安全标识符
安全标识符 (SID) 是标识用户或者组的数字值。对于每个“访问控制项” (ACE),都有一个用于标识其访问将被允许、拒绝或者审核的用户或组的 SID。
|
公认的安全标识符(特殊身份)
|
有关Administrators (S-1-5-32-544)、Power Users (S-1-5-32-547)、Backup operators (S-1-5-32-551)、和 Users (S-1-5-32-545)组的详细信息,请参阅默认安全设置。
默认安全设置
在修改任何安全设置之前,非常重要的一点就是考虑默认设置。有三种可授予用户的基本安全级别。这些安全级别通过 Users、Power Users 或 Administrators 组中的成员关系分配给最终用户。
管理员
将用户添加到 Users 组是最安全的做法,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。然而,用户级别权限通常不允许用户成功地运行旧版的应用程序。仅保证 Users 组的成员可运行已由 Windows 认证的程序。有关 Windows 认证程序的详细信息,请参阅 Microsoft 网站。(http://msdn.microsoft.com) 所以,只有受信任的人员才可成为该组的成员。
管理访问最好用于:
- 安装操作系统和组件(例如硬件驱动程序、系统服务等等)。
- 安装 Service Packs 和 Windows Packs。
- 升级操作系统。
- 修复操作系统。
- 配置关键操作系统参数(例如密码策略、访问控制、审核策略、内核模式驱动程序配置等等)。
- 获取已经不能访问的文件的所有权。
- 管理安全和审核日志。
- 备份和还原系统。
在实际应用中,通常必须使用 Administrator 帐户来安装和运行为 Windows 2000 以前版本编写的应用程序。
超级用户
Power Users 组主要为运行未经认证的应用程序而提供向后兼容性。分配给该组的默认权限允许该组的成员修改计算机的大部分设置。若必须支持未经验证的应用程序,则最终用户需要成为 Power Users 组的成员。
Power Users 组的成员拥有的权限比 Users 组的成员多,但比 Administrators 组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。默认的 Windows 2000 和 Windows XP Professional 对于 Power Users 的安全设置非常类似于 Windows NT 4.0 中对 Users 的安全设置。由 Windows NT 4.0 中的 Users 运行的任何程序,都可由 Windows 2000 或 Windows XP Professional 中 Power Users 运行。
Power Users 可以:
- 除了 Windows 2000 或 Windows XP Professional 认证的应用程序外,还可以运行一些旧版应用程序。
- 安装不修改操作系统文件并且不需要安装系统服务的应用程序。
- 自定义系统资源,包括打印机、日期/时间、电源选项和其他控制面板资源。
- 创建和管理本地用户帐户和组。
- 启动或停止默认情况下不启动的服务。
Power Users 不具有将自己添加到 Administrators 组的权限。Power Users 不能访问 NTFS 卷上的其它用户资料,除非他们获得了这些用户的授权。
警告
- 在 Windows 2000 或 Windows XP Professional 上运行旧版程序通常要求修改对某些系统设置的访问。默认情况下允许超级用户运行安全性不太严格的程序的权限,可能让超级用户获得其他系统权限,甚至完全的管理权限。因此,部署 Windows 2000 或 Windows XP Professional 认证的程序,以便在不影响程序功能的同时,得到最大的安全性非常重要。经认证的程序在由 Users 组提供的安全配置下正常运行。详细信息,请参阅 Microsoft 网站上的安全页。(http://www.microsoft.com)
- 由于超级用户可以安装或修改程序,因而以超级用户身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。
用户
“Users” 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户资料。
