来源:蜘蛛抓取(WebSpider)
时间:2017-03-17 19:33
标签:
什么书买不到
可怜的巴萨,因为买不到人,未来主席都只能外出打扑克攒钱
巴萨后卫皮克是众所周知的扑克爱好者,最近他参加了巴塞罗那扑克明星冠军赛,并且取得了不错的成绩。根据《世界体育报》的消息,皮克晋级到了本次比赛的第五轮,拿走了129350欧元的奖金。本次比赛一共有66位选手参赛,参赛金额为25万欧元,皮克杀进了最后的9人大战,最终败下阵来,剩下的8个人此前已经赢得超过7000万欧元的奖金。《好看》依托百度技术,精准推荐优质短视频内容,懂你所好,量身打造最适合你的短视频客户端!专家:可准备反制措施 加价都买不到_铁底新闻网
专家:可准备反制措施 加价都买不到
专家:可准备反制措施 加价都买不到
房东开价每月950元,涉嫌受贿500万的郭宜品把价格压到800元。在租住的近两个月时间里,他几乎不出门,成天窝在家里,开着电视看新闻。最终,同年10月份,郭宜品被抓获。
监管逐步推进,捷越联合创始人兼捷越普惠总裁马天帅感觉,行业基本告别野蛮生长,乱象逐渐被整肃,一批违法违规的平台被清理出局。
一是公开部门范围进一步扩大。实现除涉密信息外,所有使用财政资金的市级部门,全部公开本部门决算。
7、提问:我是财新周刊的记者,刚才郁总提到跟比亚迪的合作,现在比亚迪的云轨有跟20多个城市签约,想问一下万科跟比亚迪究竟会产生什么样的模式开发轨道物业?包括我们提到轨道业务是潜在的业务,轨道业务大概未来,比如2017年或者是未来三年内大概操作的土地资源面积是多少,有这样的数据吗?
同时,也有网友在美国论坛上指出,捐款最初的目的从“找到章莹颖”变成了“完成她的心愿,帮助她的家庭”,并称章家人要用这笔捐款满足章莹颖扶助家庭的愿望,已经引发一些捐款人不满,甚至有人要求退款。
啥是新周期?通常都是旧故事。上世纪九十年代,美国出现“经济高增长高就业和低通胀”格局,“新经济周期”一词盛行。经济学诺奖得主卢卡斯2003年宣称,“美国已摆脱经济周期的束缚,人类将迎来持续的繁荣”。这一论断成为大笑话。
这些数据让人觉得,除了千禧一代,为其他人开发新的应用似乎没有什么意义,因为千禧一代是唯一显示出对下载更多应用感兴趣、有支付意愿以及大规模采用新应用能力的群体。
变态粉丝终于对未麻下手了,他试图强暴未麻却被反抗中的未麻“反杀”成功。
第十条 银行业金融机构应对自有理财产品及代销产品的销售过程进行同步录音录像,完整客观地记录营销推介、相关风险和关键信息提示、消费者确认和反馈等重点销售环节,消费者确认内容应至少包括其充分了解销售人员所揭示的产品风险等。银行业金融机构进行上述录音录像行为应征得消费者同意,如其不同意则不能销售产品。
省纪委指出,以上被问责的党组织和党员领导干部,管党治党责任意识淡薄,存在失职失责行为,对他们严肃问责,表明了坚持全面从严治党向基层延伸的坚定决心,释放了有权必有责、有责要担当、失责必追究的强烈信号。
5、提问:管理层好,我是一财的记者,想问一下为什么今年上半年的销售规模增长这么快,但是交楼的面积是下降了?我看也导致了营收上小幅度的下滑,我想问一下为什么会出现这个情况,是不是收款的速度跟不上施工的速度,是不是跟施工队的情况有关,如果未来调控取消期房销售制度的话,我们的应收账款也挺多的,未来这会不会造成万科的短板?
