网络安全 —— Windows文件系统及本地安全基础
1. 文件系统分区格式
| FAT32:FAT(File Allocation Table,文件分配表)文件系统是windows操作系统所使用的一种文件系统,主要由文件分配表和目录项构成,它的发展过程经历了FAT12、FAT16、FAT32三个阶段 ReFS:ReFS(Resilient File System,复原文件系统) 是在 Windows Server 2012 中新引入的一个文件系统。早期只能应用于存储数据,现在可以引导系统 ,也能在移动硬盘上使用 NTFS:NTFS(New Technology File System)是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区 exFAT:exFAT(Extended File Allocation Table File System,扩展FAT,即扩展文件分配表)是Microsoft在Windows Embeded 5.0以上(包括Windows CE 5.0、6.0、Windows Mobile5、6、6.1)中引入的一种适合于闪存的文件系统,为了解决FAT32等不支持4G及其更大的文件而推出。对于闪存,NTFS文件系统不适合使用,exFAT更为适用。对于磁盘则不太适用。 |
(1)常见文件系统
| 分区格式 | 发行年份 | 最大分区 | 单个最大文件 | 同一目录最大文件数 | 优点 | 缺点 |
|---|---|---|---|---|---|---|
| FAT32 | 1996年 | 2TB | 4GB | 65535 | 稳定性、兼容性好,可更有效利用空间 | 安全性差,支持分区、文件大小有限 |
| ReFS | 2011年 | 1YB | 16EB | 18446544073709551615 | 不在需要chkdsk命令修复磁盘 | 不支持安装系统,不能作为引导分区 |
| NTFS | 1993年 | 256TB | 256TB | 4294967295 | 针对机械硬盘、固态硬盘设计,支持大容量文件和超大分区,支持长文件名、压缩分区、数据保护和恢复、向下兼容、高容错性等功能 | 不适合用于闪存,会对磁盘的读写操作做详细的记录,影响U盘等闪存寿命 |
| exFAT | 2006年 | 64ZB | 16EB | 2796202 | 最适合U盘等闪存的格式,是微软针对闪存而设计,通常U盘出厂都是默认该格式 | 兼容性差,没有文件日志功能,不适合用于磁盘 |
计算机存储单位
- 换算
1B = 8bit
1KB = 1024B = B
1MB = 1024KB = B
1GB = 1024MB = B
1TB = 1024GB = B
1PB = 1024TB
1EB = 1024PB
1ZB = 1024EB
1YB = 1024ZB
1BB = 1024YB
(2)NTFS权限的应用规则
| 权限累加 用户权限可以通过累加的方式进行管理,用户与用户所属组权限不冲突,权限具有累加性 拒绝优先 用户权限通常遵循"最小权限原则",即以拒绝权限为优先 权限继承 下级取消继承后上级目录可以强制继承,上级目录强制继承后下级目录还可以再次取消继承 默认下级继承上级目录的权限 |
2. 本地安全策略(安全设置)
| 本地安全策略作用 1. 对登陆到计算机上的账户进行基础必要的安全设置 2. 管理员为计算机进行安全设置的途径等 |
⮚ 打开本地安全策略
⇲ 控制面板打开:桌面上的控制面板 ➔ 安全和维护 ➔ 管理工具 ➔ 本地安全策略
⇲ 命令提示符打开:Win + R键打开命令提示符窗口 ➔ 输入secpol.msc回车
⇲ 开始菜单打开:开始菜单 ➔ Windows管理工具 ➔ 本地安全策略
(1)账户策略
| 账户策略:影响用户账户与计算机或域交互作用的方式 |
① 密码策略
| 密码策略:提高密码安全系数设置的一系列策略 意义:使用户设置一个更复杂,更不易被破解的账户密码,避免在设置密码时为了省事而将密码设置得过于简单化,从而提高账户的安全系数 |
