隨著動網(wǎng)論壇的廣泛應(yīng)用和動網(wǎng)上傳漏洞的被發(fā)現(xiàn)以及SQL注入式攻擊越來越多的被使用�����,WEBSHELL讓防火墻形同虛設(shè)�,一臺即使打了所有微軟補丁、只讓80端口對外開放的WEB服務(wù)器也逃不過被黑的命運。難道我們真的無能為力了嗎�����?其實�����,只要你弄明白了NTFS系統(tǒng)下的權(quán)限設(shè)置問題���,我們可以對crackers們說:NO!
要打造一臺安全的WEB服務(wù)器,那么這臺服務(wù)器就一定要使用NTFS和Windows NT/2000/2003�����。眾所周知�����,Windows是一個支持多用戶、多任務(wù)的操作系統(tǒng)�����,這是權(quán)限設(shè)置的基礎(chǔ),一切權(quán)限設(shè)置都是基于用戶和進程而言的�����,不同的用戶在訪問這臺計算機時�����,將會有不同的權(quán)限�。DOS是個單任務(wù)���、單用戶的操作系統(tǒng)。但是我們能說DOS沒有權(quán)限嗎�����?不能���!當(dāng)我們打開一臺裝有DOS操作系統(tǒng)的計算機的時候�,我們就擁有了這個操作系統(tǒng)的管理員權(quán)限�����,而且,這個權(quán)限無處不在�。所以�,我們只能說DOS不支持權(quán)限的設(shè)置,不能說它沒有權(quán)限�����。隨著人們安全意識的提高�,權(quán)限設(shè)置隨著NTFS的發(fā)布誕生了。
Windows NT里�,用戶被分成許多組�����,組和組之間都有不同的權(quán)限�,當(dāng)然,一個組的用戶和用戶之間也可以有不同的權(quán)限�����。下面我們來談?wù)凬T中常見的用戶組�����。
Administrators,管理員組�����,默認情況下�,Administrators中的用戶對計算機/域有不受限制的完全訪問權(quán)�。分配給該組的默認權(quán)限允許對整個系統(tǒng)進行完全控制。所以�����,只有受信任的人員才可成為該組的成員�。
Power Users,高級用戶組�����,Power Users 可以執(zhí)行除了為 Administrators 組保留的任務(wù)外的其他任何操作系統(tǒng)任務(wù)���。分配給 Power Users 組的默認權(quán)限允許 Power Users 組的成員修改整個計算機的設(shè)置。但Power Users 不具有將自己添加到 Administrators 組的權(quán)限���。在權(quán)限設(shè)置中���,這個組的權(quán)限是僅次于Administrators的���。
Users:普通用戶組,這個組的用戶無法進行有意或無意的改動�����。因此���,用戶可以運行經(jīng)過驗證的應(yīng)用程序,但不可以運行大多數(shù)舊版應(yīng)用程序�。Users 組是最安全的組,因為分配給該組的默認權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料�。Users 組提供了一個最安全的程序運行環(huán)境。在經(jīng)過 NTFS 格式化的卷上���,默認安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性�����。用戶不能修改系統(tǒng)注冊表設(shè)置���、操作系統(tǒng)文件或程序文件���。Users 可以關(guān)閉工作站�,但不能關(guān)閉服務(wù)器。Users 可以創(chuàng)建本地組�,但只能修改自己創(chuàng)建的本地組。
Guests:來賓組�,按默認值�����,來賓跟普通Users的成員有同等訪問權(quán)�,但來賓帳戶的限制更多。
Everyone:顧名思義�����,所有的用戶�,這個計算機上的所有用戶都屬于這個組�����。
其實還有一個組也很常見���,它擁有和Administrators一樣���、甚至比其還高的權(quán)限,但是這個組不允許任何用戶的加入���,在察看用戶組的時候���,它也不會被顯示出來,它就是SYSTEM組���。系統(tǒng)和系統(tǒng)級的服務(wù)正常運行所需要的權(quán)限都是靠它賦予的�����。由于該組只有這一個用戶SYSTEM�,也許把該組歸為用戶的行列更為貼切�����。