全面从严治党永远在路上。8月中旬之后,巡视整改将从集中整改转为常态化制度化整改阶段。学校党委将努力做到“目标任务不变、工作力度不减、督促落实不松”,进一步结合学校“十三五”规划实施和“双一流”建设,大力巩固巡视整改成果。对于已经完成的项目加强督促检查和“回头看”,防止问题反弹;对于尚未完成的中长期项目,加强组织领导,抓好工作落实;对于已经严肃查处的问题,着眼源头遏制和长效治理,进一步研究形成务实管用的制度,确保取得实效。根据全面从严治党面临的形势,下一步,学校党委将继续加强以下几方面工作:
同时,长城汽车董事长魏建军从未掩饰过其打造suv帝国,甚至成为全球最大suv品牌的野心。今年初,魏建军借着哈弗销售百万辆之际,对外宣布了到2020年哈弗销售200万辆,在数量和品牌价值上超越jeep和路虎,做suv全球第一的目标。
合作三年的msn三叉戟,如今再次留下了合影,虽然内马尔此时已经不再是巴萨球员了。内马尔坐在正中央,苏亚雷斯左手搂住内马尔左肩,梅西右手则干脆搭在内马尔脖子旁。用《马卡报》的话说,“梅西今夏第一次笑得这么开心”。
创建并主办的中国最高等级的马拉松系列赛事之一。旨在整合中国马拉松优秀赛事资源,为中国马拉松树立顶级办赛标准,推动中国马拉松赛事国际化、规范化,市场化运作与发展并以文化传播为己任,弘扬大众体育精神,搭建更高水平交流平台,成为中国马拉松事业发展和前进的风向标。
(月22日晚间公布半年报,公司上半年实现营收7.43亿元,同比增长31.36%;净利1.20亿元,同比增长53.07%;公司拟每10股派发现金红利1元(含税)。报告期新增子公司捷通泰瑞,并入归属于母公司净利润335万元;公司临床试验技术服务业务增长速度较快,实现营业收入同比增长57.55%。
原雅安市委书记徐孟加迷信风水先生,耗资2000万建西蜀天梯。公开报道显示,日,“西蜀天梯”工程竣工。官方简介称,西蜀天梯位于雅安金凤山,总长226米多,坡度33度,总高差149米,共计11梯879步,每梯间都安装了寓意深刻的浮雕。
上半年,万科归属于上市公司股东净利润达到73亿元,同比增长36.5%,增幅为三年来最高。主要原因是上半年结算的项目中,有一部分在市场销售回暖期销售,毛利率较高。万科毛利率相比上年同期也提升7.35个百分点,至25.26%。
在内马尔去留未定之际,皮克曾经在推特上发了两人合影,并且表态“他会留下”。这张图,被媒体戏称为“皮克官宣内马尔留队”。在内马尔离队之后,巴黎皇马球迷往往都用“他会留下”这句话来嘲讽皮克。内马尔如今也在社交媒体发布了他和皮克的合影,并且也用了“他会留下”这句话来调侃皮克。
当摩拜、ofo携带着上百亿的资本大象跳舞,相比较已经倒闭的跟风者,第三名之后的其他玩家都有着各自的生存之道,如何在夹缝中生存,对大多数创业者来说,或许更具有参考意义。
有分析师指出,近期市场价格大幅上涨已把一些产品下半年利好提前透支,加之部分行业需求未实质性改善,下半年一些产品或面临价格高位回落风险。
亚洲大学中国政策研究所所长金兴圭说,“由于中韩都抱有改善双边关系的意愿,所以双边关系尚未沦落到最坏局面,但中国就“萨德”问题定义为核心利益,两国关系不可避免会出现一场激烈交锋”。梨花女大国际学系教授朴仁辉说,“朴槿惠政府在朝鲜第四轮核试验后决定部署‘萨德’,是对中国‘为什么不能像美国一样支持韩国立场’做出的赌气行为”。
允许社会资本配套建设符合规定的医院、康养中心、疗养院及附属设施等经营性项目,提高项目综合盈利能力。鼓励社会资本通过“互联网+”等创新运营模式,降低项目成本,提高项目运营效率和投资回报水平。
胡明华,男,1972年12月出生,汉族,籍贯江西湖口,全日制大专,在职研究生,工商管理硕士,1993年7月参加工作,1996年12月加入中国共产党。现任中共上海市委宣传部文化改革发展办公室(上海市文化事业管理处)主任(处长)。拟推荐为崇明区副区长人选。
第四,财政部在一级市场面向有关银行发行特别国债,当日央行在二级市场购入特别国债,不会对债券一级市场发行和二级市场交易形成挤出效应。综合而言,可实现财政债务总额不变、人民银行资产负债表不变、相关金融机构资产负债表不变、银行体系流动性不变。(完)
据报导,儿童癌症病房其实常传出哭声,现在因为集点活动,孩子期待礼物变得更有活力。3岁的丁小妹因血癌治疗头发掉光、戴口罩,但是脸上挂满笑容,每天站在礼物柜前直说要换积木、魔法棒。另一名罹患血癌的11岁程小弟,为了参加集点,努力散步、运动,成功换到了一个鸭子抱枕,下一个目标是现在正热的指尖陀螺。
