因此本文以Windows XP Professional版本為平台,引領大家感受一下Windows XP在“權限”方面的設計魅力!
一、什麼是權限
Windows XP提供了非常細致的權限控制項,能夠精確定制用戶對資源的訪問控制能力,大多數的權限從其名稱上就可以基本了解其所能實現的內容。(本文是電腦知識網 WWW.SQ120.COM 推薦文章)
“權限”(Permission)是針對資源而言的。也就是說,設置權限只能是以資源為對象,即“設置某個文件夾有哪些用戶可以擁有相應的權限”,而不能是以用戶為主,即“設置某個用戶可以對哪些資源擁有權限”。TW.WINgWIT.cOM這就意味著“權限”必須針對“資源”而言,脫離了資源去談權限毫無意義──在提到權限的具體實施時,“某個資源”是必須存在的。
利用權限可以控制資源被訪問的方式,如User組的成員對某個資源擁有“讀取”操作權限、Administrators組成員擁有“讀取+寫入+刪除”操作權限等。
值得一提的是,有一些Windows用戶往往會將“權力”與“權限”兩個非常相似的概念搞混淆,這裡做一下簡單解釋:“權力”(Right)主要是針對用戶而言的。“權力”通常包含“登錄權力”(Logon Right)和“特權”(Privilege)兩種。登錄權力決定了用戶如何登錄到計算機,如是否采用本地交互式登錄、是否為網絡登錄等。特權則是一系列權力的總稱,這些權力主要用於幫助用戶對系統進行管理,如是否允許用戶安裝或加載驅動程序等。顯然,權力與權限有本質上的區別。
二、安全標識符、訪問控制列表、安全主體
說到Windows XP的權限,就不能不說說“安全標識符”(Security Identifier, SID)、“訪問控制列表”(Access Control List,ACL)和安全主體(Security Principal)這三個與其息息相關的設計了。
1.安全標識符
在Windows XP中,系統是通過SID對用戶進行識別的,而不是很多用戶認為的“用戶名稱”。SID可以應用於系統內的所有用戶、組、服務或計算機,因為SID是一個具有惟一性、絕對不會重復產生的數值,所以,在刪除了一個賬戶(如名為“A”的賬戶)後,再次創建這個“A”賬戶時,前一個A與後一個A賬戶的SID是不相同的。這種設計使得賬戶的權限得到了最基礎的保護,盜用權限的情況也就徹底杜絕了。
查看用戶、組、服務或計算機的SID值,可以使用“Whoami”工具來執行,該工具包含在Windows XP安裝光盤的“Support\Tools”目錄中,雙擊執行該目錄下的“Setup”文件後,將會有包括Whoami工具在內的一系列命令行工具拷貝到“X:\Program Files\Support Tools”目錄中。此後在任意一個命令提示符窗口中都可以執行“Whoami /all”命令來查看當前用戶的全部信息。
2.訪問控制列表(ACL)
訪問控制列表是權限的核心技術。顧名思義,這是一個權限列表,用於定義特定用戶對某個資源的訪問權限,實際上這就是Windows XP對資源進行保護時所使用的一個標准。
在訪問控制列表中,每一個用戶或用戶組都對應一組訪問控制項(Access Control Entry, ACE),這一點只需在“組或用戶名稱”列表中選擇不同的用戶或組時,通過下方的權限列表設置項是不同的這一點就可以看出來。顯然,所有用戶或用戶組的權限訪問設置都將會在這裡被存儲下來,並允許隨時被有權限進行修改的用戶進行調整,如取消某個用戶對某個資源的“寫入”權限。
3.安全主體(Security Principal)
在Windows XP中,可以將用戶、用戶組、計算機或服務都看成是一個安全主體,每個安全主體都擁有相對應的賬戶名稱和SID。根據系統架構的不同,賬戶的管理方式也有所不同──本地賬戶被本地的SAM管理;域的賬戶則會被活動目錄進行管理……
一般來說,權限的指派過程實際上就是為某個資源指定安全主體(即用戶、用戶組等)可以擁有怎樣的操作過程。因為用戶組包括多個用戶,所以大多數情況下,為資源指派權限時建議使用用戶組來完成,這樣可以非常方便地完成統一管理。
