請(qǐng)高手看完我的要求再回答，謝謝=======

我想設(shè)置一個(gè)用戶A，可以在磁盤中讀寫文件，可以有選擇的安裝程序，比如能安裝輸入法之類的小軟件；
還有一個(gè)用戶B，可以在磁盤中讀寫文件，不可安裝程序，但是其它用戶創(chuàng)建的文件B可以瀏覽，但不可修改；
一個(gè)用戶C，只能訪問(wèn)管理員指定的文件(夾)，其它的既不能看也不能訪問(wèn)；
B可以運(yùn)行管理員安裝的所有程序；C只能運(yùn)行管理員安裝的指定程序；

以上各用戶創(chuàng)建的文件都可以由管理員管理，可讀，可刪；但是管理員創(chuàng)建的文件A B 和C只能看，不可刪。

我用的是XP+SP2 HOME版，全部分區(qū)都是NTFS，求教該如何設(shè)置權(quán)限，謝謝!

另請(qǐng)高手給說(shuō)一下安全模式下在磁盤上點(diǎn)右鍵——屬性——安全里面的各個(gè)賬戶之間都是什么關(guān)系，以及詳細(xì)的設(shè)置，比如怎樣將某個(gè)用戶加入到USERS組或ADMINISTRATORS組。能提供相關(guān)學(xué)習(xí)網(wǎng)站的鏈接也行，多謝了。

（回答得好了我再加分）
問(wèn)題補(bǔ)充：我已初步搞定這個(gè)問(wèn)題，不需要像前幾位說(shuō)的那樣麻煩。

NTFS文件格式有很多優(yōu)點(diǎn)，它的安全性很強(qiáng)，只要修改它的安全性就行了。

這些天我忙，過(guò)幾天我會(huì)把具體方法寫在我的博
客上的。
當(dāng)然，如果大家有辦法能解決此問(wèn)題的，我同樣高興，解決問(wèn)題才是硬道理!C1079

windows下權(quán)限設(shè)置詳解
隨著動(dòng)網(wǎng)論壇的廣泛應(yīng)用和動(dòng)網(wǎng)上傳漏洞的被發(fā)現(xiàn)以及sql注入式攻擊越來(lái)越多的被使用，webshell讓防火墻形同虛設(shè)，一臺(tái)即使打了所有微軟補(bǔ)丁、只讓80端口對(duì)外開(kāi)放的web服務(wù)器也逃不過(guò)被黑的命運(yùn)。難道我們真的無(wú)能為力了嗎？其實(shí)，只要你弄明白了ntfs系統(tǒng)下的權(quán)限設(shè)置問(wèn)題，我們可以對(duì)crackers們說(shuō)：no!
要打造一臺(tái)安全的web服務(wù)器，那么這臺(tái)服務(wù)器就一定要使用ntfs和windows nt/2000/2003。眾所周知，windows是一個(gè)支持多用戶、多任務(wù)的操作系統(tǒng)，這是權(quán)限設(shè)置的基礎(chǔ)，一切權(quán)限設(shè)置都是基于用戶和進(jìn)程而言的，不同的用戶在訪問(wèn)這臺(tái)計(jì)算機(jī)時(shí)，將會(huì)有不同的權(quán)限。dos是個(gè)單任務(wù)、單用戶的操作系統(tǒng)。但是我們能說(shuō)dos沒(méi)有權(quán)限嗎？不能！當(dāng)我們打開(kāi)一臺(tái)裝有dos操作系統(tǒng)的計(jì)算機(jī)的時(shí)候，我們就擁有了這個(gè)操作系統(tǒng)的管理員權(quán)限，而且，這個(gè)權(quán)限無(wú)處不在。所以，我們只能說(shuō)dos不支持權(quán)限的設(shè)置，不能說(shuō)它沒(méi)有權(quán)限。隨著人們安全意識(shí)的提高，權(quán)限設(shè)置隨著ntfs的發(fā)布誕生了。
windows nt里，用戶被分成許多組，組和組之間都有不同的權(quán)限，當(dāng)然，一個(gè)組的用戶和用戶之間也可以有不同的權(quán)限。下面我們來(lái)談?wù)刵t中常見(jiàn)的用戶組。
administrators,管理員組，默認(rèn)情況下，administrators中的用戶對(duì)計(jì)算機(jī)/域有不受限制的完全訪問(wèn)權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。
power users，高級(jí)用戶組，power users 可以執(zhí)行除了為 administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 power users 組的默認(rèn)權(quán)限允許 power users 組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但power users 不具有將自己添加到 administrators 組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于administrators的。
