从零开始的网络安全--Windows系统安全（1）

Window系统安全1

一、用户账户基础

1、用户账户概述

用户账户用来记录用户的用户名和口令、隶属的组等信息

• 每个用户账户包含唯一的登录名和对应的密码
• 不同的用户身份拥有不同的权限

操作系统根据SID识别不同用户

• 每个用户拥有唯一安全标识符（SID）
• 用户权限通过用户的SID来记录
• 查看命令为：whoami /user

2、本地用户和组控制台

运行 lusrmgr.msc ，直接打开 本地用户和组，

或者右击 开始 => 计算机管理 => 系统工具 => 本地用户和组

3、内置用户

Windows系统默认存在的系统

• Administrator：管理员（权限最大）
• Guest：来宾（权限最小），默认禁用

内置用户可以改名、禁用，但无法删除

二、用户账号操作

1、用户管理操作

创建新用户

• 右击空白处，选 新用户
• 指定用户名、密码及密码属性

账户属性

• 用户下次登录时须更改密码（每个员工创建不同帐户）
• 用户不能更改密码（用于公用帐户）
• 密码永不过期（默认42天）
• 帐户已禁用

更改用户属性

• 常规属性、是否禁用、隶属于

设置密码

• 选中用户，右击选 设置密码

重命名用户

• 适用于工作交接场合
• 由管理员将前任员工的账户改名

删除用户

• 适用于员工离职/账户废止等场合

建议禁用账户而不是删除，若删除后重建同名账户，其SID值会不同

三、组账号基础

1、组账户概述

用来为多个用户批量授权

• 为一个组授予权限后，所有成员用户自动获得相应权限
• 用户加入一个组，自动获得此组的权限

2、创建新的组账号

打开本地用户和组 => 组 => 右击 => 新建组 => 输入组名 => 创建

3、管理组成员

双击本地组 => 添加 => 输入用户名 => 确定 => 确定

或者右击用户名 => 属性 => 隶属于 => 输入组名 +> 确定 => 确定

四、内置组账号管理

1、内置组账号

常用的内置组

• Administrators:管理员组
• Guests:来宾组
• Network Configuration Operators：具有管理网络功能，例如更改IP地址
• Backup Operators：具有备份和还原的权限
• Remote Desktop Users：此组内用户可以从远程计算机使用远程桌面来连接
• Print Operators：具有管理打印机的权限
• Users:新用户默认组
• Authenticated Users:任何有效登录的的用户都属于此组
• Everyone:任何用户都属此组

五、NTFS权限基础

1、什么是文件系统

基本作用

• 定义向磁盘上存文档的方法和数据结构，以及读文档的规则
• 格式化操作就是建新的文件系统

Windows常见的文件系统

• FAT32，文件分配表
• NTFS，新技术文件系统
• ReFS，复原文件系统

2、NTFS文件系统的优点

• 高读写：提高磁盘读写性能
• 可靠性：加密、访问控制列表
• 磁盘利用率：压缩、磁盘配额
• 大容量：最大可支持16EB
• AD需要NTFS支持

如何获取NTFS文件系统的分区：

• 右击此电脑 => 管理 => 工具 => 计算机管理 => 磁盘管理 => 格式化对应的分区

3、文件夹的NTFS权限

目录操作权限

• 完全控制：可执行所有操作
• 修改：可修改、删除
• 读取和执行：可读取、执行
• 列出文件夹内容
• 读取：可读取内容
• 写入：可创建文件夹或者文件
• 特殊权限：调整“安全”设置的权限

文件操作权限

• 完全控制：可执行所有操作
• 修改：可修改、删除
• 读取和执行：可读取、执行
• 读取：可读取内容
• 写入：可创建文件夹或者文件
• 特殊权限：调整“安全”设置的权限

文件的NTFS权限与文件夹的NTFS权限对比少了一个列出文件夹内容的权限

六、NTFS权限应用规则

1、文档的NTFS选项设置

• 右击指定的目录或文件 => 属性 => 安全 => 编辑 => 添加 => 指定用户或组
• 确定后设置权限

2、权限累加

用户对文档的有效权限

• 等于用户的权限 + 用户所属各组的权限

累加权限示例

• 用户huangrong同时属于taohuadao和gaibang组

3、权限的拒绝

可以为文档配置拒绝权限

• 拒绝权限优先，能够实现“一票否决”

拒绝权限示例

• 用户huangrong同时属于taohuadao和gaibang组

4、权限继承

新建文件和子目录自动继承上一级目录的权限

5、取消继承

放弃从上一级目录继承的权限

• 右击文件 => 属性 => 安全 => 高级 => 禁用继承 => 在弹出的提示中选择第一个 => 确定 => 编辑 => 选择普通用户 => 取消完全控制的勾选仅留读权限 => 确定

6、强制继承

使子目录及文档立即继承当前文件夹的权限

• 右击目录 => 属性 => 安全 => 高级 => 勾选禁用继承下的复选框 => 是 => 确定

注：下级取消继承后上级目录可以强制继承，上级目录强制继承后下级目录还可以再次取消继承