| 密码必须符合复杂性要求 ㊀ 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 ㊁ 至少有六个字符长 ㊂ 四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%) 最短密码长度 ㊀ Windows Server 2016长度介于 1 和 14 个字符之间;Windows介于1和20之间 ㊁ 长度为0 时不需要密码 密码最短使用期限 ㊀ 范围(1-998天)默认0(允许立即更改密码) ㊁ 密码最短使用期限必须小于密码最长使用期限(除非将密码最长使用期限设置为 0,则介于 0 和 998 之间的任何值) 密码最长使用期限 ㊀ 范围(1-999天),若将天数设置为 0,指定密码永不过期 ㊁ 安全最佳操作是将密码设置为 30 到 90 天后过期(默认值: 42天) 强制密码历史 ㊀ 值必须介于 0 个和 24 个密码之间 ㊁ 使管理员能够通过确保旧密码不被连续重新使用来增强安全性 用可还原的加密来储存密码 ㊀ 为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证 ㊁ 默认值: 禁用 |
② 账户锁定策略
| 账户锁定策略:用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短等 |
| 帐户锁定时间 ㊀ 设置确定锁定帐户在自动解锁之前保持锁定的分钟数 ㊁ 范围从 0 到 99,999 分钟 ㊂ 帐户锁定时间设置为 0,帐户将一直被锁定直到管理员解除对它的锁定 ㊃ (无默认值)如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间 账户锁定策略:用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短等 帐户锁定阈值 ㊀ 设置确定导致用户帐户被锁定的登录尝试失败的次数 ㊁ 登录尝试失败次数设置为介于 0 和 999 之间的值 ㊂ 设置为 0,则永远不会锁定帐户(默认值: 0) |
| 策略 | 设置为0的意义 | 默认值 | 取值范围 |
|---|---|---|---|
| 密码长度最小值 | ‘0’表示无限制,不需要密码 | 域控制器:7字符 独立服务器:0字符 | WinSer[0|1 ~ 14]字符 Win[0|1 ~ 20]字符 |
| 密码最短使用期限 | ‘0’表示可随时更改密码 | 域控制器:1天 独立服务器:0天 | [0 ~ 998]天 |
| 密码最长使用期限 | ‘0’表示永不过期 | 42天 | [0|1 ~ 998|999]天 |
| 强制密码历史 | ‘0’表示无限制(可随意使用过去使用过的密码) | 域控制器:24个 独立服务器:0个 | [0 ~ 24]个 |
| 账户锁定时间 | ‘0’表示账户一直锁定,等待管理员解锁 | —— | [0 ~ 99,999]分钟 |
| 账户锁定阈值 | ‘0’表示永远不会锁定账户 | 0次 | [0 ~ 999]次 |
| 重置账户锁定计数器 | ‘0’表示无次数限制,可以一直试错,直至密码输入正确 | 0分钟 | [1 ~ 99,999]分钟 |
(2)本地策略
| 本地策略:本地策略用于管理计算机和用户配置的工具,包含了审核策略,用户权限分配和安全选项 意义:本地策略提供了一种集中管理计算机和用户设置的方式,可确保系统在符合组织要求的情况下正常运行,并增加系统的安全性 |
① 审核策略
| 审核策略:一种用于跟踪和记录操作系统和应用程序事件的机制 作用:管理员对特定类型的事件进行监视,并将其记录到Windows事件日志中,以便在需要时进行审计、故障排除和安全分析,以降低管理员的工作管理任务量 缺点:审计策略的配置对于系统性能和存储空间可能会产生一定的影响 |
审核策略一般处于无审核状态(节约计算机资源,需要时手动开启)
demo:审核帐户管理
㊀ 开启审核帐户管理状态(双击或者右击打开属性)
㊁ 触发审核帐户管理的成功或失败机制(控制面板 ➔ 安全和维护 ➔ 管理工具 ➔ 事件查看器 ➔ Windows日志 ➔ 安全(右击,清除日志))
㊂(Windows Server2016)设置用户密码(控制面板 ➔ 安全和维护 ➔ 管理工具 ➔ 计算机管理 ➔ 本地用户和组 ➔ 用户(随机选取一个更改密码))
- 失败
- 成功
㊂ 回到查看日志
② 用户权限分配
| 用户权限分配:为不同的用户账户分配特定的权限和访问级别的过程 作用:决定了用户能够执行的操作、访问的资源以及对系统的控制范围 |
- 方法一:添加拒绝本地登录的用户
demo:拒绝本地登录
㊀ 添加拒绝的用户
㊁ 登录验证
- 方法二:删除users组中的允许登录用户
㊀ 删除用户
㊁ 登录验证
即方法一(用户权限分配)适用于少量用户;方法二(添加到用户组users)适用于大量用户
③ 安全选项
| 安全选项:一组配置设置,用于管理和控制计算机的安全性 作用:帮助管理员增强系统的防护能力,减少潜在的安全风险 |
㊀ 交互登录:提示信息
㊁ 交互验证
2519
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
