一、Windows 文件系统
1.1 文件系统基本概念
文件系统是操作系统用于明确存储设备或区分上的文件的方法和数据结构。
操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。
1.2 文件系统格式(了解)
目前还在使用的两种文件系统格式为:
FAT12、FAT16、FAT32和NTFS
- FAT
特点:
1. 单个文件最大为4GB
2. 最大文件数量268,435,437
3. 分区最大容量8TB
4. 可在多种操作系统读写缺点:
1、严重缺陷:当文件被删除并且在同一位置写入新数据,他们的片段通常是分散的,减慢了读写速度。可以通
过磁盘碎片重整来解决,但必须经常重组来保持FAT文件系统的效率。
2、浪费磁盘空间
3、磁盘利用效率低
4、文件存储受限制
5、不支持长文件名,只能支持8个字符
6、安全性较差
- NTFS
特点:
1、安全性
NTFS文件系统能够轻松指定用户访问某一文件或目录、操作的权限大小。
NTFS能用一个随机产生的密钥把一个文件加密,只有文件的所有者和管理员掌握解密的密钥,其他人即使能够
登录到系统中,也没有办法读取它。
2、容错性
NTFS使用了一种被称为事务登录的技术跟踪对磁盘的修改。因此,NTFS可以在几秒钟内恢复错误。
3、稳定性
NTFS文件系统的文件不易受到病毒和系统崩溃的侵袭。
4、向下的可兼容性
NTFS文件系统可以存取FAT文件系统和HPFS文件系统的数据,如果文件被写入可移动磁盘(特别是软盘)时,
它将自动采用FAT文件系统。
5、可靠性
NTFS把重要交易作为一个完整交易来处理,只有整个交易完成之后才算完成,这样可以避免数据丢失。
如向NTFS分区中写文件时,会在内存中保留一份拷贝文件,然后检查向磁盘中所写入的文件是否与内存拷贝的
一致。如果两者不一致,操作系统就把相应的扇区标为坏扇区而不再使用它(簇重映射),然后用内存中保留的
文件拷贝重新向磁盘上写文件。如果在读文件时出现错误,NTFS则返回一个读错误信息,并告知相应的应用程
序数据已经丢失。
6、大容量
NTFS解决了存储容量限制。
NTFS磁盘的单个文件最大为16EB-1KB,即(2⁶⁴)-(2¹⁰)。实际上,最大单个文件受限于磁盘制造技术,目前
是达不到理论大小的。(1EB=1024PB 1PB=1024TB)有消息称,希捷(Seagate)推出全球容量最大的传
统式磁记录(CMR)机械硬盘,最新的 IronWolf Pro(希捷酷狼) 容量达到 22TB。
7、长文件名
NTFS允许长达255个字符的文件名,突破了FAT的8.3标准限制(FAT规定主文件名为8个字符扩展名为3个字
符)
- NTFS权限应用规则
- 默认继承
默认文件或者文件夹继承父级文件夹的权限
- 权限不冲突累加
当用户属于两个组,且两个组有不同的允许权限时,两个权限累加
- 文件权限优先于文件夹权限
- 权限冲突时,拒绝优先
二、用户和组
2.1 什么是用户
用户,就是使用计算机的人员或软件进程,又称使用者,是指使用电脑或网络服务的人,通常拥有一个用户账号,并以用户名识别。
用户的构成:用户名+密码+权限
用户密码所在路径:C:\Windows\System32\config\SAM
windows系统用户基本类型:
1. 普通用户:
普通用户也称为普通权限用户,是指只有普通的操作权限,不能进行系统设置和安装软件等操作,仅能进行文件的创建、删除、复制、移动等操作。
2. 管理员用户:
管理员用户也称为管理权限用户,是指拥有系统管理权限的用户,可以对系统进行设置和安装软件等操作,也可以更改安全设置。
3. 超级用户:
超级用户也称为特权用户,是指拥有最高权限的用户,可以对系统进行设置和安装软件等操作,也可以更改安全设置。
4. 虚拟用户:
虚拟用户是指虚拟机中的用户,可以在虚拟机中进行操作,但是不能访问物理机上的资源。
5. 局域网用户:
局域网用户是指在局域网中的用户,可以访问局域网中的共享资源,但不能访问Internet上的资源。
2.2 什么是组
组,是一组用户的集合,通过将用户分配到不同的组中,可以方便地管理和控制资源的访问。组还可以拥有自己的权限和设置,从而控制组内用户的行为。
三、 Windows用户/组管理和权限
3.1 用户账户SID
SID定义:每个账号拥有唯一的安全标识符,用来记录用户的权限。
SID组成:Windows ID + 用户的相对ID
相对ID(用户的ID):500是Administrator账户的相对ID;新建的第一个用户是1000,第二个是1001,以此类推。
whoami /user ====== 查看当前用户SID
wmic useraccount get name,sid ===== 查看所有用户SID
用户账户:不同的用户身份拥有不同的权限,每个用户包含每一个名称和一个密码。用户账户拥有唯一的安全标识符。
用户管理:创建用户、为用户重置密码、重命名用户、启用、禁用用户账户、删除用户账户。
3.2 用户账户分类
- 内置用户账户:用于特殊用途,一般不需要更改权限
Administrator(管理员用户):默认的管理员用户,无法删除。在使用者中拥有最高权限,出于安全考虑, 一般建议改个名称。