三、權限的四項基本原則
在Windows XP中,針對權限的管理有四項基本原則,即:拒絕優於允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則對於權限的設置來說,將會起到非常重要的作用,下面就來了解一下:
1.拒絕優於允許原則
“拒絕優於允許”原則是一條非常重要且基礎性的原則,它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權限“糾紛”,例如,“shyzhong”這個用戶既屬於“shyzhongs”用戶組,也屬於“xhxs”用戶組,當我們對“xhxs”組中某個資源進行“寫入”權限的集中分配(即針對用戶組進行)時,這個時候該組中的“shyzhong”賬戶將自動擁有“寫入”的權限。
但令人奇怪的是,“shyzhong”賬戶明明擁有對這個資源的“寫入”權限,為什麼實際操作中卻無法執行呢?原來,在“shyzhongs”組中同樣也對“shyzhong”用戶進行了針對這個資源的權限設置,但設置的權限是“拒絕寫入”。基於“拒絕優於允許”的原則,“shyzhong”在“shyzhongs”組中被 “拒絕寫入”的權限將優先於“xhxs”組中被賦予的允許“寫入”權限被執行。因此,在實際操作中,“shyzhong”用戶無法對這個資源進行“寫入”操作。
2.權限最小化原則
Windows XP將“保持用戶最小的權限”作為一個基本原則進行執行,這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權限賦予限制。
基於這條原則,在實際的權限賦予操作中,我們就必須為資源明確賦予允許或拒絕操作的權限。例如系統中新建的受限用戶“shyzhong”在默認狀態下對“DOC”目錄是沒有任何權限的,現在需要為這個用戶賦予對“DOC”目錄有“讀取”的權限,那麼就必須在“DOC”目錄的權限列表中為“shyzhong”用戶添加“讀取”權限。
3.權限繼承性原則
權限繼承性原則可以讓資源的權限設置變得更加簡單。假設現在有個“DOC”目錄,在這個目錄中有“DOC01”、“DOC02”、“DOC03”等子目錄,現在需要對DOC目錄及其下的子目錄均設置“shyzhong”用戶有“寫入”權限。因為有繼承性原則,所以只需對“DOC”目錄設置“shyzhong”用戶有“寫入”權限,其下的所有子目錄將自動繼承這個權限的設置。
4.累加原則
這個原則比較好理解,假設現在“zhong”用戶既屬於“A”用戶組,也屬於“B”用戶組,它在A用戶組的權限是“讀取”,在“B”用戶組中的權限是“寫入”,那麼根據累加原則,“zhong”用戶的實際權限將會是“讀取+寫入”兩種。
顯然,“拒絕優於允許”原則是用於解決權限設置上的沖突問題的;“權限最小化”原則是用於保障資源安全的;“權限繼承性”原則是用於“自動化”執行權限設置的;而“累加原則”則是讓權限的設置更加靈活多變。幾個原則各有所用,缺少哪一項都會給權限的設置帶來很多麻煩!
注意:在Windows XP中,“Administrators”組的全部成員都擁有“取得所有者身份”(Take Ownership)的權力,也就是管理員組的成員可以從其他用戶手中“奪取”其身份的權力,例如受限用戶“shyzhong”建立了一個DOC目錄,並只賦予自己擁有讀取權力,這看似周到的權限設置,實際上,“Administrators”組的全部成員將可以通過“奪取所有權”等方法獲得這個權限。
四、資源權限高級應用
以文件與文件夾的權限為例,依據是否被共享到網絡上,其權限可以分為NTFS權限與共享權限兩種,這兩種權限既可以單獨使用,也可以相輔使用。兩者之間既能夠相互制約,也可以相互補充。下面來看看如何進行設置:
1.NTFS權限
首先我們要知道:只要是存在NTFS磁盤分區上的文件夾或文件,無論是否被共享,都具有此權限。此權限對於使用FAT16/FAT32文件系統的文件與文件夾無效!
