本文主要是介绍【网络安全】服务基础第一阶段——第四节:Windows系统管理基础---- NTFS安全权限与SMB文件共享服务器,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
一、NTFS安全权限
1.1 文件系统
1.2 格式化磁盘中的文件系统
1.FAT32
2.NTFS
3.EXT
4.XFS
应用场景:
1.3 文件操作权限
1.4 权限管理系统
1.5 特殊权限
1.6 NTFS权限类型
二、权限管理实践
三、SMB文件共享服务器
3.1 文件共享服务器
3.2 常用的文件共享技术
3.3 SMB协议
3.4 SMB文件共享服务器
3.5 如何设置SMB文件共享服务器
3.6 登录方式
3.7 访问共享
实验一、设置安全的文件共享访问权限
实验二、文件共享服务器部署
实验三、访问隐藏共享文件夹
实验四、服务器安全加固之445
实验五、扩展CMD
查询共享⽂件
创建共享文件
删除共享文件夹
一、NTFS安全权限
1.1 文件系统
⽂件系统是⼀种⽤于存储、组织、管理和访问⽂件的技术和数据结构。它在存储设备上定义了如何存储数据和元数据,以及如何检索这些数据。⽂件系统是操作系统的⼀个核⼼组成部分,它为⽤户和应⽤程序提供对⽂件的访问接⼝,并管理磁盘或其他存储设备上的空间。
主要功能:
- ⽂件存储和组织: ⽂件系统将存储设备上的空间划分为易于管理的单元(如块或扇区),并使⽤⽂件和⽬录的层次结构来组织这些单元。这样,⽤户和程序可以轻松地找到和存储信息。
- 数据访问: ⽂件系统提供了⼀种⽅法来打开、读取、写⼊和关闭⽂件。它还管理⽂件的权限和属性,例如访问权限、创建时间和修改时间。
- 数据完整性和安全性: 许多⽂件系统提供特性以保证数据的完整性和安全性,如⽇志记录(记录数据更改的详细信息以⽀持在系统故障后的恢复)、数据冗余和加密。
- 空间管理: ⽂件系统管理可⽤存储空间,尽量减少碎⽚,确保存储空间的⾼效使⽤。它还需要跟踪哪些区域是空闲的,哪些是已分配的。
常见文件系统类型:
- 磁盘⽂件系统: 如NTFS、FAT32、EXT4、HFS+等,这些⽂件系统直接管理物理磁盘的数据。
- ⽹络⽂件系统: 如NFS(Network File System)或CIFS/SMB(Server Message Block),这些系统允许通过⽹络访问远程存储的⽂件。
- 虚拟⽂件系统: 如VFS(Virtual File System)在Linux中,提供⼀个抽象层,允许操作系统以统⼀的⽅式访问不同的具体⽂件系统。
- 数据库⽂件系统: 在这类系统中,⽂件不是以传统的层次⽅式组织,⽽是通过数据库的⽅式进⾏管理,可以优化查询性能。
- 特殊⽬的⽂件系统: 如⽤于CD-ROM的ISO 9660、⽤于临时存储的tmpfs,或⽤于加密的加密⽂件系统。
⽂件系统的定义可以更全⾯地描述为:⽂件系统是⼀种在存储设备上有效组织、存储、管理和访问数据的系统,它提供了数据访问的接⼝,并确保数据的完整性和安全性。
1.2 格式化磁盘中的文件系统
1.FAT32
FAT32(File Allocation Table 32)是FAT⽂件系统的⼀种,最初由Microsoft开发。它是在1996年随Windows 95 OSR2推出的,作为FAT16的继承者。
主要特点:
- ⼴泛兼容性:⽀持多种操作系统,包括Windows、macOS和Linux。
- 限制:单个⽂件最⼤只能是4GB,分区最⼤⽀持8TB。
- 简单和稳定:由于结构简单,⼴泛⽤于USB闪存驱动器和其他外部存储设备。
2.NTFS
NTFS(New Technology File System)是由Microsoft开发的⼀个⽂件系统,⾸次引⼊于Windows NT3.1。现在是Windows的标准⽂件系统。
