1p15/1p16,windows基础
授课人:杨文财
授课时间:2021/11/10
听课时间:2022/7/24
NTFS权限规则
1、权限的累加:用户分配的有效权限是分配给用户所有权限的累加
假设一个用户设置了读取权限,给用户所属的组分配了修改权限,那么用户最终的权限就等于读取+修改
2、拒绝权限
拒绝的权限大于一切(在访问控制列表中,拒绝的权限优先级最高)
3、继承权限
文件或文件夹的访问控制列表默认情况下会继承上级文件夹权限。
如果要单独修改某个文件或者文件夹权限,需要禁用继承,禁用继承有两种方式,1、将继承的权限全部复制过来,2、将继承的权限全部删除
4、特殊权限
读取权限:作用是读取文件或文件夹的访问控制列表,(和读取或文件夹的内容没有关系)。针对于用户想要访问某个文件的内容,此权限必须勾选。
更改权限:(和修改文件或文件夹的内容没有任何关系)作用是用户是否可以修改文件或文件夹的访问控制列表。由于此权限是可以为用户添加或删除权限,会造成很多不安全因素,此权限一般不会给。给了就相当于给了完全控制权限。要想更改,前提是必须能读取。
取得所有权:能够修改文件或文件夹的所有者,(鸡肋权限,要想取得所有权,前提必须得有读取和修改权限,有了读取和修改,那么可以自行添加取得所有权权限)
本地安全策略
1、概念,主要是对登录到计算机的账户进行一些安全设置,主要影响的是本地计算机安全设置。
2、打开方式
开始菜单->管理工具->本地安全策略
使用命令secpol.msc
从本地组策略进去gpedit.msc->计算机配置->windows设置->安全设置
3、账户策略
密码策略:windows server操作系统默认开启密码复杂性要求,密码长度服务器默认为0、域控制器默认为7,密码最长/最短使用期限,强制密码历史,用可还原的加密来存储密码
账户锁定策略:账户锁定时间、账户锁定阈值、重置账户锁定计数器(账户锁定时间必须要大于或者等于重置账户锁定计数器)
作业1:由于管理员不受账户锁定策略限制,且管理员的用户名固定,很容易遭受爆破攻击,从而是服务器沦陷,用什么办法将管理员藏起来,使其无法找到管理员用户,从而无法实施爆破(windows操作系统加固的其中一个环节)
4、本地策略
审核策略:审核策略更改、审核登录事件(可在服务器事件查看器中查看)、审核对象访问(可以看到哪些用户做了哪些操作)、审核进程跟踪
用户权限分配:从网络访问此计算机、更改时区、更改系统时间、拒绝本地登录、拒绝从网络访问此计算机、拒绝通过远程桌面服务登录、允许本地登录
远程桌面命令:mstsc
安全选项:交互式登录必须按ctrl+alt+del解锁,允许系统在未登录的情况下关机,提示用户在过期前改密码,来宾账户的状态,使用空密码的本地账户只允许从本地登录,本地账户的共享和安全模型(仅来宾)
命令:gpupdate /force //立刻更新应用安全策略