一、NTFS許可權規則

1、許可權累加

• 使用者分配的有效許可權是分配給使用者所有許可權的累加

示例：
假設lisi使用者擁有讀取許可權，lisi所在使用者組分配了修改許可權，lisi使用者對檔案的最終的許可權就等於讀取和修改。


屬性->安全->高階->有效訪問->選擇使用者->lisi

2、拒絕許可權

• 拒絕的許可權大於一切（在訪問控制列表中，拒絕的許可權優先順序最高）
  具體表現在當出現許可權衝突時，拒絕的許可權優先順序最高

舉例：使用者所屬組有讀取許可權，使用者拒絕完全控制，終端使用者沒有讀取許可權）
在屬性->安全->編輯中設定拒絕許可權。高階中不可以設定

使用者組有讀取許可權

高階->有效訪問，檢視lisi的許可權

3、繼承許可權

• 檔案或資料夾的訪問控制列表預設情況下會繼承上級資料夾的許可權。

示例1：在d盤下新建資料夾，會繼承d盤的訪問控制權限

示例2：在hh資料夾中，新建資料夾也會繼承hh的許可權

示例3：只有禁用繼承之後，在高階中才能對許可權進行修改。（禁用繼承，編輯中也可以修改，）
未禁用前：

禁用繼承之後：

4、特殊許可權

4.1、讀取許可權

功能1：讀取檔案或資料夾的訪問控制列表
沒有讀取許可權的情況下：

功能2：針對使用者想要訪問某個檔案的內容，此許可權必須勾選
沒有勾選的情況下

就算用命令列也看不了

取消勾選：（想要達到取消勾選之後的效果，必須防止許可權累加，所以要把使用者組刪掉。）

4.2、更改許可權

和修改檔案或資料夾的內容沒有任何關係

使用者是否可以修改檔案或資料夾的訪問控制列表，由於此許可權是可以為使用者新增或刪除許可權，會造成很多不安全因素，此許可權一般不會給
下圖為wangwu使用者刪掉管理員對檔案的訪問控制權限示意圖：（當然回到管理員之後，過一會又會恢復訪問許可權，當然也足見危害極大）。

要想獲得更改許可權的功能，前提是必須擁有特殊許可權中的讀取許可權。
有更改許可權無讀取許可權的下場：

4.3、取得所有權

每個檔案和資料夾都有一個所有者

能夠修改檔案或檔案的所有者，前提是必須得讀取和修改。不過只需要有讀取和修改的之後，也可以自己新增去的所有權。所以就顯得有些雞肋。

二、本地安全策略

1、本地安全策略的基本內容

1.1、概念

• 主要是針對登入到計算機的賬戶進行一些安全設定
• 主要影響是本地電腦保安設定

1.2、開啟方式

方式一： 開始選單->管理工具->本地安全策略

方式二：使用cmd命令列
secpol.msc

方式三：進入本地組策略，其已經包含了本地安全策略
使用cmd命令列：gpedit.msc

2、賬戶策略

2.1、密碼策略

• 密碼必須符合複雜行要求
  預設情況下，Windows Server作業系統是開啟的

如果啟用此策略，密碼必須符合下列最低要求:

不能包含使用者的帳戶名，不能包含使用者姓名中超過兩個連續字元的部分
至少有六個字元長
包含以下四類字元中的三類字元:
英文大寫字母(A 到 Z)
英文小寫字母(a 到 z)
10 個基本數字(0 到 9)
非字母字元(例如 !、$、#、%)
在更改或建立密碼時執行復雜性要求。

• 密碼最短使用期限

此安全設定確定在使用者更改某個密碼之前必須使用該密碼一段時間(以天為單位)。可以設定一個介於 1 和 998 天之間的值，或者將天數設定為 0，允許立即更改密碼。

2.2、賬戶鎖定策略

• 賬戶鎖定閾值
  在登入時，即密碼輸錯超出閾值之後，會進入鎖定狀態

• 賬戶鎖定時間
  賬戶進士鎖定狀態，下一次能輸入密碼的間隔

• 重置賬戶鎖定計數器
  假設你的賬戶鎖定閾值在三次，這是你已經輸錯兩次了，你等重置賬戶鎖定計數器重新整理過後，你再輸入三次才被鎖定，而不是一次就被鎖定。

• 提問：管理員也會收到賬戶鎖定策略的效應嗎？
  答：不會。無論管理員輸錯多少次，都不會被鎖定。

• 提問：由於管理員不受賬戶鎖定策略的限制，管理員的使用者名稱又是固定的，很容易受到有心人的爆破攻擊，從而使伺服器淪陷，用什麼方法將管理員藏起來，使有心人無法找到管理員使用者，從而無法實施爆破

3、本地策略

3.1、策略稽核

對Windows裡面的一些時間或操作進行稽核，記錄到日誌裡面。目的是通過日誌檢視哪些人或程式對我們的操縱系統做了哪些操作，可以做到追蹤或者溯源的一個效果。

預設是無稽核，但是伺服器和客戶端還是有一部分預設開啟的會被記錄。如果要啟動記錄功能，就要勾選成功和失敗選項。

核策略的功能非常強大，不過在使用稽核策略的同時也要注意一些問題：
首先，稽核是一種很佔用計算機資源的操作，尤其是當要稽核的物件非常多時，很有可能會降低系統的效能。因此只有在需要的時候才打開必需的稽核策略。
其次，儲存稽核日誌是需要硬碟空間的，如果稽核的物件非常多，而物件的變動也很頻繁的話，那麼短時間內稽核日誌就可能會佔據了大量的硬碟空間，因此日誌需要經常性檢視和清理。在日誌的屬性介面中可以根據需要設定日誌的大小。

