Day04_NTFS安全許可權&檔案共享伺服器
阿新 • • 發佈:2020-07-28
NTFS安全許可權
一、NTFS許可權概述
1、通過設定NTFS許可權,實現不同的使用者訪問同一個物件但是具有不同的訪問許可權
2、分配了正確的訪問許可權後,使用者才能訪問其資源
3、設定許可權防止資源被篡改、刪除
二、檔案系統概述
檔案系統即儲存裝置上組織檔案的方法
常用的檔案系統:
FAT windows
NTFS windows
EXT linux常見
FAT轉換為NTFS:
convert 碟符: /fs:ntfs
#資料不丟失,但不可逆!
三、NTFS檔案系統特點
- 提高磁碟讀寫效能
- 可靠性
- 加密檔案系統
- 訪問控制列表(設定許可權)
- 磁碟利用率
- 壓縮
- 磁碟配額
- 支援單個檔案大於4個G 硬碟容量為8-16G建議格式化為FAT,NTFS是針對於大容量檔案系統的
四、修改NTFS許可權
4.1、取消許可權繼承
作用:取消後,可以任意修改許可權列表了。
方法:資料夾右鍵屬性---安全---高階---去掉第一個對號--選擇複製即可
4.2、檔案及資料夾許可權
| 檔案許可權 | 許可權內容 |
|---|---|
| 完全控制 | 擁有讀取、寫入、修改、刪除檔案、及特殊的許可權 |
| 修改 | 擁有讀取、寫入、修改、刪除檔案的許可權 |
| 讀取和執行 | 擁有讀取、及執行檔案的許可權 |
| 讀取 | 擁有讀取檔案的許可權 |
| 寫入 | 擁有修改檔案內容的許可權 |
| 特殊許可權 | 控制檔案許可權列表的許可權 |
| 資料夾許可權 | 許可權內容 |
|---|---|
| 完全控制 | 擁有對檔案及資料夾讀取、寫入、修改、刪除檔案、及特殊的許可權 |
| 修改 | 擁有對檔案及資料夾讀取、寫入、修改、刪除檔案的許可權 |
| 讀取和執行 | 擁有對資料夾中的檔案下載、讀取、及執行的許可權 |
| 列出資料夾內容 | 可以列出資料夾的內容 |
| 讀取 | 擁有對資料夾中的檔案下載、讀取的許可權 |
| 寫入 | 擁有在資料夾中建立新的檔案的許可權 |
| 特殊許可權 | 控制資料夾許可權列表的許可權 |
案例: 建立jimi資料夾,並設定NTFS許可權,要求a使用者只能讀取資料夾中的檔案,不能在jimi資料夾中建立新的檔案,b使用者只能在jimi資料夾中建立新的檔案,不能讀取檔案。
解答:
net user a a /add
net user b b /add
# 注意將users組刪除
4.3、許可權累加
當用戶同時屬於多個組時,許可權是累加的!
案例:
使用者a同時屬於IT組與HR組,IT組對資料夾jimi可以讀取,HR組可以對jimi資料夾寫入,則a使用者最終的許可權為讀取和寫入。
4.4、拒絕最大
當用戶許可權累加時,如遇到拒絕許可權,拒絕最大!
案例:
使用者a屬於財務部組,財務部組成員為10個使用者,財務部組擁有對資料夾xxx訪問許可權,現要求a使用者不能脫離財務部組, 同時要求a沒有訪問資料夾xxx的許可權。
此時許可權控制表包含users組,及a在users組內
4.5、取得所有權
預設只有administrator有這個許可權!
作用:可以將任何資料夾的所有者改為administrator
案例:
使用者b已離職,但xxx資料夾的屬主是b,由於b使用者對xxx資料夾做過許可權修改,導致其他使用者對xxx資料夾沒有任何許可權,現需要管理員administrator使用者將xxx資料夾重新修改許可權。
4.6、強制繼承
作用:對下強制繼承父子關係!