时代新材(日晚间公告,公司控股子公司时代华先拟在湖南株洲新建年产3200吨芳纶材料及制品、电容隔膜材料及水处理基材生产基地,总投资额3.38亿元。该项目的实施可打破目前国外厂商的技术垄断和独家供货的局面。此外,公司发布半年报,上半年实现净利3073万元,同比降83%。业绩下降主要因风电叶片收入和利润大幅下滑;另外受欧元升值的影响,报告期内形成汇兑损失8988万元。
8月21日,国土资源部党组书记孙绍骋宣布,冯志礼接棒赵凤桐,任中央纪委驻国土资源部纪检组组长。
身着fendi 2017春夏系列条纹衬衫和连衣裙配chanel 2017春夏系列猫咪项链以及fendi鞋子
过去10年,联想累计投入研发费用为68.5亿美元(约为人民币460亿元),远少于华为2016年一年的研发费用。
8月7日,沈阳发布限售新政,对市场交易、土地供应、房屋备案、公积金、住房租赁市场等各个方面提出要求,以“稳定住房价格预期”。部分区域居民购二套及以上商品房5年内禁售,同时实行一房一价制度,6个月内不得调整申报价格。
李克强会上明确要求,要进一步推动改革深化,同时把营改增试点成果用法律规范确定下来。“要巩固扩大改革成果,促进经济结构优化升级,使改革红利惠及更多企业和群众。”总理说。
现代快报讯 世界那么大,我想去看看;天冷起不来,辞职去冬眠。如今,辞职似乎成了大众关注的热点,而奇葩的辞职理由更是层出不穷。24日晚,一张图为无锡中医院某员工浦某某的辞职信刷爆朋友圈。与晒情怀、示可怜的风格迥然不同,这封辞职信堪称“史上最霸气”,称自己闲暇之余2年就能赚180万。
声明:本站登载此文出于互联网,并不意味着本站赞同其观点或证实其描述
文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证
------分隔线----------------------------
文章部分转载,仅供学习和研究使用。如有侵犯你的版权,请联系我们,本站将立即改正。系统权限——你用好了吗?
系统权限——你用好了吗?
编辑:www.fx114.net
本篇文章主要介绍了"系统权限——你用好了吗?",主要涉及到系统权限——你用好了吗?方面的内容,对于系统权限——你用好了吗?感兴趣的同学可以参考一下。
&一. 权限的由来
&&& 远方的某个山脚下,有一片被森林包围的草原,草原边上居住着一群以牧羊为生的牧民。草原边缘的森林里,生存着各种动物,包括野狼。
&&& 由于羊群是牧民们的主要生活来源,它们的价值便显得特别珍贵,为了防止羊的跑失和野兽的袭击,每户牧民都用栅栏把自己的羊群圈了起来,只留下一道小门,以便每天傍晚供羊群外出到一定范围的草原上活动,实现了一定规模的保护和管理效果。
&&& 最初,野狼只知道在森林里逮兔子等野生动物生存,没有发现远处草原边上的羊群,因此,在一段时间里实现了彼此和平相处,直到有一天,一只为了追逐兔子而凑巧跑到了森林边缘的狼,用它那灵敏的鼻子嗅到了远处那隐隐约约的烤羊肉香味。
&&& 当晚,突然出现的狼群袭击了草原上大部分牧民饲养的羊,它们完全无视牧民们修筑的仅仅能拦住羊群的矮小栅栏,轻轻一跃便突破了这道防线&&虽然闻讯而来的牧民们合作击退了狼群,但是羊群已经遭到了一定的损失。
&&& 事后,牧民们明白了栅栏不是仅仅用来防止羊群逃脱的城墙,各户牧民都在忙着加高加固了栅栏&&
&&& 如今使用Windows 2000/XP等操作系统的用户,或多或少都会听说过&权限&(Privilege)这个概念,但是真正理解它的家庭用户,也许并不会太多,那么,什么是&权限&呢?对于一般的用户而言,我们可以把它理解为系统对用户能够执行的功能操作所设立的额外限制,用于进一步约束计算机用户能操作的系统功能和内容访问范围,或者说,权限是指某个特定的用户具有特定的系统资源使用权力。
&&& 掌握了&Ring级别&概念的读者也许会问,在如今盛行的80386保护模式中,处理器不是已经为指令执行做了一个&运行级别&的限制了吗?而且我们也知道,面对用户操作的Ring 3级别相对于系统内核运行的Ring 0级别来说,能直接处理的事务已经被大幅度缩减了,为什么还要对运行在&权限少得可怜&的Ring 3层次上的操作系统人机交互界面上另外建立起一套用于进一步限制用户操作的&权限&概念呢?这是因为,前者针对的是机器能执行的指令代码权限,而后者要针对的对象,是坐在计算机面前的用户。
