2024年8月9日 10:27:23

2024-08-09 10:27:22 +08:00 · 2024-08-09 10:27:22 +08:00 · 30955b8596
commit 30955b8596
parent 90eb3c31da
1 changed files with 355 additions and 2 deletions
--- a/基础部分/005_Windows系统管理.md
+++ b/基础部分/005_Windows系统管理.md
@ -104,7 +104,7 @@
      > 2. Administrator注销登录，将普通用户加入``Network Configuration Operators``组
      > 3. 普通用户注销登录，再次验证更改IP地址

-### 七、文件权限管理
+### 二、文件权限管理

 1. #### NTFS权限

@ -149,4 +149,357 @@

      - Administrator注销登录-右击01.txt-属性-安全-编辑-添加普通用户-勾选写入

-        → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，能更改文件内容
+        → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，能更改文件内容
+
+3. #### NTFS权限的配置规则
+
+   1. 权限的累加性
+
+      - Administrator用户在NTD的文件夹中创建02.txt，在02.txt的文件中输入“22222”右击02.txt
+
+        属性 → 安全 → 编辑 → 添加普通用户 → 勾选读取权限 → 添加用户所属组 → 仅勾选写入权限
+
+        普通用户登录双击02.txt可以打开此文件，可以更改文件内容。
+
+      > 用户与用户所属组权限不冲突，权限累加，eg：
+      >
+      > > 用户 → 读
+      > >
+      > > 用户所属组 → 写
+      > >
+      > > 用户权限 → 读+写
+      > >
+      > > 用户所属组1 → 读
+      > >
+      > > 用户所属组2 → 写
+      > >
+      > > 用户权限 → 读+写
+
+   2. 权限的拒绝（拒绝大于一切、拒绝优先）
+
+      - Administrator用户在NTD的文件夹中创建03.txt，在03.txt的文件中输入“33333”，右击03.txt
+
+        1. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选允许读取权限 → 添加用户所属组 → 勾选拒绝读取权限
+
+           普通用户登录双击03.txt拒绝访问
+
+        2. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选拒绝读取权限 → 添加用户所属组 → 勾选允许读取权限
+
+           普通用户登录双击03.txt拒绝访问
+
+      | 组1                               | 组2                               | 组3                                                          |
+      | --------------------------------- | --------------------------------- | ------------------------------------------------------------ |
+      | 用户 → 读<br/>用户所属组 → 拒绝读 | 用户 → 拒绝读<br/>用户所属组 → 读 | 用户所属组1 → 读<br/>用户所属组2 → 读<br/>……<br/>用户所属组99 → 读<br/>用户所属组100 → 拒绝读 |
+      | 用户权限 → 拒绝读                 | 用户权限 → 拒绝读                 | 用户权限 → 拒绝读                                            |
+
+   3. 权限继承
+
+      1. 继承
+
+         - 默认下级继承上级目录的权限
+
+         > Administrator用户创建文件夹tedu → 右击tedu的文件夹 → 属性 → 安全 → 编辑 → 添加普通用户完全控制权限
+         >
+         > 在tedu的目录中创建01.txt，右击01.txt → 属性 → 安全 → 查看是否有普通用户的完全控制权限
+
+      2. 取消继承 
+
+         > 右击01.txt → 属性 → 安全 → 高级 → 禁用继承 → 在弹出的提示中选择第一个-确定
+         >
+         > → 编辑 → 选择普通用户 → 取消完全控制的勾选仅留读权限 → 确定
+
+      3. 强制继承
+
+         - 右击tedu的目录 → 属性 → 安全-高级 → 勾选禁用继承下的复选框 → 是 → 确定
+
+         ![image-20240809093850667](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240809093850667.png)
+
+         > 下级取消继承后上级目录可以强制继承，上级目录强制继承后下级目录还可以再次取消继承
+
+### 三、安全基线
+
+- 为了满足安全规范要求，服务器必须要达到的最低安全标准