方法:資料夾右鍵屬性--安全--高階--勾上第二個對號,即可!
案例:
xxx資料夾下有多個子資料夾及檔案,由於長時間的許可權管理,多個子資料夾的許可權都做過不同的許可權修改,現需要xxx 下的所有子檔案及資料夾的許可權全部統一。
4.7、檔案複製對許可權的影響
檔案複製後,檔案的許可權會被目標資料夾的許可權覆蓋。
許可權唯一不覆蓋的情況是同分區移動過去的檔案的許可權不覆蓋。
本章練習:
1.建立一個資料夾,實現tom使用者只能建立新的檔案,jack使用者只能讀取及下載檔案
2.將使用者a加入到ceo組,且不能從該組中剔除,為資料夾jimi賦許可權,要求ceo組可以完全控制jimi資料夾,但a不能訪問該資料夾。
3.普通使用者建立檔案,並設定許可權,且未給管理員任何許可權,管理員登入系統後,能夠成功刪除該檔案
4.練習強制繼承,並驗證成功性。
第一問:
tom的許可權為:
jack的許可權為:
第二問:
給a賦予列出資料夾目錄許可權為拒絕。
第三問:
使用管理員取得所有權即可。
第四問:
強制繼承。
檔案共享伺服器
一、共享伺服器概述
通過網路提供檔案共享服務,提供檔案下載和上傳服務(類似於FTP伺服器)
二、建立共享
方法:資料夾右鍵屬性--共享與安全--共享此資料夾--設定共享名--設定共享許可權(完全控制就行,我們可以在NTFS許可權中設定,因為他倆取交集)
注:
1)在本地登入時,只受NTFS許可權的影響
2)在遠端登入時,將受共享及NTFS許可權的共同影響,且取交集!
3)所以建議設定共享許可權為everyone完全控制,然後具體的許可權需求在NTFS許可權中設定即可
三、訪問共享
在開始執行/或我的電腦位址列中,輸入UNC地址:
\\檔案共享伺服器IP
\\檔案共享伺服器IP\共享名
判斷題:
伺服器上有某資料夾:d:\feifei
伺服器IP:10.1.1.1
共享名: f
以下哪種方式可以正常訪問該共享?
\\10.1.1.1\d\feifei
\\10.1.1.1\feifei
\\10.1.1.1\d\f
\\10.1.1.1\f 正確
案例:
1.開2臺虛擬機器,並互相ping通
2.設定2003為共享伺服器,並在客戶機上可以訪問共享,要求a賬戶只能下載,b賬戶只能上傳,c賬戶可以上傳下載及刪除
四、建立隱藏的共享
方法:共享名$
五、訪問隱藏共享的方法
\伺服器IP\共享名$
六、共享相關命令
net share # 列出共享列表
net share C$=C:\ # 將c盤共享
net share 共享名 /del # 刪除共享
七、遮蔽系統的隱藏共享檔案自動產生
7.1、開啟登錄檔
command+r - cmd 開啟登錄檔編輯器:regedit
7.2、定位共享登錄檔位置
HKEY_Local_MACHINE\System\CurrentControlSet\Services\lanmanServer\Parameters\
右鍵新建DWORD型別的AutoShareServer 鍵,值為 0
之後需要重新啟動shutdown -r -f -t 0
八、檢視本地開放埠與本地網路連線狀態與其他命令
netstat -an
# windows server可使用
whoami # 查詢當前是哪個使用者
whoami /user # 查詢當前是哪個使用者並且包括SID
九、關閉445服務
可以通過關閉445埠來遮蔽病毒傳入(如勒索病毒等)
方法1:開啟services.msc,並停止及禁用server服務
方法2:禁止被訪問445,配置高階安全防火牆-入站規則(在win7及以上系統,win2008及以上系統)
注:雖然服務關閉了,但是埠依然監聽,此時的這個服務已經不起作用了