一、NTFS权限规则
1、权限累加
- 用户分配的有效权限是分配给用户所有权限的累加
示例:
假设lisi用户拥有读取权限,lisi所在用户组分配了修改权限,lisi用户对文件的最终的权限就等于读取和修改。
属性->安全->高级->有效访问->选择用户->lisi
2、拒绝权限
- 拒绝的权限大于一切(在访问控制列表中,拒绝的权限优先级最高)
具体表现在当出现权限冲突时,拒绝的权限优先级最高
举例:用户所属组有读取权限,用户拒绝完全控制,最终用户没有读取权限)
在属性->安全->编辑中设置拒绝权限。高级中不可以设置
用户组有读取权限
高级->有效访问,查看lisi的权限
3、继承权限
- 文件或文件夹的访问控制列表默认情况下会继承上级文件夹的权限。
示例1:在d盘下新建文件夹,会继承d盘的访问控制权限
示例2:在hh文件夹中,新建文件夹也会继承hh的权限
示例3:只有禁用继承之后,在高级中才能对权限进行修改。(禁用继承,编辑中也可以修改,)
未禁用前:
禁用继承之后:
4、特殊权限
4.1、读取权限
功能1:读取文件或文件夹的访问控制列表
没有读取权限的情况下:
功能2:针对用户想要访问某个文件的内容,此权限必须勾选
没有勾选的情况下
就算用命令行也看不了
取消勾选:(想要达到取消勾选之后的效果,必须防止权限累加,所以要把用户组删掉。)
4.2、更改权限
和修改文件或文件夹的内容没有任何关系
用户是否可以修改文件或文件夹的访问控制列表,由于此权限是可以为用户添加或删除权限,会造成很多不安全因素,此权限一般不会给
下图为wangwu用户删掉管理员对文件的访问控制权限示意图:(当然回到管理员之后,过一会又会恢复访问权限,当然也足见危害极大)。
要想获得更改权限的功能,前提是必须拥有特殊权限中的读取权限。
有更改权限无读取权限的下场:
4.3、取得所有权
每个文件和文件夹都有一个所有者
能够修改文件或文件的所有者,前提是必须得读取和修改。不过只需要有读取和修改的之后,也可以自己添加去的所有权。所以就显得有些鸡肋。
二、本地安全策略
1、本地安全策略的基本内容
1.1、概念
- 主要是针对登录到计算机的账户进行一些安全设置
- 主要影响是本地计算机安全设置
1.2、打开方式
方式一: 开始菜单->管理工具->本地安全策略
方式二:使用cmd命令行
secpol.msc
方式三:进入本地组策略,其已经包含了本地安全策略
使用cmd命令行:gpedit.msc
2、账户策略
2.1、密码策略
- 密码必须符合复杂行要求
默认情况下,Windows Server操作系统是开启的
如果启用此策略,密码必须符合下列最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。
- 密码最短使用期限
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。
2.2、账户锁定策略
-
账户锁定阈值
在登录时,即密码输错超出阈值之后,会进入锁定状态 -
账户锁定时间
账户进士锁定状态,下一次能输入密码的间隔 -
重置账户锁定计数器
假设你的账户锁定阈值在三次,这是你已经输错两次了,你等重置账户锁定计数器刷新过后,你再输入三次才被锁定,而不是一次就被锁定。 -
提问:管理员也会收到账户锁定策略的效应吗?
