一、NTFS权限规则
- 1、权限累加
- 2、拒绝权限
- 3、继承权限
- 4、特殊权限
- - 4.1、读取权限
  - 4.2、更改权限
  - 4.3、取得所有权
二、本地安全策略
- 1、本地安全策略的基本内容
- - 1.1、概念
  - 1.2、打开方式
- 2、账户策略
- - 2.1、密码策略
  - 2.2、账户锁定策略
- 3、本地策略
- - 3.1、策略审核
  - - 3.1.1、审核策略更改
    - 3.1.2、审核登录时间
    - 3.1.3、审核对象访问
  - 3.2 用户权限分配
  - - 3.2.1从网络访问此计算机
    - 3.2.2、更改系统时间
    - 3.2.3、更改时区
    - 3.2.4、关闭系统
    - 3.2.5、拒绝从网络访问这台计算机
    - 3.2.6、拒绝通过远程桌面服务登录
    - 3.2.7、允许本地登录
    - 3.2.8、拒绝本地登录
  - 3.3、安全选项
  - - 3.3.1、交互式登录: 无需按 Ctrl+Alt+Del
    - 3.3.2、关机: 允许系统在未登录的情况下关闭
    - 3.3.3、交互式登录: 提示用户在密码过期之前更改密码
    - 3.3.4、帐户: 来宾帐户状态
    - 3.3.5、网络访问: 本地帐户的共享和安全模型

一、NTFS权限规则

1、权限累加

用户分配的有效权限是分配给用户所有权限的累加

示例：
假设lisi用户拥有读取权限，lisi所在用户组分配了修改权限，lisi用户对文件的最终的权限就等于读取和修改。

属性->安全->高级->有效访问->选择用户->lisi

2、拒绝权限

拒绝的权限大于一切（在访问控制列表中，拒绝的权限优先级最高）
具体表现在当出现权限冲突时，拒绝的权限优先级最高

举例：用户所属组有读取权限，用户拒绝完全控制，最终用户没有读取权限）
在属性->安全->编辑中设置拒绝权限。高级中不可以设置

用户组有读取权限

高级->有效访问，查看lisi的权限

3、继承权限

文件或文件夹的访问控制列表默认情况下会继承上级文件夹的权限。

示例1：在d盘下新建文件夹，会继承d盘的访问控制权限

示例2：在hh文件夹中，新建文件夹也会继承hh的权限

示例3：只有禁用继承之后，在高级中才能对权限进行修改。（禁用继承，编辑中也可以修改，）
未禁用前：

禁用继承之后：

4、特殊权限

4.1、读取权限

功能1：读取文件或文件夹的访问控制列表
没有读取权限的情况下：

功能2：针对用户想要访问某个文件的内容，此权限必须勾选
没有勾选的情况下

就算用命令行也看不了

取消勾选：（想要达到取消勾选之后的效果，必须防止权限累加，所以要把用户组删掉。）

4.2、更改权限

和修改文件或文件夹的内容没有任何关系

用户是否可以修改文件或文件夹的访问控制列表，由于此权限是可以为用户添加或删除权限，会造成很多不安全因素，此权限一般不会给
下图为wangwu用户删掉管理员对文件的访问控制权限示意图：（当然回到管理员之后，过一会又会恢复访问权限，当然也足见危害极大）。

要想获得更改权限的功能，前提是必须拥有特殊权限中的读取权限。
有更改权限无读取权限的下场：

4.3、取得所有权

每个文件和文件夹都有一个所有者

能够修改文件或文件的所有者，前提是必须得读取和修改。不过只需要有读取和修改的之后，也可以自己添加去的所有权。所以就显得有些鸡肋。

二、本地安全策略

1、本地安全策略的基本内容

1.1、概念

主要是针对登录到计算机的账户进行一些安全设置
主要影响是本地计算机安全设置

1.2、打开方式

方式一：开始菜单->管理工具->本地安全策略

方式二：使用cmd命令行
secpol.msc

方式三：进入本地组策略，其已经包含了本地安全策略
使用cmd命令行：gpedit.msc

2、账户策略

2.1、密码策略

密码必须符合复杂行要求
默认情况下，Windows Server操作系统是开启的

如果启用此策略，密码必须符合下列最低要求:

不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。

密码最短使用期限

此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。

2.2、账户锁定策略

账户锁定阈值
在登录时，即密码输错超出阈值之后，会进入锁定状态
账户锁定时间
账户进士锁定状态，下一次能输入密码的间隔
重置账户锁定计数器
假设你的账户锁定阈值在三次，这是你已经输错两次了，你等重置账户锁定计数器刷新过后，你再输入三次才被锁定，而不是一次就被锁定。
提问：管理员也会收到账户锁定策略的效应吗？
答：不会。无论管理员输错多少次，都不会被锁定。
提问：由于管理员不受账户锁定策略的限制，管理员的用户名又是固定的，很容易受到有心人的爆破攻击，从而使服务器沦陷，用什么方法将管理员藏起来，使有心人无法找到管理员用户，从而无法实施爆破

3、本地策略

3.1、策略审核

对Windows里面的一些时间或操作进行审核，记录到日志里面。目的是通过日志查看哪些人或程序对我们的操纵系统做了哪些操作，可以做到追踪或者溯源的一个效果。

默认是无审核，但是服务器和客户端还是有一部分默认开启的会被记录。如果要启动记录功能，就要勾选成功和失败选项。

核策略的功能非常强大，不过在使用审核策略的同时也要注意一些问题：
首先，审核是一种很占用计算机资源的操作，尤其是当要审核的对象非常多时，很有可能会降低系统的性能。因此只有在需要的时候才打开必需的审核策略。
其次，保存审核日志是需要硬盘空间的，如果审核的对象非常多，而对象的变动也很频繁的话，那么短时间内审核日志就可能会占据了大量的硬盘空间，因此日志需要经常性查看和清理。在日志的属性界面中可以根据需要设置日志的大小。

日志可在管理工具->事件查看器->Windows日志中查看。

3.1.1、审核策略更改

如果勾选成功或失败按钮，就会记录更改策略成功了，或者失败了。
没有勾选，就不会记录。

3.1.2、审核登录时间

记录哪些用户登录失败，登录成功。若要记录，就得勾选成功或者失败按钮。
如果有有心人爆破我的管理员账户，可以在日志里面看到审核失败的事件

3.1.3、审核对象访问

记录下有哪些用户访问或改动过共享文件夹中的内容

3.2 用户权限分配

3.2.1从网络访问此计算机

此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务。
实际上，只需要有Everyone就行了，Everyone代表所有人

3.2.2、更改系统时间

此用户权限确定哪些用户和组可以更改计算机内部时钟上的日期和时间。分配了此用户权限的用户可以影响事件日志的外观。如果已更改了系统时间，则记录的事件将反映此新时间，而不是事件发生的实际时间。
默认只有管理员和local service才能更改。因为系统的很多事件都是以系统事件为参考标准的。例如锁定用户，用管理员账户更改系统时间之后，用户就可以解锁了。

3.2.3、更改时区

同上

3.2.4、关闭系统

此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。

3.2.5、拒绝从网络访问这台计算机

此安全设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和“从网络访问此计算机”策略设置，则前者会取代后者。
普遍来讲，拒绝的权限要更高

3.2.6、拒绝通过远程桌面服务登录

此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。

通过远程桌面登录方法：
cmd命令行输入：mstsc

3.2.7、允许本地登录

确定哪些用户可以登录到该计算机。

3.2.8、拒绝本地登录

此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置，则前者会取代后者。

3.3、安全选项

3.3.1、交互式登录: 无需按 Ctrl+Alt+Del

该安全设置确定用户是否需要按 Ctrl+Alt+Del 才能登录。
如果在计算机上启用此策略，则用户无需按 Ctrl+Alt+Del 便可登录。不必按 Ctrl+Alt+Del 会使用户易于受到企图截获用户密码的攻击。用户登录之前需按 Ctrl+Alt+Del 可确保用户输入其密码时通过信任的路径进行通信。
如果禁用此策略，则任何用户在登录到 Windows 前都必须按 CTRL+ALT+DEL。

