您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > MCITP 04 NTFS磁盘的安全与管理
微思网络,福建IT精英的发源地!第四章NTFS磁盘的安全与管理章节概述NTFS权限概述用户的有效权限演示:NTFS权限的设置文件与文件夹的所有权文件复制或移动后权限的变化文件的压缩加密文件系统BitLocker驱动器加密磁盘整理与检查磁盘错误磁盘配额第1节:NTFS权限的概述安全主体访问令牌权限访问控制的工作方式NTFS标准权限安全主体安全主体-可用于身份验证和分配资源访问权的用户、组或计算机对象。安全主体-可用于身份验证和分配资源访问权的用户、组或计算机对象。相对ID(RID)-安全ID(SID)的一部分,在域中惟一标识的帐户或组。相对ID(RID)-安全ID(SID)的一部分,在域中惟一标识的帐户或组。安全ID(SID)-在创建用户、计算机或安全组时分配的唯一值。Windows中的内部过程引用帐户的SID,而不是帐户的用户名或组名。安全ID(SID)-在创建用户、计算机或安全组时分配的唯一值。Windows中的内部过程引用帐户的SID,而不是帐户的用户名或组名。安全主体S-1-5-21-1454471165-1004336348-1606980848-5555SIDRID访问令牌用户的访问令牌用户的访问令牌主体其他访问权信息用户权利列表组SID用户SID权限分配权限的方式“允许”或“拒绝”权限可分配到资源(文件夹、打印机、文件)权限:•是授予或拒绝对象访问权的规则•用于控制访问权限:•是授予或拒绝对象访问权的规则•用于控制访问权限可分配到本地计算机中的帐户或ADDS中的帐户可以显式应用权限、继承权限或隐式应用权限访问控制的工作方式随机访问控制列表(DACL)•DACL包含用户和组的列表,这些用户和组可以访问资源或者被拒绝而无法访问资源•NTFS卷上的每一个文件和文件夹都有关联的DACL随机访问控制列表(DACL)•DACL包含用户和组的列表,这些用户和组可以访问资源或者被拒绝而无法访问资源•NTFS卷上的每一个文件和文件夹都有关联的DACL系统访问控制列表(SACL)•SACL控制审核对资源的访问系统访问控制列表(SACL)•SACL控制审核对资源的访问访问控制条目(ACE)•定义DACL或SACL中的每一个条目•指定一组要允许、拒绝或审核的SID•如果在DACL中未指定任何ACE,那么将拒绝访问资源访问控制条目(ACE)•定义DACL或SACL中的每一个条目•指定一组要允许、拒绝或审核的SID•如果在DACL中未指定任何ACE,那么将拒绝访问资源NTFS标准权限文件权限文件夹权限读取读取写入写入读取和执行列出文件夹内容修改读取和执行完全控制修改完全控制“拒绝”权限优先于“允许”权限标准权限和特殊权限特殊权限遍历文件夹/执行文件创建文件夹/附加数据读取权限列出文件夹/读取数据写入属性更改权限读取属性写入扩展属性取得所有权读取扩展属性删除子文件夹和文件同步创建文件/写入数据删除标准权限读取列出文件夹内容修改写入读取和执行完全控制第2节:用户的有效权限NTFS权限的继承NTFS权限的累加性拒绝权限的优先级较高NTFS权限的继承阻止权限继承可阻止继承无需对每个对象分配显式权限即可管理对资源的访问默认情况下,NTFS权限是按照父/子关系继承的继承无需对每个对象分配显式权限即可管理对资源的访问默认情况下,NTFS权限是按照父/子关系继承的可在文件或文件夹级别执行阻止在文件夹上设置阻止可阻止新权限传播到子对象NTFS权限的累加性如果用户同时属于多个组,而且该用户与这些组分别对某个文件拥有不同的使用权设置,则该用户对这个文件的最后有效权限是所有权限的总和。如果用户同时属于多个组,而且该用户与这些组分别对某个文件拥有不同的使用权设置,则该用户对这个文件的最后有效权限是所有权限的总和。拒绝权限的优先级较高虽然用户对某个文件的有效权限是所有权限的总和,但只要其中有一个权限被设置为拒绝的话,则用户将不会拥有此权限。虽然用户对某个文件的有效权限是所有权限的总和,但只要其中有一个权限被设置为拒绝的话,则用户将不会拥有此权限。继承来的权限其优先级比直接设置的权限低。继承来的权限其优先级比直接设置的权限低。有效NTFS权限NTFS权限是累积的NTFS权限是累积的修改执行写入读取“拒绝”优先“拒绝”优先权限可应用于用户或组权限可应用于用户或组文件权限覆盖文件夹权限文件权限覆盖文件夹权限文件和文件夹的创建者是所有者文件和文件夹的创建者是所有者讨论:应用NTFS权限Users组Users组Sales组Sales组User1User1Users组对Folder1有写入权限Sales组对Folder1有读取权限Users组对Folder1有写入权限Sales组对Folder1有读取权限11Users组对Folder1有读取权限Sales组对Folder2有写入权限Users组对Folder1有读取权限Sales组对Folder2有写入权限22Users组对Folder1有修改权限File2只能由Sales组以“读取”权限访问Users组对Folder1有修改权限File2只能由Sales组以“读取”权限访问33NTFS分区NTFS分区File2Folder1Folder2File1分配文件权限不继承父文件夹权限分配文件夹权限特殊权限的分配用户的最终有效权限第3节:演示NTFS权限的设置获得所有权具备取得文件或其他对象的所有权权限的用户。