admin管理员组

文章数量:1122850

网络安全 —— Windows文件系统及本地安全基础

        • 1. 文件系统分区格式
          • (1)常见文件系统
          • (2)NTFS权限的应用规则
        • 2. 本地安全策略(安全设置)
          • (1)账户策略
            • ① 密码策略
            • ② 账户锁定策略
          • (2)本地策略
            • ① 审核策略
            • ② 用户权限分配
            • ③ 安全选项

1. 文件系统分区格式
FAT32:FAT(File Allocation Table,文件分配表)文件系统是windows操作系统所使用的一种文件系统,主要由文件分配表和目录项构成,它的发展过程经历了FAT12、FAT16、FAT32三个阶段
ReFS:ReFS(Resilient File System,复原文件系统) 是在 Windows Server 2012 中新引入的一个文件系统。早期只能应用于存储数据,现在可以引导系统 ,也能在移动硬盘上使用
NTFS:NTFS(New Technology File System)是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区
exFAT:exFAT(Extended File Allocation Table File System,扩展FAT,即扩展文件分配表)是Microsoft在Windows Embeded 5.0以上(包括Windows CE 5.0、6.0、Windows Mobile5、6、6.1)中引入的一种适合于闪存的文件系统,为了解决FAT32等不支持4G及其更大的文件而推出。对于闪存,NTFS文件系统不适合使用,exFAT更为适用。对于磁盘则不太适用。
(1)常见文件系统
分区格式发行年份最大分区单个最大文件同一目录最大文件数优点缺点
FAT321996年2TB4GB65535稳定性、兼容性好,可更有效利用空间安全性差,支持分区、文件大小有限
ReFS2011年1YB16EB18446544073709551615不在需要chkdsk命令修复磁盘不支持安装系统,不能作为引导分区
NTFS1993年256TB256TB4294967295针对机械硬盘、固态硬盘设计,支持大容量文件和超大分区,支持长文件名、压缩分区、数据保护和恢复、向下兼容、高容错性等功能不适合用于闪存,会对磁盘的读写操作做详细的记录,影响U盘等闪存寿命
exFAT2006年64ZB16EB2796202最适合U盘等闪存的格式,是微软针对闪存而设计,通常U盘出厂都是默认该格式兼容性差,没有文件日志功能,不适合用于磁盘

计算机存储单位

Byte 字节 Kilo Byte 千字节 Mega Byte 兆字节 Giga Byte 吉字节 Tera Byte 万亿字节 Peta Byte 千万亿字节 Exa Byte 百亿亿字节 Zetta Byte十万亿亿字节 Yotta Byte 一千亿亿亿字节
  • 换算
    1B = 8bit
    1KB = 1024B = B
    1MB = 1024KB = B
    1GB = 1024MB = B
    1TB = 1024GB = B
    1PB = 1024TB
    1EB = 1024PB
    1ZB = 1024EB
    1YB = 1024ZB
    1BB = 1024YB
(2)NTFS权限的应用规则
权限累加
        用户权限可以通过累加的方式进行管理,用户与用户所属组权限不冲突,权限具有累加性
拒绝优先
        用户权限通常遵循"最小权限原则",即以拒绝权限为优先
权限继承
        下级取消继承后上级目录可以强制继承,上级目录强制继承后下级目录还可以再次取消继承
        默认下级继承上级目录的权限
2. 本地安全策略(安全设置)
本地安全策略作用
                1. 对登陆到计算机上的账户进行基础必要的安全设置
                2. 管理员为计算机进行安全设置的途径等

⮚ 打开本地安全策略
⇲ 控制面板打开:桌面上的控制面板 ➔ 安全和维护 ➔ 管理工具 ➔ 本地安全策略
⇲ 命令提示符打开:Win + R键打开命令提示符窗口 ➔ 输入secpol.msc回车
⇲ 开始菜单打开:开始菜单 ➔ Windows管理工具 ➔ 本地安全策略

