【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器

目录

一、NTFS安全权限

1、NTFS权限概述

2、文件系统概述

3、NTFS文件系统特点

4、修改NTFS权限

4.1、取消权限继承(取消父子关系)

4.2、文件及文件夹权限

4.3、权限累加

4.4、拒绝最大

4.5、取得所有权

4.6、强制继承

4.7、文件复制对权限的影响

二、文件共享服务器

1、共享服务器概述

2、创建共享

3、访问共享

真机:win10中实现文件共享

4、创建隐藏的共享

5、访问隐藏共享的方法

6、共享相关命令

7、屏蔽系统隐藏共享自动产生(见以下步骤)

7.1、打开注册表

7.2、定位共享注册表位置

8、查看本地网络连接状态

9、关闭445服务


一、NTFS安全权限

学NTFS安全权限的目的是给文件和文件夹设置权限

1、NTFS权限概述

① 通过设置 NTFS 权限,实现不同的用户访问不同对象的权限。( 对象:文件和文件夹
② 分配了正确的访问权限后,用户才能访问其资源(资源就是所谓的对象,就是文件和文件夹
③ 设置权限防止资源被篡改、删除
 
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第1张图片
 

2、文件系统概述

文件系统就是你这个磁盘分区的存储格式( 存储文件的方式叫文件系统
如果一个分区不建立文件系统,那么这个分区是无法存储一丁点数据的。
 
大白话:
就是必须建立文件系统,怎么建立呢?就是我们在这个分区空地上“打格子”,这个格子是存储文件的一个存储单元,有了这个格子,这个分区才能存文件,这个格子就叫文件系统
什么叫格式化?
格式化就是把所有分区的数据全部清除,重新在这块分区上打格子
所以格式化翻译成专业术语就等于制作文件系统,所以格式化的时候要选择文件系统类型就是选择格子的类型。格子有大小,一般NTFS格子最小是4KB
 
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第2张图片
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第3张图片
FAT 转换为 NTFS convert 盘符 : /fs:ntfs      #数据不丢失,但不可逆!
 
文件系统即在外部存储设备上组织文件的方法
常用的文件系统:
 
•FAT    windows     (文件分配表: F ile A llocation T able)
•NTFS windows     (NTFS: N ew T echnology F ile S ystem)
•EXT   linux 常见
 

3、NTFS文件系统特点

1. 提高磁盘读写性能
 
2. 可靠性
    加密文件系统
    访问控制列表ACL(设置权限)【格式化是NTFS的分区,在这个分区里面存储的文件才具备设置权限,如果是FAT就不能设置权限,一律平等】
    什么是访问控制列表?当你想访问某个用户想访问我这个文件的时候,我对你的行为要进行控制,这叫访问控制。为什么叫列表呢?这个列表会显示不同的用户受到什么样的控制。
 
3. 磁盘利用率
    压缩
    磁盘配额
 
4. 支持单个文件大于4G
 

4、修改NTFS权限

查看文件系统:选择磁盘分区——》右键属性查看

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第4张图片

实验:创建两个用户a,b对他们进行不同的权限管理(创建用户过程省略)

1、选择刚创建好的文件夹右键属性——》安全——》查看ACL表

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第5张图片

新建的用户叫普通用户,默认划分到users组

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第6张图片

灰色格子就是不能修改的意思

取消“父子关系”后:添加a,b两个用户

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第7张图片

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第8张图片

创建后,点击a,b两个用户,分别设置权限

新建的两个用户对桌面是有完全控制权限的,因为桌面是它自己的东西,但是要进入别人的地盘就要有权限!!!

 

4.1、取消权限继承(取消父子关系)

作用:取消后,可以任意修改权限列表了。
方法:文件夹右键属性---安全---高级---去掉第一个对号--选择复制即可(2008系统叫添加)
(就是你和你父亲要脱离父子关系了,复制就是留着父亲给的资产也就是权限,删除就是不留)
 
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第9张图片

只要把父亲的权限改一点点,后面都会同步

4.2、文件及文件夹权限

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第10张图片
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第11张图片
 
案例:
建立 jimi 文件夹,并设置 NTFS 权限,要求 a 用户只能读取文件夹中的文件,不能在 jimi 文件夹中创建新的文件, b 用户只 能在jimi 文件夹中创建新的文件,不能读取文件。
 

4.3、权限累加

当用户同时属于多个组时,权限是累加的!
案例:
用户 a 同时属于 IT 组与 HR 组, IT 组对文件夹 jimi 可以读取, HR 组可以对 jimi 文件夹写入,则 a 用户最终的权限为读取和写入。
 

4.4、拒绝最大

当用户权限累加时,相同的权限,允许和拒绝权限碰撞,拒绝最大!
 