主要特点:
- ⽀持⼤⽂件:理论上单个⽂件最⼤可达16EB(Exabytes)。
- ⾼级特性:包括⽂件压缩、加密、权限控制、数据恢复等。
- 安全性:⽀持⽂件级安全控制和加密。
3.EXT
EXT(Extended File System)是Linux的⽂件系统家族,由多个版本组成:EXT1、EXT2、EXT3和EXT4。
主要特点:
- EXT2:⽤于早期Linux系统,提供稳定的⽂件存储功能,不⽀持⽇志。
- EXT3:在EXT2基础上添加了⽇志功能,提⾼了数据安全性和恢复能⼒。
- EXT4:当前⼴泛使⽤的版本,⽀持更⼤的⽂件和存储容量,改进了性能和可扩展性。
4.XFS
XFS 是⼀个⾼性能的64位⽂件系统,最初由Silicon Graphics为IRIX系统(基于UNIX的操作系统)开发,后来被移植到Linux。
主要特点:
- ⾼性能:优化了并⾏IO操作,适合⼤数据处理。
- 可扩展性:⽀持可扩展的卷管理,⽆需卸载即可扩展⽂件系统。
- 数据完整性:⽀持元数据⽇志和恢复,保证系统崩溃后的数据⼀致性。
应用场景:
- FAT32:由于其与多个系统的⾼兼容性,适合⽤于移动存储设备。
- NTFS:适⽤于Windows操作系统,特别是需要⾼级特性如⽂件权限管理和加密的环境。
- EXT系列:是Linux系统的标准选择,尤其是EXT4,适⽤于需要⾼可靠性和良好性能的Linux服务器和⼯作站。
- XFS:通常⽤于需要处理⼤量数据的应⽤场景,如数据中⼼和科学计算环境,特别是在需要⾼速数据访问和⼤容量存储的情况下。
1.3 文件操作权限
⽂件操作权限是操作系统⽤来定义哪些⽤户和进程可以对⽂件和⽬录进⾏哪些类型的操作的规则集合。这些权限不仅关系到数据的安全性,也影响到系统的稳定性和功能性。不同的操作系统可能有不同的权限管理⽅式,但⼤多数现代操作系统提供了相对细致的权限控制。
常见文件操作权限包括:
- 读取权限(Read):允许用户查看文件内容;在目录上,允许用户列出目录内容
- 写入权限(Write):允许用户修改文件内容或删除并重新创建文件;在目录上,允许用户在目录内创建、删除和重命名文件
- 执行权限(Execute):允许用户执行文件,前提是文件具有可执行性;在目录上,允许用户访问目录内容的更多细节,通常包括进入目录
1.4 权限管理系统
Windows:
- 使⽤基于访问控制列表(ACL)的权限模型。
- ACL可以定义详细的规则,指定不同的⽤户和组对⽂件和⽬录的具体权限。
- ⽀持权限的继承,⼦⽂件和⼦⽬录可以继承⽗⽬录的权限设置。
访问控制表:
权限与客体关联,在客体上附加一个主体明细表的方法来表示访问控制矩阵的
访问能力表:
权限与主体关联,为每一个用户维护一个表,表示主体可以访问的客体及权限
UNIX/Linux:
- 使⽤所有者、组和其他(owner, group, and others)的模型来分配权限。
- 每个⽂件都有⼀个所有者和⼀个关联的组。
- 权限被设置为读取、写⼊和执⾏三组位(rwx),分别对应所有者、组和其他⽤户。
- 例如,权限模式 755(二进制表示,第一位为所有者,对于读、写、执行为1、1、1,所以为7,以此类推) 表示所有者具有读、写、执⾏权限;组和其他⽤户具有读取和执⾏权限。
1.5 特殊权限
- Set User ID (SUID):当执⾏⽂件时,进程的执⾏⽤户ID被设置为⽂件所有者的⽤户ID。
- Set Group ID (SGID):对于⽂件,当执⾏时,进程的执⾏组ID被设置为⽂件组ID;对于⽬录,创建的任何新⽂件将继承此⽬录的组ID。
- Sticky Bit:在⽬录上设置时,它可以防⽌⽤户删除或重命名他们不拥有的⽂件。