NTFS權限有兩大要素:一是標准訪問權限;二是特別訪問權限。前者將一些常用的系統權限選項比較籠統地組成6種“套餐型”的權限,即:完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入。如圖1所示。
圖1
在大多數的情況下,“標准權限”是可以滿足管理需要的,但對於權限管理要求嚴格的環境,它往往就不能令管理員們滿意了,如只想賦予某用戶有建立文件夾的權限,卻沒有建立文件的權限;如只能刪除當前目錄中的文件,卻不能刪除當前目錄中的子目錄的權限等……這個時候,就可以讓擁有所有權限選項的“特別權限”來大顯身手了。也就是說,特別權限不再使用“套餐型”,而是使用可以允許用戶進行“菜單型”的細節化權限管理選擇了。
那麼如何設置標准訪問權限呢?以對一個在NTFS分區中的名為“zhiguo”的文件夾進行設置標准訪問權限為例,可以按照如下方法進行操作:
因為NTFS權限需要在資源屬性頁面的“安全”選項卡設置界面中進行,而Windows XP在安裝後默認狀態下是沒有激活“安全”選項卡設置功能的,所以需要首先啟用系統中的“安全”選項卡。方法是:依次點擊“開始”→“設置”→“控制面板”,雙擊“文件夾選項”,在“查看”標簽頁設置界面上的“高級設置”選項列表中清除“使用簡單文件共享(推薦)”選項前的復選框後點擊“應用”按鈕即可。
設置完畢後就可以右鍵點擊“zhiguo”文件夾,在彈出的快捷菜單中選擇“共享與安全”,在“zhiguo屬性”窗口中就可以看見“安全”選項卡的存在了。針對資源進行NTFS權限設置就是通過這個選項卡來實現的,此時應首先在“組或用戶名稱”列表中選擇需要賦予權限的用戶名組(這裡選擇“zhong”用戶),接著在下方的“zhong 的權限”列表中設置該用戶可以擁有的權限即可。
下面簡單解釋一下六個權限選項的含義:
①完全控制(Full Control):該權限允許用戶對文件夾、子文件夾、文件進行全權控制,如修改資源的權限、獲取資源的所有者、刪除資源的權限等,擁有完全控制權限就等於擁有了其他所有的權限;
②修改(Modify):該權限允許用戶修改或刪除資源,同時讓用戶擁有寫入及讀取和運行權限;
③讀取和運行(Read & Execute):該權限允許用戶擁有讀取和列出資源目錄的權限,另外也允許用戶在資源中進行移動和遍歷,這使得用戶能夠直接訪問子文件夾與文件,即使用戶沒有權限訪問這個路徑;
④列出文件夾目錄(List Folder Contents):該權限允許用戶查看資源中的子文件夾與文件名稱;
⑤讀取(Read):該權限允許用戶查看該文件夾中的文件以及子文件夾,也允許查看該文件夾的屬性、所有者和擁有的權限等;
⑥寫入(Write):該權限允許用戶在該文件夾中創建新的文件和子文件夾,也可以改變文件夾的屬性、查看文件夾的所有者和權限等。
如果在“組或用戶名稱”列表中沒有所需的用戶或組,那麼就需要進行相應的添加操作了,方法如下:點擊“添加”按鈕後,在出現的“選擇用戶和組”對話框中,既可以直接在“輸入對象名稱來選擇”文本區域中輸入用戶或組的名稱(使用“計算機名\用戶名”這種方式),也可以點擊“高級”按鈕,在彈出的對話框中點擊“立即查找”按鈕讓系統列出當前系統中所有的用戶組和用戶名稱列表。此時再雙擊選擇所需用戶或組將其加入即可。如圖2所示。
如果想刪除某個用戶組或用戶的話,只需在“組或用戶名稱”列表中選中相應的用戶或用戶組後,點擊下方的“刪除”按鈕即可。但實際上,這種刪除並不能確保被刪除的用戶或用戶組被拒絕訪問某個資源,因此,如果希望拒絕某個用戶或用戶組訪問某個資源,還要在“組或用戶名稱”列表中選擇相應的用戶名用戶組後,為其選中下方的“拒絕”復選框即可。
