第5章 网络安全的配置和管理

第 5 章网络安全的配置和管理 5.1 案例 12 文件权限的管理【案例效果】管理员王帅发现 FAT和 FAT32 文件系统下并不能够提供文件级别的安全性，所以将公司的计算机的文件系统更改为NTFS，并在NTFS文件系统中对不同用户设置了不同的权限，保证了公司相关文件的安全性。同时Windows Server 2003 中的NTFS 文件系统，支持对文件和文件夹进行压缩。压缩后的文件和文件夹可以被程序正常的读写，而不必事先用其他程序解压缩。文件和文件夹被压缩后，可以减少在驱动器中占用的磁盘空间。【相关知识】 1．常见的文件系统文件系统指文件命名、存储和组织的总体结构。Windows 支持三种文件系统，FAT、 FAT32 和 NTFS。可以在安装Windows、格式化现有的分区或者安装新的硬盘时，选择相应的文件系统。在决定使用哪种文件系统之前，应当了解每个文件系统的优点和局限性。更改分区的现有文件系统可能很耗费时间，因此最好选择最适合长期需要的文件系统。 2．NTFS 与 FAT 和 FAT32 的对比 FAT包括 FAT16 和 FAT32 两种分区格式。FTA16 在 DOS 时代得到广泛的应用，现在一般不常见了。FAT32 是 FAT16 的升级版本，这种格式采用 32 位的文件分配表，对磁盘的管理能力大大增强，突破了 FAT16 对每一个分区的容量只有 2GB 的限制。运用 FAT32 的分区格式后，用户可以将一个大硬盘定义成一个分区，而不必分为几个分区使用，大大方便了对硬盘的管理工作。而且 FAT32 还具有一个最大的优点，在一个不超过8GB 的分区中， FAT32 分区格式的每个簇容量都固定为 4kb，与 FAT16 相比，可以大大地减少硬盘空间的浪费，提高了硬盘利用效率。 NTFS 分区格式是跟随Windows NT系统产生的，它显著的优点是在安全性和稳定性上极其出色，在使用中不易产生文件碎片，对硬盘的空间利用及软件的运行速度都有好处。它能对用户的操作进行记录，通过对用户权限进行非常严格的限制，使每个用户只能按照系统赋予的权限进行操作，充分保护了网络操作系统与数据的安全。Windows NT/2000/XP/2003 都支持这种硬盘分区格式（Windwos NT 需要安装 Microsoft 提供的补丁才能够支持）。但因为 DOS 和Windows 98 是在 NTFS 格式之前推出的，所以并不能识别NTFS 格式。下面具体介绍了每个文件系统与各种操作系统的兼容性，见表 5­1 所示。表5­1 每个文件系统与各种操作系统的兼容性文件系统可兼容的操作系统 FAT16 DOS、Windows 95/98/Me/NT/2000/XP/2003 FAT32 Windows 95/98/Me/2000/XP/2003 NTFS Windows NT/2000/XP/2003 3．NTFS 文件系统的特点（1）可以对单个文件或者文件夹设置权限。（2）更好的可伸缩性使扩展为大驱动器成为可能。NTFS 的最大分区或卷比 FAT的最大分区或卷大得多，当卷或分区大小增加时，NTFS 的性能并不会降低，而 FAT 的性能则会降低。（3）压缩功能，包括压缩或解压缩驱动器、文件夹或者特定文件的功能。但是，无法同时压缩和加密某个文件。（4）文件加密，该功能极大地增强了安全性。但是，无法同时压缩和加密某个文件。（5）磁盘配额，可用来监视和控制单个用户使用的磁盘空间量。（6）域控制器和 Active Directory需要使用 NTFS。 4．获得 NTFS 文件系统方法（1）格式化硬盘，在格式化硬盘时选择 NTFS 文件系统，采用此种方式分区中的数据将全部丢失。右键单击需要转化NTFS 文件系统的磁盘分区，在弹出的快捷菜单中单击“格式化”菜单命令，打开“格式化本地磁盘”对话框，如图 5­1­18 所示。在“文件系统”下拉列表中选择“NTFS”选项，单击“开始”按钮，将此磁盘分区格式化成NTFS 文件系统。