使用者分類#
本地使用者
域使用者
使用者組:由多個使用者組成的群體,對某個資源有相同的權限
本地使用者組#
Administrators——
該組使用者具有對伺服器的完全控制權限,並且可以根據需要向使用者指派使用者權限。
Backup Operators——
可以備份和還原伺服器上的檔案,無需考慮檔案的權限,並且不能更改安全設定。
guests——
該組成員擁有一個在登錄時創建的臨時配置檔,在登出時,該配置檔也被刪除。
Event log readers——
可以從本地計算機中讀取事件日誌
Power users——
該組成員可以創建、修改和刪除帳戶。可以創建本地組,然後在他們已創建的本地使用者組中添加或刪除使用者,也可以在 power users、users 和 guests 組中添加刪除使用者。可以創建共享資源並管理所創建的共享資源,不能取得檔案的所有權、備份和還原目錄、加載或卸載設備驅動程式、或者管理安全性以及日誌
該組的成員可以執行一些常見任務,如運行應用程式、使用本地和網路印表機及鎖定伺服器,使用者不能共享目錄或創建本地印表機。預設情況下,domain users、Authenticated users、interactive 是該組的成員,所以在域中創建的任何使用者帳戶都成為該組的成員
Remote desktop users——
可以遠程登錄伺服器
系統常用指令#
net user—— 顯示目前存在的使用者
dir 查看當前目錄下檔案
cd 切換目錄
net user testaa /add 在 user 組添加一個使用者
net user 使用者名稱 查看一個使用者的詳細資訊
net localgroup administrators testadd /add 將一個使用者加入到管理員組
net user testaa /del 刪除一個使用者
應注意點#
帳戶空口令 / 弱口令
系統策略#
使用者安全策略 / 本地安全策略
secpol.msc
組安全策略
gpedit.msc
如帳戶鎖定策略、口令策略
審核策略
審核策略是 windows 本地安全策略的一部分,當使用者執行某項操作時,審核日誌都會逐一記錄,通過配置審核策略,系統可以自動記錄所有登錄到本地計算機的事件,通過記錄的事件日誌,就能迅速判斷系統被外來者入侵或是試圖入侵。
策略開啟建議#
- 審核登錄事件
- 審核物件訪問
- 審核過程追蹤
- 審核目錄訪問
- 特權使用
- 系統事件
- 帳號登錄事件
- 帳戶管理
注意點#
為避免權限管理混亂,應盡量將使用者權利指派到組,將需要獲得此權限的使用者添加到該組中。
“開始”“管理工具”-“本地安全策路” 中打開 “本地安全策略窗口”,雙擊要分配給組的使用者權限
NTFS 權限#
NTFS 是計算機上使用最多的檔案系統,其主要特點是安全性高,便於對檔案安全的統一管理,允許管理員為檔案配置詳細的訪問控制權限。
權限是指與計算機的檔案或資料夾物件關聯的訪問規則,用於確定使用者是否可以訪問物件,可以執行哪些操作。使用 NTFS 檔案系統,使用者可以實現對檔案或資料夾的授權訪問,從而保證計算機存儲的安全。
預設情況下,只有授權的使用者才可以訪問
權限累積#
使用者對檔案的最終權限是使用者指定全部 NTFS 權限和所屬組指定全部 NTFS 權限的總和。
如使用者帳戶隸屬於 B 組,並且該使用者本身 C 資料夾具有讀取權限,而其所在的使用者組 B 對 C 資料夾擁有寫入權限,所以最終使用者 A 對 C 資料夾的有效權限就是 “讀取 + 寫入”
檔案權限優先於資料夾權限
使用者只要擁有一個檔案的權限,即便沒有訪問檔案所在資料夾的權限,也可以訪問該檔案
如 C 資料夾下包含 Files1 和 Files2 兩個檔案,C 的資料夾權限允許使用者 A 寫入,但 File2 的 NTFS 權限只允許使用者 A 讀取,則此時使用者 A 的有效權限就是對 C 資料夾 (包括 File1)的寫入權限和對 File2 的讀取權限
拒絕權限優先於其它權限
在 Windows 系統的所有 NTFS 權限中,拒絕權限優先於其他任何權限。即使使用者作為一個組的成員有權訪問檔案或資料夾,一旦該使用者被設定了拒絕訪問權限,則最終將剝奪該使用者可能擁有的任何其他權限。在實際使用中,應當儘量避免使用拒絕權限,因為允許使用者和組進行某種訪問,要比設定拒絕權限更容易做到。
