这篇博客介绍了Windows的基础安全知识,包括用户管理、组管理、NTFS文件系统的概念和权限设置,以及Windows共享、本地组策略、注册表和常用命令的操作。重点讲解了用户账户的创建、权限分配,以及如何利用命令行进行操作。
Windows基础操作
一、Windows用户
- 个人电脑Windows用户分为Microsoft用户与本地用户,Microsoft为微软账号登录用户需联网使用,本地用户则为计算机离线用户。
1、用户概述
- 在Windows中,每个用户都有一个安全标识符,用户的权限是通过用户的SID记录的,1-999都是管理员身份,Administrator的SID是500,普通用户的SID是从1000开始。
- 每个用户都有自己的home(家)目录,在用户第一次登录是产生,Win10、Win11 路径为 C:\Users 里面存放个人文档、应用数据等。
- 内置用户账户
- administrator: 默认管理员账户,拥有用户账户中最高权限
- SYSTEM(本地系统): 在Windows中拥有比管理员更大的权限,在Windows中主要作为系统服务或晋城的运行账户
- LOCAL SERVICE(本地服务): Windows内置账户,权限比普通用户更小,在Windows中作为系统服务和进程运行
- NETWORK SERVICE(网络服务): Windows内置账户,主要运行一些网络服务,权限与suers相同
- Guest(来宾用户):提供给没有用户账户的访客使用,默认该账户为禁用的
2、设置取消开机密码(win11仅限本地用户)
- 方法1:使用Windows设置应用取消开机密码
- 按下**【Win + S】键,搜索【控制面板】**;
- 在控制面板窗口中,点击**【用户账户】,进入后点击【管理账户】**;
- 在界面中点击**【更改账户】,选择【管理其他账户】**;
- 在**【更改密码】中输入原先设置的密码,其他都不填(原理为设置成空密码),点击【更改密码】**即可取消开机密码
- 方法二:使用用户账户取消开机密码码
- 按下**【Win + R】**键,打开运行对话框
- 输入【netplwiz】,点击确定
- 将**【要使用本计算机,用户必须输入用户名和密码】**复选框取消勾选
- 输入正确密码
3、Microsoft账户概述
- 一台电脑只能登录一个Microsoft账号
- Microsoft用户可以设置PIN登录,不用输入账户密码
- Microsoft账户为在线账户,修改密码等操作需要联网( account.microsoft.com)
4、本地用户和组控制台
-
新建用户
- 按下**【Win + R】**键,打开运行对话框
- 输入**【lusrmgr.msc】,点击【确定】**
- 点击**【用户】,可【右键点击】**空白处新建用户
-
新建用户复选框
- 用户下次登录是须更改密码——保障用户
- 用户不能跟改密码——用于共享账户
- 密码永不过期——默认42天过期
- 账户已禁用——暂时禁止登录
-
有向下箭头标识则为禁用用户,如果没有其它管理员的情况,不建议禁用
二、Windows本地组
- 按下**【Win + R】**键,打开运行对话框,
- 输入**【lusrmgr.msc】,点击【确定】**
-
用户组概述
- 一组用户的集合,组中所有的用户具备所属组的权限
- 当一个新建用户被添加进Administrators组是,这个新用户将拥有管理员权限(为该组权限),不用另行给此用户单独添加权限
-
内置组(需要添加成员)
-
administrators: 管理员组,如果想将某个用户设定管理员,可将加入改组
-
guests: 来宾组没有权限只能查看
-
power users: 次组权限在管理员之下,普通用户之上,目前windows已经弃用这个组
-
users: 用户组
-
动态包含的内置组
-
INTERACTIVE:动态包含本地登录的用户
-
Authenticated Users:动态包含通过验证的用户,不包括来宾
-
Everyone:包含任何用户,设置开放权限时经常使用
-
三、本地安全策略
-
修改本地组策略
-
按下**【Win + R】**键,打开运行对话框
-
输入【secpol.msc】,点击确定(win11家庭版中没有该程序)
-
在控制台树的安全 设置 下,执行以下操作之一:
- 单击“ 帐户策略” 以编辑 密码策略 或 帐户锁定策略。
- 单击“ 本地策略” 可编辑 审核策略、 用户权限分配或 安全选项。
-
输入正确密码
-
使用命令刷新策略
# 刷新策略 > gpupdate # 如不成功强制刷新策略 > gpupdate /force
-