&&& 对计算机来说,系统执行的代码可能会对它造成危害,因此处理器产生了Ring的概念,把&裸露在外&的一部分用于人机交互的操作界面限制起来,避免它一时头脑发热发出有害指令;而对于操作界面部分而言,用户的每一步操作仍然有可能伤害到它自己和底层系统&&尽管它自身已经被禁止执行许多有害代码,但是一些不能禁止的功能却依然在对这层安全体系作出威胁,例如格式化操作、删除修改文件等,这些操作在计算机看来,只是&不严重&的磁盘文件处理功能,然而它忽略了一点,操作系统自身就是驻留在磁盘介质上的文件!因此,为了保护自己,操作系统需要在Ring 3笼子限制的操作界面基础上,再产生一个专门用来限制用户的栅栏,这就是现在我们要讨论的权限,它是为限制用户而存在的,而且限制对每个用户并不是一样的,在这个思想的引导下,有些用户能操作的范围相对大些,有些只能操作属于自己的文件,有些甚至什么也不能做&&(图。权限)
&&& 正因为如此,计算机用户才有了分类:管理员、普通用户、受限用户、来宾等&&
&&& 还记得古老的Windows 9x和MS-DOS吗?它们仅仅拥有基本的Ring权限保护(实模式的DOS甚至连Ring分级都没有),在这个系统架构里,所有用户的权力都是一样的,任何人都是管理员,系统没有为环境安全提供一点保障&&它连实际有用的登录界面都没有提供,仅仅有个随便按ESC都能正常进入系统并进行任何操作的&伪登录&限制而已。对这样的系统而言,不熟悉电脑的用户经常一不小心就把系统毁掉了,而且病毒木马自然也不会放过如此&松软&的一块蛋糕,在如今这个提倡信息安全的时代里,Windows 9x成了名副其实的鸡肋系统,最终淡出人们的视线,取而代之的是由Windows NT家族发展而来的Windows 2000和Windows XP,此外还有近年来致力向桌面用户发展的Linux系统等,它们才是能够满足这个安全危机时代里个人隐私和数据安全等要求的系统。
&&& Win2000/XP系统是微软Windows NT技术的产物,是基于服务器安全环境思想来构建的纯32位系统。NT技术没有辜负微软的开发,它稳定,安全,提供了比较完善的多用户环境,最重要的是,它实现了系统权限的指派,从而杜绝了由Win9x时代带来的不安全操作习惯可能引发的大部分严重后果。
&&& 二.权限的指派
&&& 1.普通权限
&&& 虽然Win2000/XP等系统提供了&权限&的功能,但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样,那么就等于所有人都没有权限的限制,那和使用Win9x有什么区别?幸好,系统默认就为我们设置好了&权限组&(Group),只需把用户加进相应的组即可拥有由这个组赋予的操作权限,这种做法就称为权限的指派。
&&& 默认情况下,系统为用户分了6个组,并给每个组赋予不同的操作权限,依次为:管理员组(Administrators)、高权限用户组(Power Users)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制组(Replicator)、来宾用户组(Guests),其中备份操作组和文件复制组为维护系统而设置,平时不会被使用。(图。默认分组)
&&& 系统默认的分组是依照一定的管理凭据指派权限的,而不是胡乱产生,管理员组拥有大部分的计算机操作权限(并不是全部),能够随意修改删除所有文件和修改系统设置。再往下就是高权限用户组,这一部分用户也能做大部分事情,但是不能修改系统设置,不能运行一些涉及系统管理的程序。普通用户组则被系统拴在了自己的地盘里,不能处理其他用户的文件和运行涉及管理的程序等。来宾用户组的文件操作权限和普通用户组一样,但是无法执行更多的程序。(图。不同账户权限的限制)
&&& 这是系统给各个组指派的权限说明,细心的用户也许会发现,为什么里面描述的&不能处理其他用户的文件&这一条规则并不成立呢,我可以访问所有文件啊,只是不能对系统设置作出修改而已,难道是权限设定自身存在问题?实际上,NT技术的一部分功能必须依赖于特有的&NTFS&(NT文件系统)分区才能实现,文件操作的权限指派就是最敏感的一部分,而大部分家庭用户的分区为FAT32格式,它并不支持NT技术的安全功能,因此在这样的文件系统分区上,连来宾用户都能随意浏览修改系统管理员建立的文件(限制写入操作的共享访问除外),但这并不代表系统权限不起作用,我们只要把分区改为NTFS即可。