安全建议:
- 仅为必需的⽤户和组提供必要的最⼩权限,以减少安全⻛险。
- 定期审核⽂件和⽬录权限,确保没有不当的权限放宽。
- 使⽤⾼级权限(如SUID/SGID)时要特别⼩⼼,因为它们可能被利⽤来提升权限。
文件权限:
文件夹权限:
1.6 NTFS权限类型
NTFS权限可以细分为两大类型
1.基本权限:右键选择属性,能够直接看到的权限称为基本权限
- 读取:允许查看⽂件或⽬录的内容和属性。
- 写⼊:允许修改⽂件或向⽬录添加⽂件和⼦⽬录。
- 扩展:允许执⾏⽂件或遍历⽬录。
- 修改:包括读取、写⼊和删除⽂件或⽬录。
- 完全控制:允许执⾏所有权限,包括更改权限和拥有权。
2.高级权限:需要进入高级属性设置才能设置的权限称为高级权限
- 完全控制:授予⽤户对⽂件或⽬录的所有权限。
- 修改权限:允许更改⽂件或⽬录的权限设置。
- 删除:允许单独删除⽂件或⽬录。
- 读取和执⾏:结合了读取和执⾏权限,通常⽤于程序和脚本。
- 读取属性/读取扩展属性:允许查看⽂件或⽬录的基本或扩展属性。
- 写⼊属性/写⼊扩展属性:允许修改⽂件或⽬录的基本或扩展属性。
- 列出⽂件夹内容:允许查看⽬录中的⽂件和⼦⽬录列表。
- 遍历⽂件夹/执⾏⽂件:允许穿过⽬录来访问⽂件或⼦⽬录,或执⾏程序。
二、权限管理实践
- 最⼩权限原则:始终根据⽤户的实际需求分配权限,避免过多不必要的权限。
- 使⽤组管理权限:通过将⽤户添加到具有相应权限的组,⽽不是直接在⽤户级别分配权限,可以更有效地管理权限。
- 定期审计:定期检查⽂件和⽬录权限,确保符合安全政策。
- ⽂件复制对权限的影响:⽂件复制后,⽂件的权限会被⽬标⽂件夹的权限覆盖
作为验证,这里登录b用户检查。注意:文件存储在用户-- Administrator下的桌面中,找到后尝试写入,成功,尝试读取,失败。实验结束。
获得所有权:默认只有administrator有这个权限!作⽤:可以将任何⽂件夹的所有者改为administrator
权限继承:NTFS⽀持权限继承,使得⼦⽂件和⼦⽬录可以⾃动继承⽗⽬录的权限。这简化了权限管理,但也要求管理员在设置权限时考虑继承带来的影响。
权限冲突:在NTFS中,如果同⼀⽂件或⽬录指定了多个权限,"拒绝"权限优先于"允许"权限。例如,如果⽤户同时拥有针对同⼀⽂件的"拒绝写⼊"和"允许写⼊"权限,那么"拒绝"权限将⽣效,⽤户将⽆法写⼊⽂件。
权限累加:当用户同时属于多个组时,权限是累加的!
三、SMB文件共享服务器
3.1 文件共享服务器
⽂件共享服务器是⼀种⽹络设备或软件,⽤于存储⽂件并使其能够被⽹络上的多个⽤户或设备访问。这种服务器在企业环境、教育机构、政府部⻔以及⼩型⾄⼤型组织中⼴泛使⽤,它允许⽤户存储、共享和管理⽂件,从⽽促进协作和数据交换。
主要功能:
- 集中存储:⽂件共享服务器提供⼀个中央位置来存储所有的业务⽂件,这些⽂件可以被授权的⽹络⽤户访问。
- 数据备份和恢复:服务器可以被配置⽤于定期备份数据,确保在硬件故障、操作错误或其他灾难事件中数据不会丢失
- 权限管理:管理员可以设置详细的访问控制列表(ACLs),以决定哪些⽤户或组可以访问特定的⽂件或⽂件夹。
- 资源共享:共享⽂件以及其他资源,如打印机和应⽤程序,提⾼资源利⽤率和⼯作效率。
- 跨平台兼容性:⽀持不同操作系统的设备访问存储在服务器上的⽂件,常⻅的协议包括SMB/CIFS、NFS、AFP等
3.2 常用的文件共享技术
- Windows⽂件共享(基于SMB/CIFS协议):在Windows环境中,SMB/CIFS是最常⽤的⽂件共享协议,它⽀持Windows客户端和服务器之间的⽂件共享。