-
密码策略
- 密码必须符合复杂性要求:对于Windows server操作系统,默认是启用状态
- 密码长度最小值:在域控制器上为7,在独立服务器上为0
- 密码最短使用期限:密码最短使用时间,默认为0,允许立即更改密码
- 密码最长使用期限:密码最长使用的时间,默认为42,当到期后,系统会自动提醒更改密码
- 强制密码历史:历史上设置的旧密码,不能作为新密码;历史密码数量包含当前所使用的密码
-
账户锁定策略(管理员不受账户锁定策略的限制)
-
账户锁定时间:此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数,也就是说账户被锁定后,经过账户锁定时间后自动解锁
-
账户锁定阈值:此安全设置确定导致用户帐户被锁定的登录尝试失败的次数,也就是说超过阈值所设定的无效登录次,账户将被锁定
- 重置账户锁定计数器:此安全设置确定账户尝试登入次数被重置的所需时间。如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间
-
本地策略
-
审核策略
审核策略是Windows 2000及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。-
审核策略更改
-
审核登陆事件
-
审核对象访问
-
审核进程跟踪
-
审核系统事件
-
-
用户权限分配
-
从网络访问此计算机
-
关闭系统
-
拒绝从网络访问此计算机
-
允许通过远程桌面服务登录
-
拒绝通过远程桌面服务登录
-
拒绝本地登录
-
允许本地登录
-
-
安全选项
-
关机:允许系统在未登录的情况下关闭
-
账户:来宾账户状态
-
交互式登录:不显示最后的用户名
-
交互式登录: 无需按 CTRL+ALT+DEL
-
帐户:重命名系统管理员帐户
-
四、NTFS文件系统
1、Windows文件系统类型
-
格式化磁盘时可选择修改文件系统
-
Windows命令修改文件系统
# 将D盘转换为NTFS文件系统 > convert d:/fs:ntfs -
FAT 文件系统
- 早期Windows使用的文件系统,有相当大的缺陷,分别为FAT16和FAT32,问题包括没有安全策略和单文件不能大于4G,目前部分U盘使用的此系统
-
RsFS 文件系统
- Windows server 2012 版本引入的文件系统,支持写入时复制技术,支持超大规模卷、文件和目录,稳定及可用性更强
-
NTFS 文件系统
- 现Windows 使用的主流文件系统
- ACL(访问控制列表,设置权限)
- EFS(加密文件系统,使用bitLpker进行磁盘加密)
- 压缩及磁盘配额
- ReFS文件系统
- 写入时复制技术
- 支持超大规模的卷
- 文件和目录
- 稳定及可用性更高
- NTSF 文件系统引入 ACL(访问控制列表) 极大增加文件安全
2、NTFS权限
-
一个文件权限包含持有者,则为创建此文件的用户
- 右键点击文件-属性-安全-高级
-
文件持有者和管理员可以修改删除此文件的访问权限
-
右键点击文件-属性-安全-编辑-添加
-
选择一个主体(高级-立即查找-选择一个用户)添加后此用户即可使用所添加的权限
-
-
存在权限项目里面的主体才有权限操作此文件,可添加单独用户或组
-
继承可选择此文件夹内容是否也添加以上主体
3、NTFS权限的使用法则
为了更好地应用和制度NTFS权限在设置的时候将产生的效果,我们需要了解一些NTFS权限的法则。
1、 权限的积累,即权限最大法则
用户对资源的有效权限是分配给该个人用户账户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限,那么该用户就对该文件同时具有“读取”和“写入”的权限。当有拒绝权限时权限最大法则无效。
2、 文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。假设你能够访问一个文件,那么即使该文件位于你不具有访问权限的文件夹中,你也可以进行访问(前提是该文件没有继承它所属的文件夹的权限)。
3、 拒绝权限高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。
4、 指定的权限高于继承的权限
即一个对象上对某用户/组的明确权限设置优先于继承而来的对该用户/组的权限设置。例如本来该用户继承自父文件夹有对其下子文件夹或文件有“拒绝”的权
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