日誌可在管理工具->事件檢視器->Windows日誌中檢視。

3.1.1、稽核策略更改

如果勾選成功或失敗按鈕，就會記錄更改策略成功了，或者失敗了。
沒有勾選，就不會記錄。

3.1.2、稽核登入時間

記錄哪些使用者登入失敗，登入成功。若要記錄，就得勾選成功或者失敗按鈕。
如果有有心人爆破我的管理員賬戶，可以在日誌裡面看到稽核失敗的事件

3.1.3、稽核物件訪問

記錄下有哪些使用者訪問或改動過共享資料夾中的內容

3.2 使用者許可權分配

3.2.1從網路訪問此計算機

此使用者許可權確定允許哪些使用者和組通過網路連線到計算機。此使用者許可權不影響遠端桌面服務。
實際上，只需要有Everyone就行了，Everyone代表所有人

3.2.2、更改系統時間

此使用者許可權確定哪些使用者和組可以更改計算機內部時鐘上的日期和時間。分配了此使用者許可權的使用者可以影響事件日誌的外觀。如果已更改了系統時間，則記錄的事件將反映此新時間，而不是事件發生的實際時間。
預設只有管理員和local service才能更改。因為系統的很多事件都是以系統事件為參考標準的。例如鎖定使用者，用管理員賬戶更改系統時間之後，使用者就可以解鎖了。

3.2.3、更改時區

同上

3.2.4、關閉系統

此安全設定確定哪些在本地登入到計算機的使用者可以使用關機命令關閉作業系統。誤用此使用者許可權會導致拒絕服務。

3.2.5、拒絕從網路訪問這臺計算機

此安全設定確定要防止哪些使用者通過網路訪問計算機。如果使用者帳戶受制於此策略設定和“從網路訪問此計算機”策略設定，則前者會取代後者。
普遍來講，拒絕的許可權要更高

3.2.6、拒絕通過遠端桌面服務登入

此安全設定確定禁止哪些使用者和組作為遠端桌面服務客戶端登入。

通過遠端桌面登入方法：
cmd命令列輸入：mstsc

3.2.7、允許本地登入

確定哪些使用者可以登入到該計算機。

3.2.8、拒絕本地登入

此安全設定確定要防止哪些使用者在該計算機上登入。如果帳戶受制於此策略設定和“允許本地登入”策略設定，則前者會取代後者。

3.3、安全選項

3.3.1、互動式登入: 無需按 Ctrl+Alt+Del

該安全設定確定使用者是否需要按 Ctrl+Alt+Del 才能登入。
如果在計算機上啟用此策略，則使用者無需按 Ctrl+Alt+Del 便可登入。不必按 Ctrl+Alt+Del 會使使用者易於受到企圖截獲使用者密碼的攻擊。使用者登入之前需按 Ctrl+Alt+Del 可確保使用者輸入其密碼時通過信任的路徑進行通訊。
如果禁用此策略，則任何使用者在登入到 Windows 前都必須按 CTRL+ALT+DEL。

Windows Server是預設禁用的。

Windows 10則沒有定義，就相當於啟動，無須按。

3.3.2、關機: 允許系統在未登入的情況下關閉

此安全設定確定是否可以在無需登入 Windows 的情況下關閉計算機。
如果啟用了此策略，Windows 登入螢幕上的“關機”命令可用。

管理員可以無視。假設這是普通使用者在勾選已啟動，未登入的情況下關閉

3.3.3、互動式登入: 提示使用者在密碼過期之前更改密碼

確定提前多長時間(以天為單位)向用戶發出其密碼即將過期的警告。藉助該提前警告，使用者有時間構造足夠強大的密碼。

3.3.4、帳戶: 來賓帳戶狀態

此安全設定確定是啟用還是禁用來賓帳戶。

示例：啟用來賓使用者
1、勾選已啟用
2、win+r開啟執行，輸入gpdate /force

3、管理工具->計算機管理，檢視來賓使用者狀態已啟用。

3.3.5、網路訪問: 本地帳戶的共享和安全模型

此安全設定確定如何對使用本地帳戶的網路登入進行身份驗證。如果將此設定設為“經典”，使用本地帳戶憑據的網路登入通過這些憑據進行身份驗證。“經典”模型能夠對資源的訪問許可權進行精細的控制。通過使用“經典”模型，你可以針對同一個資源為不同使用者授予不同型別的訪問許可權。
如果將此設定設為“僅來賓”，使用本地帳戶的網路登入會自動對映到來賓帳戶。使用“僅來賓”模型，所有使用者都可得到平等對待。所有使用者都以來賓身份進行驗證，並且都獲得相同的訪問許可權級別來訪問指定的資源，這些許可權可以為只讀或修改。

轉自：https://www.dianjilingqu.com/