NTFS安全权限

  1. 通过设置NTFS权限,实现不同的用户访问不同的权限
  2. 分配了正确的访问权限后,用户才能访问其资源
  3. 设置权限防止资源被篡改,删除

QQ截图20201110154910.png

文件系统概述

  • FAT windows
  • NTFS windows
  • EXT linux常见
  • FAT转换为NTFS: convert 盘符: /fs:ntfs

QQ截图20201110155020.png

NTFS文件系统特点

  1. 提高磁盘读写性能
  2. 可靠性
  • 加密文件系统
  • 访问控制列表(设置权限)
  1. 磁盘利用率
  • 压缩
  • 磁盘配额
  1. 支持单个文件大于4个G

修改NTFS权限

取消权限继承

  • 作用: 取消后,可以任意修改权限列表了。
  • 方法: 文件夹右键属性---安全---高级---去掉第一个对号---选择复制即可

QQ截图20201110155357.png

文件权限

文件权限 权限内容
完全控制 拥有读取,写入,修改,删除文件,及特殊的权限
修改 拥有读取,写入,修改,删除文件的权限
读取和执行 拥有读取,及执行文件的权限
读取 拥有读取文件的权限
写入 拥有修改文件内容的权限
特殊权限 控制文件权限列表的权限

文件夹权限

文件权限 权限内容
完全控制 拥有对文件及文件夹读取,写入,修改,删除文件,及特殊的权限
修改 拥有对文件及文件夹读取,写入,修改,删除文件的权限
读取和执行 拥有对文件夹中的文件下载,读取,及执行的权限
列出文件夹内容 可以列出文件夹的内容
读取 拥有对文件夹中的文件下载、读取的权限
写入 拥有在文件夹中创建新的文件的权限
特殊权限 控制文件夹权限列表的权限

文件夹权限设置案例

  • 建立jimi文件夹,并设置NTFS权限,要求a用户只能读取文件夹中的文件,不能在jimi文件夹中创建新的文件,b用户只能在jimi文件夹中创建新的文件,不能读取文件

QQ截图20201110160134.png

QQ截图20201110160141.png

权限累加

当用户同时属于多个组时,权限是累加的

  • 用户a同时属于IT组与HR组,IT组对文件夹jimi可以读取,HR组可以对jimi文件夹写入,则a用户最终的权限为读取和写入

QQ截图20201110161428.png

QQ截图20201110161435.png

QQ截图20201110161604.png

拒绝最大

当用户权限累加时,如遇到拒绝权限,拒绝最大

  • 用户a属于财务部组,财务部组成员为10个用户,财务部组拥有对文件夹xxx访问权限,现要求a用户不能脱离财务部组,同时要求a没有访问文件夹xxx的权限

QQ截图20201110161922.png

QQ截图20201110161949.png

取得所有权

默认只有administrator有这个权限

  • 可以将任何文件夹的所有者改为administrator.用户a已离职,但xxx文件夹的属主是a,由于a用户对xxx文件夹做过权限修改,导致其他用户对xxx文件夹没有任何权限,现需要管理员administrator用户将xxx文件夹重新修改权限

QQ截图20201110162449.png

QQ截图20201110162701.png

强制继承

  • 作用: 对下强制继承父子关系
  • 方法: 文件夹右键属性--安全--高级--勾上第二个对号

xxx文件夹下有多个子文件夹及文件,由于长时间的权限管理,多个子文件夹的权限都做过不同的权限修改,现需要xxx 下的所有子文件及文件夹的权限全部统一

QQ截图20201110162759.png

文件复制对权限的影响

  • 文件复制后,文件的权限会被目标文件夹的权限覆盖
  • 同分区复制 -- 覆盖
  • 同分区移动 -- 不变
  • 不同分区移动 -- 覆盖
  • 不同分区复制 -- 覆盖

文件共享服务器

通过网络提供文件共享服务,提供文件下载和上传服务(类似于FTP服务器)

创建共享

  • 方法: 文件夹右键属性--共享--开启共享--设置共享名--设置共享权限
  1. 在本地登录时,只受NTFS权限的影响
  2. 在远程登录时,将受共享及NTFS权限的共同影响,且取交集
  3. 所以建议设置共享权限为everyone完全控制,然后具体的权限需求在NTFS权限中设置即可

QQ截图20201110164148.png

访问共享

  • 开始---运行/我的电脑地址栏,输入UNC地址
\\10.1.1.2
\\10.1.1.2\xxx

QQ截图20201110164751.png

创建隐藏的共享并访问

  • 方法: 共享名$

QQ截图20201110165006.png

QQ截图20201110164929.png

共享相关命令

:: 列出共享列表
net share
:: 删除共享
net share 共享名 /del

屏蔽系统隐藏共享自动产生

  • win+R 输入 regedit 打开注册表

QQ截图20201110165232.png

  • 定位到HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters右键新建REG_DWORD类型的AutoShareServer键,值为0

QQ截图20201110165429.png

关闭445服务

可以通过关闭445端口来屏蔽病毒传入(如勒索病毒等)

  • 方法1: 打开services.msc,并停止及禁用server服务

QQ截图20201110165542.png

QQ截图20201110165620.png

  • 方法2: 禁止被访问445端口,需要禁用tcp和udp两种协议,配置高级安全防火墙-入站规则(在win7及以上系统,win2008及以上系统)

QQ截图20201110165727.png

QQ截图20201110165744.png

QQ截图20201110165801.png

QQ截图20201110165815.png

QQ截图20201110165823.png

QQ截图20201110165831.png

QQ截图20201110165857.png