网络安全笔记-day6，NTFS安全权限

NTFS安全权限

常用文件系统

• FAT
  • 优点：应用广泛，基本主流系统都支持
  • 缺点：安全性低，支持单个文件大小太小
• NTFS
  • 优点：安全性高，速度快，支持大文件，磁盘利用率高
  • 缺点：“日志式“文件系统，会对U盘，Flash等闪存介质造成更大负担
• EXT

可以参考以下文章⬇

磁盘文件系统Fat、Fat32、NTFS、exFAT的优缺点_文件系统类型优缺点-CSDN博客🔍

多平台大型文件系统比较 - 广漠飘羽 - 博客园 (cnblogs.com)🔍

windows7

文件系统

NTFS

FAT32

文件安全权限

在虚拟机win2003 D盘目录下创建文件目录

D:.
—公共文档
   | shell.txt
   |
   —规章制度
       制度1.txt

！首先用管理员账户登录虚拟机！

打开文件安全属性

新创建用户默认在User组，拥有上图访问权限

• 修改【包含读取到写入以及删除权限】
• 读取和运行【无法运行可执行文件，但可以查看文件内容】
• 列出文件夹目录【能够打开查看目录内容，没有权限则无法打开】
• 读取【可以查看文件内容】
• 写入【可以创建文件并可以写入内容】
• 特别权限【可以控制此目录的权限关系】

CREATOR OWNER组为目录创建者，拥有此目录的完全控制权，但是管理员拥有所有文件的完全控制权

修改文件安全权限

在这里插入图片描述

1.取消父项继承权限

选择高级，取消勾选，在弹出的窗口选复制

2.添加用户访问权限

使用cmd命令创建两个临时用户

net user a 1 /add
net user b 1 /add
# 用户名分别是a，b，密码都是1

选中其他组或用户名称，按delete，只剩下管理员组（Administartors）

点击添加	输入`a;b`，点击确定选择a确定和b确定	选择a确定和b确定

成功添加两个临时账户

3.修改用户权限

我们的目的是

a：实现文件访问运行

b：可以访问并且可以写入新的文件

a的权限	b的权限

4.验证文件权限

先点击应用，再注销账号

1).注销管理员账户

2).登录a用户

试图删除shell.txt，被拒绝	试图写入文件，被拒绝

总结：a账户可以读取次目录下文件或执行此目录下可执行文件，不可以修改以及写入

3).登录b用户

试图打开读取shell.txt，被拒绝	可以写入文件，写入后不可以重命名以及删除，但是可以从其他地方复制覆盖自己上传的文件

总结：b账户可以写入文件，不可以读取以及修改

公共文档的子项都继承了其访问权限（包括写入的文件）

5.总结权限

文件权限	权限内容
完全控制	读取，写入，修改，删除，特殊文件
修改	读取，写入，修改，删除
读取和执行	读取，执行，下载
读取	读取
写入	写入
特殊权限	控制文件权限

文件夹权限	权限内容
完全控制	读取，写入，修改，删除，特殊文件
修改	读取，写入，修改，删除
读取和执行	读取，执行，下载
读取	读取
写入	写入
特殊权限	控制文件权限

大概就是这样

强制继承父项权限

D:.
—公共文档
   | shell.txt
   |
   —规章制度
       制度1.txt

强制公共文档子文件以及子目录继承公共文档权限

只需要勾选公共文档此选项即可

文件复制移动权限影响

跨分区

移动：覆盖权限

复制：覆盖权限

同分区

移动：保留权限（唯一不覆盖）

复制：覆盖权限

总结

1.权限累加

当用户属于不同组是，权限是可以累加的，当允许碰到拒绝，拒绝优先级最高！

2.管理员最高权限

当a用户自己创建一个文件后，只允许自己完全控制（和之前管理员管理权限一样，这里不做过多赘述），其他人没有权限

右键a文件夹->属性->安全->高级->所有者->administrator[administrators]->勾选替换子容器及对象的所有者->确定

成功去的所有权，此时a账户将无法访问此文件夹

当用户属于不同组时，权限是可以累加的，当允许碰到拒绝，拒绝优先级最高！

2.管理员最高权限

当a用户自己创建一个文件后，只允许自己完全控制（和之前管理员管理权限一样，这里不做过多赘述），其他人没有权限

右键a文件夹->属性->安全->高级->所有者->administrator[administrators]->勾选替换子容器及对象的所有者->确定

成功去的所有权，此时a账户将无法访问此文件夹