系统默认赋予administrators组这个权限NTFS磁盘内的每一个文件与文件夹都有所有者(Owner),默认是创建文件或文件夹的用户,就是该文件或文件夹的所有者。所有者可以更改其所拥有的文件或文件夹的权限。NTFS磁盘内的每一个文件与文件夹都有所有者(Owner),默认是创建文件或文件夹的用户,就是该文件或文件夹的所有者。所有者可以更改其所拥有的文件或文件夹的权限。对该文件或文件夹具有取得所有权的特殊权限具备还原文件和目录权限的用户第4节:文件与文件夹的所有权第5节:复制和移动文件和文件夹时,对NTFS权限的影响•在复制文件和文件夹时,它们继承目标文件夹的权限•当在同一个分区中移动文件和文件夹时,它们保留其权限•在将文件和文件夹移到其他分区时,它们将继承目标文件夹的权限NTFS分区C:\NTFS分区E:\NTFS分区D:\移动复制或移动复制WindowsServer2008支持的两种压缩:NTFS压缩将文件压缩后,可以减少它们占用磁盘的空间。将文件压缩后,可以减少它们占用磁盘的空间。压缩(zipped)的文件夹第6节:文件的压缩对文件与文件夹加密授权其他用户可以读取加密的文件备份EFS证书第7节:加密文件系统注意事项:只有NTFS磁盘的文件、文件夹才可以加密加密文件系统(EFS)提供文件加密的功能。文件经过加密后,只有当初对其加密的用户或被授权的用户能够读取,因此可以提高文件的安全性。加密文件系统(EFS)提供文件加密的功能。文件经过加密后,只有当初对其加密的用户或被授权的用户能够读取,因此可以提高文件的安全性。若将文件复制或移动到非NTFS磁盘内,则此文件自动被解密对文件与文件夹加密利用EFS加密的文件,通过网络传输时自动解密注意事项:用户必须具有EFS证书才可以被授权默认情况下,加密的文件只有加密的该用户可以访问,其他用户无法访问,但可以授权其他用户有权访问。默认情况下,加密的文件只有加密的该用户可以访问,其他用户无法访问,但可以授权其他用户有权访问。具有修复证书(recoverycertificates)授权其他用户可以读取加密的文件利用EFS加密的文件,通过网络传输时自动解密注意事项:在命令提示符下,输入certmgr.msc打开证书管理控制台为了避免EFS证书丢失与损坏,造成文件无法读取的后果,建议用证书管理器来备份EFS证书。为了避免EFS证书丢失与损坏,造成文件无法读取的后果,建议用证书管理器来备份EFS证书。建议将此证书备份到另外一个安全的地方备份EFS证书若有多个EFS证书的话,请全部导出存档什么是BitLocker驱动器加密?BitLocker的硬件要求BitLocker配置第8节:BitLocker驱动器加密什么是BitLocker驱动器加密?BitLocker驱动器加密是一种数据保护功能,可将安装WindowsServer2008的整个磁盘加密,以确保磁盘内的文件安全,即使磁盘被盗窃,也不必担心里面的数据外泄,因为它无法被拿到另外一台计算机上启动,即使作为另一台计算机的第2个磁盘来使用,也无法读取里面的文件。BitLocker驱动器加密是一种数据保护功能,可将安装WindowsServer2008的整个磁盘加密,以确保磁盘内的文件安全,即使磁盘被盗窃,也不必担心里面的数据外泄,因为它无法被拿到另外一台计算机上启动,即使作为另一台计算机的第2个磁盘来使用,也无法读取里面的文件。条件包括:可信任安全平台模块(TrustedPlatformModule,TPM)要享有BitLocker功能的话,计算机必须具备下列条件之一:要享有BitLocker功能的话,计算机必须具备下列条件之一:若没有TPM,也可以利用U盘,即将解密密钥存储到U盘内BitLocker的硬件要求硬盘至少需要两个NTFS分区简要步骤:在组策略中开启以U盘的方式来支持BitLocker利用U盘进行启用BitLocker驱动器加密利用U盘进行启用BitLocker驱动器加密启用BitLocker驱动器加密BitLocker配置关闭BitLocker安装BitLocker驱动器加密功能创建磁盘分区并安装WindowsServer2008注意:首次启用BitLocker时,必须创建恢复密码磁盘整理工具:磁盘碎片整理程序磁盘碎片影响磁盘的访问效率,有必要在一段时间之后整理磁盘。磁盘碎片影响磁盘的访问效率,有必要在一段时间之后整理磁盘。磁盘查错程序第9节:磁盘整理与检查磁盘错误什么是磁盘配额?磁盘配额特性磁盘配额设置第10节:磁盘配额什么是磁盘配额?利用磁盘配额功能可以来限制用户在NTFS磁盘内的存储空间,也可以跟踪每一个用户的NTFS磁盘空间的使用情况。利用磁盘配额功能可以来限制用户在NTFS磁盘内的存储空间,也可以跟踪每一个用户的NTFS磁盘空间的使用情况。磁盘配额特性:磁盘配额是以文件与文件夹的所有权来计算的每一个磁盘的磁盘配额磁盘配额特性磁盘配额的计算不考虑文件压缩的因素系统管理员并不会受到磁盘配额的限制只有NTFS磁盘才支持磁盘配额功能磁盘配额是针对单个用户来控制与跟踪磁盘设置:拒绝将磁盘空间给超过配额限制的用户(硬配额)必须具有系统管理员的权限,才可以设置磁盘配额。必须具有系统管理员的权限,才可以设置磁盘配额。为该卷上的新用户选择默认配额限制磁盘配额的设置选择该卷的配额记录选项选择配额项,监控每一个用户的磁盘配额使用情况
本文标题:MCITP 04 NTFS磁盘的安全与管理
链接地址:https://www.777doc.com/doc-4394212 .html