Windows 2003 Server的新安全机制
在这篇文章中,我们将一起探究Windows 2003 Server增强的安全机制。新的操作系统中提高安全性的新特性随处可见,但这里我们只注重大多数Windows用户和管理员最关心的地方,借此粗略感受一下Windows Server 2003新的安全机制。
一、NTFS和共享权限
在以前的Windows中,默认的权限许可将“完全控制”授予了Everyone组,整个文件系统根本没有安全性可言(就本地访问来说)。但从Windows XP Pro开始,这种情况改变了。
授予Everyone组的根目录NTFS权限只有读取和执行,且这些权限只对根文件夹有效。也就是说,对于任何根目录下创建的子文件夹,Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹,例如Program Files和Windows文件夹,Everyone组也已经从ACL中排除出去。(说明:ACL即“访问控制列表”,或Access Control List,它是一种安全保护列表,适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型:随机和系统)。
Users组除了读取和运行之外,还能够在子文件夹下创建文件夹(可继承)和文件(注意,根驱动器除外)。授予System帐户的权限和本地Administrators组成员的权限仍未改变,它们仍拥有对根文件夹及其子文件夹的完全控制权限。CREATOR OWNER仍被授予子文件夹及其包含的文件的完全控制权限,也就是允许用户全面管理他们自己创建的子文件夹。
对于新创建的共享资源,Everyone现在只有读取的权限。
另外,Everyone组现在不再包含匿名SID(安全标识符,一种不同长度的数据结构,用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的 SID。Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名),进一步减少了未经授权访问文件系统的可能性。要快速查看文件或文件夹的NTFS权限,可以用右键点击文件或文件夹,选择“安全”选项卡,点击“高级”,然后查看“有效权限”页,不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。不过,这个功能还不能涵盖共享权限。
二、文件和文件夹的所有权
现在,你不仅可以拥有文件系统对象(文件或文件夹)的所有者权限,而且还可以通过该文件或文件夹“高级安全设置”对话框的“所有者”选项卡将权限授予任何人。
Windows的磁盘配额是根据所有者属性计算的,授予其他人所有者权限的功能简化了磁盘配额的管理。例如,管理员应用户的要求创建了新的文件(例如复制一些文件,或安装新的软件),使得管理员成为新文件的所有者,即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前,要解决这个问题必须经过繁琐的配置修改,或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能,这类有关磁盘配额的问题可以方便地解决了(对于使用NTFS文件系统的任何类型的操作系统都有效,包括Windows NT 4.0、2000和XP Pro,只要修改是在Windows Server 2003上进行就可以了)。
值得一提的是,这个功能(有效权限和授予所有者权限)对于从Windows Server 2003管理的活动目录对象也同样有效。
三、Windows服务配置
Windows服务配置方面的变化可分成两类。
㈠ 启动类型。几种最容易受到攻击的服务,诸如Clipbook(启用“剪贴簿查看器”储存信息并与远程计算机共享)、Network DDE以及Network DDE DSDM(前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE)的网络传输和安全;后者用于管理动态数据交换网络共享)、Telnet、WebClient(使基于Windows的程序能创建、访问和修改基于Internet的文件)等,默认情况下已经被禁止了。还有一些服务只有在必要时才启用,例如Intersite Messaging(启用在运行Windows Server的站点间交换消息)只有在域控制器提升时才启用,Routing and Remote Access Service(为网络上的客户端和服务器启用多重协议——LAN到LAN,LAN到WAN,虚拟专用网络(VPN)和网络地址转换(NAT)路由服务)只有在配置Windows Server 2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。
㈡ 运行在Local System安全上下文之下的服务变少了,因为Local System具有不受限制的本地特权。现在,许多情况下,Local System被Local Service或Network Service帐户取代,这两个帐户都只有稍高于授权用户的特权。正如其名字所示的,Local Service帐户用于本地系统的服务,它类似于已验证的用户帐户的特殊内置帐户。Local Service帐户对于资源和对象的访问级别与Users组的成员相同。如果单个服务或进程受到危害,则通过上述受限制的访问将有助于保护系统。以Local Service帐户运行的服务作为空会话,而且不使用任何凭据访问网络资源。
相对地,Network Service则被用于必须要有网络访问的服务,它对于资源和对象的访问级别也与Users组的成员相同,以Network Service帐户来运行的服务将使用计算机帐户的凭据来访问网络资源。