返回列表 回復 發帖

Windows-guest帳戶與隱患

雖然Win2000/XP等系統提供了“許可權”的功能,但是這樣就又帶來一個新問題:許可權如何分配才是合理的?如果所有人擁有的許可權都一樣,那麼就等於所 有人都沒有許可權的限制,那和使用Win9x有什麼區別?幸好,系統默認就為我們設置好了“許可權組”(Group),只需把用戶加進相應的組即可擁有由這個 組賦予的操作許可權,這種做法就稱為許可權的指派。

     默認情況下,系統為用戶分了6個組,並給每個組賦予不同的操作許可權,依次為:超級管理員組(Administrators)、高許可權用戶組(Power Users)、普通用戶組(Users)、備份操作組(Backup Operators)、檔複製組(Replicator)、來賓用戶組(Guests),其中備份操作組和文件複製組為維護系統而設置,平時不會被使 用。(圖.默認分組)

      系統默認的分組是依照一定的管理憑據指派許可權的,而不是胡亂產生,超級管理員組擁有大部分的電腦操作許可權(並不是全部),能夠隨意修改刪除所有檔和修改系 統設置。再往下就是高許可權用戶組,這一部分用戶也能做大部分事情,但是不能修改系統設置,不能運行一些涉及系統管理的程式。普通用戶組則被系統拴在了自己 的地盤裏,不能處理其他用戶的檔和運行涉及管理的程式等。來賓用戶組的檔操作許可權和普通用戶組一樣,但是無法執行更多的程式。(圖.不同帳戶許可權的限 制)

      這是系統給各個組指派的許可權說明,細心的用戶也許會發現,為什麼裏面描述的“不能處理其他用戶的檔”這一條規則並不成立呢,我可以訪問所有檔啊,只是 不能對系統設置作出修改而已,難道是許可權設定自身存在問題?實際上,NT技術的一部分功能必須依賴於特有的“NTFS”(NT檔系統)分區才能實現,文 件操作的許可權指派就是最敏感的一部分,而大部分家庭用戶的分區為FAT32格式,它並不支持NT技術的安全功能,因此在這樣的檔系統分區上,連來賓用戶 都能隨意流覽修改系統超級管理員建立的檔(限制寫入操作的共用訪問除外),但這並不代表系統許可權不起作用,我們只要把分區改為NTFS即可。

  2.特殊許可權

      除了上面提到的6個默認許可權分組,系統還存在一些特殊許可權成員,這些成員是為了特殊用途而設置,分別是:SYSTEM(系統)、Everyone(所有 人)、CREATOR OWNER(創建者)等,這些特殊成員不被任何內置用戶組吸納,屬於完全獨立出來的帳戶。(圖.特殊許可權成員)

     前面我提到超級管理員分組的許可權時並沒有用“全部”來形容,秘密就在此,不要相信系統描述的“有不受限制的完全訪問權”,它不會傻到把自己完全交給人類,管理 員分組同樣受到一定的限制,只是沒那麼明顯罷了,真正擁有“完全訪問權”的只有一個成員:SYSTEM。這個成員是系統產生的,真正擁有整臺電腦管理權 限的帳戶,一般的操作是無法獲取與它等價的許可權的。

       “所有人”許可權與普通用戶組許可權差不多,它的存在是為了讓用戶能訪問被標記為“公有”的檔,這也是一些程式正常運行需要的訪問許可權——任何人都能正常訪問被賦予“Everyone”許可權的檔,包括來賓組成員。

     被標記為“創建者”許可權的檔只有建立檔的那個用戶才能訪問,做到了一定程度的隱私保護。

  &nb
返回列表