服务器的安全设置之权限设置

服务器的安全设置之权限设置

所谓“权限”(Permission),是指用户对于对象的访问限制。例如,能否新建、读取、删除对象。对象的种类包括文件、文件夹、分区、磁盘和打印机,等等。网管员必须精通权限的设置,否则服务器的安全设置就等同于空谈。

  设置权限是以对象为基础,即“设置某个对象的哪些用户可以拥有相应的权限”,而不能是以用户为基础,即“设置某个用户可以对哪些对象拥有权限”,这就意味着“权限”必须针对“对象”而言,脱离了对象去谈权限毫无意义——在提到权限的具体实施时,“某个对象”是必须存在的。

  权限有两种,一种是NTFS(安全)权限;另一种是共享权限(SharedPermission)。对于服务器来说,“安全”权限非常重要——优秀的权限设置可以极大的增强服务器的安全性能。比方说,服务器的主要功能就是存储数据,为了保证windows7系统数据的安全就必须将所有分区都使用NTFS文件系统,这样才能使用相应的NTFS权限,进而才能实现各种安全特性,如EFS数据加密特性,等等。

当一个分区使用了NTFS文件系统后,其分区和其下的目录属性窗口中就会出现“安全”选项卡,从中即可宋央季进行NTFS权限设置,如图所示。

在NTFS分区中,每个文件夹与文件都有一项称为“SecurityDescriptor”的特别属性,此厲性中有个为DiscretionaryAccessControlList(DACL,一般简盲截称为ACL)的列表,其中记录了此文件夹或文件对某个账户组或账户开放了什么样的权限,如图所示。因此,设置NTFS权限的操作实际上就是相当于在编辑ACL的属性。

在ACL列表中,需要注意每一个账户或账户组都对应一组访问控制项(AccessControlEntry,ACE),这一点只需在“组或用户名称”列表中,通过“选择不同的账户或组时,下方的权限列表设置项会是不同的”这一点就可以看出来了。显然,所有账户或账户组的权限访问设置都会在这里被存储下来,并允许随时被有权限进行修改的账户进行调整。

  对于服务器管理员来说,必须对每一个面向外部开放的资源进行权限设置,这样,才能将一些可能泉娃产生的安全隐患及时排除掉。