那麼如何設置特殊權限呢?假設現在需要對一個名為“zhiguo”的目錄賦予“zhong”用戶對其具有“讀取”、“建立文件和目錄”的權限,基於安全考慮,又決定取消該賬戶的“刪除”權限。此時,如果使用“標准權限”的話,將無法完成要求,而使用特別權限則可以很輕松地完成設置。方法如下:
圖2
首先,右鍵點擊“zhiguo”目錄,在右鍵快捷菜單中選擇“共享與安全”項,隨後在“安全”選項卡設置界面中選中“zhong”用戶並點擊下方的“高級”按鈕,在彈出的對話框中點擊清空“從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目”項選中狀態,這樣可以斷開當前權限設置與父級權限設置之前的繼承關系。在隨即彈出的“安全”對話框中點擊“復制”或“刪除”按鈕後(點擊“復制”按鈕可以首先復制繼承的父級權限設置,然後再斷開繼承關系),接著點擊“應用”按鈕確認設置,再選中“zhong”用戶並點擊“編輯”按鈕,在彈出的“zhong的權限項目”對話框中請首先點擊“全部清除”按鈕,接著在“權限”列表中選擇“遍歷文件夾/運行文件”、“列出文件夾/讀取數據”、“讀取屬性”、“創建文件/寫入數據”、“創建文件夾/附加數據”、“讀取權限”幾項,最後點擊“確定”按鈕結束設置。如圖3所示。
圖3
在經過上述設置後,“zhong”用戶在對“zhiguo”進行刪除操作時,就會彈出提示框警告操作不能成功的提示了。顯然,相對於標准訪問權限設置上的籠統,特別訪問權限則可以實現更具體、全面、精確的權限設置。
為了大家更好地理解特殊權限列表中的權限含義,以便做出更精確的權限設置,下面簡單解釋一下其含義:
⑴遍歷文件夾/運行文件(Traverse Folder/Execute File):該權限允許用戶在文件夾及其子文件夾之間移動(遍歷),即使這些文件夾本身沒有訪問權限。注意:只有當在“組策略”中(“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“用戶權利指派”)將“跳過遍歷檢查”項授予了特定的用戶或用戶組,該項權限才能起作用。默認狀態下,包括“Administrators”、“Users”、“Everyone”等在內的組都可以使用該權限。對於文件來說,擁了這項權限後,用戶可以執行該程序文件。但是,如果僅為文件夾設置了這項權限的話,並不會讓用戶對其中的文件帶上“執行”的權限;
⑵列出文件/讀取數據(List Folder/Read Data):該權限允許用戶查看文件夾中的文件名稱、子文件夾名稱和查看文件中的數據;
⑶讀取屬性(Read Attributes):該權限允許用戶查看文件或文件夾的屬性(如系統、只讀、隱藏等屬性);
⑷讀取擴展屬性(Read Extended Attributes):該權限允許查看文件或文件夾的擴展屬性,這些擴展屬性通常由程序所定義,並可以被程序修改;
⑸創建文件/寫入屬性(Create Files/Write Data):該權限允許用戶在文件夾中創建新文件,也允許將數據寫入現有文件並覆蓋現有文件中的數據;
⑹創建文件夾/附加數據(Create Folder/Append Data):該權限允許用戶在文件夾中創建新文件夾或允許用戶在現有文件的末尾添加數據,但不能對文件現有的數據進行覆蓋、修改,也不能刪除數據;
⑺寫入屬性(Write Attributes):該權限允許用戶改變文件或文件夾的屬性;
⑻寫入擴展屬性(Write Extended Attributes):該權限允許用戶對文件或文件夾的擴展屬性進行修改;
⑼刪除子文件夾及文件(Delete Subfolders and Files):該權限允許用戶刪除文件夾中的子文件夾或文件,即使在這些子文件夾和文件上沒有設置刪除權限;