權(quán)限是有高低之分的�,有高權(quán)限的用戶可以對低權(quán)限的用戶進行操作,但除了Administrators之外�����,其他組的用戶不能訪問 NTFS 卷上的其他用戶資料�����,除非他們獲得了這些用戶的授權(quán)���。而低權(quán)限的用戶無法對高權(quán)限的用戶進行任何操作。
我們平常使用計算機的過程當(dāng)中不會感覺到有權(quán)限在阻撓你去做某件事情�����,這是因為我們在使用計算機的時候都用的是Administrators中的用戶登陸的�。這樣有利也有弊���,利當(dāng)然是你能去做你想做的任何一件事情而不會遇到權(quán)限的限制�����。弊就是以 Administrators 組成員的身份運行計算機將使系統(tǒng)容易受到特洛伊木馬、病毒及其他安全風(fēng)險的威脅。訪問 Internet 站點或打開電子郵件附件的簡單行動都可能破壞系統(tǒng)�����。不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬代碼�,這些代碼可以下載到系統(tǒng)并被執(zhí)行。如果以本地計算機的管理員身份登錄�����,特洛伊木馬可能使用管理訪問權(quán)重新格式化您的硬盤�,造成不可估量的損失���,所以在沒有必要的情況下�����,最好不用Administrators中的用戶登陸�。
Administrators中有一個在系統(tǒng)安裝時就創(chuàng)建的默認用戶----Administrator���,Administrator 帳戶具有對服務(wù)器的完全控制權(quán)限�����,并可以根據(jù)需要向用戶指派用戶權(quán)利和訪問控制權(quán)限�。因此強烈建議將此帳戶設(shè)置為使用強密碼���。永遠也不可以從 Administrators 組刪除 Administrator 帳戶���,但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上�,所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對于一個好的服務(wù)器管理員來說�,他們通常都會重命名或禁用此帳戶���。Guests用戶組下���,也有一個默認用戶----Guest,但是在默認情況下,它是被禁用的���。如果沒有特別必要,無須啟用此賬戶���。我們可以通過“控制面板”--“管理工具”--“計算機管理”--“用戶和用戶組”來查看用戶組及該組下的用戶�。
我們用鼠標(biāo)右鍵單擊一個NTFS卷或NTFS卷下的一個目錄,選擇“屬性”--“安全”就可以對一個卷�,或者一個卷下面的目錄進行權(quán)限設(shè)置,此時我們會看到以下七種權(quán)限:完全控制�、修改、讀取和運行���、列出文件夾目錄���、讀取���、寫入���、和特別的權(quán)限�。“完全控制”就是對此卷或目錄擁有不受限制的完全訪問���。地位就像Administrators在所有組中的地位一樣�。選中了“完全控制”���,下面的五項屬性將被自動被選中�。“修改”則像Power users�,選中了“修改”�����,下面的四項屬性將被自動被選中�。下面的任何一項沒有被選中時,“修改”條件將不再成立���?!白x取和運行”就是允許讀取和運行在這個卷或目錄下的任何文件�����,“列出文件夾目錄”和“讀取”是“讀取和運行”的必要條件?����!傲谐鑫募A目錄”是指只能瀏覽該卷或目錄下的子目錄�,不能讀取,也不能運行�?����!白x取”是能夠讀取該卷或目錄下的數(shù)據(jù)���。“寫入”就是能往該卷或目錄下寫入數(shù)據(jù)���。而“特別”則是對以上的六種權(quán)限進行了細分�。讀者可以自行對“特別”進行更深的研究�����,鄙人在此就不過多贅述了�。
下面我們對一臺剛剛安裝好操作系統(tǒng)和服務(wù)軟件的WEB服務(wù)器系統(tǒng)和其權(quán)限進行全面的刨析�。服務(wù)器采用Windows 2000 Server版,安裝好了SP4及各種補丁���。WEB服務(wù)軟件則是用了Windows 2000自帶的IIS 5.0�,刪除了一切不必要的映射�。整個硬盤分為四個NTFS卷�����,C盤為系統(tǒng)卷,只安裝了系統(tǒng)和驅(qū)動程序�����;D盤為軟件卷���,該服務(wù)器上所有安裝的軟件都在D盤中;E盤是WEB程序卷���,網(wǎng)站程序都在該卷下的WWW目錄中�;F盤是網(wǎng)站數(shù)據(jù)卷�����,網(wǎng)站系統(tǒng)調(diào)用的所有數(shù)據(jù)都存放在該卷的WWWDATABASE目錄下�。這樣的分類還算是比較符合一臺安全服務(wù)器的標(biāo)準(zhǔn)了�����。