Guest(来宾用户):默认是禁用的,提供给没有账户的用户临时使用,它的权限有限。一般仅供访客使用。(禁用原因:如果专业人士在用户不知情的情况下,对Guest账户提权,并超越Administrator权限,就可以在用户的计算机为所欲为。所以一般在Windows系统中,Guest账户被认为是不安全的权限账户。)
- 与Windows组件关联的账户
SYSTEM:本地系统账户,为Windows核心组件访问文件提供权限(拥有高于Administrator的权限)
Local Service:本地服务,一部分服务提供访问系统权限(权限非常低)
Network Service:网络服务,一部分网络提供访问系统的权限(权限非常低)
- 其它账户
DefaultAccount:升级安装Win10后,或者开机出现过电脑卡死现象,系统中会出现DefaultAccount 账户,作用应该是微软为了防止开机自检阶段出现问题准备的
WDAGUtilityAccount:是微软的一个服务账户,它可以帮助你访问微软的服务,比如Office 365、Azure等。
3.3 命令行界面管理用户
1、查看用户
net user ======= 查看所有用户
net user admin ======= 查看admin用户信息2、启用或禁用指定用户net user admin /active:yes # 启用 ======= 启用admin用户
net user admin /active:no # 禁用 ======= 禁用admin用户3、命令创建用户
net user mz aa123456 /add ======= 创建用户mz 密码为aa1234564、命令重置用户密码
net user mz "" ======= 将mz用户密码重置为空5、修改用户密码
net user mz 123456 ======= 将mz用户的密码修改为1234566、命令删除用户
net user mz /del ======= 删除mz用户7、将指定用户加入指定组
net localgroup administrators mz /add ======= 将mz加入administrators
3.4 组的分类
3.4.1 常见内置组(内置组即系统自带的组)的作用
Administrators:此组内用户具有系统管理员权限
特点:
①它是所有的Windows 2003上都有的唯一的一个被赋予了所有内建权力的组
②它可以给自己赋予所有自己没有的权利
③它可添加系统组件,升级系统
④它可配置系统重要参数,如注册表的修改
⑤它可配置安全信息
Guests:默认来宾组,如果注销位于此组的成员,其用户配置文件将被删除,默认guest即属于此组
Power Users:Windows Server 2008上,为向下兼容保留的组,即将被淘汰
特点:
①它存在于非域控制器上
②它可进行基本的系统管理工作
③它不能修改Administrators组和Backup Operators组
④它不能备份/恢复文件
⑤它不能修改注册表
Users:新用户的默认组
特点:
①它是一般用户所在的组,对系统可使用基本的权利
②它可运行程序,使用网络
③它可以关闭Windows 2003 Professional,但不能关闭Windows 2003 Sever
④它不能创建共享目录和本地打印
Backup Operators:具有备份和还原的权限
特点:
①它是所有的Windows 2003上都有的
②它可以忽略文件系统的权限进行备份和恢复
③它可以登录系统和关闭系统
④它对加密文件也可以做备份
Network Configuration Operators:具有管理网络功能的配置,如更改IP地址
Remote Desktop Users:此组内的用户可以从远程计算机使用远程桌面服务来登录Prinit Operators:具有管理打印机的权限
(2)特殊本地内置组
Everyone:任何一个用户都属于这个组
Authenticated Users:任何使用有效用户来登录此计算机的用户,都属于此组
Interactive:任何在本地登录(按ctrl+alt+del键登录)的用户,都属于此组
Network:任何通过网络来登录此计算机的用户,都属于此组
3.4.2 命令管理用户
1、查看组net localgroup ======= 查看本地用户组
2、命令创建组net localgroup mzz /add ======= 创建mzz组
3、命令删除组net localgroup mzz /del ======= 删除mzz组
4、命令添加用户到指定组net localgroup mzz mz /add ======= 将用户mz加入mzz组
5、把指定用户踢出组net localgroup mzz mz /del ======= 将用户mz移出mzz组
四、本地安全策略
主要是对登录到计算机上的账号定义一些安全设置,本地管理员为计算机进行设置以确保其安全。
4.1 密码策略
4.1.1 密码必须符合复杂性要求
▪此安全设置确定密码是否必须符合复杂性要求
▪如果启用此策略,密码必须符合下列最低要求:
①不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分