案例:
用户 a 属于财务部组,财务部组成员为 10 个用户,财务部组拥有对文件夹 xxx 访问权限,现要求 a 用户不能脱离财务部组, 同时要求a 没有访问文件夹 xxx 的权限。
 
 

4.5、取得所有权

默认只有 administrator 有这个权限!
作用:可以将任何文件夹的所有者改为 administrator
案例:
用户 a 已离职,但 xxx 文件夹的属主是 a ,由于 a 用户对 xxx 文件夹做过权限修改,导致其他用户对 xxx 文件夹没有任何权
限,现需要管理员 administrator 用户将 xxx 文件夹重新修改权限
 

访问控制列表ACL是很严格的,如果表中没有管理员,连管理员也访问不了,权限查看都查看不了,但是能取得所有权

方法:文件夹右键属性——》安全——》高级——》所有者——》将所有者更改为管理员或管理员组(也可以更改为其他用户或组)——》一定要把下面的“替换子容器及对象的所有者”那个选择框勾选上!(就是把这个文件夹所有“子民”都改成我)——》确定

4.6、强制继承

作用:对下强制继承父子关系!(父亲对儿子强制恢复关系,这种强制是无法拒绝的)
方法:文件夹右键属性 --安全--高级--勾上第二个对号(用在此显示的可以应用到子对象的项目代替所有子对象的权限项目),即可!(瞬间让所有文件权限统一)
 
案例:
xxx 文件夹下有多个子文件夹及文件,由于长时间的权限管理,多个子文件夹的权限都做过不同的权限修改,现需要 xxx
下的所有子文件及文件夹的权限全部统一。
 

4.7、文件复制对权限的影响

文件复制 后,文件的权限会被目标文件夹的权限覆盖。(到了别人地盘上了,过继给人家了)
移动文件 ,跨分区移动就会被覆盖,同分区移动就保留
 
 

本章练习:
1.创建一个文件夹,实现Tom用户只能创建新的文件,jack用户只能读取及下载文件
2.将用户a加入到CEO组,且不能从该组中剔除,为文件夹jimi赋权限,要求ceo组可以完全控制jimi文件夹,但a不能访
问该文件夹。
3.普通用户创建文件,并设置权限,且未给管理员任何权限,管理员登录系统后,能够成功删除该文件
4.练习强制继承,并验证成功性。
 
 

二、文件共享服务器

1、共享服务器概述

通过网络提供文件共享服务,提供文件下载和上传服务(类似于 FTP 服务器)
 
共享服务器的协议:CIFS协议(这个协议和FTP协议不一样,FTP协议是全球通用的,但是CIFS是微软开发的,就是在微软电脑上最好用,linux虽然也能访问,但是微软更支持,微软的全系系统都带这个服务不需要额外安装,换句话说,学完这个知识,两个人传资料不得非要用U盘,只要你们两个在一个局域网,就可以通过这个服务互相共享。你只要把地址告诉他就行
 
 
在公司里,一般对内共享用这个比较多,FTP用在对外共享。(不是绝对的)

2、创建共享

方法:文件夹右键属性 -- 共享 -- 开启共享 -- 设置共享名(不建议用中文) -- 设置共享权限
 
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第12张图片
 
注:
1)在本地登录时,只受NTFS权限的影响
2)在远程登录时,将受共享及NTFS权限的共同影响,且取交集(最严格的部分)!
3)所以建议设置共享权限为everyone完全控制,然后具体的权限需求在NTFS权限中设置即可。
 

3、访问共享

在开始运行 / 或我的电脑地址栏中,输入 UNC 地址:(两根反斜杠加IP叫UNC地址)
\\文件共享服务器IP
\\文件共享服务器IP\共享名(不是文件夹名)此条命令直接进入共享文件夹
 

