Windows操作系統(tǒng)安全概述

1、Windows操作系統(tǒng)安全概述技術(shù)創(chuàng)新 變革未來知識體系2windows系統(tǒng)安全知識體知識域賬戶安全知識子域賬戶的基本概念文件系統(tǒng)安全日志分析賬戶風(fēng)險(xiǎn)與安全策略文件系統(tǒng)基礎(chǔ)知識NTFS權(quán)限設(shè)置系統(tǒng)日志的分類系統(tǒng)日志的審計(jì)方法知識域：操作系統(tǒng)安全知識子域：Windows系統(tǒng)安全機(jī)制理解Windows系統(tǒng)標(biāo)識與鑒別、訪問控制、用戶賬戶控制、安全審計(jì)、文件系統(tǒng)的安全機(jī)制和安全策略掌握Windows系統(tǒng)的安全配置方法Windows系統(tǒng)標(biāo)識與鑒別-安全主體安全主體類型用戶帳戶本地用戶域用戶組帳戶everyone組network組計(jì)算機(jī)服務(wù)Windows系統(tǒng)標(biāo)識與鑒別-安全標(biāo)識安全標(biāo)識符（Security

2、 Identifier，SID）安全主體的代表（標(biāo)識用戶、組和計(jì)算機(jī)賬戶的唯一編碼）范例：S-1-5-21-1736401710-1141508419-1540318053-1000Windows系統(tǒng)標(biāo)識與鑒別-用戶鑒別賬戶信息管理機(jī)制登錄驗(yàn)證本地登錄驗(yàn)證遠(yuǎn)程登錄驗(yàn)證Windows用戶身份鑒別帳號信息存儲（SAM:安全賬號管理）運(yùn)行期鎖定、存儲格式加密僅對system帳號有權(quán)限，通過服務(wù)進(jìn)行訪問控制Windows用戶身份鑒別：本地登錄GINA（Graphical Identification and Authentication:圖形化識別和驗(yàn)證)LSA（Local Security Auth

3、ority：本地安全授權(quán)）SAM賬戶信息庫 GINA LSAWindows系統(tǒng)身份鑒別：遠(yuǎn)程登錄遠(yuǎn)程登錄鑒別協(xié)議SMB（Server Message Block）:口令明文傳輸LM（LAN Manager）：口令哈希傳輸，強(qiáng)度低NTLM（NT LAN Manager）：提高口令散列加密強(qiáng)度、挑戰(zhàn)/響應(yīng)機(jī)制Kerberos：為分布網(wǎng)絡(luò)提供單一身份驗(yàn)證Windows系統(tǒng)訪問控制-ACL訪問控制列表（Access Control List，ACL）NTFS文件系統(tǒng)支持權(quán)限存儲流文件系統(tǒng)中自主訪問控制靈活性高，安全性不高Windows系統(tǒng)訪問控制-用戶賬戶控制用戶帳戶控制（User Account C

4、ontrol，UAC）完全訪問令牌標(biāo)準(zhǔn)受限訪問令牌Windows文件系統(tǒng)安全NTFS文件系統(tǒng)權(quán)限控制（ACL）文件、文件夾、注冊表鍵值、打印機(jī)等對象安全加密EFS(EFS(Encrypting File System )Windows內(nèi)置，與文件系統(tǒng)高度集成對windows用戶透明對稱與非對稱算法結(jié)合Bitlocker對整個(gè)操作系統(tǒng)卷加密解決設(shè)備物理丟失安全問題Windows系統(tǒng)審計(jì)機(jī)制Windows日志系統(tǒng)應(yīng)用程序安全設(shè)置應(yīng)用程序和服務(wù)日志應(yīng)用訪問日志FTP訪問日志IIS訪問日志W(wǎng)indows系統(tǒng)安全策略賬戶策略密碼策略賬戶鎖定策略本地策略審核策略用戶權(quán)限分配安全選項(xiàng)Windows系統(tǒng)安全配

