GUEST賬戶的用途與隱患
2024-09-07 13:37:20
供稿:網(wǎng)友
雖然Win2000/XP等系統(tǒng)提供了“權(quán)限”的功能��,但是這樣就又帶來一個新問題:權(quán)限如何分配才是合理的?如果所有人擁有的權(quán)限都一樣��,那么就等于所 有人都沒有權(quán)限的限制��,那和使用Win9x有什么區(qū)別?幸好,系統(tǒng)默認(rèn)就為我們設(shè)置好了“權(quán)限組”(Group)���,只需把用戶加進(jìn)相應(yīng)的組即可擁有由這個 組賦予的操作權(quán)限�����,這種做法就稱為權(quán)限的指派。
默認(rèn)情況下��,系統(tǒng)為用戶分了6個組��,并給每個組賦予不同的操作權(quán)限��,依次為:管理員組(Administrators)、高權(quán)限用戶組(Power Users)、普通用戶組(Users)�����、備份操作組(Backup Operators)��、文件復(fù)制組(Replicator)�����、來賓用戶組(Guests),其中備份操作組和文件復(fù)制組為維護(hù)系統(tǒng)而設(shè)置,平時不會被使 用�����。(圖.默認(rèn)分組)
系統(tǒng)默認(rèn)的分組是依照一定的管理憑據(jù)指派權(quán)限的,而不是胡亂產(chǎn)生,管理員組擁有大部分的計算機(jī)操作權(quán)限(并不是全部)��,能夠隨意修改刪除所有文件和修改系 統(tǒng)設(shè)置。再往下就是高權(quán)限用戶組�����,這一部分用戶也能做大部分事情,但是不能修改系統(tǒng)設(shè)置,不能運(yùn)行一些涉及系統(tǒng)管理的程序���。普通用戶組則被系統(tǒng)拴在了自己 的地盤里���,不能處理其他用戶的文件和運(yùn)行涉及管理的程序等。來賓用戶組的文件操作權(quán)限和普通用戶組一樣��,但是無法執(zhí)行更多的程序���。(圖.不同賬戶權(quán)限的限 制)
這是系統(tǒng)給各個組指派的權(quán)限說明�����,細(xì)心的用戶也許會發(fā)現(xiàn)�����,為什么里面描述的“不能處理其他用戶的文件”這一條規(guī)則并不成立呢��,我可以訪問所有文件啊��,只是 不能對系統(tǒng)設(shè)置作出修改而已,難道是權(quán)限設(shè)定自身存在問題?實(shí)際上���,NT技術(shù)的一部分功能必須依賴于特有的“NTFS”(NT文件系統(tǒng))分區(qū)才能實(shí)現(xiàn),文 件操作的權(quán)限指派就是最敏感的一部分��,而大部分家庭用戶的分區(qū)為FAT32格式���,它并不支持NT技術(shù)的安全功能��,因此在這樣的文件系統(tǒng)分區(qū)上��,連來賓用戶 都能隨意瀏覽修改系統(tǒng)管理員建立的文件(限制寫入操作的共享訪問除外)���,但這并不代表系統(tǒng)權(quán)限不起作用�����,我們只要把分區(qū)改為NTFS即可��。
2.特殊權(quán)限
除了上面提到的6個默認(rèn)權(quán)限分組,系統(tǒng)還存在一些特殊權(quán)限成員�����,這些成員是為了特殊用途而設(shè)置���,分別是:SYSTEM(系統(tǒng))、Everyone(所有 人)���、CREATOR OWNER(創(chuàng)建者)等���,這些特殊成員不被任何內(nèi)置用戶組吸納,屬于完全獨(dú)立出來的賬戶。(圖.特殊權(quán)限成員)
