內容摘要:首先,我們要盡量避免平時使用管理員賬戶登入系統 windows最高許可權system帳戶,看見有很多朋友對系統許可權感興趣,我把收藏多年的貼子在發出來給大家學習下(合併了多張關於許可權的文章,修正了部分錯誤,如果還有錯誤的地方,大家可以在回帖提出我及時修正)。
什麼是system許可權?為什麼說它是最高的許可權? 請大家認真看完本貼。
一. 許可權的由來
遠方的某個山腳下,有一片被森林包圍的草原,草原邊上居住著一群以牧羊為生的牧民。草原邊緣的森林裡,生存著各種動物,包括野狼。
由於羊群是牧民們的主要生活**,它們的價值便顯得特別珍貴,為了防止羊的跑失和野獸的襲擊,每戶牧民都用柵欄把自己的羊群圈了起來,只留下一道小門,以便每天傍晚供羊群外出到一定範圍的草原上活動,實現了一定規模的保護和管理效果。
最初,野狼只知道在森林裡逮兔子等野生動物生存,沒有發現遠處草原邊上的羊群,因此,在一段時間裡實現了彼此和平相處,直到有一天,乙隻為了追逐兔子而湊巧跑到了森林邊緣的狼,用它那靈敏的鼻子嗅到了遠處那隱隱約約的烤羊肉香味。
當晚,突然出現的狼群襲擊了草原上大部分牧民飼養的羊,它們完全無視牧民們修築的僅僅能攔住羊群的矮小柵欄,輕輕一躍便突破了這道防線……雖然聞訊而來的牧民們合作擊退了狼群,但是羊群已經遭到了一定的損失。
事後,牧民們明白了柵欄不是僅僅用來防止羊群逃脫的城牆,各戶牧民都在忙著加高加固了柵欄……
如今使用windows xp vista win7 的人都聽說過「許可權」(privilege)這個概念,但是真正理解它的家庭使用者,也許並不會太多,那麼,什麼是「許可權」呢?對於一般的使用者而言,我們可以把它理解為系統對使用者能夠執行的功能操作所設立的額外限制,用於進一步約束計算機使用者能操作的系統功能和內容訪問範圍,或者說,許可權是指某個特定的使用者具有特定的系統資源使用權力。
對計算機來說,系統執行的**可能會對它造成危害,因此處理器產生了ring(圈內,環內)的概念,把「裸露在外」的一部分用於人機互動的操作介面限制起來,避免它一時頭腦發熱發出有害指令;而對於操作介面部分而言,使用者的每一步操作仍然有可能傷害到它自己和底層系統——儘管它自身已經被禁止執行許多有害**,但是一些不能禁止的功能卻依然在對這層安全體系作出威脅,例如格式化操作、刪除修改檔案等,這些操作在計算機看來,只是「不嚴重」的磁碟檔案處理功能,然而它忽略了一點,作業系統自身就是駐留在磁碟介質上的檔案!因此,為了保護自己,作業系統需要在ring 的籠子裡限制操作介面基礎上,再產生乙個專門用來限制使用者的柵欄,這就是現在我們要討論的許可權,它是為限制使用者而存在的,而且限制對每個使用者並不是一樣的,在這個思想的引導下,有些使用者能操作的範圍相對大些,有些只能操作屬於自己的檔案,有些甚至什麼也不能做……
正因為如此,計算機使用者才有了分類:管理員、普通使用者、受限使用者、來賓等……
還記得古老的windows 9x和ms-dos嗎?它們僅僅擁有基本的ring許可權保護(實模式的dos甚至連ring分級都沒有),在這個系統架構裡,所有使用者的權力都是一樣的,任何人都是管理員,系統沒有為環境安全提供一點保障——它連實際有用的登入介面都沒有提供,僅僅有個隨便按esc都能正常進入系統並進行任何操作的「偽登入」限制而已。對這樣的系統而言,不熟悉電腦的使用者經常一不小心就把系統毀掉了,而且病毒木馬自然也不會放過如此「鬆軟」的一塊蛋糕,在如今這個提倡資訊保安的時代裡,windows 9x成了名副其實的雞肋系統,最終淡出人們的視線,取而代之的是由windows nt家族發展而來的windows 2000,xp,vista 與 win7,此外還有近年來致力向桌面使用者發展的linux系統等,它們才是能夠滿足這個安全危機時代裡個人隱私和資料安全等要求的系統。
win2000之後的系統都是microsoftwindows nt技術的產物,是基於伺服器安全環境思想來構建的純32位系統。nt技術沒有辜負microsoft的開發,它穩定,安全,提供了比較完善的多使用者環境,最重要的是,它實現了系統許可權的指派,從而杜絕了由win9x時代帶來的不安全操作習慣可能引發的大部分嚴重後果。
二. 許可權的指派
1.普通許可權
雖然win2/x/v/win7等系統提供了「許可權」的功能,但是這樣就又帶來乙個新問題:許可權如何分配才是合理的?如果所有人擁有的許可權都一樣,那麼就等於所有人都沒有許可權的限制,那和使用win9x有什麼區別?幸好,系統預設就為我們設定好了「許可權組」(group),只需把使用者加進相應的組即可擁有由這個組賦予的操作許可權,這種做法就稱為許可權的指派。
預設情況下,系統為使用者分了6個組,並給每個組賦予不同的操作許可權,依次為:管理員組(administrators)、高許可權使用者組(power users)、普通使用者組(users)、備份操作組(backup operators)、檔案複製組(replicator)、來賓使用者組(guests),其中備份操作組和檔案複製組為維護系統而設定,平時不會被使用。