⑽刪除(Delete):該權限允許用戶刪除當前文件夾和文件,如果用戶在該文件或文件夾上沒有刪除權限,但是在其父級的文件夾上有刪除子文件及文件夾權限,那麼就仍然可以刪除它;
⑾讀取權限(Read Permissions):該權限允許用戶讀取文件或文件夾的權限列表;
⑿更改權限(Change Permissions):該權限允許用戶改變文件或文件夾上的現有權限;
⒀取得所有權(Take Ownership):該權限允許用戶獲取文件或文件夾的所有權,一旦獲取了所有權,用戶就可以對文件或文件夾進行全權控制。
這裡需要單獨說明一下“修改”權限與“寫入”權限的區別:如果僅僅對一個文件擁有修改權限,那麼,不僅可以對該文件數據進行寫入和附加,而且還可以創建新文件或刪除現有文件。而如果僅僅對一個文件擁有寫入權限,那麼既可以對文件數據進行寫入和附加,也可以創建新文件,但是不能刪除文件。也就是說,有寫入權限不等於具有刪除權限,但擁有修改權限,就等同於擁有刪除和寫入權限。
2.共享權限(Shared Permission)
只要是共享出來的文件夾就一定具有此權限。如該文件夾存在於NTFS分區中,那麼它將同時具有NTFS權限與共享權限,如果這個資源同時擁有NTFS和共享兩種權限,那麼系統中對權限的具體實施將以兩種權限中的“較嚴格的權限”為准──這也是“拒絕優於允許”原則的一種體現!
例如,某個共享資源的NTFS權限設置為完全控制,而共享權限設置為讀取,那麼遠程用戶就只能使用“讀取”權限對共享資源進行訪問了。
注意:如果是FAT16/FAT32文件系統中的共享文件夾,那麼將只能受到共享權限的保護,這樣一來就容易產生安全性漏洞。這是因為共享權限只能夠限制從網絡上訪問資源的用戶,並無法限制直接登錄本機的人,即用戶只要能夠登錄本機,就可以任意修改、刪除FAT16/FAT32分區中的數據了。因此,從安全角度來看,我們是不推薦在Windows XP中使用FAT16/FAT32分區的。
設置共享權限很簡單,在右鍵選中並點擊一個文件夾後,在右鍵快捷菜單中選擇“共享與安全”項,在彈出的屬性對話框“共享”選項卡設置界面中點擊選中“共享該文件夾”項即可,這將使共享資源使用默認的權限設置(即“Everyone”用戶擁有讀取權限)。如果想具體設置共享權限,那麼請點擊“權限”按鈕,在打開的對話框中可以看到權限列表中有“完全控制”、“更改”和“讀取”三項權限可供選擇。如圖4所示。
圖4
下面先簡單介紹一下這三個權限的含義:
①完全控制:允許用戶創建、讀取、寫入、重命名、刪除當前文件夾中的文件以及子文件夾,另外,也可以修改該文件夾中的NTFS訪問權限和奪取所有權;
②更改:允許用戶讀取、寫入、重命名和刪除當前文件夾中的文件和子文件夾,但不能創建新文件;
③讀取:允許用戶讀取當前文件夾的文件和子文件夾,但是不能進行寫入或刪除操作。
說完了權限的含義,我們就可以點擊“添加”按鈕,將需要設置權限的用戶或用戶組添加進來了。在缺省情況下,當添加新的組或用戶時,該組或用戶將具備“讀取”(Read)權限,我們可以根據實際情況在下方的權限列表中進行復選框的選擇與清空。
接著再來說說令很多讀者感到奇怪的“組和用戶名稱”列表中的“Everyone”組的含義。在Windows 2000中,這個組因為包含了“Anonymous Logon”組,所以它表示“每個人”的意思。但在Windows XP中,請注意──這個組因為只包括“Authenticated Users”和“Guests”兩個組,而不再包括“Anonymous Logon”組,所以它表示了“可訪問計算機的所有用戶”,而不再是“每個人”!請注意這是有區別的,“可訪問計算機的所有用戶”意味著必須是通過認證的用戶,而“每個人”則不必考慮用戶是否通過了認證。從安全方面來看,這一點是直接導致安全隱患是否存在關鍵所在!
