477 lines
16 KiB
Markdown
477 lines
16 KiB
Markdown
# WinServer系统管理
|
||
|
||
### 一、本地用户与组管理
|
||
|
||
> 本地用户:用户本地创建、本地存储、本地登录且只能登录本地一台计算机。
|
||
|
||
1. #### 认识用户帐户:
|
||
|
||
1. Windows帐户有帐户名、有密码、用户安全标识(SID)
|
||
|
||
> - SID安全标识符(身份证号),每个用户的SID唯一
|
||
>
|
||
> whoami /user查看用户SID
|
||
>
|
||
> whoami /user查看用户SID
|
||
|
||
2. 打开本地用户和组
|
||
|
||
- 运行 → lusrmgr.msc
|
||
- 右击此电脑 → 管理 → 工具 → 计算机管理 → 本地用户和组 → 用户
|
||
|
||
3. 常见内置用户
|
||
|
||
- administrator:管理员,权限最大
|
||
- guest:来宾,权限小,默认禁用
|
||
|
||
> 内置用户可以改名、可以禁用、不可以删除
|
||
|
||
2. #### 本地帐户管理
|
||
|
||
1. 创建用户
|
||
|
||
- 打开本地用户和组-用户
|
||
|
||
右击-新用户
|
||
|
||
用户名:
|
||
|
||
全名:
|
||
|
||
描述:
|
||
|
||
密码:
|
||
|
||
> 取消勾选下次登录时须更改密码
|
||
|
||
右击开始菜单 → 关机或注销 → 注销选择登录
|
||
|
||
> 登录后通过whoami /user查看用户SID
|
||
|
||
2. 帐户属性
|
||
|
||
- 右击用户帐户名 → 属性
|
||
- 用户下次登录时须更改密码(每个员工创建不同帐户)
|
||
- 用户不能更改密码(用于公用帐户)
|
||
- 用户不能更改密码(用于公用帐户)
|
||
- 密码永不过期(默认42天)
|
||
- 帐户已禁用
|
||
|
||
3. 更改用户密码
|
||
|
||
- 管理员重设置
|
||
- 用户自己改(用户注销登录按ctrl+alt+del)
|
||
|
||
> 验证勾选用户不能更改密码,普通用户注销登录更改密码验证提示。
|
||
|
||
4. 帐户重命名
|
||
|
||
> 适用新老员工的工作交接(右击重命名、选重F2、单击再单击)
|
||
|
||
5. 删除用户
|
||
|
||
> 删除用户后,创建同名同密用户也不具有以前用户的权限
|
||
|
||
3. #### 本地组管理
|
||
|
||
1. 作用:用来对多个用户批量授权
|
||
|
||
2. 创建本地组:
|
||
|
||
> 打开本地用户和组 → 组
|
||
>
|
||
> 右击 → 新建组 → 输入组名 → 确定
|
||
|
||
3. 用户加入组
|
||
|
||
- 双击本地组添加 → 输入用户名 → 确定 → 确定
|
||
- 右击用户名 → 属性 → 隶属于 → 输入组名 → 确定 → 确定
|
||
|
||
4. 常见内置组及权限
|
||
|
||
- Administrators:管理员组
|
||
- Guests:来宾组
|
||
- Backup Operators:具有备份和还原的权限
|
||
- Remote Desktop Users:此组内用户可以从远程计算机使用远程桌面来连接
|
||
- Print Operators:具有管理打印机的权限
|
||
- NetworkConfiguration Operators:具有管理网络功能,例如更改IP地址
|
||
- Users:新用户默认组
|
||
- Everyone:任何用户都属此组
|
||
|
||
5. 内置组实验验证
|
||
|
||
> 1. 普通用户注销登录,验证更改IP地址,提示输入administrator密码
|
||
> 2. Administrator注销登录,将普通用户加入``Network Configuration Operators``组
|
||
> 3. 普通用户注销登录,再次验证更改IP地址
|
||
|
||
### 二、文件权限管理
|