Windows Server是默认禁用的。

Windows 10则没有定义，就相当于启动，无须按。

3.3.2、关机: 允许系统在未登录的情况下关闭

此安全设置确定是否可以在无需登录 Windows 的情况下关闭计算机。
如果启用了此策略，Windows 登录屏幕上的“关机”命令可用。

管理员可以无视。假设这是普通用户在勾选已启动，未登录的情况下关闭

3.3.3、交互式登录: 提示用户在密码过期之前更改密码

确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告，用户有时间构造足够强大的密码。

3.3.4、帐户: 来宾帐户状态

此安全设置确定是启用还是禁用来宾帐户。

示例：启用来宾用户
1、勾选已启用
2、win+r打开运行，输入gpdate /force

3、管理工具->计算机管理，查看来宾用户状态已启用。

3.3.5、网络访问: 本地帐户的共享和安全模型

此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”，使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型能够对资源的访问权限进行精细的控制。通过使用“经典”模型，你可以针对同一个资源为不同用户授予不同类型的访问权限。
如果将此设置设为“仅来宾”，使用本地帐户的网络登录会自动映射到来宾帐户。使用“仅来宾”模型，所有用户都可得到平等对待。所有用户都以来宾身份进行验证，并且都获得相同的访问权限级别来访问指定的资源，这些权限可以为只读或修改。

Windows与网络基础：NTFS权限规则和本地安全策略相关推荐

Windows 基础（NTFS权限规则与本地安全策略）
**本文演示系统以Windows Server 2003为示例一.NTFS权限 1. NTFS权限概述 1.1 NTFS文件系统文件系统就是在外部存储设备上组织文件的方法. (1)Windows操 ...
P15-Windows与网络基础-NTFS权限规则
该系列为"蜗牛学苑-网络安全"笔记,跟随课程加入自己见解,同时也为项目中碰到一些问题做了解答大纲 NTFS的权限规则 1.背景:如何查看用户对于某文件.文件夹的全部权限 2.权限 ...
Windows基本命令操作、网络相关操作、windows用户管理、NTFS权限、更新策略的方法
一.Windows基本命令操作一.目录与文件应用操作 1.cd 命令用于改变当前提示符盘符路径或提示符目录路径 CD [/D] [drive:][path] #跨盘符切换必须要跟上 /d 选项举 ...
Windows与网络基础
Windows 基础命令一.目录和文件的应用操作 1.cd命令 cd /d d:\ //切换到d盘目录,因为改变了驱动器,所以要加上/d选项 cd c:\ //如果没有改变驱动器号,就不需要加/d选 ...
Windows与网络基础：Windows基本命令-目录文件操作
概括:了解Windows,先从基础命令开始目标:掌握Windows的系统文件及目录操作的一些命令,掌握Windows的网络相关的命令. 原因:排查一些网络,包括还有对文件的一些操作,需要用到命令会比 ...
Windows与网络基础-10-window用户管理
目录一.Window用户管理 1.1 需要了解的概念 1.2 查看安全标识符 1.2.1 使用命令 whoami /user查看当前用户的SID 1.2.2 在注册表中查看 1.2.3 查看所有用户 ...
Windows与网络基础：Windows用户管理
目录 1.用户账户 1.1.什么是用户账户 1.2.进行用户管理创建用户管理用户设置密码隐藏用户 2.Windows的内置用户账户 2.1.与使用者关联的 2.2.与Windows组件关联的 ...
如何在windows xp下使用ntfs权限控制
当windwos xp系统,当多个用户使用的时候.权限及用户控制是必须的.需要进行文件权限及用户控制首选的条件是使用那个ntfs文件格式默认情况下,即使是ntfs权限,也看不到文件权限控制的这个选项 ...
P13、14-Windows与网络基础-NTFS之文件、文件夹权限
该系列为"蜗牛学苑-网络安全"笔记,跟随课程加入自己见解,同时也为项目中碰到一些问题做了解答大纲 1.背景知识-文件系统 1.1 Windows文件系统 1.2 Linux文件系 ...

Windows与网络基础：NTFS权限规则和本地安全策略

目录