前面我提到管理員分組的權(quán)限時并沒有用“全部”來形容��,秘密就在此,不要相信系統(tǒng)描述的“有不受限制的完全訪問權(quán)”���,它不會傻到把自己完全交給人類,管理 員分組同樣受到一定的限制��,只是沒那么明顯罷了,真正擁有“完全訪問權(quán)”的只有一個成員:SYSTEM。這個成員是系統(tǒng)產(chǎn)生的��,真正擁有整臺計算機(jī)管理權(quán) 限的賬戶��,一般的操作是無法獲取與它等價的權(quán)限的��。
“所有人”權(quán)限與普通用戶組權(quán)限差不多,它的存在是為了讓用戶能訪問被標(biāo)記為“公有”的文件��,這也是一些程序正常運(yùn)行需要的訪問權(quán)限——任何人都能正常訪問被賦予“Everyone”權(quán)限的文件�����,包括來賓組成員�����。
被標(biāo)記為“創(chuàng)建者”權(quán)限的文件只有建立文件的那個用戶才能訪問��,做到了一定程度的隱私保護(hù)���。
但是�����,所有的文件訪問權(quán)限均可以被管理員組用戶和SYSTEM成員忽略�����,除非用戶使用了NTFS加密。
無論是普通權(quán)限還是特殊權(quán)限��,它們都可以“疊加”使用���,“疊加”就是指多個權(quán)限共同使用,例如一個賬戶原本屬于Users組��,而后我們把他加入 Administrators組,那么現(xiàn)在這個賬戶便同時擁有兩個權(quán)限身份���,而不是用管理員權(quán)限去覆蓋原來身份。權(quán)限疊加并不是沒有意義的�����,在一些需要特 定身份訪問的場合���,用戶只有為自己設(shè)置了指定的身份才能訪問��,這個時候“疊加”的使用就能減輕一部分勞動量了�����。
·無形的柵欄 完全解析Windows系統(tǒng)權(quán)限(2)
3.NTFS與權(quán)限
在前面我提到了NTFS文件系統(tǒng),自己安裝過Win2000/XP的用戶應(yīng)該會注意到安裝過程中出現(xiàn)的“轉(zhuǎn)換分區(qū)格式為NTFS”的選擇�����,那么什么是 NTFS?NTFS(New Technology File System)是一個特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式���,只有使用NT技術(shù)的系統(tǒng)對它直接提供支持���,也就是說��,如果系統(tǒng)崩潰 了��,用戶將無法使用外面流行的普通光盤啟動工具修復(fù)系統(tǒng)��,因此���,是使用傳統(tǒng)的FAT32還是NTFS�����,一直是個倍受爭議的話題,但如果用戶要使用完全的系 統(tǒng)權(quán)限功能��,或者要安裝作為服務(wù)器使用���,建議最好還是使用NTFS分區(qū)格式。
與FAT32分區(qū)相比�����,NTFS分區(qū)多了一個“安全”特性(圖.FAT32與NTFS的比較)�����,在里面��,用戶可以進(jìn)一步設(shè)置相關(guān)的文件訪問權(quán)限,而且前面 提到的相關(guān)用戶組指派的文件權(quán)限也只有在NTFS格式分區(qū)上才能體現(xiàn)出來��。例如��,來賓組的用戶再也不能隨便訪問到NTFS格式分區(qū)的任意一個文件了��,這樣 可以減少系統(tǒng)遭受一般由網(wǎng)站服務(wù)器帶來的入侵損失�����,因?yàn)镮IS賬戶對系統(tǒng)的訪問權(quán)限僅僅是來賓級別而已,如果入侵者不能提升權(quán)限���,那么他這次的入侵可以算 是白忙了�����。
使用NTFS分區(qū)的時候���,用戶才會察覺到系統(tǒng)給管理員組用戶設(shè)定的限制:一些文件即使是管理員也無法訪問�����,因?yàn)樗荢YSTEM成員建立的��,并且設(shè)定了權(quán)限。(圖.NTFS權(quán)限審核導(dǎo)致訪問被拒絕)
