1. NTFS安全权限
1.1 NTFS权限介绍
- 通过设置NTFS权限,实现不同的用户访问不同的权限
- 分配了正确的访问权限,用户才能访问其资源(文件夹、文件等)
- 设置权限防止资源被篡改、删除
1.2 文件系统概述
文件系统就是在外部存储设备上组织文件的方法
常见的文件系统:
- FAT windows
- NTFS windows
- EXT linux
FAT是一个相对比较老的文件系统,年代比较久远。NTFS是目前比较主流的文件系统
当我们对一个分区进行格式化的时候实际上是对于这个分区进行制作格子(抽象的说法),每个格子规定了存放文
内容的大小。
1.3 NTFS文件系统的特点
-
提高磁盘读写性能
-
可靠性
加密文件系统
访问控制列表( 设置权限 )
-
磁盘利用率
压缩
磁盘配额
-
支持单个文件大于4G
1.4 修改NTFS权限
1.4.1 取消继承
作用:取消后,可以任意修改权限列表
方法:文件夹右键属性,安全,高级,取消第一个对勾,然后选择复制
1.4.2 文件及文件夹权限
| 文件权限 | 权限内容 |
|---|---|
| 完全控制 | 拥有读取,写入,修改,删除文件及特殊权限 |
| 修改 | |
| 读取执行 | |
| 读取 | |
| 写入 | |
| 特殊权限 |
| 文件夹权限 | 权限内容 |
|---|---|
| 完全控制 | 拥有读取,写入,修改,删除文件及特殊权限 |
| 修改 | |
| 读取执行 | |
| 读取 | |
| 写入 | |
| 特殊权限 |
1.5 小练习
# 在虚拟机中创建一个公共资源文件夹
# 用dos命令创建三个用户 a b c
# a 只能读取文件夹下的内容
# b 可以增加新文件,但是不能读
# c 对该资源拥有所有控制权
-
修改公共资源的继承权限,即本文件夹的权限默认是继承上一级的
-
解除继承
1.6 权限累加
当用户同时属于多个组时,权限是累加的
举个栗子:
用户a同时属于IT组和HR组,IT组能对xm文件夹读取,HR组能对xm文件夹写入,那么a用户最终对xm文件夹的权限为可读可写.
1.7 取得所有权
默认只有Administrator有这个权限
作用:可以将任何文件夹的所有者改为Administrator
举个栗子:
用户a已离职,但xxx文件夹属于a,由于a修改过文件夹的权限,只有他可以访问,导致其他用户没有任何权限,所以需要管理员administrator用户将xxx文件夹
1.8 文件复制对权限的影响
文件复制后,文件的权限会被目标文件权限覆盖
同分区复制 -- 覆盖
同分区移动 -- 不变
不同分区复制 -- 覆盖
不同分区移动 -- 覆盖
小练习:
1.创建一个文件夹,实现tom用户只能创建新的文件夹,jack用户只能读取及下载文件
2.普通用户创建文件,并设置权限,且未给管理员权限后,
2. 文件共享服务器
2.1 文件共享服务器概述
通过网络提供文件共享服务,提供文件下载和上传服务(类似于FTP服务器)
回忆 : 远程桌面服务开启后 , 端口号是 3389
文件共享服务开启后 , 端口号是445 , 这个是win系统默认都会开启的
2.2 设置共享
注意:这里面是有两个管权限的,一个是分享权限,一个是安全权限,他们的作用关系是先看分享权限是哪个
用户,然后再从安全权限中看这个用户的具体权限,一般分享设置为everyone,然后用安全权限限制不同用户的
不同访问权限。
网络访问用的是两个右斜杠 , 然后确定
2.3 访问共享
- 开始 --> 运行 --> 输入unc地址 , 如 :
\10.1.1.2share - 文件共享服务器ip共享名
2.4 创建隐藏的共享
方法:共享名$
2.5 访问隐藏的共享
方法 : \服务器ip共享名$
2.6 共享相关的命令
net share # 列出共享列表
net share 共享名 /del # 删除共享
net share
这个时候我们发现有一些隐藏的共享资源,如:E盘,C盘还有C盘下的windows文件夹,是不是很可怕,因为这
个共享服务在windows系统下是默认开启的,这些资源又是默认共享的,如果在同一个在内网中,别人知道了你
的账号和密码,那你的电脑资源基本上都可以访问了。当年的蠕虫病毒就是通过这个,传播的.
有些人说我删除不就好了,但是这个隐藏共享是每次开机的都会自动产生,如果想通过命令删除的话,每次开机都
要删除,那我写一个批处理不就好了。示例:
@echo off
copy gx.bat "C:Documents and SettingsAdministrator「开始」菜单程序启动"
net share E$ /del
net share ADMIN$ /del
net share C$ /del
2.7 屏蔽系统隐藏共享自动产生
- 打开注册表编辑器
- 如果把电脑比喻成一个城市 , 那么注册表就相当于政府,公安系统
- 运行 --》 regedit --》回车
- 定位共享注册表位置
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
- 右键新建REG_DWORD类型的AutoShareServer键 , 值 0
2.8 关闭445服务
可以通过关闭445端口来屏蔽病毒的传入 ( 如勒索病毒 )
方法1 : 打开 services.msc 并停止及禁止server服务
右击Server打开属性 , 把自动设置成禁用
方法2 : 禁止被访问445 , 配置高级安全防火墙入站规则 ( 在win7及以上系统 , win2008及以上系统 )
- 入站规则 : 就是别人访问我的电脑时我会对他做出限定规则
- 出站规则 : 是我访问别人时要遵循的规则 , 一般没有人傻到对自己进行限制