users:普通用戶組，這個(gè)組的用戶無(wú)法進(jìn)行有意或無(wú)意的改動(dòng)。因此，用戶可以運(yùn)行經(jīng)過(guò)驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用程序。users 組是最安全的組，因?yàn)榉峙浣o該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。users 組提供了一個(gè)最安全的程序運(yùn)行環(huán)境。在經(jīng)過(guò) ntfs 格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件。users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。users 可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。
guests:來(lái)賓組，按默認(rèn)值，來(lái)賓跟普通users的成員有同等訪問(wèn)權(quán)，但來(lái)賓帳戶的限制更多。
everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。
其實(shí)還有一個(gè)組也很常見(jiàn)，它擁有和administrators一樣、甚至比其還高的權(quán)限，但是這個(gè)組不允許任何用戶的加入，在察看用戶組的時(shí)候，它也不會(huì)被顯示出來(lái)，它就是system組。系統(tǒng)和系統(tǒng)級(jí)的服務(wù)正常運(yùn)行所需要的權(quán)限都是靠它賦予的。由于該組只有這一個(gè)用戶system，也許把該組歸為用戶的行列更為貼切。
權(quán)限是有高低之分的，有高權(quán)限的用戶可以對(duì)低權(quán)限的用戶進(jìn)行操作，但除了administrators之外，其他組的用戶不能訪問(wèn) ntfs 卷上的其他用戶資料，除非他們獲得了這些用戶的授權(quán)。而低權(quán)限的用戶無(wú)法對(duì)高權(quán)限的用戶進(jìn)行任何操作。
我們平常使用計(jì)算機(jī)的過(guò)程當(dāng)中不會(huì)感覺(jué)到有權(quán)限在阻撓你去做某件事情，這是因?yàn)槲覀冊(cè)谑褂糜?jì)算機(jī)的時(shí)候都用的是administrators中的用戶登陸的。這樣有利也有弊，利當(dāng)然是你能去做你想做的任何一件事情而不會(huì)遇到權(quán)限的限制。弊就是以 administrators 組成員的身份運(yùn)行計(jì)算機(jī)將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險(xiǎn)的威脅。訪問(wèn) internet 站點(diǎn)或打開(kāi)電子郵件附件的簡(jiǎn)單行動(dòng)都可能破壞系統(tǒng)。不熟悉的 internet 站點(diǎn)或電子郵件附件可能有特洛伊木馬代碼，這些代碼可以下載到系統(tǒng)并被執(zhí)行。如果以本地計(jì)算機(jī)的管理員身份登錄，特洛伊木馬可能使用管理訪問(wèn)權(quán)重新格式化您的硬盤，造成不可估量的損失，所以在沒(méi)有必要的情況下，最好不用administrators中的用戶登陸。administrators中有一個(gè)在系統(tǒng)安裝時(shí)就創(chuàng)建的默認(rèn)用戶----administrator，administrator 帳戶具有對(duì)服務(wù)器的完全控制權(quán)限，并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問(wèn)控制權(quán)限。因此強(qiáng)烈建議將此帳戶設(shè)置為使用強(qiáng)密碼。永遠(yuǎn)也不可以從 administrators 組刪除 administrator 帳戶，但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 windows 上，所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問(wèn)該帳戶變得更為困難。對(duì)于一個(gè)好的服務(wù)器管理員來(lái)說(shuō)，他們通常都會(huì)重命名或禁用此帳戶。guests用戶組下，也有一個(gè)默認(rèn)用戶----guest,但是在默認(rèn)情況下，它是被禁用的。如果沒(méi)有特別必要，無(wú)須啟用此賬戶。我們可以通過(guò)“控制面板”--“管理工具”--“計(jì)算機(jī)管理”--“用戶和用戶組”來(lái)查看用戶組及該組下的用戶。