但是NTFS系統(tǒng)會帶來一個眾所周知的安全隱患:NTFS支持一種被稱為“交換數(shù)據(jù)流”(AlternateDataStream�����,ADs)的存儲特性��, 原意是為了和Macintosh的HFS文件系統(tǒng)兼容而設(shè)計的,使用這種技術(shù)可以在一個文件資源里寫入相關(guān)數(shù)據(jù)(并不是寫入文件中)��,而且寫進(jìn)去的數(shù)據(jù)可 以使用很簡單的方法把它提取出來作為一個獨(dú)立文件讀取�����,甚至執(zhí)行���,這就給入侵者提供了一個可乘之機(jī)��,例如在一個正常程序里插入包含惡意代碼的數(shù)據(jù)流���,在程 序運(yùn)行時把惡意代碼提取出來執(zhí)行���,就完成了一次破壞行動。
不過值得慶幸的是��,數(shù)據(jù)流僅僅能存在于NTFS格式分區(qū)內(nèi)���,一旦存儲介質(zhì)改變?yōu)镕AT32�����、CDFS等格式���,數(shù)據(jù)流內(nèi)容便會消失了���,破壞代碼也就不復(fù)存在��。
4.權(quán)限設(shè)置帶來的安全訪問和故障
很多時候���,管理員不得不為遠(yuǎn)程網(wǎng)絡(luò)訪問帶來的危險因素而擔(dān)憂�����,普通用戶也經(jīng)常因?yàn)樾侣┒垂艋蛘逫E瀏覽器安全漏洞下載的網(wǎng)頁木馬而疲于奔命,實(shí)際上合理使用NTFS格式分區(qū)和權(quán)限設(shè)置的組合���,足以讓我們抵御大部分病毒和黑客的入侵。
首先��,我們要盡量避免平時使用管理員賬戶登錄系統(tǒng)��,這樣會讓一些由IE帶來的病毒木馬因?yàn)榈貌坏较嚓P(guān)權(quán)限而感染失敗,但是國內(nèi)許多計算機(jī)用戶并沒有意識到 這一點(diǎn)���,或者說沒有接觸到相關(guān)概念,因而大部分系統(tǒng)都是以管理員賬戶運(yùn)行的�����,這就給病毒傳播提供了一個很好的環(huán)境���。如果用戶因?yàn)槟承┕ぷ餍枰?�,必須以管?員身份操作系統(tǒng),那么請降低IE的運(yùn)行權(quán)限�����,有試驗(yàn)證明��,IE運(yùn)行的用戶權(quán)限每降低一個級別�����,受漏洞感染的幾率就相應(yīng)下降一個級別���,因?yàn)橐恍┎《驹诶缦?Users組這樣的權(quán)限級別里是無法對系統(tǒng)環(huán)境做出修改的�����。降低IE運(yùn)行權(quán)限的方法很多��,最簡單的就是使用微軟自家產(chǎn)品“Drop MyRights”對程序的運(yùn)行權(quán)限做出調(diào)整�����。(圖.用RunAs功能降低IE運(yùn)行級別)
對管理員來說���,設(shè)置服務(wù)器的訪問權(quán)限才是他們關(guān)心的重點(diǎn)��,這時候就必須搭配NTFS分區(qū)來設(shè)置IIS了��,因?yàn)橹挥蠳TFS才具備文件訪問權(quán)限的特性�����。然后 就是安裝IIS,經(jīng)過這一步系統(tǒng)會建立兩個用于IIS進(jìn)程的來賓組賬戶“IUSR_機(jī)器名”和“IWAM_機(jī)器名”���,但這樣還不夠,別忘記系統(tǒng)的特殊成員 “Everyone”���,這個成員的存在雖然是為了方便用戶訪問的��,但是對于網(wǎng)絡(luò)服務(wù)器最重要的“最小權(quán)限”思路(網(wǎng)絡(luò)服務(wù)程序運(yùn)行的權(quán)限越小���,安全系數(shù)越 高)來說�����,它成了安全隱患��,“Everyone”使得整個服務(wù)器的文件可以隨便被訪問,一旦被入侵��,黑客就有了提升權(quán)限的機(jī)會,因此需要把惹禍的 “Everyone”成員從敏感文件夾的訪問權(quán)限去掉�����,要做到這一步��,只需運(yùn)行“cacls.exe 目錄名 /R "everyone" /E”即可。敏感文件夾包括整個系統(tǒng)盤��、系統(tǒng)目錄、用戶主目錄等���。這是專為服務(wù)器安全設(shè)置的�����,不推薦一般用戶依葫蘆畫瓢,因?yàn)檫@樣設(shè)定過“最小權(quán)限”后���, 可能會對日常使用的一些程序造成影響��。