&&& 2.特殊权限
&&& 除了上面提到的6个默认权限分组,系统还存在一些特殊权限成员,这些成员是为了特殊用途而设置,分别是:SYSTEM(系统)、Everyone(所有人)、CREATOR OWNER(创建者)等,这些特殊成员不被任何内置用户组吸纳,属于完全独立出来的账户。(图。特殊权限成员)
&&& 前面我提到管理员分组的权限时并没有用&全部&来形容,秘密就在此,不要相信系统描述的&有不受限制的完全访问权&,它不会傻到把自己完全交给人类,管理员分组同样受到一定的限制,只是没那么明显罢了,真正拥有&完全访问权&的只有一个成员:SYSTEM.这个成员是系统产生的,真正拥有整台计算机管理权限的账户,一般的操作是无法获取与它等价的权限的。
&&& &所有人&权限与普通用户组权限差不多,它的存在是为了让用户能访问被标记为&公有&的文件,这也是一些程序正常运行需要的访问权限&&任何人都能正常访问被赋予&Everyone&权限的文件,包括来宾组成员。
&&& 被标记为&创建者&权限的文件只有建立文件的那个用户才能访问,做到了一定程度的隐私保护。
&&& 但是,所有的文件访问权限均可以被管理员组用户和SYSTEM成员忽略,除非用户使用了NTFS加密。
&&& 无论是普通权限还是特殊权限,它们都可以&叠加&使用,&叠加&就是指多个权限共同使用,例如一个账户原本属于Users组,而后我们把他加入Administrators组,那么现在这个账户便同时拥有两个权限身份,而不是用管理员权限去覆盖原来身份。权限叠加并不是没有意义的,在一些需要特定身份访问的场合,用户只有为自己设置了指定的身份才能访问,这个时候&叠加&的使用就能减轻一部分劳动量了。
&&& 3.NTFS与权限
&&& 在前面我提到了NTFS文件系统,自己安装过Win2000/XP的用户应该会注意到安装过程中出现的&转换分区格式为NTFS&的选择,那么什么是NTFS?NTFS(New Technology File System)是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,只有使用NT技术的系统对它直接提供支持,也就是说,如果系统崩溃了,用户将无法使用外面流行的普通光盘启动工具修复系统,因此,是使用传统的FAT32还是NTFS,一直是个倍受争议的话题,但如果用户要使用完全的系统权限功能,或者要安装作为服务器使用,建议最好还是使用NTFS分区格式。
&&& 与FAT32分区相比,NTFS分区多了一个&安全&特性(图。FAT32与NTFS的比较),在里面,用户可以进一步设置相关的文件访问权限,而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。例如,来宾组的用户再也不能随便访问到NTFS格式分区的任意一个文件了,这样可以减少系统遭受一般由网站服务器带来的入侵损失,因为IIS账户对系统的访问权限仅仅是来宾级别而已,如果入侵者不能提升权限,那么他这次的入侵可以算是白忙了。
&&& 使用NTFS分区的时候,用户才会察觉到系统给管理员组用户设定的限制:一些文件即使是管理员也无法访问,因为它是SYSTEM成员建立的,并且设定了权限。(图。NTFS权限审核导致访问被拒绝)
&&& 但是NTFS系统会带来一个众所周知的安全隐患:NTFS支持一种被称为&交换数据流& (Alternate Data Stream,ADs)的存储特性,原意是为了和Macintosh的HFS文件系统兼容而设计的,使用这种技术可以在一个文件资源里写入相关数据(并不是写入文件中),而且写进去的数据可以使用很简单的方法把它提取出来作为一个独立文件读取,甚至执行,这就给入侵者提供了一个可乘之机,例如在一个正常程序里插入包含恶意代码的数据流,在程序运行时把恶意代码提取出来执行,就完成了一次破坏行动。(图。隐秘的数据流)
&&& 不过值得庆幸的是,数据流仅仅能存在于NTFS格式分区内,一旦存储介质改变为FAT32、CDFS等格式,数据流内容便会消失了,破坏代码也就不复存在。
&&& 4.权限设置带来的安全访问和故障
&&& 很多时候,管理员不得不为远程网络访问带来的危险因素而担忧,普通用户也经常因为新漏洞攻击或者IE浏览器安全漏洞下载的网页木马而疲于奔命,实际上合理使用NTFS格式分区和权限设置的组合,足以让我们抵御大部分病毒和黑客的入侵。