我們用鼠標(biāo)右鍵單擊一個(gè)ntfs卷或ntfs卷下的一個(gè)目錄，選擇“屬性”--“安全”就可以對(duì)一個(gè)卷，或者一個(gè)卷下面的目錄進(jìn)行權(quán)限設(shè)置，此時(shí)我們會(huì)看到以下七種權(quán)限：完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、和特別的權(quán)限。“完全控制”就是對(duì)此卷或目錄擁有不受限制的完全訪問(wèn)。地位就像administrators在所有組中的地位一樣。選中了“完全控制”，下面的五項(xiàng)屬性將被自動(dòng)被選中。“修改”則像power users，選中了“修改”，下面的四項(xiàng)屬性將被自動(dòng)被選中。下面的任何一項(xiàng)沒(méi)有被選中時(shí)，“修改”條件將不再成立。“讀取和運(yùn)行”就是允許讀取和運(yùn)行在這個(gè)卷或目錄下的任何文件，“列出文件夾目錄”和“讀取”是“讀取和運(yùn)行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄，不能讀取，也不能運(yùn)行。“讀取”是能夠讀取該卷或目錄下的數(shù)據(jù)。“寫入”就是能往該卷或目錄下寫入數(shù)據(jù)。而“特別”則是對(duì)以上的六種權(quán)限進(jìn)行了細(xì)分。讀者可以自行對(duì)“特別”進(jìn)行更深的研究，鄙人在此就不過(guò)多贅述了。
下面我們對(duì)一臺(tái)剛剛安裝好操作系統(tǒng)和服務(wù)軟件的web服務(wù)器系統(tǒng)和其權(quán)限進(jìn)行全面的刨析。服務(wù)器采用windows 2000 server版，安裝好了sp4及各種補(bǔ)丁。web服務(wù)軟件則是用了windows 2000自帶的iis 5.0，刪除了一切不必要的映射。整個(gè)硬盤分為四個(gè)ntfs卷，c盤為系統(tǒng)卷，只安裝了系統(tǒng)和驅(qū)動(dòng)程序；d盤為軟件卷，該服務(wù)器上所有安裝的軟件都在d盤中；e盤是web程序卷，網(wǎng)站程序都在該卷下的www目錄中；f盤是網(wǎng)站數(shù)據(jù)卷，網(wǎng)站系統(tǒng)調(diào)用的所有數(shù)據(jù)都存放在該卷的wwwdatabase目錄下。這樣的分類還算是比較符合一臺(tái)安全服務(wù)器的標(biāo)準(zhǔn)了。希望各個(gè)新手管理員能合理給你的服務(wù)器數(shù)據(jù)進(jìn)行分類，這樣不光是查找起來(lái)方便，更重要的是這樣大大的增強(qiáng)了服務(wù)器的安全性，因?yàn)槲覀兛梢愿鶕?jù)需要給每個(gè)卷或者每個(gè)目錄都設(shè)置不同的權(quán)限，一旦發(fā)生了網(wǎng)絡(luò)安全事故，也可以把損失降到最低。當(dāng)然，也可以把網(wǎng)站的數(shù)據(jù)分布在不同的服務(wù)器上，使之成為一個(gè)服務(wù)器群，每個(gè)服務(wù)器都擁有不同的用戶名和密碼并提供不同的服務(wù)，這樣做的安全性更高。不過(guò)愿意這樣做的人都有一個(gè)特點(diǎn)----有錢:)。好了，言歸正傳，該服務(wù)器的數(shù)據(jù)庫(kù)為ms-sql，ms-sql的服務(wù)軟件sql2000安裝在d:\ms-sqlserver2k目錄下，給sa賬戶設(shè)置好了足夠強(qiáng)度的密碼，安裝好了sp3補(bǔ)丁。為了方便網(wǎng)頁(yè)制作員對(duì)網(wǎng)頁(yè)進(jìn)行管理，該網(wǎng)站還開(kāi)通了ftp服務(wù)，ftp服務(wù)軟件使用的是serv-u 5.1.0.0，安裝在d:\ftpservice\serv-u目錄下。殺毒軟件和防火墻用的分別是norton antivirus和blackice,路徑分別為d:\nortonav和d:\firewall\blackice,病毒庫(kù)已經(jīng)升級(jí)到最新，防火墻規(guī)則庫(kù)定義只有80端口和21端口對(duì)外開(kāi)放。網(wǎng)站的內(nèi)容是采用動(dòng)網(wǎng)7.0的論壇,網(wǎng)站程序在e:\www\bbs下。細(xì)心的讀者可能已經(jīng)注意到了，安裝這些服務(wù)軟件的路徑我都沒(méi)有采用默認(rèn)的路徑或者是僅僅更改盤符的默認(rèn)路徑，這也是安全上的需要，因?yàn)橐粋€(gè)黑客如果通過(guò)某些途徑進(jìn)入了你的服務(wù)器，但并沒(méi)有獲得管理員權(quán)限，他首先做的事情將是查看你開(kāi)放了哪些服務(wù)以及安裝了哪些軟件，因?yàn)樗枰ㄟ^(guò)這些來(lái)提升他的權(quán)限。一個(gè)難以猜解的路徑加上好的權(quán)限設(shè)置將把他阻擋在外。相信經(jīng)過(guò)這樣配置的web服務(wù)器已經(jīng)足夠抵擋大部分學(xué)藝不精的黑客了。讀者可能又會(huì)問(wèn)了：“這根本沒(méi)用到權(quán)限設(shè)置嘛！我把其他都安全工作都做好了，權(quán)限設(shè)置還有必要嗎？”當(dāng)然有！智者千慮還必有一失呢，就算你現(xiàn)在已經(jīng)把系統(tǒng)安全做的完美無(wú)缺，你也要知道新的安全漏洞總是在被不斷的發(fā)現(xiàn)。權(quán)限將是你的最后一道防線！那我們現(xiàn)在就來(lái)對(duì)這臺(tái)沒(méi)有經(jīng)過(guò)任何權(quán)限設(shè)置，全部采用windows默認(rèn)權(quán)限的服務(wù)器進(jìn)行一次模擬攻擊，看看其是否真的固若金湯。