Users 组提供了一个最安全的程序运行环境。在全新安装(非升级安装)的系统的 NTFS 格式的卷上,默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。用户不能修改系统注册表设置,操作系统文件或程序文件。用户可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。他们可以运行经认证的 Windows 2000 或 Windows XP Professional 程序,这些程序由管理员安装或部署。用户对自己的数据文件 (%userprofile%) 和注册表中有关自己的部分 (HKEY_CURRENT_USER) 具有完全控制权。
然而,用户级别权限通常不允许用户成功地运行旧版应用程序。仅保证 Users 组的成员可运行经认证的 Windows 应用程序。(详细信息,请参阅 Microsoft 网站上的 Windows 认证程序。) (http://msdn.microsoft.com)
来源:(http://blog.sina.com.cn/s/blog_51a4af870100b8q5.html) - NTFS 下的 Windows XP 权限与帐户-2_寒夜孤星_新浪博客
要保证 Windows 2000 或 Windows XP Professional 系统的安全,管理员应该:
- 确保最终用户只属于 Users 组。
- 部署 Users 组的成员可以成功运行的程序,如经认证的 Windows 2000 或 Windows XP Professional 程序。
用户将无法运行为 Windows 2000 以前版本所编写的大多数 Windows 程序,因为这些应用程序中的大多数都是要么不支持文件系统和注册表安全(Windows 95 和 Windows 98),要么就是默认安全设置不严格(Windows NT)。如果在新安装的 NTFS 系统上运行以前的应用程序有问题,可采取下列措施之一:
- 安装经 Windows 2000 或 Windows XP Professional 所认证的新版应用程序。
- 将用户从 Users 组移到 Power Users 组。
- 降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。
备份操作员
Backup Operators 组的成员可以备份和还原计算机上的文件,而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机,但不能更改安全性设置。
警告
- 备份和还原数据文件和系统文件都需要对这些文件的读写权限。在默认情况下,赋予备份操作员的备份和还原文件权限也可能被用于其他目的,例如读取其他用户的文件或者安装特洛伊木马程序。组策略设置可用于创建仅由 Backup Operators 运行备份程序的环境。详细信息,请参阅 Microsoft 网站上的 Microsoft 安全页。(http://www.microsoft.com)
特殊组
Windows 2000 和 Windows XP Professional 可以自动创建几个其它组。当将 Windows 2000 系统升级到 Windows XP Professional 时,升级之后,匿名用户将不能够再使用具有 Everyone 组权限设置(且未明确授予匿名登录组)的资源。多数情况下,对匿名访问有适当的限制。为了支持预先存在的且要求匿名访问的应用程序,可能需要允许匿名访问。如果需要将访问权授予给匿名登录组,则应该明确添加该匿名登录安全组及其权限。
然而,有些情况下,可能很难确定并修改由 Windows XP Professional 所主持的计算机上资源的权限项目,这时可以修改网络访问:让 Everyone 权限适用于匿名用户安全设置。
- 交互 (Interactive)。该组包含当前登录到计算机上的用户。在升级到 Windows 2000 或 Windows XP Professional 时,也可以将 Interactive 组的成员添加到 Power Users 组,以便使旧版应用程序可继续保持升级前的功能。
- 网络 (Network)。该组包含通过网络远程访问系统的所有用户。
- 终端服务器用户 (Terminal Server User)。当终端服务器以应用程序服务模式被安装时,该组包含使用终端服务器登录到该系统的任何用户。用户在 Windows NT 4.0 中运行的任何程序,终端服务器用户也可以在 Windows 2000 或 Windows XP Professional 中运行。可以选择分配给该组的默认权限使得终端服务器用户能运行多数旧版应用程序。
警告
