【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器

目录

一、NTFS安全权限

1、NTFS权限概述

2、文件系统概述

3、NTFS文件系统特点

4、修改NTFS权限

4.1、取消权限继承（取消父子关系）

4.2、文件及文件夹权限

4.3、权限累加

4.4、拒绝最大

4.5、取得所有权

4.6、强制继承

4.7、文件复制对权限的影响

二、文件共享服务器

1、共享服务器概述

2、创建共享

3、访问共享

真机：win10中实现文件共享

4、创建隐藏的共享

5、访问隐藏共享的方法

6、共享相关命令

7、屏蔽系统隐藏共享自动产生（见以下步骤）

7.1、打开注册表

7.2、定位共享注册表位置

8、查看本地网络连接状态

9、关闭445服务

---

一、NTFS安全权限

学NTFS安全权限的目的是给文件和文件夹设置权限

1、NTFS权限概述

① 通过设置 NTFS 权限，实现不同的用户访问不同对象的权限。（ 对象：文件和文件夹 ）

② 分配了正确的访问权限后，用户才能访问其资源（资源就是所谓的对象，就是文件和文件夹）

③ 设置权限防止资源被篡改、删除

 

 

2、文件系统概述

文件系统就是你这个磁盘分区的存储格式（ 存储文件的方式叫文件系统）

如果一个分区不建立文件系统，那么这个分区是无法存储一丁点数据的。

 

大白话：

就是必须建立文件系统，怎么建立呢？就是我们在这个分区空地上“打格子”，这个格子是存储文件的一个存储单元，有了这个格子，这个分区才能存文件，这个格子就叫文件系统

什么叫格式化？

格式化就是把所有分区的数据全部清除，重新在这块分区上打格子

所以格式化翻译成专业术语就等于制作文件系统，所以格式化的时候要选择文件系统类型就是选择格子的类型。格子有大小，一般NTFS格子最小是4KB

 

FAT 转换为 NTFS ： convert 盘符 : /fs:ntfs      #数据不丢失，但不可逆！

 

文件系统即在外部存储设备上组织文件的方法

常用的文件系统：

 

•FAT    windows     （文件分配表： F ile A llocation T able）

•NTFS windows     （NTFS： N ew T echnology F ile S ystem）

•EXT   linux 常见

 

3、NTFS文件系统特点

1. 提高磁盘读写性能

 

2. 可靠性

    加密文件系统

    访问控制列表ACL（设置权限）【格式化是NTFS的分区，在这个分区里面存储的文件才具备设置权限，如果是FAT就不能设置权限，一律平等】

    什么是访问控制列表？当你想访问某个用户想访问我这个文件的时候，我对你的行为要进行控制，这叫访问控制。为什么叫列表呢？这个列表会显示不同的用户受到什么样的控制。

 

3. 磁盘利用率

    压缩

    磁盘配额

 

4. 支持单个文件大于4个G

 

4、修改NTFS权限

查看文件系统：选择磁盘分区——》右键属性查看

实验：创建两个用户a，b对他们进行不同的权限管理（创建用户过程省略）

1、选择刚创建好的文件夹右键属性——》安全——》查看ACL表

新建的用户叫普通用户，默认划分到users组

灰色格子就是不能修改的意思

取消“父子关系”后：添加a，b两个用户

创建后，点击a，b两个用户，分别设置权限

新建的两个用户对桌面是有完全控制权限的，因为桌面是它自己的东西，但是要进入别人的地盘就要有权限！！！

 

4.1、取消权限继承（取消父子关系）

作用：取消后，可以任意修改权限列表了。

方法：文件夹右键属性---安全---高级---去掉第一个对号--选择复制即可（2008系统叫添加）

（就是你和你父亲要脱离父子关系了，复制就是留着父亲给的资产也就是权限，删除就是不留）

 

只要把父亲的权限改一点点，后面都会同步

4.2、文件及文件夹权限

 

案例：

建立 jimi 文件夹，并设置 NTFS 权限，要求 a 用户只能读取文件夹中的文件，不能在 jimi 文件夹中创建新的文件， b 用户只 能在jimi 文件夹中创建新的文件，不能读取文件。