（2）将 FAT文件系统转换为 NTFS 文件系统，并保留原有的数据。单击“开始”→“运行”菜单命令，打开“运行”对话框。在“打开”文本框中，输入“cmd”命令，单击“确定”按钮，打开“命令提示符”窗口。在命令提示符下，输入“convert f：/ntfs”命令，如图 5­1­19 所示。按下“Enter”键确认，其中 f 指驱动器号（其后要紧跟冒号）。这时就会将 FAT格式转化成 NTFS 文件系统。图5­1­18 “格式化本地磁盘”对话框图5­1­19 “convert”命令格式（3）使用第三方软件转换，例如，分区大师软件等。5．NTFS 权限的含义由于 FAT 和 FAT32 文件系统下不能够提供文件级别的安全性，所以 Microsoft 公司在 NTFS 文件系统中引入了权限的概念。在每一个文件或文件夹的属性对话框中都增加了一个“安全”选项卡，如图 5­1­20 所示。包含访问控制列表（ACL）和访问控制项（ACE）选项。访问控制列表中列出的是和当前文件或文件夹权限有关的用户和组，当选中某个组或用户后，访问控制项中列出的是和该用户和组的相关的权限。图5­2­20 文件夹的“安全”选项卡界面 6．文件和文件夹的 NTFS 权限（1）NTFS 文件系统常见的权限 NTFS 文件系统提供了以下几种常见的权限。●完全控制它具有所有的 NTFS 文件夹权限。●修改它除了具有“写入”和“读取与运行”权限，还具有删除，重命名子文件夹的权限。●读取与运行它与“列出文件夹目录”几乎相同的权限。但在权限的继承方面有所不同，“读取与运行”是文件与文件夹同时继承，而“列出子文件夹目录”只具有文件夹的继承性。●列出文件夹目录可以列出文件夹的内容，此权限只针对文件夹存在。●读取此权限可以查看文件夹内的文件名称，子文件夹的属性。●写入可以在文件夹里写入文件与文件夹。更改文件的属性。●特别的权限其他不常用的权限，例如，删除权限的权限、更改权限的权限等。上面这些NTFS 权限可以单独设置，也可以同时选择几种权限。每一个新建立的文件或文件夹都有一个默认权限，文件夹的默认权限设置如图 5­1­21 所示，文件的默认权限如图 5­1­22所示。图5­1­21 文件夹的NTFS默认的权限图5­1­22 文件的NTFS默认的权限（2）文件或文件夹默认 NTFS 权限的详细说明●Administrators（WUFEI\Administrators）内置管理员组，对所有文件和文件夹都有完全控制的权限。●CREATOR OWNER 创建者组具有的特殊权限。特殊权限内容是完全控制权限，但只对于自己创建的文件夹具有此权限。●SYSTEM 此账户是代表操作系统本身，默认权限是完全控制。●Users（WUFEI\ Users）此组代表此计算机上所有的用户，默认的权限是读取和运行，对于文件夹还有特殊权限。拥有特殊权限时可以创建文件或者文件夹，并可以修改自己创建的文件或文件夹。（3）对多个用户设置相应权限如果对个别用户设置权限，只要将用户使用的帐户添加到文件或者文件夹的列表中，并设置相应的权限即可。如果对于多个用户设置权限，可以将多个用户加入到相应的组中，并对组设置相应的权限，结合组来进行管理，一般情况下建立以下几个组。●完全控制组此组的用户对文件夹拥有所有权限，如图 5­1­23 所示。●只读组此组的用户对文件夹拥有读取权限，如图 5­1­24 所示。图5­1­23 完全控制权限图5­1­24 读取和运行权限●可读写组此组的用户对文件夹拥有读写权限，如图 5­1­25 所示。●拒绝访问组此组的用户将没有权限访问此文件夹，如图 5­2­26所示。图5­2­25 读取和写入权限图5­1­26 拒绝访问权限 7．权限的组合组建立完成后，可以根据用户不同的需求将用户加入到不同的组里，也可以将一个用户同时加入到多个组。例如，将用户加入到只读组和可读写组两个组，用户将具有此两个组的权限。但是如果将用户加入到了拒绝访问组，而不管此用户是否加入了其他的组，此用户都将被拒绝访问。所以一定要特别注意加入拒绝组的用户，因为拒绝的权限高于其他权限。综上所述，当一个用户属于多个组的时候，这个用户会得到各个组的累加权限，一旦有一个组被拒绝访问，此用户也会被拒绝访问。8．权限的继承新建的文件或文件夹会自动继承上一级目录或驱动器的 NTFS 权限，这样的好处是免去了设置默认权限的步骤。但是从上一级继承下来的权限是无效的，不能够直接修改，如图 5­1­27所示，只能在此基础上添加一些其它的权限。对于一些个别的文件夹可能需要设置单独的权限，而不需要从上一级继承权限，可以将继承权限删除，然后手动设置NTFS 权限。取消 NTFS 权限的继承特性的步骤如下。（1）右键单击需要取消 NTFS 继承性的文件夹，在弹出的快捷菜单中单击“属性”菜单命令，打开“files 属性”对话框。单击“安全”标签，切换到“安全”选项卡，如图 5­1­28 所示。图5­1­27 在继承权限的基础上添加其它的权限图5­1­28 “安全”选项卡（2）单击“高级”按钮，打开“file的高级安全设置”对话框，如图 5­1­29所示。（3）单击“权限”标签，切换到“权限”选项卡，如图 5­1­30 所示。（4）单击“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”复选项，将此项取消。取消之后系统会提示以前从上一级继承下来的权限是保留还是全部删除。如果保留权限就单击“复制（c）”按钮，如果不保留权限则单击“删除”按钮，如果取消设置，可以单击“取消”按钮，如图 5­1­31 所示。图5­1­30 “file的高级安全设置”对话框图5­1­31 “安全”对话框（5）如果单击选中“复制”复选项，以前的权限会全部保留下来，并可以根据需要，进行更改，如图 5­1­32所示。如果单击选中“删除”选项，则所有继承的权限将会被删除，可以自行添加相应的用户或组，并设置相应的权限，如图 5­1­33 所示。图5­1­32 复制继承权限后的权限设置图5­1­33 删除继承权限后的权限设置有时文件夹下面大量的子文件夹或者文件设置了和父文件夹不同的权限，可以利用 NTFS 权限的继承性来统一这些子文件夹和文件的权限。强制子文件夹和文件继承NTFS 权限的步骤如下。（6）右键单击需要强制子文件夹和文件继承 NTFS 权限的文件夹，在弹出的快捷菜单中单击“属性”菜单命令，打开“files 属性”对话框。单击“安全”标签，切换到“安全”选项卡，如图 5­1­34 所示。图5­1­34 “安全”选项卡界面（7）单击“高级”按钮，打开“file的高级安全设置”对话框。（8）单击选中“用在此显示的可以应用到子对象的项目替代所有子对象的权限项目”复选项，如图 5­1­35 所示。图5­1­35 强制子文件夹或者文件继承NTFS权限（9）单击“确定”按钮后，系统会将当前文件夹的权限强制继承到下级文件夹或文件。 9．文件复制或移动时对权限的影响如果文件或文件夹从某文件夹复制到另一个文件夹时，由于文件的复制，等于是产生另一个新文件，因此新文件或文件夹的权限会继承目的地的权限。如果文件或文件夹从某文件夹移动到另一个文件夹时，它分两种情况。（1）如果移动到同一磁盘分区的另一个文件夹内，则仍然保持原来的权限。（2）如果移动到另一个磁盘分区的某个文件夹内，则该文件将继承目的地的权限。如果将 NTFS 磁盘分区的文件或文件夹移动或复制到 FAT/FAT32 磁盘分区下。会将 NTFS 磁盘分区的下的安全设置全部取消。 5.2 案例 13 安全策略的部署【案例效果】管理员王帅为了进一步提高系统的安全性，在初期“工作组”模式的网络中，使用本地安全策略管理用户的安全性。在“域”模式的网络中，管理员李刚则使用域安全策略管理公司的系统安全，并通过组策略的一些规则有效的提高了工作效率及合理性。本地安全策略是 Windows 网络操作系统中非常重要的一个安全特性，当用户登录到某台 Windo