- 在 Windows 2000 或 Windows XP Professional 上运行旧版程序常常需要修改某些系统设置的权限。默认情况下允许终端服务器用户运行安全性不太严格的程序的权限,可能让终端服务器用户获得其他系统权限,甚至完全的管理权限。Windows 2000 或 Windows XP Professional 认证的应用程序可在由 Users 组提供的安全配置下正常运行。详细信息,请参阅 Microsoft 网站上的 Microsoft 安全页。(http://www.microsoft.com)
- 本地计算机上创建的本地账户没有密码,默认情况下被添加到 Administrator 组中。如有必要,“安全配置管理器”允许利用“受限组”策略控制 Administrators(或任何其它组)的成员关系。详细信息,请参阅受限制的组。
当“终端服务器”以远程管理模式安装时,通过“终端服务器”登录的用户不会成为此组的成员。
受限制的组策略
可以使用“受限制的组策略”控制组的成员身份。利用本策略,可以指定组的成员。任何未在本策略中指定的成员都将在配置或刷新时被删除。此外,反向成员身份配置选项确保每个“受限制的组”只属于在“成员”栏中指定组中的成员。
例如,可以创建“受限制的组策略”来仅允许指定的用户(如张三和李四)成为管理员组的成员。当刷新策略后,仅有张三和李四保留为管理员组的成员。
有两种方法可应用“受限制的组策略”:
- 在安全模板中定义策略,该策略将应用于配置本地计算机或应用时将安全模板导入组策略对象中时。
- 直接在组策略对象中定义设置,这意味着该策略将在下次刷新策略后生效。在工作站或服务器上,每 90 分钟刷新一次安全设置;在域控制器上,每 5 分钟刷新一次安全设置。不管是否进行更改,安全设置都是每 16 小时刷新一次。
小心
- 如果定义了“受限制的组策略”,并且刷新组策略,则将删除任何不属于“受限制的组策略”成员列表的当前成员。可能包括默认成员,如管理员。
要点
- 应该主要将“受限制的组”用于配置工作站或服务器上本地组中的成员。
默认安全设置的差异
“匿名登录”组不再属于“Everyone”组的成员。这种变化只会影响试图访问运行 Windows XP Professional 的计算机上资源的匿名用户。
任何不利用账户、密码或域而通过网络访问计算机及其资源的用户均是匿名登录内置安全组的成员。在早期版本的 Windows 中,匿名登录安全组的成员由于是 Everyone 组的成员关系而可以访问许多资源。由于 Administrators 没有意识到匿名用户是 Everyone 组的成员,因而可能无意向这些用户授予了原本仅为认证用户才享有的访问资源的权限。
将 Windows 2000 系统升级到 Windows XP Professional 后,升级之后,匿名用户将不能够再使用带有 Everyone 组权限设置(且未明确授予匿名登录组)的资源。在很多情况下,对匿名访问都有适当的限制。为了支持需要匿名访问而且此前已存在的应用程序,可能有必要允许匿名访问。如果需要将访问权授予给匿名登录组,应该明确添加该匿名登录安全组及其权限。
然而,有些情况下,可能很难确定并修改 Windows XP Professional 上计算机资源的权限设置,可以更改该安全设置网络访问:让 Everyone 权限适用于匿名用户。
详细信息,请参阅编辑组策略对象上的安全设置或编辑本地计算机的安全设置。
Windows NT 4.0 和 Windows XP Professional 之间的主要区别
Windows XP Professional 提供了由管理员控制其成员关系的三个组:用户、高级用户和管理员。由操作系统或域所控制的成员关系的组称为“经过验证的用户”。这与 Everyone 组是相同的,其区别在于它不包括匿名用户或来宾。
与 Windows NT 4.0 中的 Everyone 组不同的是,“经过验证的用户”组不用于分配权限。只有由管理员控制的组(主要包括 Users、Power Users 和 Administrators 组的成员)可用于分配权限。
默认情况下,任何认证用户都是 Users 组的成员。Power Users 具有 Windows NT 4.0 中 Users 的所有权限。这确保了 Windows NT 4.0 的向后兼容性。如果管理员需要对计算机执行更高级别的安全,则可以仅使“经过验证的用户”成为 Users 组的成员。
当一个专业版或服务器版的计算机加入域中时,则同一域的组被添加到计算机中(该计算机已添加到 Windows NT 4.0 计算机中)。“域管理员”可以添加到本地 Administrators 组,而“域用户”则可添加到本地 Users 组。
管理员组中的成员创建对象的默认所有者
可以设置将 Administrators 组或者将对象创建者作为任何已创建的系统对象的默认所有者。在 Windows XP Professional 中,创建者默认为所有者。