 

4.3、权限累加

当用户同时属于多个组时，权限是累加的！

案例：

用户 a 同时属于 IT 组与 HR 组， IT 组对文件夹 jimi 可以读取， HR 组可以对 jimi 文件夹写入，则 a 用户最终的权限为读取和写入。

 

4.4、拒绝最大

当用户权限累加时，相同的权限，允许和拒绝权限碰撞，拒绝最大！

 

案例：

用户 a 属于财务部组，财务部组成员为 10 个用户，财务部组拥有对文件夹 xxx 访问权限，现要求 a 用户不能脱离财务部组， 同时要求a 没有访问文件夹 xxx 的权限。

 

 

4.5、取得所有权

默认只有 administrator 有这个权限！

作用：可以将任何文件夹的所有者改为 administrator

案例：

用户 a 已离职，但 xxx 文件夹的属主是 a ，由于 a 用户对 xxx 文件夹做过权限修改，导致其他用户对 xxx 文件夹没有任何权

限，现需要管理员 administrator 用户将 xxx 文件夹重新修改权限

 

访问控制列表ACL是很严格的，如果表中没有管理员，连管理员也访问不了，权限查看都查看不了，但是能取得所有权

方法：文件夹右键属性——》安全——》高级——》所有者——》将所有者更改为管理员或管理员组（也可以更改为其他用户或组）——》一定要把下面的“替换子容器及对象的所有者”那个选择框勾选上！（就是把这个文件夹所有“子民”都改成我）——》确定

4.6、强制继承

作用：对下强制继承父子关系！（父亲对儿子强制恢复关系，这种强制是无法拒绝的）

方法：文件夹右键属性 --安全--高级--勾上第二个对号（用在此显示的可以应用到子对象的项目代替所有子对象的权限项目），即可！（瞬间让所有文件权限统一）

 

案例：

xxx 文件夹下有多个子文件夹及文件，由于长时间的权限管理，多个子文件夹的权限都做过不同的权限修改，现需要 xxx

下的所有子文件及文件夹的权限全部统一。

 

4.7、文件复制对权限的影响

文件复制 后，文件的权限会被目标文件夹的权限覆盖。（到了别人地盘上了，过继给人家了）

移动文件 ，跨分区移动就会被覆盖，同分区移动就保留

 

 

---

本章练习：

1.创建一个文件夹，实现Tom用户只能创建新的文件，jack用户只能读取及下载文件

2.将用户a加入到CEO组，且不能从该组中剔除,为文件夹jimi赋权限，要求ceo组可以完全控制jimi文件夹，但a不能访

问该文件夹。

3.普通用户创建文件，并设置权限，且未给管理员任何权限，管理员登录系统后，能够成功删除该文件

4.练习强制继承，并验证成功性。

 

 

二、文件共享服务器

1、共享服务器概述

通过网络提供文件共享服务，提供文件下载和上传服务（类似于 FTP 服务器）

 

共享服务器的协议：CIFS协议（这个协议和FTP协议不一样，FTP协议是全球通用的，但是CIFS是微软开发的，就是在微软电脑上最好用，linux虽然也能访问，但是微软更支持，微软的全系系统都带这个服务不需要额外安装，换句话说，学完这个知识，两个人传资料不得非要用U盘，只要你们两个在一个局域网，就可以通过这个服务互相共享。你只要把地址告诉他就行）

 

 

在公司里，一般对内共享用这个比较多，FTP用在对外共享。（不是绝对的）

2、创建共享

方法：文件夹右键属性 -- 共享 -- 开启共享 -- 设置共享名（不建议用中文） -- 设置共享权限

 

 

注：

1）在本地登录时，只受NTFS权限的影响

2）在远程登录时，将受共享及NTFS权限的共同影响，且取交集（最严格的部分）！

3）所以建议设置共享权限为everyone完全控制，然后具体的权限需求在NTFS权限中设置即可。

 

3、访问共享

在开始运行 / 或我的电脑地址栏中，输入 UNC 地址：（两根反斜杠加IP叫UNC地址）

\\文件共享服务器IP

\\文件共享服务器IP\共享名（不是文件夹名）此条命令直接进入共享文件夹

 