希望各個新手管理員能合理給你的服務(wù)器數(shù)據(jù)進行分類���,這樣不光是查找起來方便�����,更重要的是這樣大大的增強了服務(wù)器的安全性���,因為我們可以根據(jù)需要給每個卷或者每個目錄都設(shè)置不同的權(quán)限,一旦發(fā)生了網(wǎng)絡(luò)安全事故�����,也可以把損失降到最低�����。當(dāng)然���,也可以把網(wǎng)站的數(shù)據(jù)分布在不同的服務(wù)器上�,使之成為一個服務(wù)器群,每個服務(wù)器都擁有不同的用戶名和密碼并提供不同的服務(wù)���,這樣做的安全性更高�����。不過愿意這樣做的人都有一個特點----有錢:)。好了�,言歸正傳�����,該服務(wù)器的數(shù)據(jù)庫為MS-SQL�,MS-SQL的服務(wù)軟件SQL2000安裝在d:/ms-sqlserver2K目錄下���,給SA賬戶設(shè)置好了足夠強度的密碼,安裝好了SP3補丁���。
為了方便網(wǎng)頁制作員對網(wǎng)頁進行管理�����,該網(wǎng)站還開通了FTP服務(wù),F(xiàn)TP服務(wù)軟件使用的是SERV-U 5.1.0.0�����,安裝在d:/ftpservice/serv-u目錄下�。殺毒軟件和防火墻用的分別是Norton Antivirus和BlackICE,路徑分別為d:/nortonAV和d:/firewall/blackice,病毒庫已經(jīng)升級到最新�����,防火墻規(guī)則庫定義只有80端口和21端口對外開放�����。網(wǎng)站的內(nèi)容是采用動網(wǎng)7.0的論壇,網(wǎng)站程序在e:/www/bbs下�����。細心的讀者可能已經(jīng)注意到了,安裝這些服務(wù)軟件的路徑我都沒有采用默認的路徑或者是僅僅更改盤符的默認路徑���,這也是安全上的需要�����,因為一個黑客如果通過某些途徑進入了你的服務(wù)器�����,但并沒有獲得管理員權(quán)限�,他首先做的事情將是查看你開放了哪些服務(wù)以及安裝了哪些軟件�,因為他需要通過這些來提升他的權(quán)限。
一個難以猜解的路徑加上好的權(quán)限設(shè)置將把他阻擋在外�����。相信經(jīng)過這樣配置的WEB服務(wù)器已經(jīng)足夠抵擋大部分學(xué)藝不精的黑客了。讀者可能又會問了:“這根本沒用到權(quán)限設(shè)置嘛���!我把其他都安全工作都做好了�,權(quán)限設(shè)置還有必要嗎�?”當(dāng)然有�����!智者千慮還必有一失呢�,就算你現(xiàn)在已經(jīng)把系統(tǒng)安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發(fā)現(xiàn)���。權(quán)限將是你的最后一道防線���!那我們現(xiàn)在就來對這臺沒有經(jīng)過任何權(quán)限設(shè)置�����,全部采用Windows默認權(quán)限的服務(wù)器進行一次模擬攻擊���,看看其是否真的固若金湯�����。
假設(shè)服務(wù)器外網(wǎng)域名為http://www.webserver.com�,用掃描軟件對其進行掃描后發(fā)現(xiàn)開放WWW和FTP服務(wù)�,并發(fā)現(xiàn)其服務(wù)軟件使用的是IIS 5.0和Serv-u 5.1,用一些針對他們的溢出工具后發(fā)現(xiàn)無效�����,遂放棄直接遠程溢出的想法�����。打開網(wǎng)站頁面�����,發(fā)現(xiàn)使用的是動網(wǎng)的論壇系統(tǒng)�����,于是在其域名后面加個/upfile.asp,發(fā)現(xiàn)有文件上傳漏洞�����,便抓包�,把修改過的ASP木馬用NC提交�����,提示上傳成功�,成功得到WEBSHELL,打開剛剛上傳的ASP木馬���,發(fā)現(xiàn)有MS-SQL�、Norton Antivirus和BlackICE在運行�,判斷是防火墻上做了限制�����,把SQL服務(wù)端口屏蔽了。通過ASP木馬查看到了Norton Antivirus和BlackICE的PID�����,又通過ASP木馬上傳了一個能殺掉進程的文件,運行后殺掉了Norton Antivirus和BlackICE�����。