Windows 基础（NTFS权限规则与本地安全策略）

**本文演示系统以Windows Server 2003为示例

一、NTFS权限

1. NTFS权限概述

1.1 NTFS文件系统

文件系统就是在外部存储设备上组织文件的方法。

（1）Windows操作系统使用的FAT12、FAT16、FAT32、NTFS、exFAT等文件系统。

（2）Linux操作系统使用的Ext2、Ext3、Ext4等文件系统；

（3）Unix操作系统使用的UFS1、UFS2等文件系统

（4）苹果操作系统使用的HFS、HFS+等文件系统。

（5）光盘存储介质使用的是针对光盘存储的文件系统，主要有ISO-9660和UDF两种文件系统。

（6）在网络存储系统中，也有很多适合网络存储的文件系统和存储系统，如Google文件系统GFS就是一个可扩展的分布式文件系统，用于大型的、分布式的、对大量数据进行访问的网络应用场景。

1.2 设置文件权限

常见的文件操作权限

1.3 设置文件夹权限

1.4 权限的分类

2.NTFS权限规则

2.1权限的累加

用户分配的有效权限是分配给用户所有权限的累加
假设一个用户设置了读取权限，给用户所属的组分配了修改权限，那么用户最终的权限就等于读取+修改

2.拒绝权限

拒绝的权限大于一切（在访问控制列表中，拒绝的权限优先级最高）
当出现权限冲突时，拒绝的权限优先级最高

3.继承权限

文件或文件夹的访问控制列表默认情况下会继承上级文件夹权限。

(1)默认情况下，新建的文件夹或文件默认继承来自于父系文件或文件夹的全部权限
(2)通过安全选项卡的高级权限设置，可以拒绝继承来自于父系文件或文件家的权限
(3)通过安全选项卡的高级权限设置，可以强制要求子文件或文件夹强制继承当前所有的权限

4.特殊权限

4.1读取权限

作用是读取文件或文件夹的访问控制列表，（和读取或文件夹的内容没有关系）。针对于用户想要访问某个文件的内容，此权限必须勾选。

4.2更改权限

（和修改文件或文件夹的内容没有任何关系）作用是用户是否可以修改文件或文件夹的访问控制列表。由于此权限是可以为用户添加或删除权限，会造成很多不安全因素，此权限一般不会给。给了就相当于给了完全控制权限。要想更改，前提是必须能读取。

4.3取得所有权

查看文件夹当前所有者

编辑所有者列表

取得所有权并设置权限

在PC中管理员权限可以获得非管理员权限用户创建的文件或者文件的所有者权限，同时突破限制访问，还可以使其无法打开的无权限文件或文件夹。

二、本地安全策略

1.本地安全策略概述

主要是对登录到计算机的账户进行一些安全设置，主要影响的是本地计算机安全设置。

1.开始菜单->管理工具->本地安全策略
2.使用命令secpol.msc
3.从本地组策略进去gpedit.msc->计算机配置->windows设置->安全设置

2. 账户策略

2.1 密码策略

windows server操作系统默认开启密码复杂性要求，密码长度服务器默认为0，密码最长/最短使用期限，强制密码历史，用可还原的加密来存储密码。

各密码策略详细解释

2.2 账户锁定策略

账户锁定时间、账户锁定阈值、重置账户锁定计数器（账户锁定时间必须要大于或者等于重置账户锁定计数器）

3. 本地策略

本地策略包含审核策略、用户权限分配和安全选项。

3.1 审核策略

审核策略更改、审核登录事件（可在服务器事件查看器中查看）、审核对象访问（可以看到哪些用户做了哪些操作）、审核进程跟踪
内容很多这里包括后续不做过多详细的说明，最好是自己实际点开看一下详细的解释，你的记忆会更加深刻。

3.2 用户权限分配

从网络访问此计算机、更改时区、更改系统时间、拒绝本地登录、拒绝从网络访问此计算机、拒绝通过远程桌面服务登录、允许本地登录
远程桌面命令：mstsc

3.3 安全选项

交互式登录必须按ctrl+alt+del解锁，允许系统在未登录的情况下关机，提示用户在过期前改密码，来宾账户的状态，使用空密码的本地账户只允许从本地登录，本地账户的共享和安全模型（仅来宾）

三、总结

以上介绍的NTFS权限规则与本地安全策略对于基线检查和安全加固具有重要意义，万丈高楼平地起，基础相当重要。