Windows与网络基础：NTFS权限规则和本地安全策略

Windows与网络基础：NTFS权限规则和本地安全策略

目录

​​一、NTFS权限规则​​

​​1、权限累加​​​​2、拒绝权限​​​​3、继承权限​​​​4、特殊权限​​

​​4.1、读取权限​​​​4.2、更改权限​​​​4.3、取得所有权​​

​​二、本地安全策略​​

​​1、本地安全策略的基本内容​​

​​1.1、概念​​​​1.2、打开方式​​

​​2、账户策略​​

​​2.1、密码策略​​​​2.2、账户锁定策略​​

​​3、本地策略​​

​​3.1、策略审核​​

​​3.1.1、审核策略更改​​​​3.1.2、审核登录时间​​​​3.1.3、审核对象访问​​

​​3.2 用户权限分配​​

​​3.2.1从网络访问此计算机​​​​3.2.2、更改系统时间​​​​3.2.3、更改时区​​​​3.2.4、关闭系统​​​​3.2.5、拒绝从网络访问这台计算机​​​​3.2.6、拒绝通过远程桌面服务登录​​​​3.2.7、允许本地登录​​​​3.2.8、拒绝本地登录​​

​​3.3、安全选项​​

​​3.3.1、交互式登录: 无需按 Ctrl+Alt+Del​​​​3.3.2、关机: 允许系统在未登录的情况下关闭​​​​3.3.3、交互式登录: 提示用户在密码过期之前更改密码​​​​3.3.4、帐户: 来宾帐户状态​​​​3.3.5、网络访问: 本地帐户的共享和安全模型​​

一、NTFS权限规则

1、权限累加

用户分配的有效权限是分配给用户所有权限的累加

2、拒绝权限

拒绝的权限大于一切（在访问控制列表中，拒绝的权限优先级最高）具体表现在当出现权限冲突时，拒绝的权限优先级最高

3、继承权限

文件或文件夹的访问控制列表默认情况下会继承上级文件夹的权限。

4、特殊权限

4.1、读取权限

4.2、更改权限

和修改文件或文件夹的内容没有任何关系

4.3、取得所有权

二、本地安全策略

1、本地安全策略的基本内容

1.1、概念

主要是针对登录到计算机的账户进行一些安全设置主要影响是本地计算机安全设置

1.2、打开方式

2、账户策略

2.1、密码策略

密码必须符合复杂行要求默认情况下，Windows Server操作系统是开启的

密码最短使用期限

2.2、账户锁定策略

账户锁定阈值 在登录时，即密码输错超出阈值之后，会进入锁定状态账户锁定时间 账户进士锁定状态，下一次能输入密码的间隔重置账户锁定计数器 假设你的账户锁定阈值在三次，这是你已经输错两次了，你等重置账户锁定计数器刷新过后，你再输入三次才被锁定，而不是一次就被锁定。提问：管理员也会收到账户锁定策略的效应吗？ 答：不会。无论管理员输错多少次，都不会被锁定。提问：由于管理员不受账户锁定策略的限制，管理员的用户名又是固定的，很容易受到有心人的爆破攻击，从而使服务器沦陷，用什么方法将管理员藏起来，使有心人无法找到管理员用户，从而无法实施爆破

3、本地策略

3.1、策略审核

对Windows里面的一些时间或操作进行审核，记录到日志里面。目的是通过日志查看哪些人或程序对我们的操纵系统做了哪些操作，可以做到追踪或者溯源的一个效果。

默认是无审核，但是服务器和客户端还是有一部分默认开启的会被记录。如果要启动记录功能，就要勾选成功和失败选项。

3.1.1、审核策略更改

如果勾选成功或失败按钮，就会记录更改策略成功了，或者失败了。 没有勾选，就不会记录。

3.1.2、审核登录时间

记录哪些用户登录失败，登录成功。若要记录，就得勾选成功或者失败按钮。 如果有有心人爆破我的管理员账户，可以在日志里面看到审核失败的事件

3.1.3、审核对象访问

记录下有哪些用户访问或改动过共享文件夹中的内容

3.2 用户权限分配

3.2.1从网络访问此计算机

3.2.2、更改系统时间

3.2.3、更改时区

同上

3.2.4、关闭系统

此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。

3.2.5、拒绝从网络访问这台计算机

此安全设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和“从网络访问此计算机”策略设置，则前者会取代后者。 普遍来讲，拒绝的权限要更高

3.2.6、拒绝通过远程桌面服务登录

3.2.7、允许本地登录

确定哪些用户可以登录到该计算机。

3.2.8、拒绝本地登录

此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置，则前者会取代后者。

3.3、安全选项

3.3.1、交互式登录: 无需按 Ctrl+Alt+Del

3.3.2、关机: 允许系统在未登录的情况下关闭

3.3.3、交互式登录: 提示用户在密码过期之前更改密码

确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告，用户有时间构造足够强大的密码。

3.3.4、帐户: 来宾帐户状态

3.3.5、网络访问: 本地帐户的共享和安全模型

此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”，使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型能够对资源的访问权限进行精细的控制。通过使用“经典”模型，你可以针对同一个资源为不同用户授予不同类型的访问权限。 如果将此设置设为“仅来宾”，使用本地帐户的网络登录会自动映射到来宾帐户。使用“仅来宾”模型，所有用户都可得到平等对待。所有用户都以来宾身份进行验证，并且都获得相同的访问权限级别来访问指定的资源，这些权限可以为只读或修改。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。