系統預設的分組是依照一定的管理憑據指派許可權的,而不是胡亂產生,管理員組擁有大部分的計算機操作許可權(並不是全部),能夠隨意修改刪除所有檔案和修改系統設定。再往下就是高許可權使用者組,這一部分使用者也能做大部分事情,但是不能修改系統設定,不能執行一些涉及系統管理的程式。普通使用者組則被系統拴在了自己的地盤裡,不能處理其他使用者的檔案和執行涉及管理的程式等。來賓使用者組的檔案操作許可權和普通使用者組一樣,但是無法執行更多的程式。
這是系統給各個組指派的許可權說明,細心的使用者也許會發現,為什麼裡面描述的「不能處理其他使用者的檔案」這一條規則並不成立呢,我可以訪問所有檔案啊,只是不能對系統設定作出修改而已,難道是許可權設定自身存在問題?實際上,nt技術的一部分功能必須依賴於特有的「ntfs」(nt檔案系統)分割槽才能實現,檔案操作的許可權指派就是最敏感的一部分,而大部分家庭使用者的分割槽為fat32格式,它並不支援nt技術的安全功能,因此在這樣的檔案系統分割槽上,連來賓使用者都能隨意瀏覽修改系統管理員建立的檔案(限制寫入操作的共享訪問除外),但這並不代表系統許可權不起作用,我們只要把分割槽改為ntfs即可。
2.特殊許可權
除了上面提到的6個預設許可權分組,系統還存在一些特殊許可權成員,這些成員是為了特殊用途而設定,分別是:system(系統)、everyone(所有人)、creator owner(建立者)等,這些特殊成員不被任何內建使用者組吸納,屬於完全獨立出來的賬戶。
前面我提到管理員分組的許可權時並沒有用「全部」來形容,秘密就在此,不要相信系統描述的「有不受限制的完全訪問權」,它不會傻到把自己完全交給人類,管理員分組同樣受到一定的限制,只是沒那麼明顯罷了,真正擁有「完全訪問權」的只有乙個成員:system。這個成員是系統產生的,真正擁有整台計算機管理許可權的賬戶,一般的操作是無法獲取與它等價的許可權的。
「所有人」許可權與普通使用者組許可權差不多,它的存在是為了讓使用者能訪問被標記為「公有」的檔案,這也是一些程式正常執行需要的訪問許可權——任何人都能正常訪問被賦予「everyone」許可權的檔案,包括來賓組成員。
被標記為「建立者」許可權的檔案只有建立檔案的那個使用者才能訪問,做到了一定程度的隱私保護。
但是,所有的檔案訪問許可權均可以被管理員組使用者和system成員忽略,除非使用者使用了ntfs加密。
無論是普通許可權還是特殊許可權,它們都可以「疊加」使用,「疊加」就是指多個許可權共同使用,例如乙個賬戶原本屬於users組,而後我們把他加入administrators組,那麼現在這個賬戶便同時擁有兩個許可權身份,而不是用管理員許可權去覆蓋原來身份。許可權疊加並不是沒有意義的,在一些需要特定身份訪問的場合,使用者只有為自己設定了指定的身份才能訪問,這個時候「疊加」的使用就能減輕一部分勞動量了。
距離上一次狼群的襲擊已經過了很久,羊們漸漸都忘記了恐懼,一天晚上,乙隻羊看準了某處因為下雨被泡得有點鬆軟低陷的柵欄,跳了出去。可惜這只羊剛跳出去不久就遭遇了餓狼,不僅屍骨無存,還給狼群帶來了乙個資訊:柵欄存在弱點,可以突破!
幾天後的乙個深夜,狼群專找地面泥濘處的柵欄下手,把柵欄挖鬆了鑽進去,再次洗劫了羊群。從來以後牧民們開始輪流拿著槍帶著牧羊犬巡視這羊圈(大家想到什麼!沒錯正是uac保護 呵呵)
以後狼群的進攻被牧民們擊退了,吸取了而且在不斷吸取教訓,牧民們在加固柵欄時都會把柵欄的根部打在堅硬的泥地上,並且嵌得很深。餓狼們,還會再來嗎?
許可權是計算機安全技術的乙個進步,但是它也是由人創造出來的,不可避免會存在不足和遺漏,我們在享受許可權帶來的便利時,也不能忽視了它可能引起的安全隱患或者設定失誤導致的眾多問題。要如何才算合理使用許可權,大概,這只能是個仁者見仁,智者見智的問題了。
Windows啟用最高許可權
兩種方法啟用最高許可權 用滑鼠右鍵點選要操作的檔案或資料夾,依次進入 屬性 安全 高階 所有者 編輯 在 將所有者更改為 欄中選擇登入系統的管理員使用者,再選擇 應用 一路確認,回到資料夾屬性視窗。然後設定檔案或資料夾的trustedinstaller許可權,進入 安全 選項卡,選擇 編輯 在許可權...
以系統最高許可權執行軟體
說明 vc6編譯通過 檔名 uac.h 呼叫 uac 程序名,可執行檔案路徑 pragma once include include include typedef dword winapi wtsgetactiveconsolesessionidfunc typedef bool winapi p...
ecshop 後台新增最高許可權管理員
1.直接在資料庫新增管理員賬號 密碼資訊,action list必須為all 2.防止新增的最高許可權管理員被自帶的admin修改和刪除 1 不能刪除 修改privilege.php的elseif request act remove 大約1370行,id為1的不允許刪除 if id 1 id 5 ...