雖然權(quán)限設(shè)定會給安全防范帶來一定的好處�����,但是有時候��,它也會闖禍的…… “文件共享”(Sharing)是被使用最多的網(wǎng)絡(luò)遠(yuǎn)程文件訪問功能,卻也是最容易出問題的一部分�����,許多用戶在使用一些優(yōu)化工具后�����,發(fā)現(xiàn)文件共享功能突然 就失效了�����,或者無論如何都無法成功共享文件��,這也是很多網(wǎng)絡(luò)管理員要面對的棘手問題,如果你也不巧遇到了��,那么可以嘗試檢查以下幾種原因:
(1).相應(yīng)的服務(wù)被禁止。文件共享功能依賴于這4個服務(wù):Computer Browser、TCP/IP NetBIOS Helper Service�����、Server�����、Workstation,如果它們的其中一個被禁止了�����,文件共享功能就會出現(xiàn)各種古怪問題如不能通過計算機(jī)名訪問等�����,甚至 完全不能訪問。
(2).內(nèi)置來賓賬戶組成員Guest未啟用。文件共享功能需要使用Guest權(quán)限訪問網(wǎng)絡(luò)資源��。
(3). 內(nèi)置來賓賬戶組成員Guest被禁止從網(wǎng)絡(luò)訪問���。這問題常見于XP系統(tǒng)���,因?yàn)樗诮M策略(gpedit.msc)->計算機(jī)配置 ->Windows設(shè)置->安全設(shè)置->本地策略->用戶權(quán)利指派->拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)里把Guest賬戶添加進(jìn) 去了��,刪除掉即可真正啟用Guest遠(yuǎn)程訪問權(quán)限。
(4).限制了匿名訪問的權(quán)限�����。默認(rèn)情況下,組策略(gpedit.msc)->計算機(jī)配置->Windows設(shè)置->安全設(shè)置 ->本地策略->安全選項(xiàng)->對匿名連結(jié)的額外限制的設(shè)置應(yīng)該是“無�����。依賴于默認(rèn)許可權(quán)限”或者“不允許枚舉SAM賬號和共享”�����,如果 有工具自作聰明幫你把它設(shè)置為“沒有顯式匿名權(quán)限就無法訪問”,那么我可以很負(fù)責(zé)的告訴你���,你的共享全完蛋了�����。
(5).系統(tǒng)權(quán)限指派出現(xiàn)意外。默認(rèn)情況下���,系統(tǒng)會給共享目錄指派一個“Everyone”賬戶訪問授權(quán)���,然而實(shí)際上它還是要使用Guest成員完成訪問 的工作,但是有時候���,Everyone卻忘記Guest的存在了��,這是或我們就需要自己給共享目錄手動添加一個Guest賬戶�����,才能完成遠(yuǎn)程訪問���。(圖. 手動添加一個賬戶權(quán)限)
(6).NTFS權(quán)限限制��。一些剛接觸NTFS的用戶或者新手管理員經(jīng)常會出這個差錯���,在排除以上所有問題的前提下依然無法實(shí)現(xiàn)文件共享,哪里都碰過了就 是偏偏不知道來看看這個目錄的“安全”選項(xiàng)卡�����,并在里面設(shè)置好Everyone的相應(yīng)權(quán)限和添加一個Guest權(quán)限進(jìn)去�����,如果它們會說話���,也許早就在音箱 里叫喚了:嘿,快看這里!喲嗬!
