安全防范:怎样限制服务的权限

长空鸣剑

2000下面的服务默认是Everyone完全控制的，这就造成了2000下面的安全隐患，记得某款清除日志的软件就是靠停掉IIS服务来达到删除日志记录的目的吧；另外如果服务器的服务不限制权限的话万一你的服务器有什么漏洞，就算对方没有拿到管理员的权限…想必大家也都清楚意味着什么了吧。 \n\n\n\n方法一:使用组策略 \n\n1、管理工具－Active Directory用户和计算机 \n\n2、右键点击域－创建新的组织单位 \n\n3、右键点击新建的组织单位选择属性 \n\n4、选择组策略 \n\n5、创建新的组策略，进行编辑 \n\n6、计算机配置－Windows设置－安全设置－系统服务 \n\n7、双击你需要设置权限的服务 \n\n8、定义这个策略是个设置－编辑安全设置（默认是Everyone完全控制） \n\n9、删除Everyone组，添加System组和其他有访问权限的用户。 \n\n10、分配给用户和组读取、启动、停止和暂停的权限。 \n\n11、把服务的启动模式改为自动。 \n\n12、把你所需要限制服务的计算机添加到你所创建的组织单位里面，完成！ \n\n注：如果发现设置错误的话，可以通过Regedt32编辑 \n\nHKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\\\Security，删除Security键，重新启动。 \n\n方法二：使用Subinacl \n\n　　Subinacl为2000ResourceKit里面提供的工具，具体语法如下。 \n\nSUBINACL /SERVICE \\\\ComputerName\\ServiceName /GRANT=[DomainName\\]UserName[=Access] \n\n这其中： \n\nComputerName - 机器的NetBIOS名，省略的话代表本地 \n\nServiceName - 服务的名称 \n\nDomainName - 域名，省略的话搜索本地的用户 \n\nUserName - 要被赋予权限的用户名称 \n\nAccess - F : 完全控制 (缺省) \n\nR : 读 \n\nW : 写 \n\nX : 执行 \n\nL : 读取控制 \n\nQ : 查询服务的设置 \n\nS : 查询服务的状态 \n\nE : 列出所依赖的服务 \n\nC : 改变服务的设置 \n\nT : 启动服务 \n\nO : 停止服务 \n\nP : 暂停／开始 服务 \n\nI : 询问服务 \n\nU : 用户用命令行方式定义服务控制 \n\n如果本机的话就容易多了，比如想限定本机的DNS服务的权限是Administrator完全控制的话执行 \n\nsubinacl /service \\dns /grant=administrator=f就OK了。 \n\n方法三：使用脚本 \n\n提供了一个例子，根据自己的实际情况可以对下面的脚本进行修改。 \n\njsiDomain= Wscript.Arguments.Item(0)\'domain of computer account \n\njsiComputer = Wscript.Arguments.Item(1)\'netbios ComputerName \n\njsiUserName = Wscript.Arguments.Item(2)\'UserName (in the domain) \n\njsiPerm= Wscript.Arguments.Item(3)\'access code \n\n\'bind to ComputerName \n\nset bjTarget = GetObject(\"WinNT://\" & jsiDomain & \"/\" & jsiComputer & \",computer\") \n\n\'create a shell object for call to subinacl \n\nset bjCMD = CreateObject(\"Wscript.Shell\") \n\n\'get list of services \n\nobjTarget.filter = Array(\"Service\") \n\nFor each Service in objTarget \n\ncommand = \"subinacl /service \" & Service.name & \" /grant=\" & jsiUserName & \"=\" & jsiPerm \n\nobjCMD.Run command, 0 \n\n\'report the services \n\nWscript.Echo \"User granted access to \" & Service.name & \" \" \n\nnext \n\nNOTE: This script. does NOT perform. any error checking.