- NFS(⽹络⽂件系统):在UNIX和Linux环境中⼴泛使⽤,NFS允许计算机⽤户在⽹络上查看、存储和更新⽂件就如同访问本地存储⼀样。
- AFP(Apple Filing Protocol):主要⽤于Apple设备,虽然现在Mac OS X也⽀持SMB协议,但AFP仍在⼀些特定环境下使⽤。
实施考虑因素:
- 安全性:配置强⼤的防⽕墙和安全协议,实施端到端的数据加密,防⽌数据泄露。
- 性能:确保服务器具有⾜够的处理能⼒和存储容量来处理预期的⼯作负载。
- 备份策略:实施有效的备份策略,包括定期的全备份和增量备份,以及在不同地理位置的数据复制。
- 维护和监控:定期更新服务器软件,监控服务器性能和安全状况,确保系统运⾏稳定和数据安全。
3.3 SMB协议
SMB(Server Message Block)协议是⼀个应⽤层⽹络协议,主要⽤于实现⽹络上的⽂件共享、打印服务、以及串⾏端⼝和通信资源的共享。最初由IBM开发,后来由Microsoft进⼀步发展,它已成为Windows环境中⽂件和打印服务共享的核⼼技术。
基本功能:
SMB协议允许计算机在⽹络上共享⽂件和打印机资源,不受操作系统平台的限制。通过SMB,⽤户可以:
- 访问和编辑存储在⽹络上的⽂件。
- 使⽤⽹络中共享的打印机。
- 控制和访问连接到⽹络上的其他外围设备
版本历史:
1. SMB 1.0(CIFS):
- 最初版本,被称为共享⽂件系统(Common Internet File System, CIFS)。
- 提供基本的⽂件共享功能,但效率低下,安全性较差。
2. SMB 2.0:
- 引⼊了性能改进,减少了协议开销。
- 改进了对⼤型⽂件的⽀持和⽹络错误恢复能⼒。
3. SMB 2.1:
- 引⼊了更多性能改进,例如增加了租约(lease)概念以优化客户端缓存。
4. SMB 3.0:
- 添加了更多⾼级功能,如端到端加密,确保数据传输安全。
- ⽀持多通道操作,可以同时使⽤多个⽹络连接来提⾼数据传输速率和容错能⼒。
- 集群共享卷(CSV)⽀持,为服务器集群提供更好的⽂件共享解决⽅案。
5. SMB 3.1.1:
- 引⼊了更强的安全性,包括更好的加密算法。
- 针对前版本中识别的漏洞进⾏了修补,提⾼了整体安全性
⼯作原理
SMB协议⼯作在TCP/IP协议栈的较⾼层,通常使⽤TCP端⼝445进⾏通信。当客户端设备试图访问⽹络上的⽂件或资源时,它会通过SMB协议与提供该资源的服务器建⽴连接,然后进⾏权限验证,⼀旦验证通过,客户端便可以对远程⽂件执⾏操作,如读取、写⼊、修改等。
安全性
随着SMB版本的迭代,其安全性得到了显著提升,特别是在SMB 3.0及以后版本中,引⼊的加密和更严格的身份验证极⼤增强了协议的安全性。不过,由于SMB协议的普遍性和复杂性,它仍然是⽹络攻击者常常尝试利⽤的⽬标之⼀,如著名的WannaCry勒索软件就是通过利⽤SMB 1.0中的漏洞进⾏传播的。
应⽤场景
SMB协议⼴泛应⽤于各种业务和家庭⽹络环境中,特别是在需要跨平台共享⽂件和打印服务的场合。在企业环境中,SMB服务器通常承担着关键的⽂件存储和备份⻆⾊,⽀持⽇常的办公⽂件共享和协作需求
3.4 SMB文件共享服务器
⼀种使⽤服务器消息块协议(SMB)来提供⽹络上的⽂件共享服务的服务器。
SMB是⼀种应⽤层⽹络协议,主要⽤于⽂件、打印机、串⾏端⼝及通信资源的共享,特别是在Windows环境中。这种服务器可以在Windows、Linux、macOS等多种操作系统上设置,使得不同操作系统的设备能够⽅便地共享和访问⽂件。
SMB文件共享服务器的核心功能:
- ⽂件共享:允许⽹络中的多个⽤户访问存储在服务器上的⽂件。这使得⽂件协作变得更加容易,因为多个⽤户可以同时打开和编辑存储在共享位置的⽂档。
