标题: 探秘Windows Server2003安全性 [打印本页] 作者: 韩冰 时间: 2004-10-9 14:25 标题: 探秘Windows Server2003安全性 论坛登陆名: Stone 8 z5 u4 ^( f0 H" f$ v提交者邮件地址: Stone@126.com6 n4 {( x0 n4 E7 g! ]1 u3 | S- d
提交者QQ号码: + V) M& g4 q9 \* k$ c: [+ \版权:文章属中华安全网http://www.safechina.net和作者共同所有,转载请注明出处!!) _' ~1 j. J7 C
标题: 探秘Windows Server2003安全性 " ^7 f* M/ f4 E+ v+ L6 a4 U8 h+ f: E1 s! C* ^. U( \
早在2002年1月,微软启动了“可信赖计算”这一针对Windows平台安全性的计划。这一计划直接影响了微软下一批产品(建立在.NET框架之上)的发行日期,不过额外增加的数月开发时间确实使新产品的安全性、稳定性超过了它们的前辈。 . s1 u7 b/ J/ r: T7 N5 V( R" U# V! F z( \
在这篇文章中,我们将一起探究Windows 2003 Server增强的安全机制。新的操作系统中提高安全性的新特性随处可见,但这里我们只注重大多数Windows用户和管理员最关心的地方,借此粗略感受一下Windows Server 2003新的安全机制。 4 h0 v9 b# C1 m" v) d. R
- i* |5 _" S, ~2 F, `
一、NTFS和共享权限 % O: n: {4 q7 x2 x * c. m! _1 A2 `# | 在以前的Windows中,默认的权限许可将“完全控制”授予了Everyone组,整个文件系统根本没有安全性可言(就本地访问来说)。但从Windows XP Pro开始,这种情况改变了。 ( c9 |4 k9 }7 S7 Y5 i8 t. l" U, _$ |4 I& z) G
授予Everyone组的根目录NTFS权限只有读取和执行,且这些权限只对根文件夹有效,请参见图1。也就是说,对于任何根目录下创建的子文件夹,Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹,例如Program Files和Windows文件夹,Everyone组也已经从ACL中排除出去。(说明:ACL即“访问控制列表”,或Access Control List,它是一种安全保护列表,适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型:随机和系统)。 ! k$ f# q' M: r; T' G& ^
o, g- A5 d. M8 k- m2 ~" W 6 [0 P t; E% s! V0 e* `7 T # I1 V/ D, N; q( M6 b; O4 `* P7 T& K m4 B. {; S$ b
图1 7 e$ S' U- b' v, I$ }8 P2 N9 [ % k' V! M: F9 y E- W0 P v' @) H! Y/ t: _# g7 u
Users组除了读取和运行之外,还能够在子文件夹下创建文件夹(可继承)和文件(注意,根驱动器除外)。授予System帐户的权限和本地Administrators组成员的权限仍未改变,它们仍拥有对根文件夹及其子文件夹的完全控制权限。CREATOR OWNER仍被授予子文件夹及其包含的文件的完全控制权限,也就是允许用户全面管理他们自己创建的子文件夹。 3 C* T \ g3 Y ! L$ j0 U+ ?; @+ @! o) Q 对于新创建的共享资源,Everyone现在只有读取的权限。 9 V, R) b: }9 h5 D k! E `* \) }" r. \$ ~. Z 另外,Everyone组现在不再包含匿名SID(安全标识符,一种不同长度的数据结构,用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的 SID。Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名),进一步减少了未经授权访问文件系统的可能性。要快速查看文件或文件夹的NTFS权限,可以用右键点击文件或文件夹,选择“安全”选项卡,点击“高级”,然后查看“有效权限”页,如图2所示,不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。不过,这个功能还不能涵盖共享权限。 6 B, j/ O$ m. t3 h3 |: D: u