\表示路径,\\表示网络路径
千万千万千万要注意斜杠的方向!!!(反斜杠“\”
别说什么正反了,记着混乱。就叫撇斜杠和捺斜杠

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第13张图片

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第14张图片

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第15张图片

本地NTFS权限仅限 本地用户登录的控制,当用户 远程登录的时候受到共享权限和本地NTFS权限的共同影响,而且取交集( 比如运行A共享权限为读,本地NTFS权限为写,取交集A远程时什么权限都没有
这样就太麻烦了,简便方法:把本地设置为完全控制权限,取交集的时候远程登录选什么就取什么(设置共享权限在属性——》共享里面,设置本地权限在安全里面)
 
判断题:
服务器上有某文件夹: d:\feifei
服务器 IP 10.1.1.1
共享名: f
以下哪种方式可以正常访问该共享?
\\10.1.1.1\d\feifei(不关心在哪个盘,文件夹名是什么,只关心分享文件夹名)
\\10.1.1.1\feifei
\\10.1.1.1\d\f
\\10.1.1.1\f     正确(√)
 
案例:
1. 2 台虚拟机,并互相 ping
2. 设置 2003 为共享服务器,并在客户机上可以访问共享,要求 aa 账户只能下载, bb 账户只能上传, cc 账户可以上传下载 及删除
 

真机:win10中实现文件共享

【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第16张图片

 

如果属性里面没有“共享”,可能是win10禁用了Server服务:解决方法services.msc启动server服务

如果访问不了,可能开着防火墙

4、创建隐藏的共享

方法:共享名 $
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第17张图片
 
不告诉别人,别人就不知道

5、访问隐藏共享的方法

\服务器IP\共享名$
\\10.0.0.3\jm$
 
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第18张图片

6、共享相关命令

net share #列出共享列表(类比:net user是列出用户列表    net localgroup是列出组列表)
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第19张图片
IPC$叫空连接(最不安全),最好把这个共享删除。
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第20张图片
写下\\ip地址\c$再输入你的密码就可以查看你的资料了(这方便微软进行远程管理)
 
net share 共享名 /del #删除共享
net share c$ /del (只是暂时删除——》但是每次开机后又会出现)
处理方法1:把net share c$ /del 写进批处理,放到开始启动菜单里面,每次启动就会执行
处理方法2:修改注册表,让他每次开机不要自动生成
 
创建共享(用命令行):
net share 共享名=共享资源路径
案例:共享C盘
net share c$=c:\
 

7、屏蔽系统隐藏共享自动产生(见以下步骤)

7.1、打开注册表

如果我们把一台电脑当中一个城市,注册表就相当于这个城市的公安系统里面的某个部门(户籍科)没有登记就变成“黑户”了,你每在这个电脑上装一个软件,这个软件的相关信息放到注册表里面去注册。注册表在C盘,虽然软件安装在别的盘,但是它的信息在C盘。

打开注册表编辑器:regedit(注册表不止一个文件,有N个,打开的是编辑器,只要通过编辑器编辑后台的注册表就行了)register edit

 

7.2、定位共享注册表位置

HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\
右键新建 REG_DWORD 类型的 AutoShareServer 键,值为 0(0就是关闭自动共享,1是开启)
Tips:
打开注册表,按右箭头展开,左箭头关闭
随便选择一个文件,按一个字母,就会定位到以这个字母开头的文件
 
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第21张图片

8、查看本地网络连接状态

netstat -an
 

9、关闭445服务

可以通过关闭 445 端口来屏蔽病毒传入(如勒索病毒等)
方法1:打开services.msc,并停止及禁用server服务
方法2:禁止被访问445,配置高级安全防火墙-入站规则(在win7及以上系统,win2008及以上系统)【 入站规则是限制别人访问我,出站规则是限制我访问别人
如何添加入站规则?入站规则右键——》新建规则——》端口——》下一步——》445(UDP/TCP都要)——》阻止连接——》下一步下一步——》写名称
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第22张图片
 
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第23张图片
 
把本机(win10)的server服务也关闭
【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器_第24张图片
当时的勒索病毒就是从445端口传进来的
 
关闭445后,打开cmd运行netstat -an依然有445,但是已经不起作用了
 
 
 
回顾:
3389是远程桌面服务
23是telnet协议
445是文件共享服务
 
 
 
 
 
 
 
 

你可能感兴趣的:(【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器)