\表示路径，\\表示网络路径
千万千万千万要注意斜杠的方向！！！（反斜杠“\”）
别说什么正反了，记着混乱。就叫撇斜杠和捺斜杠！

本地NTFS权限仅限 本地用户登录的控制，当用户 远程登录的时候受到共享权限和本地NTFS权限的共同影响，而且取交集（ 比如运行A共享权限为读，本地NTFS权限为写，取交集A远程时什么权限都没有）

这样就太麻烦了，简便方法：把本地设置为完全控制权限，取交集的时候远程登录选什么就取什么（设置共享权限在属性——》共享里面，设置本地权限在安全里面）

 

判断题：

服务器上有某文件夹： d:\feifei

服务器 IP ： 10.1.1.1

共享名： f

以下哪种方式可以正常访问该共享？

\\10.1.1.1\d\feifei（不关心在哪个盘，文件夹名是什么，只关心分享文件夹名）

\\10.1.1.1\feifei

\\10.1.1.1\d\f

\\10.1.1.1\f     正确（√）

 

案例：

1. 开 2 台虚拟机，并互相 ping 通

2. 设置 2003 为共享服务器，并在客户机上可以访问共享，要求 aa 账户只能下载， bb 账户只能上传， cc 账户可以上传下载 及删除

 

真机：win10中实现文件共享

 

如果属性里面没有“共享”，可能是win10禁用了Server服务：解决方法services.msc启动server服务

如果访问不了，可能开着防火墙

4、创建隐藏的共享

方法：共享名 $

 

不告诉别人，别人就不知道

5、访问隐藏共享的方法

\服务器IP\共享名$

\\10.0.0.3\jm$

 

6、共享相关命令

net share #列出共享列表（类比：net user是列出用户列表    net localgroup是列出组列表）

IPC$叫空连接（最不安全），最好把这个共享删除。

写下\\ip地址\c$再输入你的密码就可以查看你的资料了（这方便微软进行远程管理）

 

net share 共享名 /del #删除共享

net share c$ /del （只是暂时删除——》但是每次开机后又会出现）

处理方法1：把net share c$ /del 写进批处理，放到开始启动菜单里面，每次启动就会执行

处理方法2：修改注册表，让他每次开机不要自动生成

 

创建共享（用命令行）：

net share 共享名=共享资源路径

案例：共享C盘

net share c$=c:\

 

7、屏蔽系统隐藏共享自动产生（见以下步骤）

7.1、打开注册表

如果我们把一台电脑当中一个城市，注册表就相当于这个城市的公安系统里面的某个部门（户籍科）没有登记就变成“黑户”了，你每在这个电脑上装一个软件，这个软件的相关信息放到注册表里面去注册。注册表在C盘，虽然软件安装在别的盘，但是它的信息在C盘。

打开注册表编辑器：regedit（注册表不止一个文件，有N个，打开的是编辑器，只要通过编辑器编辑后台的注册表就行了）register edit

 

7.2、定位共享注册表位置

HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\

右键新建 REG_DWORD 类型的 AutoShareServer 键，值为 0（0就是关闭自动共享，1是开启）

Tips：

打开注册表，按右箭头展开，左箭头关闭

随便选择一个文件，按一个字母，就会定位到以这个字母开头的文件

 

8、查看本地网络连接状态

netstat -an

 

9、关闭445服务

可以通过关闭 445 端口来屏蔽病毒传入（如勒索病毒等）

方法1：打开services.msc，并停止及禁用server服务

方法2：禁止被访问445，配置高级安全防火墙-入站规则（在win7及以上系统，win2008及以上系统）【 入站规则是限制别人访问我，出站规则是限制我访问别人 】

如何添加入站规则？入站规则右键——》新建规则——》端口——》下一步——》445（UDP/TCP都要）——》阻止连接——》下一步下一步——》写名称

 

 

把本机（win10）的server服务也关闭

当时的勒索病毒就是从445端口传进来的

 

关闭445后，打开cmd运行netstat -an依然有445，但是已经不起作用了

 

 

 

回顾：

3389是远程桌面服务

23是telnet协议

445是文件共享服务