+- 参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》
+- 操作系统安全基线
+
+1. 作用
+   - 设置口令复杂策略，防止暴力破解密码
+   - 控制用户的文件权限，减少被攻击后的影响
+   - 最小化安装操作系统，防止不必要的服务带来的安全问题
+2. 安全配置
+   - 用户管理
+   - 密码策略
+   - 共享管理
+   - 文件权限管理
+   - 用户权限管理
+   - 日志审核管理
+   - 远程管理
+
+### 四、本地安全策略
+
+1. 本地安全策略：为保护计算机资源而配置的规则
+
+2. 打开本地安全策略
+
+   - 开始菜单 → windows管理工具 → 本地安全策略
+   - 控制面板 → 管理工具 → 本地安全策略
+   - 运行 → secpol.msc
+
+3. 本地安全策略主要包含
+
+   1. 帐户策略
+      - 密码策略
+      - 帐户锁定策略
+   2. 本地策略
+      - 审核策略
+      - 用户权限分配
+      - 安全选项
+
+4. 密码策略
+
+   - 密码必须符合复杂性要求：复杂密码满足条件，英文小写、大写、数字、特殊符号，四个条件取其三。
+   - 密码长度最小值：取值范围0-20，0表示长度无限
+   - 密码最长使用期限：默认42天，取值范围0-999，0表示永不过期
+   - 密码最短使用期限：取值范围0-998，默认0表示无限制，随时可更改密码
+   - 强制密码历史：默认0表示历史曾经用过的密码可以随便使用，取值范围0-24
+
+   > **https://www.security.org/how-secure-is-my-password/**
+
+5. 帐户锁定策略
+
+   1. 帐户锁定阈值：配置用户输入错误密码的次数，取值范围0-999，默认0表示不锁定帐户
+   2. 帐户锁定时间：帐户锁定多长时间自动解锁，单位分钟，取值范围0-99999，0表示管理员手动解锁
+   3. 重置帐户锁定计数器：清除所输入的错误密码的次数（用户输入错误密码开始计时，当该时间超时，计数器重置为0）
+
+6. 审核策略
+
+   1. 启用审核策略=安监控
+
+   2. 事件查看器=监控服务器存数据
+
+      > 清除日志：控制面板 → 管理工具 → 事件查看器 → windows日志 → 右击安全 → 清除日志
+
+   3. 启用审核帐户管理
+
+      > 本地安策略 → 本地策略 → 审核策略 → 双击审核帐户管理 → 勾选成功与失败
+
+   4. Administrator修改普通用户名
+
+      > 控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标的事件内容
+
+7. 用户权限分配
+
+   1. 更改系统时间
+
+      > 普通用户注销登录更改系统时间提示输入administrator密码
+      >
+      > 本地安全策略 → 本地策略 → 用户权限分配 → 双击更改系统时间添加普通用户
+
+   2. 关闭系统
+
+      > 本地安全策略 → 本地策略 → 用户权限分配 → 双击关闭系统 → 添加普用户
+
+   3. 允许本地登录
+
+      > - 验证：
+      >
+      > 允许本地登录删除users
+      >
+      > 本地安全策略 → 本地策略 → 用户权限分配
+      >
+      > 双击允许本地登录-删除users
+      >
+      > 注销验证普通用户本地登录
+      >
+      > 验证允许普通用户本地登录
+      >
+      > 拒绝本地登录
+      >
+      > 拒绝从网络访问这台计算机
+
+   4. 安全选项
+
+      - 交互式登录：试图登录的用户消息标题
+      - 交互式登录：试图登录的用户消息文本
+      - 交互式登录：无须按ctrl+alt+delete
+      - 交互式登录：不显示上次登录
+      - 交互式登录：提示用户过期之前更改密码（默认5天）
+      - 帐户：使用空密码的本地帐户仅允许控制台登录
+      - 关机：允许系统在未登录的情况下关闭
+
+### 五、Windows帐户加固
+
+1. Windows帐户的加固方法
+
+   - 定期检查可疑帐户，尤其是administrators成员
+   - Administrator改名，设置复杂密码
+   - Administrator禁用，新建用户加入管理员组
+   - 不显示上次登录（本地安全策略 → 本地策略 → 安全选项）
+
+2. 查看windows用户
+
+   1. 命令行查看用户net user
+
+   2. 注册表查看用户
+
+      - 运行- regedit（打开注册表）
+
+        > HKEY_LOCAL_MACHINE\SAM\SAM右击SAM-权限-添加administrator完全控制权限，F5刷新。
+        >
+        > HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看用户名
+
+### 六、配置共享文件夹
+
+1. 基础信息
+
+   1. 作用：实现文件通过网络访问
+   2. 优点：方便、快捷；不易受文件大小限制；共享访问权限控制
+
+2. 准备共享环境
+
+   ![图片1](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/%E5%9B%BE%E7%89%871.jpg)
+
+   1. 配置win2019服务器IP地址：192.168.1.20/24
+
+   2. 配置win10客户端主机IP地址：192.168.1.10/24
+
+   3. Win10主机ping 192.168.1.20
+
+   4. Win2019服务器创建普通用户并配置密码，用户属性勾选用户不能更改密码
+
+   5. 创建新磁盘分区
+
+      > Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成
+
+3. 创建共享文件夹
+
+   > E盘创建“E:\笔记”，在“笔记”的目录中创建DAY01.txt，DAY02.txt
+   >
+   > 右击“笔记” → 属性 → 共享 → 共享 → 用户选择everyone → 添加 → 共享 → 完成
+   >
+   > >  everyone默认共享权限为读取
+
+4. 客户端访问共享
+
+   >  Win10主机 → 运行 → `\\192.168.1.20` → 根据提示输入用户名及密码 → 确定
+
+   - UNC路径访问共享的格式：
+     - `\\服务器的IP地址`
+     - `\\服务器名计算机名`
+     - `\\服务器的IP地址\共享名`
+     - `\\服务器名计算机名\共享名`
+
+5. 通过映射网络驱动器访问共享
+
+   - Win10客户端主机 → 运行 → cmd
+
+     > `net use h:  \\192.168.1.20\笔记`
+
+   - 常见错误：
+
+     - `C:\Users\amw>net use h:\\192.168.1.20\笔记`
+
+       报错：发生系统错误 67。找不到网络名。
+
+       错误原因：无空格
+
+     - `C:\Users\amw>net use h: \\192.168.1.20\`
+
+       报错：发生系统错误 67。找不到网络名。
+
+       错误原因：无共享名
+
+     - `C:\Users\amw>net use d: \\192.168.1.20\笔记`
+
+       报错：发生系统错误 85。本地设备名已在使用中。
+
+       错误原因：和本地已有盘符冲突
+
+     - 其他错误双斜杠方向错误、命令错误net use 不是net user
+
+6. 创建隐藏共享
+
+   > 右击将要共享的文件夹 → 属性 → 共享 → 高级共享 → 勾选共享此文件夹 → 输入共享名$ → 确定
+   >
+   > 客户端访问隐藏共享： `运行-\\服务器IP\共享名$`
+
+7. 配置共享名
+
+   > Win2019服务器创建“新建文件夹”并配置为共享，共享名为“mp5”
+
+8. 共享管理
+
+   计算机管理 → 共享文件夹：
+
+   - 共享：快速查看本机所有共享（查看、创建、删除）
+
+   - 会话：查看访问共享的用户（查看、关闭）
+
+   - 打开的文件：查看访问的共享文件（查看、关闭）
+
+   - 管理型共享：系统默认自动创建的共享
+
+     > 例如:admin$、盘符$、IPC$（只有administrator才能访问）
+
+七、FTP服务
+
+1. 什么是FTP
+
+   > FTP (file transfer protocol )文件传输协议
+
+2. FTP的作用
+
+   > 在网络上进行文件传输的协议，可实现文件的上传与下载
+
+3. FTP协议的端口
+
+   > FTP协议默认端口21
+
+4. FTP服务组件
+
+   > IIS（互联网信息服务）包含FTP服务的组件
+
+5. 部署FTP服务
+
+   ![图片1](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/%E5%9B%BE%E7%89%871.jpg)
+
+   1. Win2019安装FTP组件
+
+      > 右击此电脑 → 管理 → 管理添加角色和功能 → 三个下一步 → 勾选 Web服务器（IIS） → 添加功能 → 三个下一步到角色服务
+      >
+      >  → 下拉滚动条勾选FTP服务器 → 下一步 → 安装
+
+   2. 准备FTP站点根目录
+
+      > Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成
+      >
+      > E盘创建“E:\ftp”，在“ftp”的目录中创建DAY01.txt，DAY02.txt
+
+   3. 添加FTP站点
+
+      > 右击此电脑 → 管理 → 工具 → IIS管理器
+      >
+      >  → 右击网站 → 添加FTP站点 → 站点名输入ftp → 物理路径选择`E:\ftp` → 下一步 → 选择无SSL
+      >
+      >  → 下一步 → 身份验证选择匿名 → 允许访问选择匿名用户 → 权限勾选读取 → 完成
+
+   4. 客户端访问FTP服务
+
+      > Win10客户端主机打开资源管理器 → 资源管理器地址栏输入ftp://192.168.1.20
+
+   5. 部署基本身份验证访问FTP服务
+
+      1. 创建系统用户
+
+      2. 添加FTP站点
+
+         > 右击此电脑 → 管理 → 工具 → IIS管理器 → 右击ftp → 删除
+
+         > 右击网站 → 添加FTP站点 → 站点名输入ftp → 物理路径选择`E:\ftp` → 下一步 → 选择无SSL
+         >
+         >  → 下一步 → 身份验证选择基本 → 允许访问选择所有用户 → 权限勾选读取、写入 → 完成
+
+   6. 配置通过客户端程序访问FTP服务
+
+      > Xshell、FileZilla、PuTTY、SecureCRT、MobaXterm
+