&&& 首先,我们要尽量避免平时使用管理员账户登录系统,这样会让一些由IE带来的病毒木马因为得不到相关权限而感染失败,但是国内许多计算机用户并没有意识到这一点,或者说没有接触到相关概念,因而大部分系统都是以管理员账户运行的,这就给病毒传播提供了一个很好的环境。如果用户因为某些工作需要,必须以管理员身份操作系统,那么请降低IE的运行权限,有试验证明,IE运行的用户权限每降低一个级别,受漏洞感染的几率就相应下降一个级别,因为一些病毒在例如像Users组这样的权限级别里是无法对系统环境做出修改的。降低IE运行权限的方法很多,最简单的就是使用微软自家产品&Drop My Rights&对程序的运行权限做出调整。(图。用RunAs功能降低IE运行级别)
&&& 对管理员来说,设置服务器的访问权限才是他们关心的重点,这时候就必须搭配NTFS分区来设置IIS了,因为只有NTFS才具备文件访问权限的特性。然后就是安装IIS,经过这一步系统会建立两个用于IIS进程的来宾组账户&IUSR_机器名&和&IWAM_机器名&,但这样还不够,别忘记系统的特殊成员&Everyone&,这个成员的存在虽然是为了方便用户访问的,但是对于网络服务器最重要的&最小权限&思路(网络服务程序运行的权限越小,安全系数越高)来说,它成了安全隐患,&Everyone&使得整个服务器的文件可以随便被访问,一旦被入侵,黑客就有了提升权限的机会,因此需要把惹祸的&Everyone&成员从敏感文件夹的访问权限去掉,要做到这一步,只需运行&cacls.exe 目录名 /R &everyone& /E&即可。敏感文件夹包括整个系统盘、系统目录、用户主目录等。这是专为服务器安全设置的,不推荐一般用户依葫芦画瓢,因为这样设定过&最小权限&后,可能会对日常使用的一些程序造成影响。
&&& 虽然权限设定会给安全防范带来一定的好处,但是有时候,它也会闯祸的&&
&&& &文件共享&(Sharing)是被使用最多的网络远程文件访问功能,却也是最容易出问题的一部分,许多用户在使用一些优化工具后,发现文件共享功能突然就失效了,或者无论如何都无法成功共享文件,这也是很多网络管理员要面对的棘手问题,如果你也不巧遇到了,那么可以尝试检查以下几种原因:
&&& (1)。相应的服务被禁止。文件共享功能依赖于这4个服务:Computer Browser、TCP/IP NetBIOS Helper Service、Server、Workstation,如果它们的其中一个被禁止了,文件共享功能就会出现各种古怪问题如不能通过计算机名访问等,甚至完全不能访问。
&&& (2)。内置来宾账户组成员Guest未启用。文件共享功能需要使用Guest权限访问网络资源。
&&& (3)。 内置来宾账户组成员Guest被禁止从网络访问。这问题常见于XP系统,因为它在组策略(gpedit.msc)-&计算机配置-&Windows设置-&安全设置-&本地策略-&用户权利指派-&拒绝从网络访问这台计算机里把Guest账户添加进去了,删除掉即可真正启用Guest远程访问权限。
&&& (4)。限制了匿名访问的权限。默认情况下,组策略(gpedit.msc)-&计算机配置-&Windows设置-&安全设置-&本地策略-&安全选项-&对匿名连结的额外限制的设置应该是&无。依赖于默认许可权限&或者&不允许枚举SAM账号和共享&,如果有工具自作聪明帮你把它设置为&没有显式匿名权限就无法访问&,那么我可以很负责的告诉你,你的共享全完蛋了。
&&& (5)。系统权限指派出现意外。默认情况下,系统会给共享目录指派一个&Everyone&账户访问授权,然而实际上它还是要使用Guest成员完成访问的工作,但是有时候,Everyone却忘记Guest的存在了,这是或我们就需要自己给共享目录手动添加一个Guest账户,才能完成远程访问。(图。手动添加一个账户权限)
&&& (6)。NTFS权限限制。一些刚接触NTFS的用户或者新手管理员经常会出这个差错,在排除以上所有问题的前提下依然无法实现文件共享,哪里都碰过了就是偏偏不知道来看看这个目录的&安全&选项卡,并在里面设置好Everyone的相应权限和添加一个Guest权限进去,如果它们会说话,也许早就在音箱里叫唤了:嘿,快看这里!哟嗬!