答:不会。无论管理员输错多少次,都不会被锁定。 -
提问:由于管理员不受账户锁定策略的限制,管理员的用户名又是固定的,很容易受到有心人的爆破攻击,从而使服务器沦陷,用什么方法将管理员藏起来,使有心人无法找到管理员用户,从而无法实施爆破
3、本地策略
3.1、策略审核
对Windows里面的一些时间或操作进行审核,记录到日志里面。目的是通过日志查看哪些人或程序对我们的操纵系统做了哪些操作,可以做到追踪或者溯源的一个效果。
默认是无审核,但是服务器和客户端还是有一部分默认开启的会被记录。如果要启动记录功能,就要勾选成功和失败选项。
核策略的功能非常强大,不过在使用审核策略的同时也要注意一些问题:
首先,审核是一种很占用计算机资源的操作,尤其是当要审核的对象非常多时,很有可能会降低系统的性能。因此只有在需要的时候才打开必需的审核策略。
其次,保存审核日志是需要硬盘空间的,如果审核的对象非常多,而对象的变动也很频繁的话,那么短时间内审核日志就可能会占据了大量的硬盘空间,因此日志需要经常性查看和清理。在日志的属性界面中可以根据需要设置日志的大小。
日志可在管理工具->事件查看器->Windows日志中查看。
3.1.1、审核策略更改
如果勾选成功或失败按钮,就会记录更改策略成功了,或者失败了。
没有勾选,就不会记录。
3.1.2、审核登录时间
记录哪些用户登录失败,登录成功。若要记录,就得勾选成功或者失败按钮。
如果有有心人爆破我的管理员账户,可以在日志里面看到审核失败的事件
3.1.3、审核对象访问
记录下有哪些用户访问或改动过共享文件夹中的内容
3.2 用户权限分配
3.2.1从网络访问此计算机
此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务。
实际上,只需要有Everyone就行了,Everyone代表所有人
3.2.2、更改系统时间
此用户权限确定哪些用户和组可以更改计算机内部时钟上的日期和时间。分配了此用户权限的用户可以影响事件日志的外观。如果已更改了系统时间,则记录的事件将反映此新时间,而不是事件发生的实际时间。
默认只有管理员和local service才能更改。因为系统的很多事件都是以系统事件为参考标准的。例如锁定用户,用管理员账户更改系统时间之后,用户就可以解锁了。
3.2.3、更改时区
同上
3.2.4、关闭系统
此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。
3.2.5、拒绝从网络访问这台计算机
此安全设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和“从网络访问此计算机”策略设置,则前者会取代后者。
普遍来讲,拒绝的权限要更高
3.2.6、拒绝通过远程桌面服务登录
此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。
通过远程桌面登录方法:
cmd命令行输入:mstsc
3.2.7、允许本地登录
确定哪些用户可以登录到该计算机。
3.2.8、拒绝本地登录
此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置,则前者会取代后者。
3.3、安全选项
3.3.1、交互式登录: 无需按 Ctrl+Alt+Del
该安全设置确定用户是否需要按 Ctrl+Alt+Del 才能登录。
如果在计算机上启用此策略,则用户无需按 Ctrl+Alt+Del 便可登录。不必按 Ctrl+Alt+Del 会使用户易于受到企图截获用户密码的攻击。用户登录之前需按 Ctrl+Alt+Del 可确保用户输入其密码时通过信任的路径进行通信。
如果禁用此策略,则任何用户在登录到 Windows 前都必须按 CTRL+ALT+DEL。
Windows Server是默认禁用的。
Windows 10则没有定义,就相当于启动,无须按。
3.3.2、关机: 允许系统在未登录的情况下关闭
此安全设置确定是否可以在无需登录 Windows 的情况下关闭计算机。
如果启用了此策略,Windows 登录屏幕上的“关机”命令可用。
管理员可以无视。假设这是普通用户在勾选已启动,未登录的情况下关闭
3.3.3、交互式登录: 提示用户在密码过期之前更改密码
确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。
3.3.4、帐户: 来宾帐户状态
此安全设置确定是启用还是禁用来宾帐户。
示例:启用来宾用户
1、勾选已启用
2、win+r打开运行,输入gpdate /force
3、管理工具->计算机管理,查看来宾用户状态已启用。
3.3.5、网络访问: 本地帐户的共享和安全模型
此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”,使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型能够对资源的访问权限进行精细的控制。通过使用“经典”模型,你可以针对同一个资源为不同用户授予不同类型的访问权限。
如果将此设置设为“仅来宾”,使用本地帐户的网络登录会自动映射到来宾帐户。使用“仅来宾”模型,所有用户都可得到平等对待。所有用户都以来宾身份进行验证,并且都获得相同的访问权限级别来访问指定的资源,这些权限可以为只读或修改。