假設(shè)服務(wù)器外網(wǎng)域名為[imga]http://www./jyjbbs/pic/url.gif[/imga]http://www.，用掃描軟件對(duì)其進(jìn)行掃描后發(fā)現(xiàn)開(kāi)放www和ftp服務(wù)，并發(fā)現(xiàn)其服務(wù)軟件使用的是iis 5.0和serv-u 5.1，用一些針對(duì)他們的溢出工具后發(fā)現(xiàn)無(wú)效，遂放棄直接遠(yuǎn)程溢出的想法。打開(kāi)網(wǎng)站頁(yè)面，發(fā)現(xiàn)使用的是動(dòng)網(wǎng)的論壇系統(tǒng)，于是在其域名后面加個(gè)/upfile.asp，發(fā)現(xiàn)有文件上傳漏洞，便抓包，把修改過(guò)的asp木馬用nc提交，提示上傳成功，成功得到webshell，打開(kāi)剛剛上傳的asp木馬，發(fā)現(xiàn)有ms-sql、norton antivirus和blackice在運(yùn)行，判斷是防火墻上做了限制，把sql服務(wù)端口屏蔽了。通過(guò)asp木馬查看到了norton antivirus和blackice的pid，又通過(guò)asp木馬上傳了一個(gè)能殺掉進(jìn)程的文件，運(yùn)行后殺掉了norton antivirus和blackice。再掃描，發(fā)現(xiàn)1433端口開(kāi)放了，到此，便有很多種途徑獲得管理員權(quán)限了，可以查看網(wǎng)站目錄下的conn.asp得到sql的用戶名密碼，再登陸進(jìn)sql執(zhí)行添加用戶，提管理員權(quán)限。也可以抓serv-u下的servudaemon.ini修改后上傳，得到系統(tǒng)管理員權(quán)限。還可以傳本地溢出serv-u的工具直接添加用戶到administrators等等。大家可以看到，一旦黑客找到了切入點(diǎn)，在沒(méi)有權(quán)限限制的情況下，黑客將一帆風(fēng)順的取得管理員權(quán)限。
那我們現(xiàn)在就來(lái)看看windows 2000的默認(rèn)權(quán)限設(shè)置到底是怎樣的。對(duì)于各個(gè)卷的根目錄，默認(rèn)給了everyone組完全控制權(quán)。這意味著任何進(jìn)入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統(tǒng)卷下有三個(gè)目錄比較特殊，系統(tǒng)默認(rèn)給了他們有限制的權(quán)限，這三個(gè)目錄是documents and settings、program files和winnt。對(duì)于documents and settings，默認(rèn)的權(quán)限是這樣分配的：administrators擁有完全控制權(quán)；everyone擁有讀&運(yùn)，列和讀權(quán)限；power users擁有讀&運(yùn)，列和讀權(quán)限；system同administrators;users擁有讀&運(yùn)，列和讀權(quán)限。對(duì)于program files，administrators擁有完全控制權(quán)；creator owner擁有特殊權(quán)限;power users有完全控制權(quán);system同administrators;terminal server users擁有完全控制權(quán)，users有讀&運(yùn)，列和讀權(quán)限。對(duì)于winnt，administrators擁有完全控制權(quán)；creator owner擁有特殊權(quán)限;power users有完全控制權(quán);system同administrators;users有讀&運(yùn)，列和讀權(quán)限。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限，也就是everyone組完全控制權(quán)！
現(xiàn)在大家知道為什么我們剛剛在測(cè)試的時(shí)候能一帆風(fēng)順的取得管理員權(quán)限了吧？權(quán)限設(shè)置的太低了！一個(gè)人在訪問(wèn)網(wǎng)站的時(shí)候，將被自動(dòng)賦予iusr用戶，它是隸屬于guest組的。本來(lái)權(quán)限不高，但是系統(tǒng)默認(rèn)給的everyone組完全控制權(quán)卻讓它“身價(jià)倍增”，到最后能得到administrators了。那么，怎樣設(shè)置權(quán)限給這臺(tái)web服務(wù)器才算是安全的呢？大家要牢記一句話：“最少的服務(wù)+最小的權(quán)限=最大的安全”對(duì)于服務(wù)，不必要的話一定不要裝，要知道服務(wù)的運(yùn)行是system級(jí)的哦，對(duì)于權(quán)限，本著夠用就好的原則分配就是了。