5、置1、安全配置前置工作2、賬號安全設(shè)置3、關(guān)閉自動播放4、遠(yuǎn)程訪問控制5、本地安全策略6、服務(wù)運(yùn)行安全設(shè)置7、使用第三方安全增強(qiáng)軟件Windows安全設(shè)置1-前置工作安全的安裝分區(qū)設(shè)置：不要只使用一個(gè)分區(qū)系統(tǒng)補(bǔ)?。篠P+Hotfix補(bǔ)丁更新設(shè)置：檢查更新自動下載安裝或手動Windows安全配置2-賬號安全設(shè)置賬號安全設(shè)置系統(tǒng)賬號策略設(shè)置賬號安全選項(xiàng)設(shè)置賬號安全設(shè)置-保護(hù)賬號安全默認(rèn)管理賬戶administrator更名設(shè)置“好”的口令自己容易記、別人不好猜不安全口令實(shí)例：ZAQ!WSXzaq12wsx安全口令實(shí)例: WdSrS1Y28r!一句話“我的生日是1月28日!”Wdsrs1y28rWd

6、SrS1Y28r!稍作變形：單數(shù)字母大寫，最后加個(gè)感嘆號賬號安全設(shè)置-系統(tǒng)賬號策略密碼策略：避免系統(tǒng)出現(xiàn)弱口令密碼必須符合復(fù)雜性要求密碼長度最小值密碼最短使用期限密碼最長使用期限強(qiáng)制密碼歷史用可還原的加密來存儲密碼賬號安全設(shè)置-賬號鎖定策略賬號鎖定策略：應(yīng)對口令暴力破解賬號鎖定時(shí)間賬號鎖定閥值重置賬號鎖定計(jì)數(shù)器賬號權(quán)限控制-用戶權(quán)限分配用戶權(quán)限分配從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)管理審核和安全日志從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)賬戶權(quán)限控制-設(shè)置喚醒密碼設(shè)置喚醒計(jì)算機(jī)時(shí)的登錄密碼設(shè)置屏幕保護(hù)恢復(fù)時(shí)的登錄密碼Windows安全配置3-自動播放功能的威脅為方便用戶而設(shè)計(jì)惡意代碼借助移動存儲介質(zhì)傳播的

7、方式Windows安全配置-關(guān)閉自動播放關(guān)閉自動播放功能可以有效阻斷U盤病毒的傳播路徑Windows全配置4-遠(yuǎn)程訪問控制網(wǎng)絡(luò)訪問控制共享安全防護(hù)網(wǎng)絡(luò)訪問控制-防火墻設(shè)置確保啟用Windows自帶防火墻網(wǎng)絡(luò)訪問控制-防火墻高級配置出站規(guī)則入站規(guī)則連接安全規(guī)則監(jiān)視防火墻連接安全規(guī)則安全關(guān)聯(lián)共享安全防護(hù)-共享安全風(fēng)險(xiǎn)IPC$的安全問題（空會話連接導(dǎo)致信息泄露）管理共享風(fēng)險(xiǎn)(遠(yuǎn)程文件操作)普通共享的風(fēng)險(xiǎn)（遠(yuǎn)程文件操作）系統(tǒng)用戶列表用戶信息共享列表空會話連接共享安全防護(hù)-關(guān)閉管理共享空會話連接控制本地安全策略設(shè)置中對匿名訪問的限制關(guān)閉管理共享：修改注冊表HKEY_LOCAL_MACHINESystem

8、CurrentControlSetServicesLanmanServerParametersWindows安全設(shè)置5-本地安全策略審核策略用戶權(quán)限分配安全選項(xiàng)本地安全策略-安全選項(xiàng)管理工具本地安全策略安全設(shè)置本地策略安全選項(xiàng)交互式登錄：無須按Ctrl+Alt+Del，設(shè)置為已禁用交互式登錄：不顯示最后的用戶名，設(shè)置為已啟用設(shè)備：將CD-ROM 的訪問權(quán)限僅限于本地登錄的用戶，設(shè)置為已啟用本地安全策略-安全選項(xiàng)管理工具本地安全策略安全設(shè)置本地策略安全選項(xiàng)網(wǎng)絡(luò)訪問：不允許SAM賬號的匿名枚舉，設(shè)置為已啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享，刪除策略設(shè)置里的值網(wǎng)絡(luò)訪問：可匿名訪問的命名管道，刪除策略設(shè)置里