當然,如果想在Windows XP中實現Windows 2000中那種“Everyone”設計機制,那麼可以通過編輯“本地安全策略”來實現,方法是:在“運行”欄中輸入“Secpol.msc”命令打開“安全設置”管理單元,依次展開“安全設置”→“本地策略”,然後進入“安全選項”,雙擊右側的“網絡訪問:讓‘每個人’權限應用於匿名用戶”項,然後選擇“已啟用”項既可。
注意:在Windows XP Professional中,最多可以同時有10個用戶通過網絡登錄(指使用認證賬戶登錄的用戶,對於訪問由IIS提供的Web服務的用戶沒有限制)方式使用某一台計算機提供的共享資源。
3.資源復制或移動時權限的變化與處理
在權限的應用中,不可避免地會遇到設置了權限後的資源需要復制或移動的情況,那麼這個時候資源相應的權限會發生怎樣的變化呢?下面來了解一下:
(1)復制資源時
在復制資源時,原資源的權限不會發生變化,而新生成的資源,將繼承其目標位置父級資源的權限。
(2)移動資源時
在移動資源時,一般會遇到兩種情況,一是如果資源的移動發生在同一驅動器內,那麼對象保留本身原有的權限不變(包括資源本身權限及原先從父級資源中繼承的權限);二是如果資源的移動發生在不同的驅動器之間,那麼不僅對象本身的權限會丟失,而且原先從父級資源中繼承的權限也會被從目標位置的父級資源繼承的權限所替代。實際上,移動操作就是首先進行資源的復制,然後從原有位置刪除資源的操作。
(3)非NTFS分區
上述復制或移動資源時產生的權限變化只是針對NTFS分區上而言的,如果將資源復制或移動到非NTFS分區(如FAT16/FAT32分區)上,那麼所有的權限均會自動全部丟失。
4.資源所有權的高級管理
有時我們會發現當前登錄的用戶無法對某個資源進行任何操作,這是什麼原因呢?其實這種常見的現象很有可能是因為對某個資源進行的NTFS權限設置得不夠完善導致的──這將會造成所有人(包括“Administrator”組成員)都無法訪問資源,例如不小心將“zhiguo”這個文件夾的所有用戶都刪除了,這將會導致所有用戶都無法訪問這個文件夾,此時很多朋友就會束手無策了,其實通過使用更改所有權的方法就可以很輕松地解決這類權限問題了。
首先,我們需要檢查一下資源的所有者是誰,如果想查看某個資源(如sony目錄)的用戶所有權的話,那麼只需使用“dir sony /q”命令就可以了。在反饋信息的第一行就可以看到用戶是誰了,例如第一行的信息是“lovebook\zhong”,那麼意思就是lovebook這台計算機中的“zhong”用戶。如圖5所示。
圖5
如果想在圖形界面中查看所有者是誰,那麼需要進入資源的屬性對話框,點擊“安全”選項卡設置界面中的“高級”按鈕,在彈出的“(用戶名)高級安全設置”界面中點擊“所有者”選項卡,從其中的“目前該項目的所有者”列表中就可以看到當前資源的所有者是誰了。
如果想將所有者更改用戶,那麼只需在“將所有者更改為”列表中選擇目標用戶名後,點擊“確定”按鈕即可。此外,也可以直接在“安全”選項卡設置界面中點擊“添加”按鈕添加一個用戶並賦予相應的權限後,讓這個用戶來獲得當前文件夾的所有權。
注意:查看所有者究竟對資源擁有什麼樣的權限,可點擊進入“有效權限”選項卡設置界面,從中點擊“選擇”按鈕添加當前資源的所有者後,就可以從下方的列表中權限選項的勾取狀態來獲知了。
五、程序使用權限設定