(7).系統(tǒng)自身設(shè)置問題��。如果檢查了以上所有方法都無效���,那么可以考慮重裝一個系統(tǒng)了,不要笑���,一些用戶的確碰到過這種問題��,重裝后什么也沒動�����,卻一切都好了�����。這大概是因?yàn)槟承┫到y(tǒng)文件被新安裝的工具替換掉后缺失了文件共享的功能。
由權(quán)限帶來的好處是顯而易見的��,但是我們有時候也不得不面對它給我們帶來的麻煩�����,沒辦法,誰叫事物都是有兩面性的呢,畢竟正是因?yàn)橛辛诉@一圈柵欄,用戶安全才有了保障��。
三. 突破系統(tǒng)權(quán)限
距離上一次狼群的襲擊已經(jīng)過了一個多月���,羊們漸漸都忘記了恐懼,一天晚上�����,一只羊看準(zhǔn)了某處因?yàn)橄掠瓯慌莸糜悬c(diǎn)松軟低陷的柵欄�����,跳了出去?�?上н@只羊剛跳出去不久就遭遇了餓狼,不僅尸骨無存���,還給狼群帶來了一個信息:柵欄存在弱點(diǎn)���,可以突破!
幾天后的一個深夜��,狼群專找地面泥濘處的柵欄下手�����,把柵欄挖松了鉆進(jìn)去,再次洗劫了羊群���。
雖然權(quán)限為我們做了不同范圍的束縛,但是這些束縛并不是各自獨(dú)立的�����,它們?nèi)家揽坑谕瑯拥闹噶钔瓿晒ぷ?��,這就給入侵者提供了“提升權(quán)限”(Adjust Token Privilege)的基礎(chǔ)��。
所謂“提升權(quán)限”��,就是指入侵者使用各種系統(tǒng)漏洞和手段���,讓自己像那只羊或者狼群那樣�����,找到“柵欄”的薄弱環(huán)節(jié)���,突破系統(tǒng)指派的權(quán)限級別���,從而把自己當(dāng)前 的權(quán)限提高多個級別甚至管理員級別的方法�����,提升權(quán)限得以成功的前提是管理員設(shè)置的失誤(例如沒有按照“最小權(quán)限”思路來配置服務(wù)器)或者業(yè)界出現(xiàn)了新的溢 出漏洞等(例如LSASS溢出��,直接拿到SYSTEM權(quán)限)。
通常���,如果IIS或SQL兩者之一出現(xiàn)了漏洞或設(shè)置失誤��,入侵者會嘗試直接調(diào)用SQL注入語句調(diào)用特殊的系統(tǒng)存儲過程達(dá)到直接執(zhí)行命令的愿望��,如果這一步 成功�����,那么這臺服務(wù)器就淪陷了;但如果管理員還有點(diǎn)本事�����,刪除了存儲過程或者補(bǔ)好了SQL注入點(diǎn)呢?入侵者會想辦法得到IIS的瀏覽權(quán)限�����,例如一個 WebShell之類的��,然后搜尋整臺服務(wù)器的薄弱環(huán)節(jié)(前提:管理員沒刪除Everyone賬戶權(quán)限),例如Serv-U�����、IIS特殊目錄��、各種外部 CGI程序、FSO特殊對象等���,這場貓和耗子的游戲永遠(yuǎn)也不會結(jié)束���,如果管理員功底不夠扎實(shí)���,那么只能看著入侵者破壞自己的勞動成果甚至飯碗了��。