- 打印共享:使多个⽤户可以共享同⼀个⽹络打印机,⽽不需要每个⽤户都连接⼀个物理打印机。
- 权限管理:管理员可以设置不同的访问权限,控制不同⽤户或⽤户组访问共享⽂件的能⼒。这包括读取、写⼊、修改等权限。
- 数据传输:SMB协议⽀持通过⽹络进⾏数据加密和压缩的传输,增强数据在传输过程中的安全性和效率。
- 跨平台⽀持:虽然SMB最初是为Windows设计的,但现在它⽀持包括Linux和macOS在内的多种操作系统。Linux系统中的Samba是⼀个流⾏的SMB协议实现,它允许Linux服务器与Windows客户机之间的⽂件和打印服务共享
3.5 如何设置SMB文件共享服务器
在Windows服务器上,您可以通过以下步骤设置SMB⽂件共享:
- 安装⽂件服务⻆⾊:通过服务器管理器安装⽂件和存储服务。
- 创建⽂件共享:在⽂件和存储服务管理界⾯中创建新的共享。
- 配置权限:设置NTFS权限和共享权限,确保只有授权⽤户才能访问共享资源。
- ⽹络配置:确保⽹络配置允许客户端设备连接到SMB服务器。
在Linux服务器上,您通常会使⽤Samba软件来实现SMB服务:
- 安装Samba:使⽤包管理器安装Samba。
- 配置smb.conf⽂件:配置Samba的主配置⽂件以定义共享和访问权限。
- 重启Samba服务:应⽤配置更改并启动服务。
SMB⽂件共享服务器因其易⽤性、功能性和跨平台⽀持⽽⼴泛应⽤于⼩型到⼤型企业环境中
创建共享:⽅法:⽂件夹右键属性--共享--开启共享--设置共享名--设置共享权限
注意点:
- 在本地登录时,只受NTFS权限的影响
- 在远程登录时,将受共享及NTFS权限的共同影响,且取交集!
- 所以建议设置共享权限为everyone完全控制,然后具体的权限需求在NTFS权限中设置即可
3.6 登录方式
1. 本地登录
当⽤户直接使⽤物理或虚拟的接⼊点(如直接在计算机前的键盘和显示器)登录到系统时,这称为本地登录。这种情况下,⽤户通常会在欢迎屏幕输⼊他们的⽤户名和密码,直接在该设备上开始他们的会话。
- 权限影响:对于本地登录的⽤户,⽂件和⽂件夹的访问权限仅由NTFS权限控制,不涉及⽹络共享权限。
- 使⽤场景:这种⽅式适⽤于办公环境中员⼯直接在⾃⼰的⼯作站上⼯作,或在家中使⽤个⼈电脑。
2. 远程登录
远程登录是指⽤户通过⽹络连接到⼀个设备,例如使⽤远程桌⾯协议(RDP)、SSH、VNC等远程访问⼯具。即使⽤户正在操作的是本地计算机上的界⾯,实际的计算过程是在远程设备上完成的。
- 权限影响:对于远程登录的⽤户,如果他们访问的是共享⽂件或⽬录,那么他们的权限由⽹络共享权限和NTFS权限共同决定,取这两者的交集。
- 使⽤场景:常⻅于管理员远程维护服务器、员⼯在家远程访问公司的⽹络资源,或在数据中⼼运⾏的虚拟机。
3. 特别情况:多⽤户登录
对于⽀持多⽤户同时登录的操作系统(如Windows Server系列),即使多个⽤户在同⼀台物理设备上通过各⾃的远程桌⾯会话登录,这些登录也被视为远程登录。每个⽤户的会话虽然在物理上发⽣在同⼀台机器上,但从⽹络和权限管理的⻆度来看,他们是从远程访问设备。
总结
因此,不同⽤户在⼀台设备上的登录类型(本地或远程)取决于他们登录的⽅式。如果他们直接在设备上登录,那是本地登录;如果他们通过⽹络连接到该设备,即使他们使⽤的是与设备连接的物理硬件(如通过KVM切换),也是远程登录。每种登录类型对⽂件和资源的访问权限有不同的影响,这需要在权限管理策略中考虑和适当配置。
3.7 访问共享
实验一、设置安全的文件共享访问权限
背景: 在⼀个企业环境中,您作为系统管理员需要设置⼀个⽂件共享⽬录,该⽬录⽤于存放财务报告。这个⽬录只允许财务部⻔的员⼯访问,⽽且必须确保其他部⻔的员⼯即使能浏览到该共享也⽆法访问。