Windows XP操作系統在文件管理方面功能設計上頗為多樣、周全和智能化。這裡通過“程序文件使用權限”設置、將“加密文件授權多個用戶可以訪問”和了解系統日志的訪問權限三個例子給大家解釋一下如何進行日常應用。
1.程序文件權限設定
要了解Windows XP中關於程序文件的訪問權限,我們應首先來了解一下Windows XP在這方面的兩個設計,一是組策略中軟件限制策略的設計;二是臨時分配程序文件使用權限的設計。
(1)軟件限制策略
在“運行”欄中輸入“Gpedit.msc”命令打開組策略窗口後,在“計算機配置”→“Windows設置”→“安全設置”分支中,右鍵選中“軟件限制策略”分支,在彈出的快捷菜單中選擇新建一個策略後,就可以從“軟件限制策略”分支下新出現的“安全級別”中看到有兩種安全級別的存在了。
這兩條安全級別對於程序文件與用戶權限之前是有密切聯系的:
①不允許的:從其解釋中可以看出,無論用戶的訪問權如何,軟件都不會運行;
②不受限的:這是默認的安全級別,其解釋為“軟件訪問權由用戶的訪問權來決定”。顯然,之所以在系統中可以設置各種權限,是因為有這個默認安全策略在背後默默支持的緣故。如果想把“不允許的"安全級別設置為默認狀態,只需雙擊進入其屬性界面後點擊“設為默認值”按鈕即可。
(2)臨時分配程序文件
為什麼要臨時分配程序文件的管理權限呢?這是因為在Windows XP中,有許多很重要的程序都是要求用戶具有一定的管理權限才能使用的,因此在使用權限不足以使用某些程序的賬戶時,為了能夠使用程序,我們就需要為自己臨時分配一個訪問程序的管理權限了。為程序分配臨時管理權限的方法很簡單:右鍵點擊要運行的程序圖標,在彈出的快捷菜單中選擇“運行方式”,在打開的“運行身份”對話框中選中“下列用戶”選項,在“用戶名”和“密碼”右側的文本框中指定用戶及密碼即可。
顯然,這個臨時切換程序文件管理權限的設計是十分有必要的,它可以很好地起到保護系統的目的。
2.授權多個用戶訪問加密文件
Windows XP在EFS上的改進之一就是可以允許多個用戶訪問加密文件,這些用戶既可以是本地用戶,也可以是域用戶或受信任域的用戶。由於無法將證書頒發給用戶組,而只能頒發給用戶,所以只能授權單個的賬戶訪問加密文件,而用戶組將不能被授權。
要授權加密文件可以被多個用戶訪問,可以按照如下方法進行操作:
選中已經加密的文件,用鼠標右鍵點擊該加密文件,選擇“屬性”,在打開的屬性對話框中“常規”選項卡下點擊“高級”按鈕,打開加密文件的高級屬性對話框,點擊其中的“詳細信息”按鈕(加密文件夾此按鈕無效),在打開的對話框中點擊“添加”按鈕添加一個或多個新用戶即可(如果計算機加入了域,則還可以點擊“尋找用戶”按鈕在整個域范圍內尋找用戶)。如圖6所示。
圖6
如果要刪除某個用戶對加密文件的訪問權限,那麼只需選中此用戶後點擊“刪除”按鈕即可。
3.日志的訪問權限
什麼是日志?我們可以將日志理解為系統日記,這本“日記”可以按系統管理員預先的設定,自動將系統中發生的所有事件都一一記錄在案,供管理員查詢。既然日志信息具有如此重要的參考作用,那麼就應該做好未經授權的用戶修改或查看的權限控制。因此,我們非常有必要去了解一下日志的訪問權限在Windows XP中是怎樣設計的。一般來說,Administrators、SYSTEM、Everyone三種類型的賬戶可以訪問日志。
這三種類型的賬戶對不同類型的日志擁有不同的訪問權限,下面來看一下表格中具體的說明,請注意“√”表示擁有此權限;“×”表示無此權限。
對應用程序日志的權限
賬戶
讀取
寫入
清除
Administrators
√
√
√
SYSTEM
