NTFS安全权限
NTFS权限概述
- 通过设置NTFS,实现不同用户访问不同对象(文件,文件夹)的权限。
- 分配了正确访问权限后,用户才能访问不同的权限。
- 设置权限防止资源被篡改、删除。
文件系统概述
- 文件系统是在外部存储设备上组织文件的方法
- 常见的文件系统
Windows系统:FAT、NTFS
Linux系统:EXT
NTFS特点
- 提高磁盘读写性能
- 可靠性:
加密文件系统
访问控制列表(设置权限)ACL - 磁盘利用率:压缩、磁盘配额
- 支持单个文件大于4个G
修改NTFS权限
- 取消继承:可以任意修改权限列表
方法:文件右键文件–属性–安全–高级
(1)确保我们的D盘的NTFS格式
(2)添加两个用户a和b
(3)取消继承
- 在组或用户名称中进行设置
(1)删除其他,仅保留一个Administrators
(2)添加a,b用户,并给这两个用户添加权限
- 通过登录a、b用户检查是否成功:a只能读,b只能上传
3、权限累加&拒绝最大
权限累加:当用户同时属于多个组,权限是可以累加的
拒绝最大:当用户权限累加时,图遇到拒绝权限,拒绝最大
(1)添加一个IT组,并把a加入IT组
(2)给IT组设置“完全控制”权限
(3)添加a用户的权限,并设置为“拒绝”
(4)登录账号a,发现a没有任何权限
- 管理员可以取得每一个用户的文件所有权
(1)新建一个文件夹a,并仅有用户a拥有权限
(2)管理员无法查看文件a
(3)管理员取得所有权
将所有者设置为“administrator”,并勾选“替换子容器及对象的所有者”
管理者可以访问文件夹a
用户a不能访问文件夹a
- 强制继承:对下强制继承父子关系
(1)public文件内部的文件夹设置各自的权限
(2)public文件设置强制继承
(2)查看public文件内部的几个文件的权限,发现已经强制继承了public文件夹的权限
- 文件复制剪切对权限的影响
只有文件在同分区移动,权限才不会被覆盖
Cifs文件共享服务器
概述
- 文件共享服务,提供文件下载和上传服务(类似于FTP)
- Cifs对内偏多,FTP对外偏多
创建共享
- 在本地登录时,只受NTFS权限的影响
- 在远程登录时,将受共享及NTFS权限的共同影响,且取交集
- 所以建议设置共享权限为everyone完全控制,然后具体的权限在NTFS中设置即可
访问共享
- 步骤
(1)win2003中D盘中新建share文件夹
(2)文件夹右键属性–共享–选择共享此文件夹,设置共享名share_document(别人看到这个文件夹时显示的文件名)
(3)在Win XP上验证
在开始运行或我的电脑地址栏中,输入UNC地址:文件共享服务器IP 或 文件共享服务器IP\共享名
服务器中有用户a属于用户组
在XP上输入用户名a及密码
可以看到共享文件夹share_document,其中对于文件夹中的内容可下载可读取,但是不可上传不可写入
(4)通过NTFS修改不同文件夹的不同权限
取消继承
用户a对share文件的权限
用户a对upload文件的权限
XP上验证
2. 几个命令
netstat -an #查看本地所有已开放端口
whoami #查看当前是谁
whoami /user #查看到当前用户及其UID
net share #列出共享列表
net share 共享名 /del #删除共享文件
隐藏共享
- 隐藏共享文件的方法:在分享时将共享名后输入$符号(上面步骤2中的共享名)
key$
- 若要查看隐藏分享文件夹,可以手动地址栏后输入隐藏文件夹名
\\10.1.1.2\key$
屏蔽系统隐藏共享自动产生
- 查看当前系统中共享的文件
- 打开注册表:运行–输入regedit–定位共享注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\Parameters–新建REG_DWORD类型的AutoShareServer键,值为0
- 再次查看当前系统中共享的文件
关闭445服务
可以通过关闭445端口来屏蔽病毒传入(如:勒索病毒等)
- 方法一:打开services.msc ,并停止及禁用server服务
- 方法二:配置高级安全防火墙-入站规则
【千锋】网络安全300集笔记P19-P23