再掃描�,發(fā)現(xiàn)1433端口開放了�����,到此,便有很多種途徑獲得管理員權(quán)限了���,可以查看網(wǎng)站目錄下的conn.asp得到SQL的用戶名密碼�,再登陸進SQL執(zhí)行添加用戶,提管理員權(quán)限�����。也可以抓SERV-U下的ServUDaemon.ini修改后上傳���,得到系統(tǒng)管理員權(quán)限�����。還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等���。大家可以看到,一旦黑客找到了切入點�����,在沒有權(quán)限限制的情況下,黑客將一帆風(fēng)順的取得管理員權(quán)限�����。
那我們現(xiàn)在就來看看Windows 2000的默認權(quán)限設(shè)置到底是怎樣的�����。對于各個卷的根目錄���,默認給了Everyone組完全控制權(quán)。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為���。系統(tǒng)卷下有三個目錄比較特殊,系統(tǒng)默認給了他們有限制的權(quán)限���,這三個目錄是Documents and settings、PRogram files和Winnt���。對于Documents and settings�����,默認的權(quán)限是這樣分配的:Administrators擁有完全控制權(quán);Everyone擁有讀&運,列和讀權(quán)限�����;Power users擁有讀&運�����,列和讀權(quán)限���;SYSTEM同Administrators;Users擁有讀&運�,列和讀權(quán)限。對于Program files�����,Administrators擁有完全控制權(quán);Creator owner擁有特殊權(quán)限;Power users有完全控制權(quán);SYSTEM同Administrators;Terminal server users擁有完全控制權(quán),Users有讀&運�,列和讀權(quán)限。對于Winnt�����,Administrators擁有完全控制權(quán)�����;Creator owner擁有特殊權(quán)限;Power users有完全控制權(quán);SYSTEM同Administrators;Users有讀&運�,列和讀權(quán)限。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限���,也就是Everyone組完全控制權(quán)�!
現(xiàn)在大家知道為什么我們剛剛在測試的時候能一帆風(fēng)順的取得管理員權(quán)限了吧���?權(quán)限設(shè)置的太低了�!一個人在訪問網(wǎng)站的時候�����,將被自動賦予IUSR用戶,它是隸屬于Guest組的�。本來權(quán)限不高�����,但是系統(tǒng)默認給的Everyone組完全控制權(quán)卻讓它“身價倍增”�,到最后能得到Administrators了�。那么�,怎樣設(shè)置權(quán)限給這臺WEB服務(wù)器才算是安全的呢���?大家要牢記一句話:“最少的服務(wù)+最小的權(quán)限=最大的安全”對于服務(wù)�,不必要的話一定不要裝�����,要知道服務(wù)的運行是SYSTEM級的哦�����,對于權(quán)限,本著夠用就好的原則分配就是了�。對于WEB服務(wù)器,就拿剛剛那臺服務(wù)器來說�����,我是這樣設(shè)置權(quán)限的�,大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files�,只給Administrator完全控制權(quán),或者干脆直接把Program files給刪除掉�����;給系統(tǒng)卷的根目錄多加一個Everyone的讀���、寫權(quán)�����;給e:/www目錄,也就是網(wǎng)站目錄讀�、寫權(quán)���。