&&& (7)。系统自身设置问题。如果检查了以上所有方法都无效,那么可以考虑重装一个系统了,不要笑,一些用户的确碰到过这种问题,重装后什么也没动,却一切都好了。这大概是因为某些系统文件被新安装的工具替换掉后缺失了文件共享的功能。
&&& 由权限带来的好处是显而易见的,但是我们有时候也不得不面对它给我们带来的麻烦,没办法,谁叫事物都是有两面性的呢,毕竟正是因为有了这一圈栅栏,用户安全才有了保障。
&&& 三. 突破系统权限
&&& 距离上一次狼群的袭击已经过了一个多月,羊们渐渐都忘记了恐惧,一天晚上,一只羊看准了某处因为下雨被泡得有点松软低陷的栅栏,跳了出去。可惜这只羊刚跳出去不久就遭遇了饿狼,不仅尸骨无存,还给狼群带来了一个信息:栅栏存在弱点,可以突破!
&&& 几天后的一个深夜,狼群专找地面泥泞处的栅栏下手,把栅栏挖松了钻进去,再次洗劫了羊群。
&&& 虽然权限为我们做了不同范围的束缚,但是这些束缚并不是各自独立的,它们全都依靠于同样的指令完成工作,这就给入侵者提供了&提升权限&(Adjust Token Privilege)的基础。
&&& 所谓&提升权限&,就是指入侵者使用各种系统漏洞和手段,让自己像那只羊或者狼群那样,找到&栅栏&的薄弱环节,突破系统指派的权限级别,从而把自己当前的权限提高多个级别甚至管理员级别的方法,提升权限得以成功的前提是管理员设置的失误(例如没有按照&最小权限&思路来配置服务器)或者业界出现了新的溢出漏洞等(例如LSASS溢出,直接拿到SYSTEM权限)。
&&& 通常,如果IIS或SQL两者之一出现了漏洞或设置失误,入侵者会尝试直接调用SQL注入语句调用特殊的系统存储过程达到直接执行命令的愿望,如果这一步成功,那么这台服务器就沦陷了;但如果管理员还有点本事,删除了存储过程或者补好了SQL注入点呢?入侵者会想办法得到IIS的浏览权限,例如一个WebShell之类的,然后搜寻整台服务器的薄弱环节(前提:管理员没删除Everyone账户权限),例如Serv-U、IIS特殊目录、各种外部CGI程序、FSO特殊对象等,这场猫和耗子的游戏永远也不会结束,如果管理员功底不够扎实,那么只能看着入侵者破坏自己的劳动成果甚至饭碗了。
&&& 四. 结语
&&& 狼群的进攻再次被牧民们击退了,吸取了这次教训,牧民们在加固栅栏时都会把栅栏的根部打在坚硬的泥地上,并且嵌得很深。
&&& 饿狼们,还会再来吗?
&&& 权限是计算机安全技术的一个进步,但是它也是由人创造出来的,不可避免会存在不足和遗漏,我们在享受权限带来的便利时,也不能忽视了它可能引起的安全隐患或者设置失误导致的众多问题。要如何才算合理使用权限,大概,这只能是个仁者见仁,智者见智的问题了。
&&& 今天,你又在用管理员账户心安理得的到处逛了吗?
一、不得利用本站危害国家安全、泄露国家秘密,不得侵犯国家社会集体的和公民的合法权益,不得利用本站制作、复制和传播不法有害信息!
二、互相尊重,对自己的言论和行为负责。
本文标题:
本页链接:
