NTFS权限的应用规则权限的累加性

1)权限累加

Administrator用户创建文件夹E:\NTD,Administrator用户在NTD的文件夹中创建02.txt,在02.txt的文件中输入“22222”
右击02.txt-属性-安全-编辑-添加普通用户-勾选读取权限-添加用户所属组-仅勾选写入权限
普通用户登录双击02.txt可以打开此文件,可以更改文件内容。
注:用户与用户所属组权限不冲突,权限累加
用户 读
用户所属组 写
用户权限=读+
用户所属组1 读
用户所属组2 写
用户权限=读+

2)权限的拒绝(拒绝大于一切、拒绝优先)

Administrator用户在NTD的文件夹中创建03.txt,在03.txt的文件中输入“33333”
右击03.txt-属性-安全-编辑-添加普通用户-勾选允许读取权限-添加用户所属组-勾选拒绝读取权限
普通用户登录双击03.txt拒绝访问。
右击03.txt-属性-安全-编辑-添加普通用户-勾选拒绝读取权限-添加用户所属组-勾选允许读取权限
普通用户登录双击03.txt拒绝访问
用户 读
用户所属组拒绝读
用户权限=拒绝读

用户 拒绝读
用户所属组读
用户权限=拒绝读

用户所属组1 读
用户所属组2 拒绝读
用户权限=拒绝读

用户所属组1 读
用户所属组2 读
……
用户所属组99 读
用户所属组100 拒绝读
用户权限=拒绝读

3)权限继承

继承:默认下级继承上级目录的权限

Administrator用户创建文件夹tedu-右击tedu的文件夹-属性-安全-编辑-添加普通用户完全控制权限
tedu的目录中创建01.txt,右击01.txt-属性-安全-查看是否有普通用户的完全控制权限

取消继承

右击01.txt-属性-安全-高级-禁用继承-在弹出的提示中选择第一个-确定-编辑-选择普通用户-取消完全控制的勾选仅留读权限-确定

强制继承

右击tedu的目录-属性-安全-高级-勾选禁用继承下的复选框-是-确定
注:下级取消继承后上级目录可以强制继承,上级目录强制继承后下级目录还可以再次取消继承

一、服务器安全基线

1.为了满足安全规范要求,服务器必须要达到的最低安全标准

2.参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》

3.操作系统安全基线

1) 作用

设置口令复杂策略,防止暴力破解密码
控制用户的文件权限,减少被攻击后的影响
最小化安装操作系统,防止不必要的服务带来的安全问题

2) 安全配置

用户管理
密码策略
共享管理
文件权限管理
用户权限管理
日志审核管理
远程管理

二.本地安全策略

1.本地安全策略:为保护计算机资源而配置的规则

2.打开本地安全策略

开始菜单-windows管理工具-本地安全策略
控制面板-管理工具-本地安全策略
运行-secpol.msc

3.本地安全策略主要包含

1)帐户策略:
密码策略
帐户锁定策略

2)本地策略:
审核策略
用户权限分配
安全选项

4.密码策略

密码必须符合复杂性要求:复杂密码满足条件,英文小写、大写、数字、特殊符号,四个条件取其三。
密码长度最小值:取值范围0-14,0表示长度无限
密码最长使用期限:默认42天,取值范围0-999,0表示永不过期
密码最短使用期限:取值范围0-998,默认0表示无限制,随时可更改密码
强制密码历史:默认0表示历史曾经用过的密码可以随便使用,取值范围0-24
测试密码破解的网址:https://www.security.org/how-secure-is-my-password/

验证

Win2016主机用户密码可以配置为123456
win10主机用户密码不允许使用123456

5.帐户锁定策略

帐户锁定阈值:配置用户输入错误密码的次数,取值范围0-999,默认0表示不锁定帐户
帐户锁定时间:帐户锁定多长时间自动解锁,单位分钟,取值范围0-99999,0表示管理员手解锁
重置帐户锁定计数器:清除所输入的错误密码的次数(用户输入错误密码开始计时,当该时间超时,计数器重置为0)

1)验证

配置帐户锁定阈值为3,注销普通用户登录,输入3次错误密码,第4次输入正确的密码看提示。
验证锁定时间为1,等待1分钟自动解
验证锁定时间为0,如何解锁?
Administrator用户登录,手动解锁
注:administrator管理员帐户不受此策略的限制
内置帐户可以禁用,但不可以删除

2)验证:

帐户锁定阈值 5
帐户锁定时间 30
重置帐户锁定计数器 1
注销普通用户登录,输入4次错误密码,等1分钟再尝试输入错误密码

6.审核策略

启用审核策略=安监控
事件查看器 监控服务器存数据

验证:审核帐户管理

清除日志:控制面板-管理工具-事件查看器-windows日志-右击安全-清除日志
启用审核帐户管理:
本地安策略-本地策略-审核策略
双击审核帐户管理-勾选成功与失败
Administrator修改普通用户名
控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标的事件内容

7.用户权限分配

1)更改系统时间

普通用户注销登录更改系统时间提示输入administrator密码
本地安全策略-本地策略-用户权限分配-双击更改系统时间添加普用户

2)关闭系统

3)允许本地登录

验证:允许本地登录删除users
本地安全策略-本地策略-用户权限分配
双击允许本地登录-删除users
注销验证普通用户本地登录
验证允许普通用户本地登录(双击本地登录-对象类型勾选组-添加users)

4)拒绝本地登录

5)拒绝从网络访问这台计算机

8.安全选项

交互式登录:试图登录的用户消息标题
交互式登录:试图登录的用户消息文本
交互式登录:不显示最后的用户名
交互式登录:无须按ctrl+alt+delete
交互式登录:提示用户过期之前更改密码(默认5天)
网络访问:本地帐户的共享安全模式
帐户:使用空密码的本地帐户仅允许控制台登录
关机:允许系统在未登录的情况下关闭

三、Windows帐户加固

1.Windows帐户加固方法

定期检查可疑用户,尤其是administrators成员
Administrator改名,设置复杂密码
Administrator禁用,新建用户加入管理员组
不显示最后用户名(本地安全策略-本地策略-安全选项)

2.查看windows用户

1)命令行查看用户 net user

2)注册表查看用户

运行- regedit(打开注册表)
HKEY_LOCAL_MACHINE\SAM\SAM\右击SAM-权限-添加administrator完全控制,F5刷新。
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看帐户名


实验练习:

练习内容已更新至昨天笔记结尾
练习时间到今日上午12:00
课间休息:10:50-11:10

一、取得文件所有权

环境:启动一台Win2016虚拟机
要求:
  1. 以普通用户 guojing 登录到服务器
1)新建文件夹“郭靖”
2)调整文件夹“郭靖”的安全属性,取消所有继承的权限
3)然后授予用户 guojing 对文件夹“郭靖”完全控制权限
  1. 以用户Administrator登入服务器
1)验证不能打开文件夹“郭靖”
2)取得所有权
3)调整文件夹“郭靖”的安全属性,授予administrator完全控制权限
4)再次尝试即可打开此文件

取得所有权提示:
administrator登录
右击“郭靖”目录名-属性-安全-高级-所有者更改添加administrator-确定
右击“郭靖”目录名-属性-安全-编辑-添加administrator完全控制权限

二、华为路由与交换基本配置

环境:
打开eNSP模拟器添加一台路由器、一台交换机。
要求:
1.修改路由器主机名Router1,交换机主机名Switch1
2.配置路由器本地访问口令123,交换机本地访问口令456
3.修改路由器与交换机控制台会话时间为60分钟

三、配置直连网络通信、远程管理交换机

环境:
打开eNSP模拟器按如上拓扑组建网络。
要求:
1.按如上拓扑配置路由器、交换机、PCIP地址
2.PC1-1 ping PC-2-1
3.在交换机S2上开启远程管理的服务
4.通过交换机S1远程管理交换机S2

命令提示:
[S1]ip route-static 0.0.0.0 0 192.168.1.254
[S2]ip route-static 0.0.0.0 0 192.168.2.254