当前页面位置: » 丰搜网 » 文档中心 » 详细内容
安全防范:怎样限制服务的权限
2000下面的服务默认是everyone完全控制的,这就造成了2000下面的安全隐患,记得某款清除日志的软件就是靠停掉iis服务来达到删除日志记录的目的吧;另外如果服务器的服务不限制权限的话万一你的服务器有什么漏洞, 就算对方没有拿到管理员的权限…想必大家也都清楚意味着什么了吧。
方法一:使用组策略
1、管理工具-active directory用户和计算机
2、右键点击域-创建新的组织单位
3、右键点击新建的组织单位选择属性
4、选择组策略
5、创建新的组策略,进行编辑
6、计算机配置-windows设置-安全设置-系统服务
7、双击你需要设置权限的服务
8、定义这个策略是个设置-编辑安全设置(默认是everyone完全控制)
9、删除everyone组,添加system组和其他有访问权限的用户。
10、分配给用户和组读取、启动、停止和暂停的权限。
11、把服务的启动模式改为自动。
12、把你所需要限制服务的计算机添加到你所创建的组织单位里面,完成!
注:如果发现设置错误的话,可以通过regedt32编辑
hkey_local_machine\system\currentcontrolset\services\\security,删除security键,重新启动。
方法二:使用subinacl
subinacl为2000resourcekit里面提供的工具,具体语法如下。
subinacl /service \\computername\servicename /grant=[domainname\]username[=access]
这其中:
computername - 机器.netbios名,省略的话代表本地
servicename - 服务的名称
domainname - 域名,省略的话搜索本地的用户
username - 要被赋予权限的用户名称
access - f : 完全控制 (缺省)
r : 读
w : 写
x : 执行
l : 读取控制
q : 查询服务的设置
s : 查询服务的状态
e : 列出所依赖的服务
c : 改变服务的设置
t : 启动服务
o : 停止服务
p : 暂停/开始 服务
i : 询问服务
u : 用户用命令行方式定义服务控制
如果本机的话就容易多了,比如想限定本机的dns服务的权限是administrator完全控制的话执行
subinacl /service \dns /grant=administrator=f就ok了。
方法三:使用脚本
提供了一个例子,根据自己的实际情况可以对下面的脚本进行修改。
jsidomain= wscript.arguments.item(0)'domain of computer account
jsicomputer = wscript.arguments.item(1)27.netbios computername
jsiusername = wscript.arguments.item(2)'username (in the domain)
jsiperm= wscript.arguments.item(3)'access code
'bind to computername
set objtarget = getobject("winnt://" & jsidomain & "/" & jsicomputer & ",computer")
'create a shell object for call to subinacl
set objcmd = createobject("wscript.shell")
'get list of services
objtarget.filter = array("service")
for each service in objtarget
command = "subinacl /service " & service.name & " /grant=" & jsiusername & "=" & jsiperm
objcmd.run command, 0
'report the services
wscript.echo "user granted access to " & service.name & " "
next
note: this script does not perform any error checking.