最后�����,還要把cmd.exe這個文件給挖出來�,只給Administrator完全控制權(quán)。經(jīng)過這樣的設(shè)置后���,再想通過我剛剛的方法入侵這臺服務(wù)器就是不可能完成的任務(wù)了���??赡苓@時候又有讀者會問:“為什么要給系統(tǒng)卷的根目錄一個Everyone的讀、寫權(quán)�?網(wǎng)站中的ASP文件運行不需要運行權(quán)限嗎?”問的好�,有深度。是這樣的�����,系統(tǒng)卷如果不給Everyone的讀�、寫權(quán)的話,啟動計算機的時候���,計算機會報錯�����,而且會提示虛擬內(nèi)存不足���。當(dāng)然這也有個前提----虛擬內(nèi)存是分配在系統(tǒng)盤的���,如果把虛擬內(nèi)存分配在其他卷上�����,那你就要給那個卷Everyone的讀、寫權(quán)�����。ASP文件的運行方式是在服務(wù)器上執(zhí)行���,只把執(zhí)行的結(jié)果傳回最終用戶的瀏覽器�,這沒錯���,但ASP文件不是系統(tǒng)意義上的可執(zhí)行文件,它是由WEB服務(wù)的提供者----IIS來解釋執(zhí)行的�,所以它的執(zhí)行并不需要運行的權(quán)限���。
經(jīng)過上面的講解以后,你一定對權(quán)限有了一個初步了了解了吧���?想更深入的了解權(quán)限�����,那么權(quán)限的一些特性你就不能不知道了���,權(quán)限是具有繼承性�、累加性 、優(yōu)先性�����、交叉性的�����。
繼承性是說下級的目錄在沒有經(jīng)過重新設(shè)置之前�,是擁有上一級目錄權(quán)限設(shè)置的�����。這里還有一種情況要說明一下���,在分區(qū)內(nèi)復(fù)制目錄或文件的時候,復(fù)制過去的目錄和文件將擁有它現(xiàn)在所處位置的上一級目錄權(quán)限設(shè)置�。但在分區(qū)內(nèi)移動目錄或文件的時候�,移動過去的目錄和文件將擁有它原先的權(quán)限設(shè)置。
累加是說如一個組GROUP1中有兩個用戶USER1���、USER2,他們同時對某文件或目錄的訪問權(quán)限分別為“讀取”和“寫入”�,那么組GROUP1對該文件或目錄的訪問權(quán)限就為USER1和USER2的訪問權(quán)限之和,實際上是取其最大的那個�,即“讀取”+“寫入”=“寫入”���。 又如一個用戶USER1同屬于組GROUP1和GROUP2�����,而GROUP1對某一文件或目錄的訪問權(quán)限為“只讀”型的�,而GROUP2對這一文件或文件夾的訪問權(quán)限為“完全控制”型的�,則用戶USER1對該文件或文件夾的訪問權(quán)限為兩個組權(quán)限累加所得�����,即:“只讀”+“完全控制”=“完全控制”�。
優(yōu)先性,權(quán)限的這一特性又包含兩種子特性�,其一是文件的訪問權(quán)限優(yōu)先目錄的權(quán)限,也就是說文件權(quán)限可以越過目錄的權(quán)限�,不顧上一級文件夾的設(shè)置�����。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限���,也就是說“拒絕”權(quán)限可以越過其它所有其它權(quán)限�����,一旦選擇了“拒絕”權(quán)限,則其它權(quán)限也就不能取任何作用���,相當(dāng)于沒有設(shè)置�。
交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時又為用戶設(shè)置了該文件夾的訪問權(quán)限�,且所設(shè)權(quán)限不一致時,它的取舍原則是取兩個權(quán)限的交集�����,也即最嚴(yán)格���、最小的那種權(quán)限���。如目錄A為用戶USER1設(shè)置的共享權(quán)限為“只讀”,同時目錄A為用戶USER1設(shè)置的訪問權(quán)限為“完全控制”�,那用戶USER1的最終訪問權(quán)限為“只讀”。
權(quán)限設(shè)置的問題我就說到這了�,在最后我還想給各位讀者提醒一下,權(quán)限的設(shè)置必須在NTFS分區(qū)中才能實現(xiàn)的���,F(xiàn)AT32是不支持權(quán)限設(shè)置的�。同時還想給各位管理員們一些建議:
1.養(yǎng)成良好的習(xí)慣,給服務(wù)器硬盤分區(qū)的時候分類明確些�����,在不使用服務(wù)器的時候?qū)⒎?wù)器鎖定���,經(jīng)常更新各種補丁和升級殺毒軟件。
2.設(shè)置足夠強度的密碼�,這是老生常談了�����,但總有管理員設(shè)置弱密碼甚至空密碼���。
3.盡量不要把各種軟件安裝在默認的路徑下
4.在英文水平不是問題的情況下,盡量安裝英文版操作系統(tǒng)�����。
5.切忌在服務(wù)器上亂裝軟件或不必要的服務(wù)���。
6.牢記:沒有永遠安全的系統(tǒng)�,經(jīng)常更新你的知識�。