√
√
√
Everyone
√
√
×
對安全日志的權限
賬戶
讀取
寫入
清除
Administrators
√
×
√
SYSTEM
√
√
√
Everyone
×
×
×
對系統日志的權限
賬戶
讀取
寫入
清除
Administrators
√
√
√
SYSTEM
√
√
√
Everyone
√
×
×
通過對比,可以看出SYSTEM擁有的權限最高,可以對任意類型的日志進行讀寫和清除操作;Everyone用戶則可以讀取應用程序和系統日志,但對安全日志無法讀取。這是因為安全日志相對其他幾種類型的日志在安全性方面的要求要高一些,只有SYSTEM能夠對之寫入。
如果想為其他用戶賦予管理審核安全日志的權限,那麼可以在“運行”欄中輸入“Gpedit.msc”命令打開組策略編輯器窗口後,依次進入“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“用戶權利指派”,雙擊右側的“管理審核和安全日志”項,在彈出的對話框中添加所需的用戶即可。
六、內置安全主體與權限
在Windows XP中,有一群不為人知的用戶,它們的作用是可以讓我們指派權限到某種“狀態”的用戶(如“匿名用戶”、“網絡用戶”)等,而不是某個特定的用戶或組(如“zhong”、“CPCW”這類用戶)。這樣一來,對用戶權限的管理就更加容易精確控制了。這群用戶在Windows XP中,統一稱為內置安全主體。下面讓我們來了解一下:
1.安全主體的藏身之處
下面假設需要為一個名為“zhiguo”的目錄設置內置安全主體中的“Network”類用戶權限為例,看看這群“默默無聞”的用戶藏身在系統何處。
首先進入“zhiguo”目錄屬性界面的“安全”選項卡設置界面,點擊其中的“添加”按鈕,在彈出的“選擇用戶或組”對話框中點擊“對象類型”按鈕。在彈出對話框中只保留列表中的“內置安全主體”項,並點擊“確定”按鈕。
在接下來的對話框中點擊“高級”按鈕,然後在展開的對話框中點擊“立即查找”按鈕,就可以看到內置安全主體中包含的用戶列表了。如圖7所示。
圖7
2.安全主體作用說明
雖然內置安全主體有很多,但正常能在權限設置中使用到的並不多,所以下面僅說明其中幾個較重要的:
①Anonymous Logon:任何沒有經過Windows XP驗證程序(Authentication),而以匿名方式登錄域的用戶均屬於此組;
②Authenticated Users:與前項相反,所有經過Windows XP驗證程序登錄的用戶均屬於此組。設置權限和用戶權力時,可考慮用此項代替Everyone組;
③BATCH:這個組包含任何訪問這台計算機的批處理程序(Batch Process);
④DIALUP:任何通過撥號網絡登錄的用戶;
⑤Everyone:指所有經驗證登錄的用戶及來賓(Guest);
⑥Network:任何通過網絡登錄的用戶;
⑦Interactive:指任何直接登錄本機的用戶;
⑧Terminal server user:指任何通過終端服務登錄的用戶。
……
在明白了內置安全主體的作用後,在進行權限的具體指派時就可以讓權限的應用精確程度更高、權限的應用效果更加高效。顯然,Windows XP中設置此類賬戶是十分有必要的,畢竟計算機是以應用為主,以應用類型進行賬戶分類,必然會使權限的管理不再混亂,管理更加合理!
From:http://tw.wingwit.com/Article/Software/201309/1673.html