9、的值網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑，刪除策略設(shè)置里的值Windows安全配置6-服務(wù)運(yùn)行安全Windows服務(wù)（windows service)Windows服務(wù)程序是一個(gè)長時(shí)間運(yùn)行的可執(zhí)行程序，不需要用戶的交互，也不需要用戶登錄服務(wù)運(yùn)行安全設(shè)置-關(guān)閉不必要的服務(wù)關(guān)閉不需要的服務(wù)計(jì)劃任務(wù)遠(yuǎn)程操作注冊表控制服務(wù)權(quán)限System(本地系統(tǒng))Local ServiceNetwork ServiceWindows安全配置7-第三方安全軟件防病毒軟件安全防護(hù)軟件安裝防病毒軟件安裝病毒防護(hù)軟件惡意代碼是終端安全的最大威脅確保病毒防護(hù)軟件病毒庫更新病毒防護(hù)軟件主要工作機(jī)制：特征碼掃描開啟云查殺系統(tǒng)安全防護(hù)

10、軟件系統(tǒng)安全保護(hù)軟件影子系統(tǒng)主機(jī)入侵檢測Windows系統(tǒng)安全賬戶在操作系統(tǒng)中，賬戶是操作系統(tǒng)進(jìn)行權(quán)限管理的基本單元。用戶在windows系統(tǒng)中，用戶可以分為本地用戶和域用戶。而本地用戶與域用戶的不同就是本地用戶只能對本機(jī)有效，而域賬戶對整個(gè)安全域都是可以使用的。用戶組用戶組是由多個(gè)用戶組成的一個(gè)群體，這個(gè)群體對某個(gè)資源擁有相同的權(quán)限。賬戶安全Windows系統(tǒng)安全本地用戶組介紹用戶組賬戶描述Administrators該組用戶具有對服務(wù)器的完全控制權(quán)限，并且可以根據(jù)需要向用戶指派用戶權(quán)限。Backup Operators可以備份和還原服務(wù)器上的文件，無需考慮文件的權(quán)限，并且不能更改安全設(shè)置。

11、guests該組成員擁有一個(gè)在登錄時(shí)創(chuàng)建的臨時(shí)配置文件，在注銷時(shí)，該配置文件也被刪除。Enent log readers可以從本地計(jì)算機(jī)中讀取事件日志Power users該組成員可以創(chuàng)建、修改和刪除賬戶?？梢詣?chuàng)建本地組，然后在他們已創(chuàng)建的本地用戶組中添加或刪除用戶，也可以在power users、users和guests組中添加刪除用戶?？梢詣?chuàng)建共享資源并管理所創(chuàng)建的共享資源，不能取得文件的所有權(quán)、備份和還原目錄、加載或卸載設(shè)備驅(qū)動程序、或者管理安全性以及日志users該組的成員可以執(zhí)行一些常見任務(wù)，如運(yùn)行應(yīng)用程序、使用本地和網(wǎng)絡(luò)打印機(jī)及鎖定服務(wù)器，用戶不能共享目錄或創(chuàng)建本地打印機(jī)。默認(rèn)情況

12、下，domain users、Authenticated users、inteeractive是該組的成員，所以在域中創(chuàng)建的任何用戶賬戶都成為該組的成員Remote desktop users可以遠(yuǎn)程登錄服務(wù)器Windows系統(tǒng)安全用戶賬戶管理在本地計(jì)算機(jī)中，用戶賬戶和用戶是相互對應(yīng)的，當(dāng)創(chuàng)建用戶帳戶時(shí)，應(yīng)賦予適當(dāng)?shù)牟僮鳈?quán)限。注：從用戶安全方面考慮，用戶需要在下次登錄時(shí)須更改密碼，在設(shè)置密碼時(shí)密碼必須符合復(fù)雜性和字符長度的要求賬戶安全Windows系統(tǒng)安全用戶賬戶啟用、禁用和刪除賬戶和用戶是本事是相互對應(yīng)的，如果新用戶加入，需要創(chuàng)建新的賬戶；如果有些賬戶暫時(shí)用不到，應(yīng)將賬戶禁用，以防被其他用戶