||
|
||
1. #### NTFS权限
|
||
|
||
1. 文件系统:数据在磁盘上的排列方式
|
||
|
||
2. NTFS特点
|
||
|
||
- 高读写
|
||
- 磁盘空间利用率高
|
||
- 安全性高(支加密、NTFS权限的配置)
|
||
- AD需要NTFS支持
|
||
|
||
3. 如何取NTFS文件系统的分区:
|
||
|
||
> - 格式化磁盘分区时可以选择文件系统的类型
|
||
>
|
||
> 右击此电脑-管理 → 工具 → 计算机管理 → 磁盘管理 → 右击未分配 → 新建简单卷 → 下一步 →
|
||
>
|
||
> 输入102400MB → 下一步 → 选择盘符 → 下一步 → 文件系统默认选择NTFS → 下一步 → 完成
|
||
|
||
2. #### NTFS权限配置
|
||
|
||
1. 文件夹的NTFS权限
|
||
|
||
- 完全控制:修改文件,给其他用户分配权限
|
||
- 修改:读、写、删、打开程序
|
||
- 读取和执行:读、打开程序
|
||
- 列出文件夹内容:读取文件夹内容
|
||
- 读:读取内容
|
||
- 写入:写入内容
|
||
- 特殊权限
|
||
|
||
2. 文件的NTFS权限
|
||
|
||
> 文件的NTFS权限与文件夹的NTFS权限对比少了一个列出文件夹内容的权限
|
||
|
||
3. 配置文件的NTFS权限
|
||
|
||
- Administrator用户创建文件夹E:\NTD,在NTD的文件夹中创建01.txt,在01.txt的文件中输入“11111”
|
||
|
||
→ 普通用户注销登录双击E:\NTD\01.txt可以打开此文件,不能更改文件内容
|
||
|
||
- Administrator注销登录-右击01.txt-属性-安全-编辑-添加普通用户-勾选写入
|
||
|
||
→ 普通用户注销登录双击E:\NTD\01.txt可以打开此文件,能更改文件内容
|
||
|
||
3. #### NTFS权限的配置规则
|
||
|
||
1. 权限的累加性
|
||
|
||
- Administrator用户在NTD的文件夹中创建02.txt,在02.txt的文件中输入“22222”右击02.txt
|
||
|
||
属性 → 安全 → 编辑 → 添加普通用户 → 勾选读取权限 → 添加用户所属组 → 仅勾选写入权限
|
||
|
||
普通用户登录双击02.txt可以打开此文件,可以更改文件内容。
|
||
|
||
> 用户与用户所属组权限不冲突,权限累加,eg:
|
||
>
|
||
> > 用户 → 读
|
||
> >
|
||
> > 用户所属组 → 写
|
||
> >
|
||
> > 用户权限 → 读+写
|
||
> >
|
||
> > 用户所属组1 → 读
|
||
> >
|
||
> > 用户所属组2 → 写
|
||
> >
|
||
> > 用户权限 → 读+写
|
||
|
||
2. 权限的拒绝(拒绝大于一切、拒绝优先)
|
||
|
||
- Administrator用户在NTD的文件夹中创建03.txt,在03.txt的文件中输入“33333”,右击03.txt
|
||
|
||
1. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选允许读取权限 → 添加用户所属组 → 勾选拒绝读取权限
|
||
|
||
普通用户登录双击03.txt拒绝访问
|
||
|
||
2. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选拒绝读取权限 → 添加用户所属组 → 勾选允许读取权限
|
||
|
||
普通用户登录双击03.txt拒绝访问
|
||
|
||
| 组1 | 组2 | 组3 |
|
||
| --------------------------------- | --------------------------------- | ------------------------------------------------------------ |
|
||