任务:
- 在Windows Server 上创建⼀个名为“FinanceReports”的本地组。
- 创建⼀个⽂件夹,命名为“Financial Data”。
- 设置该⽂件夹的NTFS权限和共享权限,以确保只有“FinanceReports”组的成员能够访问。
- 添加必要的⽤户到“FinanceReports”组。
- 测试配置的安全性。
详细步骤:
1. 创建本地组:
- 打开“计算机管理”(运⾏ compmgmt.msc )。
- 在左侧导航栏中,展开“本地⽤户和组”,然后选择“组”。
- 右键点击“组”,选择“新建组…”。
- 输⼊组名“FinanceReports”,添加描述“Access group for Financial Data”,点击“创建”,然后“关闭”。
2. 创建并配置⽂件夹:
- 在C:驱动器上创建⼀个新⽂件夹,命名为“Financial Data”。
- 右键点击该⽂件夹,选择“属性”,然后转到“安全”选项卡。
- 点击“编辑”以修改权限,然后移除除“Administrators”和“System”之外的所有⽤户或组。
- 点击“添加”,输⼊“FinanceReports”,然后点击“检查名称”确认后点击“确定”。
- 为“FinanceReports”组选择适当的权限,如“修改”或“读取和执⾏”,点击“应⽤”和“确定”。
3. 配置共享权限:
- 在“Financial Data”⽂件夹的属性中,切换到“共享”选项卡。
- 点击“⾼级共享”,勾选“共享此⽂件夹”,然后点击“权限”。
- 确保“Everyone”组的权限被移除,只有“FinanceReports”组有读取或完全控制的权限。
4. 添加⽤户到组:
- 返回到“计算机管理”的“本地⽤户和组”中的“组”。
- 双击“FinanceReports”组,点击“添加”。
- 输⼊需要访问财务数据的⽤户账户名,点击“检查名称”后确定,再点击“应⽤”和“确定”。
5. 测试配置的安全性:
- 使⽤财务部⻔员⼯的账户尝试访问“Financial Data”⽂件夹,确保可以正常访问。
- 使⽤⾮财务部⻔员⼯的账户尝试访问,确认是否被拒绝。
实验二、文件共享服务器部署
需求:
- 开两台虚拟机,并互相能ping通
- 设置2012为共享服务器,并在客户机上可以访问共享,要求a只能下载,b只能上传,c可以上传下载及删除
步骤1: 配置虚拟机⽹络并测试连通性
- 配置⽹络:确保两台虚拟机均设置为可以互相通信的⽹络模式,如桥接模式或NAT模式,并在同⼀⼦⽹中。
- 设置IP地址:在两台虚拟机上配置静态IP地址或确保它们通过DHCP获得IP地址。
- 测试连通性:在每台虚拟机上使⽤ ping 命令来测试⽹络连通性。例如,在⼀台机器上打开命令提示符,输⼊ ping [另⼀台虚拟机的IP地址] ,检查是否能收到回应。
步骤2: 设置Windows Server 2012作为⽂件共享服务器
1. 创建⽂件共享:
- 在Windows Server 2012上,选择或创建⼀个⽂件夹作为共享⽂件夹。
- 右键点击⽂件夹,选择“属性”,转到“共享”选项卡,点击“⾼级共享”。
- 勾选“共享此⽂件夹”,设置共享名称。
2.配置共享权限:
- 在“⾼级共享”中点击“权限”,为每个账户设置适当的共享权限:
- 对于 aa 账户:允许“读取”。
- 对于 bb 账户:设置“更改”权限,但在NTFS权限中将限制读取和删除操作。
- 对于 cc 账户:设置“完全控制”权限。
步骤3:设置NTFS权限:
共享权限控制从⽹络访问共享时的能⼒,NTFS权限控制实际对⽂件的操作。需要确保两者设置⼀致。
1. 右键点击共享⽂件夹,选择“属性”,转到“安全”选项卡。