13、濫用；如果用戶完全脫離計(jì)算機(jī)或控制域，應(yīng)刪除對應(yīng)賬戶。賬戶安全Windows系統(tǒng)安全用戶組管理為了事件對用戶賬戶的統(tǒng)一管理，應(yīng)該為其創(chuàng)建相應(yīng)的本地用戶組。賬戶安全Windows系統(tǒng)安全Windows用戶安全策略空口令風(fēng)險(xiǎn)：用戶賬戶如果設(shè)置了空口令，其它用戶可以不需要任何技術(shù)手段進(jìn)入計(jì)算機(jī)，訪問瀏覽空口令用戶下的任何數(shù)據(jù)。弱口令或常用口令風(fēng)險(xiǎn)：非授權(quán)用戶借助輔助工具根據(jù)密碼庫或社工庫嘗試撞庫，獲取用戶口令，進(jìn)入系統(tǒng)訪問獲取任何數(shù)據(jù)。 賬戶安全Windows系統(tǒng)安全Windows用戶安全策略 為了防止用戶使用空口令、弱口令或常用口令，應(yīng)當(dāng)設(shè)置相應(yīng)的安全策略防護(hù)啟用密碼必須符合復(fù)雜性要求設(shè)置最短密碼

14、長度最小值設(shè)置密碼最短使用期限設(shè)置密碼最長使用期限啟用強(qiáng)制密碼歷史賬戶安全Windows系統(tǒng)安全Windows審核策略 審核策略是windows本地安全策略的一部分，當(dāng)用戶執(zhí)行某項(xiàng)操作時(shí)，審核日志都會逐一記錄。通過配置審核策略，系統(tǒng)可以自動記錄所有登錄到本地計(jì)算機(jī)的事件，通過記錄的事件日志，就能迅速判斷系統(tǒng)被外來者入侵或是試圖入侵。賬戶安全Windows系統(tǒng)安全Windows審核策略開啟建議審核登錄事件審核對象訪問審核過程跟蹤審核目錄服務(wù)訪問審核特權(quán)使用審核系統(tǒng)事件 審核帳號登錄事件審核賬戶管理賬戶安全Windows系統(tǒng)安全Windows用戶權(quán)限策略配置將部分安全功能設(shè)置權(quán)限，分配給特定的用戶

15、賬戶，可以做到重要權(quán)限的分散，減輕系統(tǒng)管理員的工作量，避免了個(gè)別用戶權(quán)限過高給系統(tǒng)帶來的威脅賬戶安全Windows系統(tǒng)安全用戶權(quán)限指派到組 為避免權(quán)限管理混亂，應(yīng)盡量將用戶權(quán)利指派到組，將需要獲得此權(quán)限的用戶添加到該組中?！伴_始”-“管理工具”-“本地安全策略”中打開“本地安全策略窗口”，雙擊要分配給組的用戶權(quán)限賬戶安全Windows系統(tǒng)安全NTFS權(quán)限概述NTFS是計(jì)算機(jī)上使用最多的文件系統(tǒng)，其主要特點(diǎn)是安全性高，便于對文件安全的統(tǒng)一管理，允許管理員為文件配置詳細(xì)的訪問控制權(quán)限。權(quán)限是指與計(jì)算機(jī)的文件或文件夾對象關(guān)聯(lián)的訪問規(guī)則，用于確定用戶是否可以訪問對象，可以執(zhí)行哪些操作。使用NTFS文件

16、系統(tǒng)，用戶可以實(shí)現(xiàn)對文件或文件夾的授權(quán)訪問，從而保證計(jì)算器存儲的安全。默認(rèn)情況下，只有授權(quán)的用戶才可以訪問文件系統(tǒng)安全Windows系統(tǒng)安全NTFS文件權(quán)限文件系統(tǒng)安全NTFS文件權(quán)限允許用戶完成的操作讀取讀取該文件和查看文件屬性、所有者及權(quán)限寫入覆蓋該文件，更改文件屬性和查看文件的所有者和權(quán)限讀取及運(yùn)行完成“讀取”權(quán)限所允許的操作；運(yùn)行應(yīng)用程序修改完成“寫入”權(quán)限和“讀取及運(yùn)行”權(quán)限所允許的操作修改和刪除文件完全控制完成其他所有NTFS文件權(quán)限所允許的操作更改權(quán)限和取得所有權(quán)Windows系統(tǒng)安全NTFS文件夾權(quán)限文件系統(tǒng)安全NTFS文件權(quán)限允許用戶完成的操作讀取查看該文件夾中的文件和子文件