| 用户 → 读<br/>用户所属组 → 拒绝读 | 用户 → 拒绝读<br/>用户所属组 → 读 | 用户所属组1 → 读<br/>用户所属组2 → 读<br/>……<br/>用户所属组99 → 读<br/>用户所属组100 → 拒绝读 |
|
||
| 用户权限 → 拒绝读 | 用户权限 → 拒绝读 | 用户权限 → 拒绝读 |
|
||
|
||
3. 权限继承
|
||
|
||
1. 继承
|
||
|
||
- 默认下级继承上级目录的权限
|
||
|
||
> Administrator用户创建文件夹tedu → 右击tedu的文件夹 → 属性 → 安全 → 编辑 → 添加普通用户完全控制权限
|
||
>
|
||
> 在tedu的目录中创建01.txt,右击01.txt → 属性 → 安全 → 查看是否有普通用户的完全控制权限
|
||
|
||
2. 取消继承
|
||
|
||
> 右击01.txt → 属性 → 安全 → 高级 → 禁用继承 → 在弹出的提示中选择第一个-确定
|
||
>
|
||
> → 编辑 → 选择普通用户 → 取消完全控制的勾选仅留读权限 → 确定
|
||
|
||
3. 强制继承
|
||
|
||
- 右击tedu的目录 → 属性 → 安全-高级 → 勾选禁用继承下的复选框 → 是 → 确定
|
||
|
||
|
||
|
||
> 下级取消继承后上级目录可以强制继承,上级目录强制继承后下级目录还可以再次取消继承
|
||
|
||
### 三、安全基线
|
||
|
||
- 为了满足安全规范要求,服务器必须要达到的最低安全标准
|
||
- 参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》
|
||
- 操作系统安全基线
|
||
|
||
1. 作用
|
||
- 设置口令复杂策略,防止暴力破解密码
|
||
- 控制用户的文件权限,减少被攻击后的影响
|
||
- 最小化安装操作系统,防止不必要的服务带来的安全问题
|
||
2. 安全配置
|
||
- 用户管理
|
||
- 密码策略
|
||
- 共享管理
|
||
- 文件权限管理
|
||
- 用户权限管理
|
||
- 日志审核管理
|
||
- 远程管理
|
||
|
||
### 四、本地安全策略
|
||
|
||
1. 本地安全策略:为保护计算机资源而配置的规则
|
||
|
||
2. 打开本地安全策略
|
||
|
||
- 开始菜单 → windows管理工具 → 本地安全策略
|
||
- 控制面板 → 管理工具 → 本地安全策略
|
||
- 运行 → secpol.msc
|
||
|
||
3. 本地安全策略主要包含
|
||
|
||
1. 帐户策略
|
||
- 密码策略
|
||
- 帐户锁定策略
|
||
2. 本地策略
|
||
- 审核策略
|
||
- 用户权限分配
|
||
- 安全选项
|
||
|
||
4. 密码策略
|
||
|
||
- 密码必须符合复杂性要求:复杂密码满足条件,英文小写、大写、数字、特殊符号,四个条件取其三。
|
||
- 密码长度最小值:取值范围0-20,0表示长度无限
|
||
- 密码最长使用期限:默认42天,取值范围0-999,0表示永不过期
|
||
- 密码最短使用期限:取值范围0-998,默认0表示无限制,随时可更改密码
|
||
- 强制密码历史:默认0表示历史曾经用过的密码可以随便使用,取值范围0-24
|
||
|
||
> **https://www.security.org/how-secure-is-my-password/**
|
||
|
||
5. 帐户锁定策略
|
||
|
||
1. 帐户锁定阈值:配置用户输入错误密码的次数,取值范围0-999,默认0表示不锁定帐户
|
||
2. 帐户锁定时间:帐户锁定多长时间自动解锁,单位分钟,取值范围0-99999,0表示管理员手动解锁
|
||
3. 重置帐户锁定计数器:清除所输入的错误密码的次数(用户输入错误密码开始计时,当该时间超时,计数器重置为0)
|
||
|
||
6. 审核策略
|
||
|
||
1. 启用审核策略=安监控
|
||
|
||
2. 事件查看器=监控服务器存数据
|
||
|
||
> 清除日志:控制面板 → 管理工具 → 事件查看器 → windows日志 → 右击安全 → 清除日志
|
||
|