2. 编辑或添加权限:
- 对于 aa 账户:只添加“读取和执⾏”的NTFS权限。
- 对于 bb 账户:只添加“写⼊”的NTFS权限。
- 对于 cc 账户:添加“修改”的NTFS权限(包括读取、写⼊和删除)。
步骤4:测试配置:
1. 从客户机访问共享:
- 在客户机上,打开“运⾏”(Win+R),输⼊ \\[服务器IP地址]\[共享名称] ,按回⻋。
- 使⽤ aa 、 bb 和 cc 账户登录,验证是否能按预期执⾏⽂件操作。
注意事项:
- ⽤户账户:确保 aa 、 bb 和 cc 账户已在服务器上正确创建并设置密码。
- ⽹络安全:考虑配置防⽕墙和安全软件,确保只有授权的⽤户可以访问共享。
- 数据备份:定期备份共享数据,防⽌意外丢失或破坏。
实验三、访问隐藏共享文件夹
在Windows操作系统中,尤其是在管理敏感或不常⽤的⽂件时会隐藏⽂件或访问隐藏的共享⽂件
如何隐藏文件:
1. 找到⽂件或⽂件夹:
- 浏览到你想要隐藏的⽂件或⽂件夹。
2. 设置属性为隐藏:
- 右键点击该⽂件或⽂件夹,然后选择“属性”。
- 在弹出的属性窗⼝中,查找“属性”部分。
- 勾选“隐藏”复选框,然后点击“应⽤”和“确定”。
- 系统可能会询问是否要隐藏⽂件夹内的所有⽂件,选择适合你需求的选项。
3. 确认⽂件已隐藏:
- 默认情况下,隐藏的⽂件或⽂件夹在资源管理器中不可⻅。
- 要查看隐藏的⽂件,你需要修改视图设置:在资源管理器中,点击“查看”选项卡,然后勾选“隐藏的项⽬”
如何创建并访问隐藏的共享⽂件
1. 创建隐藏共享:
- 在⽂件或⽂件夹上右键点击,选择“共享给”->“特定⼈员...”。
- 在共享界⾯中,可以选择⽤户或组,设置共享权限后,点击“共享”。
- 为了隐藏共享,共享名后⾯加上 $ 符号(例如 SecretFiles$ )。这会使共享在⽹络上不可⻅,但仍然可以访问。
2. 访问隐藏的共享:
- 打开任意计算机的⽂件资源管理器。
- 在地址栏输⼊ \\[服务器名称或IP地址]\[隐藏的共享名] ,例如 \\192.168.1.5\SecretFiles$ 。
- 按Enter键,如果需要,输⼊访问凭据。
- 这样就可以访问设置为隐藏的共享⽂件夹了
注意事项
- 隐藏⽂件和⽂件夹是基于Windows的简单权限管理,不是⼀种安全措施。如果⽤户知道⽂件或⽂件夹的确切位置,或者设置了显示隐藏⽂件,他们仍然可以访问这些资源。
- 隐藏共享(在共享名后加 $ )是⼀种使共享在浏览过程中不可⻅的⽅法,但知道完整路径的⽤户仍可直接访问。
- 确保在创建隐藏共享时,也配置适当的⽂件和共享权限,以防未授权访问。
- 这些步骤为管理敏感⽂件提供了⼀定程度的隐私,但应结合其他安全措施(如⽂件加密和⽹络安全策略)来保护数据安全。
实验四、服务器安全加固之445
关闭端⼝445可以帮助防⽌通过SMB协议传播的恶意软件,如勒索软件。端⼝445⽤于Windows⽂件和打印共享服务,也是SMB协议通信的默认端⼝。当该端⼝开放时,如果没有适当的安全措施,⿊客或恶意软件可以利⽤它来传播或进⾏⽹络攻击。下⾯是具体的操作⽅法来关闭端⼝445:
可以通过关闭445端口来屏蔽病毒传入(如勒索病毒等)
⽅法1:打开services.msc,并停⽌及禁⽤server服务,禁⽤后,netstat -an 检查端⼝,重启
⽅法2:禁⽌被访问445,配置⾼级安全防⽕墙-⼊站规则(在win7及以上系统,win2008及以上系统)
1. 打开Windows防⽕墙⾼级安全设置:
- 在控制⾯板中打开“系统和安全”,点击“Windows Defender防⽕墙”。
- 在左侧菜单中选择“⾼级设置”。
2. 创建新的⼊站规则以阻⽌端⼝445:
- 在Windows防⽕墙与⾼级安全窗⼝中,选择“⼊站规则”。
- 在右侧点击“新建规则”。
- 选择“端⼝”,点击“下⼀步”。
- 选择“TCP”,指定本地端⼝为“特定本地端⼝”,输⼊“445”,然后点击“下⼀步”。
- 选择“阻⽌连接”,然后点击“下⼀步”。
- 确保所有配置⽂件(域、私有、公共)都被选中,然后点击“下⼀步”。
- 为规则命名,例如“Block SMB Port 445”,点击“完成”。
这些设置会阻⽌任何尝试通过端⼝445访问计算机的⽹络流量,从⽽增加系统的安全性。关闭此端⼝后,你的计算机将⽆法使⽤SMB协议进⾏⽹络⽂件或打印机共享
实验五、扩展CMD
在Windows命令⾏(CMD)中,管理共享⽂件包括查询共享、创建共享和删除共享等操作,主要可以通过 net share 命令来完成。这个命令是⼀个强⼤的⼯具,⽤于在命令⾏环境下控制⽂件共享。
查询共享⽂件
要在命令⾏中列出当前系统上的所有共享,可以使⽤以下命令:
在Windows中,有⼏个系统默认的隐藏共享,也称为管理共享,它们以 $ 符号结尾,对于⽹络上的⽤户来说是不可⻅的。这些共享包括:
ADMIN$:通常指向Windows的安装⽬录(如C:\Windows)。
C$、D$ 等:代表系统上每⼀个本地驱动器的根⽬录。
这些共享主要为系统管理员提供远程管理便利,但在某些情况下,出于安全考虑,组织可能希望禁⽤这些⾃动共享。
修改Windows注册表来禁⽌⾃动创建这些管理共享
1.打开注册表编辑器:
- 在Windows搜索框中输⼊ regedit ,然后选择“注册表编辑器”(或按 Windows键 + R ,输⼊ regedit ,然后按 Enter )。
2. 定位到指定的注册表位置:
- 导航到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
- 这是控制Windows局域⽹管理服务(包括⽂件共享服务)的设置的地⽅。
3. 创建新的注册表项:
- 在 Parameters 键下右键点击,选择“新建” -> “DWORD (32位) 值”。
- 命名这个新的DWORD为 AutoShareServer 。
4. 设置值:
- 双击新创建的 AutoShareServer ,在“数值数据”框中输⼊ 0 。
- 点击“确定”。这个值 0 表示禁⽌⾃动创建这些隐藏的系统共享。
5. 重启计算机:
- 对这些更改⽣效,需要重启计算机。
注意事项:
- 修改注册表前应该⼩⼼谨慎。错误的修改可能会导致系统不稳定或启动失败。建议在进⾏更改前备份注册表。
- 禁⽤这些共享可能影响某些系统管理任务的执⾏,如远程桌⾯服务、系统更新等。
- 这种更改主要⽤于提⾼系统安全性,避免未授权访问系统关键⽂件。
创建共享文件
要通过命令⾏创建⼀个新的⽂件共享,可以使⽤ net share 命令,后跟共享名称和要共享的⽂件夹路径。例如,如果你想创建⼀个名为“MyShare”的共享,共享⽬录为"C:\SharedFolder",可以使⽤如下命令
删除共享文件夹
删除⼀个已经存在的共享只需要指定要删除的共享名称。例如,要删除上⾯创建的“MyShare”共享,可以使⽤:
注意事项:
- 运⾏ net share 命令可能需要管理员权限,因此可能需要以管理员身份运⾏命令提示符。
- 使⽤共享和权限时要⼩⼼,尤其是使⽤ everyone 群组时,这可能会导致安全隐患。
- 永远不要共享敏感或私密数据,除⾮确保了适当的安全措施。
这篇关于【网络安全】服务基础第一阶段——第四节:Windows系统管理基础---- NTFS安全权限与SMB文件共享服务器的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!