權限繼承
檔案和子資料夾從其父資料夾繼承權限,即管理員為父資料夾指定的任何權限,同時也適用於在該父資料夾中所包含的子資料夾和檔案。如當允許權限繼承時,為 Folder1 設定的訪問權限,將自動被傳遞給 File1、Folder2 和 File2。子資料夾 Folder2 和檔案 File2 將自動取得為父資料夾 Folder1 設定的訪問權限
NTFS 權限相關#
複製和移動對資料夾權限的影響
在 NTFS 分區內和 NTFS 分區之間複製或者移動檔案、資料夾時,Windows 系統會將其作為新檔案或資料夾,因此,會對源檔案或資料夾的 NTFS 權限產生影響。在複製檔案和資料夾時,必須擁有源資料夾的讀取權限,並且對目標資料夾具有 “寫入” 權限。在移動檔案或資料夾時,必須對目標資料夾擁有 “寫入” 權限,並且對源資料夾擁有 “修改” 權限。
當從一個資料夾向另一個資料夾複製檔案或資料夾時,或者從一個磁碟分區向另一個磁碟分區複製檔案或資料夾時,複製檔案或資料夾會對 NTFS 權限產生下述影響:
・當在單個 NTFS 分區內複製資料夾或檔案時,資料夾或檔案的複製將繼承目的資料夾的權限。・當在 NTFS 分區之間複製資料夾或檔案時,資料夾或者檔案的複件將繼承目的資料夾的權限。・當將檔案或資料夾複製到非 NTFS 分區(如 FAT32 分區或 FAT 分區)時,因為非 NTFS 分區不支持 NTFS 權限,所以,這些資料夾或檔案將失去 NTFS 權限。
移動對 NTFS 權限的影響如下
當在單個 NTFS 分區內移動資料夾或檔案時,該資料夾或者檔案保留其原來的權限。
當在 NTFS 分區之間移動資料夾或檔案時,該資料夾或檔案將繼承目的資料夾權限。當在 NTFS 分區之間移動資料夾或檔案時,實際是將資料夾或檔案複製到新位置,然後,將其從原來的位置刪除。
當將檔案或資料夾移動到非 NTFS 分區時,因為非 NTFS 分區不支持 NTFS 權限,所以,這些資料夾或檔案將失去其 NTFS 權限。
檔案權限審核
審核功能可以追蹤使用者對指定物件的詳細操作,並生成可供管理員查閱的事件日誌,提供查看日誌中安全事件的方法。這對於監視非法使用者入侵以及危及系統資料安全性的嘗試是非常必要的。
通常情況下,應該被審核的最普通的事件類型包括:
訪問物件,例如檔案和資料夾
使用者和組帳戶的管理員
使用者登錄以及從系統登出
使用 cacls 命令更改檔案或資料夾權限
1. 查看目錄和 ACL
cacls 資料夾
2. 修改目錄和 ACL
完全控制權 cacls test /t/e/c/g user : f
只讀權限 cacls test/t/e/c/p user
撤銷權限 cacls test/t/e/c/r user: f
拒絕使用者訪問 cacls test/t/e/c/d user : f
windows 日誌分類#
- Windows 系統日誌(包括應用程式、安全、安裝程式、系統和轉發的事件)
- 伺服器角色日誌
- 應用程式日誌.
- 服務日誌
事件日誌基本資訊
日誌主要記錄行為當前的日期、時間、使用者、計算機、資訊來源、事件、類型、分類等資訊
安全性日誌#
通過日誌審核功能,可以快速檢測黑客的滲透和攻擊,防止非法使用者的再次入侵。主要是通過以下事件策略審核:
1. 對策略的審核
2. 對登錄成功或失敗的審核
3. 對訪問物件的審核
4. 對過程追蹤的審核
5. 對帳戶管理的審核
6. 對特權使用的審核
7. 對目錄服務訪問的審核
訪問這些日誌我們需要在開始欄搜索 “計算機管理” 並打開,或者我的電腦右鍵→管理→系統工具
安全防護#
啟動和關閉防火牆
可以在控制面板中找到,通過圖形化頁面去操作
命令:
啟動和關閉防火牆
也可以在命令行中通過命令開啟或者關閉防火牆
啟動防火牆
netsh advfirewall set allprofiles state on
關閉防火牆
netsh advfirewall set allprofiles state off
啟動 Windows 安全中心