②至少有六个字符长
③包含以下四类字符中的三类字符:
英文大写字母(A到Z)
英文小写字母(a到z)
10个基本数字(0到9)
非字母字符(例:!、¥、#、%)
▪在更改或创建密码时执行复杂性要求
4.1.2 最小密码长度
◆该安全设置确定了用户帐户密码可以包含的最少字符数
◆此设置的最大值与放宽最小密码长度限制设置的值相关:
①如果未定义放宽最小密码长度限制设置,则可将此设置配置为 0 到 14
②如果已定义并禁用放宽最小密码长度限制设置,则可将此设置配置为 0 到 14
③如果已定义并启用放宽最小密码长度限制设置,则可将此设置配置为 0 到 128
◆将所需的字符数设置为 0 表示无需密码
注意: 默认情况下,成员计算机沿用各自域控制器的配置。
4.1.3 密码最短使用期限
◆此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和
998 天之间的值,或者将天数设置为 0,允许立即更改密码
◆密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。如
果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值
◆如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使
用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用
户指定密码,然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0,用户将不必选择新密
码。因此,默认情况下将“强制密码历史”设置为 1
注意: 默认情况下,成员计算机沿用各自域控制器的配置。
4.1.4 强制密码历史
◆此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和
24 个密码之间
◆此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性
◆注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
◆若要维护密码历史的有效性,还要同时启用密码最短使用期限安全策略设置,不允许在密码更改之后立即再
次更改密码。有关密码最短使用期限安全策略设置的信息,请参阅“密码最短使用期限”。
4.1.5 密码最长使用期限
◆此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为
在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期
限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为
0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
◆注意: 安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于你的环境。这样,攻击者用来破解
用户密码以及访问网络资源的时间将受到限制。
◆默认值: 42
4.1.6 放宽最小密码的原有规则
◆此设置控制最小密码长度设置是否可以超出原有的限制 14
◆如果未定义此设置,则可将最小密码长度配置为不超过 14
◆如果已定义并禁用此设置,则可将最小密码长度配置为不超过 14
◆如果已定义并启用此设置,则可将最小密码长度配置为大于 14
4.2 账户锁定策略
4.2.1 账户锁定时间
◆此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户
锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定
◆如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间(重置账户锁定计数器)
◆默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义
4.2.2 账户锁定阈值
◆此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之
前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,
则永远不会锁定帐户
◆在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登
录尝试失败
◆默认值: 0
4.2.3 重置账户锁定计数器
◆此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时
间。可用范围是 1 到 99,999 分钟
◆如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间
◆默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义