(1)账户策略
账户策略:影响用户账户与计算机或域交互作用的方式

① 密码策略
密码策略:提高密码安全系数设置的一系列策略
意义:使用户设置一个更复杂,更不易被破解的账户密码,避免在设置密码时为了省事而将密码设置得过于简单化,从而提高账户的安全系数
密码必须符合复杂性要求
        ㊀ 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
        ㊁ 至少有六个字符长
        ㊂ 四类字符中的三类字符:
                                英文大写字母(A 到 Z)
                                英文小写字母(a 到 z)
                                10 个基本数字(0 到 9)
                                非字母字符(例如 !、$、#、%)
最短密码长度
        ㊀ Windows Server 2016长度介于 1 和 14 个字符之间;Windows介于1和20之间
        ㊁ 长度为0 时不需要密码
密码最短使用期限
        ㊀ 范围(1-998天)默认0(允许立即更改密码)
        ㊁ 密码最短使用期限必须小于密码最长使用期限(除非将密码最长使用期限设置为 0,则介于 0 和 998 之间的任何值)
密码最长使用期限
        ㊀ 范围(1-999天),若将天数设置为 0,指定密码永不过期
        ㊁ 安全最佳操作是将密码设置为 30 到 90 天后过期(默认值: 42天)
强制密码历史
        ㊀ 值必须介于 0 个和 24 个密码之间
        ㊁ 使管理员能够通过确保旧密码不被连续重新使用来增强安全性
用可还原的加密来储存密码
        ㊀ 为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证
        ㊁ 默认值: 禁用
② 账户锁定策略
账户锁定策略:用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短等
帐户锁定时间
        ㊀ 设置确定锁定帐户在自动解锁之前保持锁定的分钟数
        ㊁ 范围从 0 到 99,999 分钟
        ㊂ 帐户锁定时间设置为 0,帐户将一直被锁定直到管理员解除对它的锁定
        ㊃ (无默认值)如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间
账户锁定策略:用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短等
帐户锁定阈值
        ㊀ 设置确定导致用户帐户被锁定的登录尝试失败的次数
        ㊁ 登录尝试失败次数设置为介于 0 和 999 之间的值
        ㊂ 设置为 0,则永远不会锁定帐户(默认值: 0)

策略设置为0的意义默认值取值范围
密码长度最小值‘0’表示无限制,不需要密码域控制器:7字符
独立服务器:0字符		WinSer[0|1 ~ 14]字符
Win[0|1 ~ 20]字符
密码最短使用期限‘0’表示可随时更改密码域控制器:1天
独立服务器:0天		[0 ~ 998]天
密码最长使用期限‘0’表示永不过期42天[0|1 ~ 998|999]天
强制密码历史‘0’表示无限制(可随意使用过去使用过的密码)域控制器:24个
独立服务器:0个		[0 ~ 24]个
账户锁定时间‘0’表示账户一直锁定,等待管理员解锁——[0 ~ 99,999]分钟
账户锁定阈值‘0’表示永远不会锁定账户0次[0 ~ 999]次
重置账户锁定计数器‘0’表示无次数限制,可以一直试错,直至密码输入正确0分钟[1 ~ 99,999]分钟
(2)本地策略
本地策略:本地策略用于管理计算机和用户配置的工具,包含了审核策略,用户权限分配和安全选项
意义:本地策略提供了一种集中管理计算机和用户设置的方式,可确保系统在符合组织要求的情况下正常运行,并增加系统的安全性

① 审核策略
审核策略:一种用于跟踪和记录操作系统和应用程序事件的机制
作用:管理员对特定类型的事件进行监视,并将其记录到Windows事件日志中,以便在需要时进行审计、故障排除和安全分析,以降低管理员的工作管理任务量
缺点:审计策略的配置对于系统性能和存储空间可能会产生一定的影响

审核策略一般处于无审核状态(节约计算机资源,需要时手动开启)

demo:审核帐户管理
㊀ 开启审核帐户管理状态(双击或者右击打开属性)


㊁ 触发审核帐户管理的成功或失败机制(控制面板 ➔ 安全和维护 ➔ 管理工具 ➔ 事件查看器 ➔ Windows日志 ➔ 安全(右击,清除日志))

㊂(Windows Server2016)设置用户密码(控制面板 ➔ 安全和维护 ➔ 管理工具 ➔ 计算机管理 ➔ 本地用户和组 ➔ 用户(随机选取一个更改密码))

  • 失败
  • 成功

    ㊂ 回到查看日志
② 用户权限分配
用户权限分配:为不同的用户账户分配特定的权限和访问级别的过程
作用:决定了用户能够执行的操作、访问的资源以及对系统的控制范围
  • 方法一:添加拒绝本地登录的用户

demo:拒绝本地登录
㊀ 添加拒绝的用户

㊁ 登录验证

  • 方法二:删除users组中的允许登录用户

㊀ 删除用户
㊁ 登录验证

即方法一(用户权限分配)适用于少量用户;方法二(添加到用户组users)适用于大量用户

③ 安全选项
安全选项:一组配置设置,用于管理和控制计算机的安全性
作用:帮助管理员增强系统的防护能力,减少潜在的安全风险

㊀ 交互登录:提示信息

㊁ 交互验证

本文标签: 文件系统安全策略Windows

版权声明:本文标题:4. Windows文件系统及本地安全策略 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.betaflare.com/biancheng/1725938595a1033608.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。