對(duì)于web服務(wù)器，就拿剛剛那臺(tái)服務(wù)器來(lái)說(shuō)，我是這樣設(shè)置權(quán)限的，大家可以參考一下：各個(gè)卷的根目錄、documents and settings以及program files，只給administrator完全控制權(quán)，或者干脆直接把program files給刪除掉；給系統(tǒng)卷的根目錄多加一個(gè)everyone的讀、寫權(quán)；給e:\www目錄，也就是網(wǎng)站目錄讀、寫權(quán)。最后，還要把cmd.exe這個(gè)文件給挖出來(lái)，只給administrator完全控制權(quán)。經(jīng)過(guò)這樣的設(shè)置后，再想通過(guò)我剛剛的方法入侵這臺(tái)服務(wù)器就是不可能完成的任務(wù)了。可能這時(shí)候又有讀者會(huì)問(wèn)：“為什么要給系統(tǒng)卷的根目錄一個(gè)everyone的讀、寫權(quán)？網(wǎng)站中的asp文件運(yùn)行不需要運(yùn)行權(quán)限嗎？”問(wèn)的好，有深度。是這樣的，系統(tǒng)卷如果不給everyone的讀、寫權(quán)的話，啟動(dòng)計(jì)算機(jī)的時(shí)候，計(jì)算機(jī)會(huì)報(bào)錯(cuò)，而且會(huì)提示虛擬內(nèi)存不足。當(dāng)然這也有個(gè)前提----虛擬內(nèi)存是分配在系統(tǒng)盤的，如果把虛擬內(nèi)存分配在其他卷上，那你就要給那個(gè)卷everyone的讀、寫權(quán)。asp文件的運(yùn)行方式是在服務(wù)器上執(zhí)行，只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器，這沒(méi)錯(cuò)，但asp文件不是系統(tǒng)意義上的可執(zhí)行文件，它是由web服務(wù)的提供者----iis來(lái)解釋執(zhí)行的，所以它的執(zhí)行并不需要運(yùn)行的權(quán)限。
經(jīng)過(guò)上面的講解以后，你一定對(duì)權(quán)限有了一個(gè)初步了了解了吧？想更深入的了解權(quán)限，那么權(quán)限的一些特性你就不能不知道了，權(quán)限是具有繼承性、累加性 、優(yōu)先性、交叉性的。
繼承性是說(shuō)下級(jí)的目錄在沒(méi)有經(jīng)過(guò)重新設(shè)置之前，是擁有上一級(jí)目錄權(quán)限設(shè)置的。這里還有一種情況要說(shuō)明一下，在分區(qū)內(nèi)復(fù)制目錄或文件的時(shí)候，復(fù)制過(guò)去的目錄和文件將擁有它現(xiàn)在所處位置的上一級(jí)目錄權(quán)限設(shè)置。但在分區(qū)內(nèi)移動(dòng)目錄或文件的時(shí)候，移動(dòng)過(guò)去的目錄和文件將擁有它原先的權(quán)限設(shè)置。
累加是說(shuō)如一個(gè)組group1中有兩個(gè)用戶user1、user2，他們同時(shí)對(duì)某文件或目錄的訪問(wèn)權(quán)限分別為“讀取”和“寫入”，那么組group1對(duì)該文件或目錄的訪問(wèn)權(quán)限就為user1和user2的訪問(wèn)權(quán)限之和，實(shí)際上是取其最大的那個(gè)，即“讀取”+“寫入”=“寫入”。 又如一個(gè)用戶user1同屬于組group1和group2，而group1對(duì)某一文件或目錄的訪問(wèn)權(quán)限為“只讀”型的，而group2對(duì)這一文件或文件夾的訪問(wèn)權(quán)限為“完全控制”型的，則用戶user1對(duì)該文件或文件夾的訪問(wèn)權(quán)限為兩個(gè)組權(quán)限累加所得，即：“只讀”+“完全控制”=“完全控制”。
優(yōu)先性，權(quán)限的這一特性又包含兩種子特性，其一是文件的訪問(wèn)權(quán)限優(yōu)先目錄的權(quán)限，也就是說(shuō)文件權(quán)限可以越過(guò)目錄的權(quán)限，不顧上一級(jí)文件夾的設(shè)置。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限，也就是說(shuō)“拒絕”權(quán)限可以越過(guò)其它所有其它權(quán)限，一旦選擇了“拒絕”權(quán)限，則其它權(quán)限也就不能取任何作用，相當(dāng)于沒(méi)有設(shè)置。
交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時(shí)又為用戶設(shè)置了該文件夾的訪問(wèn)權(quán)限，且所設(shè)權(quán)限不一致時(shí)，它的取舍原則是取兩個(gè)權(quán)限的交集，也即最嚴(yán)格、最小的那種權(quán)限。如目錄a為用戶user1設(shè)置的共享權(quán)限為“只讀”，同時(shí)目錄a為用戶user1設(shè)置的訪問(wèn)權(quán)限為“完全控制”，那用戶user1的最終訪問(wèn)權(quán)限為“只讀”。
權(quán)限設(shè)置的問(wèn)題我就說(shuō)到這了，在最后我還想給各位讀者提醒一下，權(quán)限的設(shè)置必須在ntfs分區(qū)中才能實(shí)現(xiàn)的，fat32是不支持權(quán)限設(shè)置的。同時(shí)還想給各位管理員們一些建議：
1.養(yǎng)成良好的習(xí)慣，給服務(wù)器硬盤分區(qū)的時(shí)候分類明確些，在不使用服務(wù)器的時(shí)候?qū)⒎?wù)器鎖定，經(jīng)常更新各種補(bǔ)丁和升級(jí)殺毒軟件。
2.設(shè)置足夠強(qiáng)度的密碼，這是老生常談了，但總有管理員設(shè)置弱密碼甚至空密碼。
3.盡量不要把各種軟件安裝在默認(rèn)的路徑下
4.在英文水平不是問(wèn)題的情況下，盡量安裝英文版操作系統(tǒng)。
5.切忌在服務(wù)器上亂裝軟件或不必要的服務(wù)。
6.牢記：沒(méi)有永遠(yuǎn)安全的系統(tǒng)，經(jīng)常更新你的知識(shí)。
一. 權(quán)限的由來(lái)
遠(yuǎn)方的某個(gè)山腳下，有一片被森林包圍的草原，草原邊上居住著一群以牧羊?yàn)樯哪撩?。草原邊緣的森林里?/wbr>生存著各種動(dòng)物，包括野狼。
由于羊群是牧民們的主要生活來(lái)源，它們的價(jià)值便顯得特別珍貴，為了防止羊的跑失和野獸的襲擊，每戶牧民都用柵欄把自己的羊群圈了起來(lái)，只留下一道小門，以便每天傍晚供羊群外出到一定范圍的草原上活動(dòng)，實(shí)現(xiàn)了一定規(guī)模的保護(hù)和管理效果。
最初，野狼只知道在森林里逮兔子等野生動(dòng)物生存，沒(méi)有發(fā)現(xiàn)遠(yuǎn)處草原邊上的羊群，因此，在一段時(shí)間里實(shí)現(xiàn)了彼此和平相處，直到有一天，一只為了追逐兔子而湊巧跑到了森林邊緣的狼，用它那靈敏的鼻子嗅到了遠(yuǎn)處那隱隱約約的烤羊肉香味。
當(dāng)晚，突然出現(xiàn)的狼群襲擊了草原上大部分牧民飼養(yǎng)的羊，它們完全無(wú)視牧民們修筑的僅僅能攔住羊群的矮小柵欄，輕輕一躍便突破了這道防線……雖然聞?dòng)嵍鴣?lái)的牧民們合作擊退了狼群，但是羊群已經(jīng)遭到了一定的損失。
事后，牧民們明白了柵欄不是僅僅用來(lái)防止羊群逃脫的城墻，各戶牧民都在忙著加高加固了柵欄……
如今使用Windows 2000/XP等操作系統(tǒng)的用戶，或多或少都會(huì)聽(tīng)說(shuō)過(guò)“權(quán)限”(Privilege)這個(gè)概念，但是真正理解它的家庭用戶，也許并不會(huì)太多，那么，什么是“權(quán)限”呢?對(duì)于一般的用戶而言，我們可以把它理解為系統(tǒng)對(duì)用戶能夠執(zhí)行的功能操作所設(shè)立的額外限制，用于進(jìn)一步約束計(jì)算機(jī)用戶能操作的系統(tǒng)功能和內(nèi)容訪問(wèn)范圍，或者說(shuō)，權(quán)限是指某個(gè)特定的用戶具有特定的系統(tǒng)資源使用權(quán)力。
掌握了“Ring級(jí)別”概念的讀者也許會(huì)問(wèn)，在如今盛行的80386保護(hù)模式中，處理器不是已經(jīng)為指令執(zhí)行做了一個(gè)“運(yùn)行級(jí)別”的限制了嗎?而且我們也知道，面對(duì)用戶操作的Ring 3級(jí)別相對(duì)于系統(tǒng)內(nèi)核運(yùn)行的Ring 0級(jí)別來(lái)說(shuō)，能直接處理的事務(wù)已經(jīng)被大幅度縮減了，為什么還要對(duì)運(yùn)行在“權(quán)限少得可憐”的Ring 3層次上的操作系統(tǒng)人機(jī)交互界面上另外建立起一套用于進(jìn)一步限制用戶操作的“權(quán)限”概念呢?這是因?yàn)椋?/wbr>前者針對(duì)的是機(jī)器能執(zhí)行的指令代碼權(quán)限，而后者要針對(duì)的對(duì)象，是坐在計(jì)算機(jī)面前的用戶。
對(duì)計(jì)算機(jī)來(lái)說(shuō)，系統(tǒng)執(zhí)行的代碼可能會(huì)對(duì)它造成危害，因此處理器產(chǎn)生了Ring的概念，把“裸露在外”的一部分用于人機(jī)交互的操作界面限制起來(lái)，避免它一時(shí)頭腦發(fā)熱發(fā)出有害指令;而對(duì)于操作界面部分而言，用戶的每一步操作仍然有可能傷害到它自己和底層系統(tǒng)——盡管它自身已經(jīng)被禁止執(zhí)行許多有害代碼，但是一些不能禁止的功能卻依然在對(duì)這層安全體系作出威脅，例如格式化操作、刪除修改文件等，這些操作在計(jì)算機(jī)看來(lái)，只是“不嚴(yán)重”的磁盤文件處理功能，然而它忽略了一點(diǎn)，操作系統(tǒng)自身就是駐留在磁盤介質(zhì)上的文件!因此，為了保護(hù)自己，操作系統(tǒng)需要在Ring 3籠子限制的操作界面基礎(chǔ)上，再產(chǎn)生一個(gè)專門用來(lái)限制用戶的柵欄，這就是現(xiàn)在我們要討論的權(quán)限，它是為限制用戶而存在的，而且限制對(duì)每個(gè)用戶并不是一樣的，在這個(gè)思想的引導(dǎo)下，有些用戶能操作的范圍相對(duì)大些，有些只能操作屬于自己的文件，有些甚至什么也不能做……
正因?yàn)槿绱?，?jì)算機(jī)用戶才有了分類:管理員、普通用戶、受限用戶、來(lái)賓等……
還記得古老的Windows 9x和MS-DOS嗎?它們僅僅擁有基本的Ring權(quán)限保護(hù)(實(shí)模式的DOS甚至連Ring分級(jí)都沒(méi)有)，在這個(gè)系統(tǒng)架構(gòu)里，所有用戶的權(quán)力都是一樣的，任何人都是管理員，系統(tǒng)沒(méi)有為環(huán)境安全提供一點(diǎn)保障——它連實(shí)際有用的登錄界面都沒(méi)有提供，僅僅有個(gè)隨便按ESC都能正常進(jìn)入系統(tǒng)并進(jìn)行任何操作的“偽登錄”限制而已。對(duì)這樣的系統(tǒng)而言，不熟悉電腦的用戶經(jīng)常一不小心就把系統(tǒng)毀掉了，而且病毒木馬自然也不會(huì)放過(guò)如此“松軟”的一塊蛋糕，在如今這個(gè)提倡信息安全的時(shí)代里，Windows 9x成了名副其實(shí)的雞肋系統(tǒng)，最終淡出人們的視線，取而代之的是由Windows NT家族發(fā)展而來(lái)的Windows 2000和Windows XP，此外還有近年來(lái)致力向桌面用戶發(fā)展的Linux系統(tǒng)等，它們才是能夠滿足這個(gè)安全危機(jī)時(shí)代里個(gè)人隱私和數(shù)據(jù)安全等要求的系統(tǒng)。
Win2000/XP系統(tǒng)是微軟Windows NT技術(shù)的產(chǎn)物，是基于服務(wù)器安全環(huán)境思想來(lái)構(gòu)建的純32位系統(tǒng)。NT技術(shù)沒(méi)有辜負(fù)微軟的開(kāi)發(fā)，它穩(wěn)定，安全，提供了比較完善的多用戶環(huán)境，最重要的是，它實(shí)現(xiàn)了系統(tǒng)權(quán)限的指派，從而杜絕了由Win9x時(shí)代帶來(lái)的不安全操作習(xí)慣可能引發(fā)的大部分嚴(yán)重后果。
二. 權(quán)限的指派
1.普通權(quán)限
雖然Win2000/XP等系統(tǒng)提供了“權(quán)限”的功能，但是這樣就又帶來(lái)一個(gè)新問(wèn)題:權(quán)限如何分配才是合理的?如果所有人擁有的權(quán)限都一樣，那么就等于所有人都沒(méi)有權(quán)限的限制，那和使用Win9x有什么區(qū)別?幸好，系統(tǒng)默認(rèn)就為我們?cè)O(shè)置好了“權(quán)限組”(Group)，只需把用戶加進(jìn)相應(yīng)的組即可擁有由這個(gè)組賦予的操作權(quán)限，這種做法就稱為權(quán)限的指派。
默認(rèn)情況下，系統(tǒng)為用戶分了6個(gè)組，并給每個(gè)組賦予不同的操作權(quán)限，依次為:管理員組(Administrators)、高權(quán)限用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、文件復(fù)制組(Replicator)、來(lái)賓用戶組(Guests)，其中備份操作組和文件復(fù)制組為維護(hù)系統(tǒng)而設(shè)置，平時(shí)不會(huì)被使用。
系統(tǒng)默認(rèn)的分組是依照一定的管理憑據(jù)指派權(quán)限的，而不是胡亂產(chǎn)生，管理員組擁有大部分的計(jì)算機(jī)操作權(quán)限(并不是全部)，能夠隨意修改刪除所有文件和修改系統(tǒng)設(shè)置。再往下就是高權(quán)限用戶組，這一部分用戶也能做大部分事情，但是不能修改系統(tǒng)設(shè)置，不能運(yùn)行一些涉及系統(tǒng)管理的程序。普通用戶組則被系統(tǒng)拴在了自己的地盤里，不能處理其他用戶的文件和運(yùn)行涉及管理的程序等。來(lái)賓用戶組的文件操作權(quán)限和普通用戶組一樣，但是無(wú)法執(zhí)行更多的程序。
這是系統(tǒng)給各個(gè)組指派的權(quán)限說(shuō)明，細(xì)心的用戶也許會(huì)發(fā)現(xiàn)，為什么里面描述的“不能處理其他用戶的文件”這一條規(guī)則并不成立呢，我可以訪問(wèn)所有文件啊，只是不能對(duì)系統(tǒng)設(shè)置作出修改而已，難道是權(quán)限設(shè)定自身存在問(wèn)題?實(shí)際上，NT技術(shù)的一部分功能必須依賴于特有的“NTFS”(NT文件系統(tǒng))分區(qū)才能實(shí)現(xiàn)，文件操作的權(quán)限指派就是最敏感的一部分，而大部分家庭用戶的分區(qū)為FAT32格式，它并不支持NT技術(shù)的安全功能，因此在這樣的文件系統(tǒng)分區(qū)上，連來(lái)賓用戶都能隨意瀏覽修改系統(tǒng)管理員建立的文件(限制寫入操作的共享訪問(wèn)除外)，但這并不代表系統(tǒng)權(quán)限不起作用，我們只要把分區(qū)改為NTFS即可。
2.特殊權(quán)限
除了上面提到的6個(gè)默認(rèn)權(quán)限分組，系統(tǒng)還存在一些特殊權(quán)限成員，這些成員是為了特殊用途而設(shè)置，分別是:SYSTEM(系統(tǒng))、Everyone(所有人)、CREATOR OWNER(創(chuàng)建者)等，這些特殊成員不被任何內(nèi)置用戶組吸納，屬于完全獨(dú)立出來(lái)的賬戶。(圖.特殊權(quán)限成員)
前面我提到管理員分組的權(quán)限時(shí)并沒(méi)有用“全部”來(lái)形容，秘密就在此，不要相信系統(tǒng)描述的“有不受限制的完全訪問(wèn)權(quán)”，它不會(huì)傻到把自己完全交給人類，管理員分組同樣受到一定的限制，只是沒(méi)那么明顯罷了，真正擁有“完全訪問(wèn)權(quán)”的只有一個(gè)成員:SYSTEM。這個(gè)成員是系統(tǒng)產(chǎn)生的，真正擁有整臺(tái)計(jì)算機(jī)管理權(quán)限的賬戶，一般的操作是無(wú)法獲取與它等價(jià)的權(quán)限的。
“所有人”權(quán)限與普通用戶組權(quán)限差不多，它的存在是為了讓用戶能訪問(wèn)被標(biāo)記為“公有”的文件，這也是一些程序正常運(yùn)行需要的訪問(wèn)權(quán)限——任何人都能正常訪問(wèn)被賦予“Everyone”權(quán)限的文件，包括來(lái)賓組成員。
被標(biāo)記為“創(chuàng)建者”權(quán)限的文件只有建立文件的那個(gè)用戶才能訪問(wèn)，做到了一定程度的隱私保護(hù)。
但是，所有的文件訪問(wèn)權(quán)限均可以被管理員組用戶和SYSTEM成員忽略，除非用戶使用了NTFS加密。
無(wú)論是普通權(quán)限還是特殊權(quán)限，它們都可以“疊加”使用，“疊加”就是指多個(gè)權(quán)限共同使用，例如一個(gè)賬戶原本屬于Users組，而后我們把他加入Administrators組，那么現(xiàn)在這個(gè)賬戶便同時(shí)擁有兩個(gè)權(quán)限身份，而不是用管理員權(quán)限去覆蓋原來(lái)身份。權(quán)限疊加并不是沒(méi)有意義的，在一些需要特定身份訪問(wèn)的場(chǎng)合，用戶只有為自己設(shè)置了指定的身份才能訪問(wèn)，這個(gè)時(shí)候“疊加”的使用就能減輕一部分勞動(dòng)量了。
3.NTFS與權(quán)限
在前面我提到了NTFS文件系統(tǒng)，自己安裝過(guò)Win2000/XP的用戶應(yīng)該會(huì)注意到安裝過(guò)程中出現(xiàn)的“轉(zhuǎn)換分區(qū)格式為NTFS”的選擇，那么什么是NTFS?
NTFS是一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式，只有使用NT技術(shù)的系統(tǒng)對(duì)它直接提供支持，也就是說(shuō)，如果系統(tǒng)崩潰了，用戶將無(wú)法使用外面流行的普通光盤啟動(dòng)工具修復(fù)系統(tǒng)，因此，是使用傳統(tǒng)的FAT32還是NTFS，一直是個(gè)倍受爭(zhēng)議的話題，但如果用戶要使用完全的系統(tǒng)權(quán)限功能，或者要安裝作為服務(wù)器使用，建議最好還是使用NTFS分區(qū)格式。
與FAT32分區(qū)相比，NTFS分區(qū)多了一個(gè)“安全”特性，在里面，用戶可以進(jìn)一步設(shè)置相關(guān)的文件訪問(wèn)權(quán)限，而且前面提到的相關(guān)用戶組指派的文件權(quán)限也只有在NTFS格式分區(qū)上才能體現(xiàn)出來(lái)。例如，來(lái)賓組的用戶再也不能隨便訪問(wèn)到NTFS格式分區(qū)的任意一個(gè)文件了，這樣可以減少系統(tǒng)遭受一般由網(wǎng)站服務(wù)器帶來(lái)的入侵損失，因?yàn)镮IS賬戶對(duì)系統(tǒng)的訪問(wèn)權(quán)限僅僅是來(lái)賓級(jí)別而已，如果入侵者不能提升權(quán)限，那么他這次的入侵可以算是白忙了。
使用NTFS分區(qū)的時(shí)候，用戶才會(huì)察覺(jué)到系統(tǒng)給管理員組用戶設(shè)定的限制:一些文件即使是管理員也無(wú)法訪問(wèn)，因?yàn)樗荢YSTEM成員建立的，并且設(shè)定了權(quán)限。
但是NTFS系統(tǒng)會(huì)帶來(lái)一個(gè)眾所周知的安全隱患:NTFS支持一種被稱為“交換數(shù)據(jù)流”(AlternateDataStream，ADs)的存儲(chǔ)特性，原意是為了和Macintosh的HFS文件系統(tǒng)兼容而設(shè)計(jì)的，使用這種技術(shù)可以在一個(gè)文件資源里寫入相關(guān)數(shù)據(jù)(并不是寫入文件中)，而且寫進(jìn)去的數(shù)據(jù)可以使用很簡(jiǎn)單的方法把它提取出來(lái)作為一個(gè)獨(dú)立文件讀取，甚至執(zhí)行，這就給入侵者提供了一個(gè)可?/ca>