||
3. 启用审核帐户管理
|
||
|
||
> 本地安策略 → 本地策略 → 审核策略 → 双击审核帐户管理 → 勾选成功与失败
|
||
|
||
4. Administrator修改普通用户名
|
||
|
||
> 控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标的事件内容
|
||
|
||
7. 用户权限分配
|
||
|
||
1. 更改系统时间
|
||
|
||
> 普通用户注销登录更改系统时间提示输入administrator密码
|
||
>
|
||
> 本地安全策略 → 本地策略 → 用户权限分配 → 双击更改系统时间添加普通用户
|
||
|
||
2. 关闭系统
|
||
|
||
> 本地安全策略 → 本地策略 → 用户权限分配 → 双击关闭系统 → 添加普用户
|
||
|
||
3. 允许本地登录
|
||
|
||
> - 验证:
|
||
>
|
||
> 允许本地登录删除users
|
||
>
|
||
> 本地安全策略 → 本地策略 → 用户权限分配
|
||
>
|
||
> 双击允许本地登录-删除users
|
||
>
|
||
> 注销验证普通用户本地登录
|
||
>
|
||
> 验证允许普通用户本地登录
|
||
>
|
||
> 拒绝本地登录
|
||
>
|
||
> 拒绝从网络访问这台计算机
|
||
|
||
4. 安全选项
|
||
|
||
- 交互式登录:试图登录的用户消息标题
|
||
- 交互式登录:试图登录的用户消息文本
|
||
- 交互式登录:无须按ctrl+alt+delete
|
||
- 交互式登录:不显示上次登录
|
||
- 交互式登录:提示用户过期之前更改密码(默认5天)
|
||
- 帐户:使用空密码的本地帐户仅允许控制台登录
|
||
- 关机:允许系统在未登录的情况下关闭
|
||
|
||
### 五、Windows帐户加固
|
||
|
||
1. Windows帐户的加固方法
|
||
|
||
- 定期检查可疑帐户,尤其是administrators成员
|
||
- Administrator改名,设置复杂密码
|
||
- Administrator禁用,新建用户加入管理员组
|
||
- 不显示上次登录(本地安全策略 → 本地策略 → 安全选项)
|
||
|
||
2. 查看windows用户
|
||
|
||
1. 命令行查看用户net user
|
||
|
||
2. 注册表查看用户
|
||
|
||
- 运行- regedit(打开注册表)
|
||
|
||
> HKEY_LOCAL_MACHINE\SAM\SAM右击SAM-权限-添加administrator完全控制权限,F5刷新。
|
||
>
|
||
> HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看用户名
|
||
|
||
### 六、配置共享文件夹
|
||
|
||
1. 基础信息
|
||
|
||
1. 作用:实现文件通过网络访问
|
||
2. 优点:方便、快捷;不易受文件大小限制;共享访问权限控制
|
||
|
||
2. 准备共享环境
|
||
|
||
|
||
|
||
1. 配置win2019服务器IP地址:192.168.1.20/24
|
||
|
||
2. 配置win10客户端主机IP地址:192.168.1.10/24
|
||
|
||
3. Win10主机ping 192.168.1.20
|
||
|
||
4. Win2019服务器创建普通用户并配置密码,用户属性勾选用户不能更改密码
|
||
|
||
5. 创建新磁盘分区
|
||
|
||
> Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成
|
||
|
||
3. 创建共享文件夹
|
||
|
||
> E盘创建“E:\笔记”,在“笔记”的目录中创建DAY01.txt,DAY02.txt
|
||
>
|
||
> 右击“笔记” → 属性 → 共享 → 共享 → 用户选择everyone → 添加 → 共享 → 完成
|
||
>
|
||
> > everyone默认共享权限为读取
|
||
|
||
