2016-12-21
在默认情况下,NTFS分区的所有文件对所有人授予完全控制权限,这使攻击者有可能使用一般用户身份对目录和文件进行增加、删除和执行等操作。
NTFS权限的基本级别介绍:
(1)完全控制:可以修改、添加、移动和删除文件及目录,以及与文件相关的属性,还可更改对其所有文件和子目录的权限设置。
(2)修改:对于文件,可查看并修改文件和文件属性;对于目录,可在其中增删文件或修改文件属性。
(3)读取及运行:运行可执行文件,包括脚本。
(4)列出文件夹目录:仅对目录而言,可查看文件夹内容的类表。
(5)读取:可以查看文件和文件属性。
(6)写入:可以将内容写入文件。
(7)无法访问:无法访问任何资源,即使用户拥有对更高级别父目录的权限。要使用NTFS权限来保护目录 或文件,必须具备两个条件。
(1)要设置权限的目录或文件必须位于NTFS分区中。
(2)对于要授予权限的用户或 用户组,应设立有效的windows账户。
这种权限也成为访问控制列表。组权限和用户权限的关系是:用户获得所在组的全部权限,如果用户又定义了其他权限,则将累计用户和组的权限;对于一个属于多个组的用户,其权限就是各组权限与该用户权限的累加。
无论WEB服务器本身的权限多大,都要受制于NTFS权限。这里针对WEB服务器文件系统的安全,给出几条具体建议,供网络管理员参考。
(1)对一般用户给予读取权限,只有管理员和system账户才能授予完全控制权限。这样有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这就需要对这些文件所在的文件夹权限进行更改。建议在更改前先在测试机器上进行测试,一定要慎重更改。
(2)对操作系统文件和文件夹、web服务器文件和文件夹 分别设置访问权限。
(3)对于web服务器来说,可以对“IIS_计算机名”账户赋予读取权限。
(4)不能允许EVERYONE组对任一目录具有写和执行权限。
(5)限制浏览目录,即一般不要授予“列出文件夹目录”的权限。
(6)在默认情况下,IIS FTP和SMTP两个默认的目录对Everyone组授予完全控制权限,应当加以更改。只给管理员和syetem账户授予完全控制权限,对Everyone组授予执行权限。
