WEB开发网
开发学院操作系统windows 2008 解密6个让人迷惑的文件服务器NTFS权限问题 阅读

解密6个让人迷惑的文件服务器NTFS权限问题

 2009-09-06 00:00:00 来源:WEB开发网   
核心提示: 然而,有时候某个可执行文件也会包含一些敏感信息(比如:数据库连接字符串),解密6个让人迷惑的文件服务器NTFS权限问题(4),我们显然不希望这样的信息被他人通过16位进制编辑器来读取,这时,只有在这种场合,“取得所有权”权限才会像我们期待的那样发挥作用,取消“

然而,有时候某个可执行文件也会包含一些敏感信息(比如:数据库连接字符串),我们显然不希望这样的信息被他人通过16位进制编辑器来读取,这时,取消“读取”权限就显得很有必要了。此外,还有一个好处是:用户在没有“读取”权限的情况下是无法将可执行文件拷贝到另一个地方的。我们可以通过灵活运用“运行文件”权限来实现不同级别的访问控制。然而,需要牢记的是:脚本和批处理文件的情况正好相反,运行这类文件,用户必须具有“读取” 权限,而不一定需要“运行文件” 权限。还有一点非常有趣:如果对一个DLL或OLE自定制(OCX)ActiveX组件拒绝“运行文件“ 权限的话,用户将无法使用regsvr32.exe来注册该组件。(图6)

解密6个让人迷惑的文件服务器NTFS权限问题

3、为什么有些文件权限不如另一些管用?

有些文件权限不如另一些管用,原因仅仅在于其它默认的系统特权将它们覆盖了。比如,如果用户具有“还原文件和目录” 系统特权的话,我们就无法拒绝他的“取得所有权” 权限,默认情况下“Administrators” 和“BackuP Operators” 用户组成员都属于这类用户,因为他们具有“取得文件或其它对象所有权” 这一特权。我们虽然可以剥夺管理员所具有的这一系统特权,但管理员毕竟是管理员,他们也可以把特权重新夺回来。

(1).关于“取得所有权”权限

“取得所有权”权限在很大程度上是没有意义的,因为默认情况下只有“Administrators” 或“BackuP Operators” 组的成员才有权取得某个文件的所有权,而这两个组中任意一组的成员已经具有了“取得文件或其它对象所有权” 这一系统特权。唯一用的上这一权限的情形是:如果某一用户或用户组不属于“Administrators”组,不具有“还原文件和目录” 系统特权,但是又具有“取得文件或其它对象所有权”特权,而我们希望拒绝该用户或用户组取得某些文件的所有权。只有在这种场合,“取得所有权”权限才会像我们期待的那样发挥作用,否则就不要在它身上浪费时间了。

上一页  1 2 3 4 5 6  下一页

Tags:解密 迷惑 文件

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接