4. 客户端访问共享
|
||
|
||
> Win10主机 → 运行 → `\\192.168.1.20` → 根据提示输入用户名及密码 → 确定
|
||
|
||
- UNC路径访问共享的格式:
|
||
- `\\服务器的IP地址`
|
||
- `\\服务器名计算机名`
|
||
- `\\服务器的IP地址\共享名`
|
||
- `\\服务器名计算机名\共享名`
|
||
|
||
5. 通过映射网络驱动器访问共享
|
||
|
||
- Win10客户端主机 → 运行 → cmd
|
||
|
||
> `net use h: \\192.168.1.20\笔记`
|
||
|
||
- 常见错误:
|
||
|
||
- `C:\Users\amw>net use h:\\192.168.1.20\笔记`
|
||
|
||
报错:发生系统错误 67。找不到网络名。
|
||
|
||
错误原因:无空格
|
||
|
||
- `C:\Users\amw>net use h: \\192.168.1.20\`
|
||
|
||
报错:发生系统错误 67。找不到网络名。
|
||
|
||
错误原因:无共享名
|
||
|
||
- `C:\Users\amw>net use d: \\192.168.1.20\笔记`
|
||
|
||
报错:发生系统错误 85。本地设备名已在使用中。
|
||
|
||
错误原因:和本地已有盘符冲突
|
||
|
||
- 其他错误双斜杠方向错误、命令错误net use 不是net user
|
||
|
||
6. 创建隐藏共享
|
||
|
||
> 右击将要共享的文件夹 → 属性 → 共享 → 高级共享 → 勾选共享此文件夹 → 输入共享名$ → 确定
|
||
>
|
||
> 客户端访问隐藏共享: `运行-\\服务器IP\共享名$`
|
||
|
||
7. 配置共享名
|
||
|
||
> Win2019服务器创建“新建文件夹”并配置为共享,共享名为“mp5”
|
||
|
||
8. 共享管理
|
||
|
||
计算机管理 → 共享文件夹:
|
||
|
||
- 共享:快速查看本机所有共享(查看、创建、删除)
|
||
|
||
- 会话:查看访问共享的用户(查看、关闭)
|
||
|
||
- 打开的文件:查看访问的共享文件(查看、关闭)
|
||
|
||
- 管理型共享:系统默认自动创建的共享
|
||
|
||
> 例如:admin$、盘符$、IPC$(只有administrator才能访问)
|
||
|
||
### 八、练习
|
||
|
||
1. 配置FTP服务
|
||
|
||
> 配置IP:192.168.1.20、安装IIS并勾选FTP服务
|
||
>
|
||
> 运行 → diskmgmt.msc打开磁盘管理 → 创建新分区、在分区中创建:e:\ftp\DAY01.txt、e:\ftp\DAY02.txt
|
||
>
|
||
> 安装IIS-FTP服务
|
||
>
|
||
> 打开IIS管理 → 创建匿名访问ftp、配置仅读取
|
||
>
|
||
> 关闭win2019防火墙、配置win10主机IP:192.168.1.10、Ping 1921.68.1.20
|
||
>
|
||
> Win10主机ftp://192.168.1.20验证文件下载与上传
|
||
>
|
||
> 修改身份验证为基本:
|
||
>
|
||
> 双击FTP身份验证 → 禁用匿名身份验证 → 启用基本身份验证
|
||
>
|
||
> 双击FTP授权规则 → 双击允许所有用户-勾选读、写
|
||
>
|
||
> 创建普通用户
|
||
>
|
||
> Win10主机ftp://192.168.1.20验证文件下载与上传
|
||
|
||
2. 配置远程桌面连接
|
||
|
||
> WIN2019右击此电脑 → 属性 → 高级系统设置 → 远程 → 允许远程
|
||
> WIN10开始菜单 → windows附件 → 远程桌面连接 → 输入远程服务器IP地址 → 输入administrator用户名及密码
|
||
> 运行 → mstsc(发起远程桌面连接)
|
||
> 实现普通用户远程桌面登录
|
||
> Windows远程桌面协议 RDP,端口3389
|