファイル、またはプログラムファイルを変更することはできません。ユーザーはワークステーションをシャットダウンできますが、サーバーをシャットダウンすることはできません。ユーザーはローカルグループを作成できますが、自分が作成したローカルグループしか変更できません。

ゲスト：ゲストグループ、デフォルトでは、ゲストは通常​​のユーザーと同じアクセス権を持ちますが、ゲストアカウントにはより多くの制限があります。

全員：名前が示すように、このコンピュータのすべてのユーザー、すべてのユーザーがこのグループに属します。

実際、非常に一般的なグループもありますが、管理者と同じ権限を持っていますが、どのユーザーも参加することはできません。表示されている、SYSTEMグループです。システムおよびシステムレベルのサービスが正しく機能するために必要な権限が割り当てられています。このグループにはSYSTEMユーザーが1人しかいないので、そのグループをユーザーとして分類する方が適切かもしれません。

権限の電力サイズ分析

権限の高低ユーザー権限の高いユーザーは権限の低いユーザーで操作できますが、管理者以外のユーザーは操作できません。それらのユーザーによって許可されていない限り、NTFSボリューム上の他のユーザープロファイルにアクセスします。低い特権を持つユーザーは、高い特権を持つユーザーに対して操作を実行できません。

コンピューターを使用する際に、管理者のユーザーを使用してログインするため、コンピューターの使用中に何かをする権限があるとは思われません。これには長所と短所がありますが、もちろん制限を通らずに、必要なことは何でもできます。欠点は、コンピュータをAdministratorsグループのメンバとして実行すると、システムがトロイの木馬、ウイルス、その他のセキュリティ上の危険にさらされることです。インターネットサイトにアクセスしたり、電子メールの添付ファイルを開いたりするという単純な操作でシステムが損傷する可能性があります。

見慣れないインターネットサイトや電子メールの添付ファイルには、システムにダウンロードされて実行される可能性があるトロイの木馬のコードが含まれている可能性があります。ローカルマシンの管理者としてログインしている場合、このトロイの木馬は管理アクセスを使用してハードドライブを再フォーマットし、計り知れないほどの損害を与える可能性があるため、不要な場合は管理者のユーザーとしてログインしないことをお勧めします。管理者は、システムのインストール中に作成されるデフォルトユーザーAdministratorを持ち、Administratorアカウントはサーバーを完全に制御し、必要に応じてユーザー権限とアクセス制御権限をユーザーに割り当てることができます。

強力なパスワードを使用するようにこのアカウントを設定することを強くお勧めします。 Administratorアカウントは、Administratorsグループから削除することはできませんが、名前を変更したり無効にしたりすることはできます。 「admin」は多くのバージョンのWindowsに存在することを誰もが知っているので、このアカウントの名前を変更したり無効にしたりすると、悪意のあるユーザーがそのアカウントにアクセスしてアクセスするのが難しくなります。優れたサーバー管理者にとっては、通常このアカウントの名前を変更するか無効にします。 Guestsグループの下には、デフォルトのユーザー---- Guestもありますが、デフォルトでは無効になっています。必要でなければ、このアカウントをアクティブにする必要はありません。

ほとんど役に立ちません。強力なパスワードとは何ですか。これは、文字、数字、およびサイズを組み合わせた8桁を超える複雑なパスワードですが、これによって多くのハッカーが完全に防止されるわけではありませんが、ある程度クラックするのは困難です。

[コントロールパネル] - [管理ツール] - [コンピュータの管理] - [ユーザーとユーザーグループ]を使用して、ユーザーグループとその下のグループを表示できます。ユーザー

NTFSボリュームまたはNTFSボリュームの下のディレクトリを右クリックし、[プロパティ] - [セキュリティ]を選択してボリューム、またはボリュームの下のディレクトリにアクセスします。設定、この時点で私達は次の7つの許可を見るでしょう：フルコントロール、修正、読み取りと実行、フォルダディレクトリの一覧表示、読み取り、書き込み、そして特別な許可。 「フルコントロール」は、このボリュームまたはディレクトリへの無制限のフルアクセスです。ステータスは、すべてのグループの管理者のステータスに似ています。 [フルコントロール]を選択すると、次の5つの属性が自動的に選択されます。

"変更"パワーユーザーと同じように"変更"を選択すると、次の4つの属性が自動的に選択されます。次の項目のいずれも選択されていない場合、[修正]条件は当てはまりません。 「読み取り&実行」は、このボリュームまたはディレクトリの下で任意のファイルを読み取り実行することを可能にすることであり、「リストフォルダディレクトリ」および「読み取り」は「読み取り&実行」である。必要な条件

"フォルダディレクトリの一覧表示"は、ボリュームまたはディレクトリの下にあるサブディレクトリのみを参照できることを意味します。これらのサブディレクトリは読み取りや実行はできません。 "読み取り"は、ボリュームまたはディレクトリからデータを読み取ることができる。 「書き込み」は、ボリュームまたはディレクトリにデータを書き込む機能です。そして「特別」とは上記の6つの許可を細分することです。読者は自分自身で「特別」のより詳細な研究をすることができます、そしてここに多くの詳細はありません。zh-CN"],null,[1],zh-TW"]]]