17、夾查看文件夾的所有者、權(quán)限和屬性（如只讀、隱藏、存檔和系統(tǒng)）寫入在該文件夾內(nèi)新建文件和子文件夾更改文件夾屬性，查看文件夾的所有者和權(quán)限列出文件夾目錄查看該文件夾中的文件和子文件夾的名稱讀取及運(yùn)行完成“讀取”和“列文件夾目錄”權(quán)限所允許的操作；漫游各個(gè)文件夾，以便訪問其它文件和文件夾，即時(shí)該用戶沒有那些文件夾的權(quán)限修改完成“寫入”權(quán)限和“讀取及運(yùn)行”權(quán)限所允許的操作刪除文件夾完全控制完成其他所有NTFS文件權(quán)限所允許的操作更改權(quán)限，取得所有權(quán)和刪除子文件夾和文件Windows系統(tǒng)安全NTFS權(quán)限概述對于NTFS分區(qū)上的文件和文件夾，管理員可以通過NTFS權(quán)限限制不同用戶賬戶的訪問權(quán)限。NTFS權(quán)

18、限類型 顯式權(quán)限是系統(tǒng)創(chuàng)建對象時(shí)，默認(rèn)賦予用戶賬戶的訪問和操作權(quán)限 集成權(quán)限是從父對象傳播到當(dāng)前對象的權(quán)限。 繼承權(quán)限可以減輕管理權(quán)限的任務(wù)，并且確保給定容器內(nèi)所有對象之間權(quán)限的一致性。 默認(rèn)情況下，文件自動集成來自其付文件夾的NTFS權(quán)限設(shè)置文件系統(tǒng)安全Windows系統(tǒng)安全訪問控制列表 任意訪問控制列表：包含用戶和組的名稱列表以及其相對應(yīng)的權(quán)限 系統(tǒng)訪問控制列表：審核服務(wù)，包含對象被訪問的時(shí)間。訪問控制項(xiàng) 訪問控制項(xiàng)包含允許訪問和拒絕訪問兩種，其中拒絕訪問的優(yōu)先級高于允許訪問。訪問控制條目包含用戶或組的 SID 以及對象的權(quán)限。訪問控制項(xiàng)有兩種：允許訪問和拒絕訪問，其中拒絕訪問的優(yōu)先級高于

19、允許訪問。當(dāng)使用管理工具列出對象的訪問權(quán)限時(shí)，列表的排序是以文字為順序的，并不像防火墻的規(guī)則那樣由上往下的順次執(zhí)行，訪問控制條目中的權(quán)限是永遠(yuǎn)不會沖突的，并且拒絕訪問總是優(yōu)先于允許訪問的。文件系統(tǒng)安全Windows系統(tǒng)安全權(quán)限積累用戶對文件的最終權(quán)限是用戶指定全部NTFS權(quán)限和所屬組指定全部NTFS權(quán)限的總和。如用戶賬戶 隸屬于 B 組，并且該用戶本身C文件夾具有讀取權(quán)限，而其所在的用戶組 B C文件夾擁有寫入權(quán)限，所以最終用戶 A 對 C文件夾的的有效權(quán)限就是“讀取+寫入”文件系統(tǒng)安全A用戶讀取寫入B用戶組C文件file1file2NTFS分區(qū)讀取+寫入Windows系統(tǒng)安全文件權(quán)限優(yōu)先于文

20、件夾權(quán)限用戶只要擁有一個(gè)文件的權(quán)限，即便沒有訪問文件所在文件夾的權(quán)限，也可以訪問該文件如C文件夾下包含 Files1 和 Files2 兩個(gè)文件，C 的文件夾權(quán)限允許用戶 A寫入，但File2 的 NTFS 權(quán)限只允許用戶 A讀取，則此時(shí)用戶 A的有效權(quán)限就是對 C文件夾(包括 File1)的寫入權(quán)限和對 File2 的讀取權(quán)限.文件系統(tǒng)安全A用戶C文件file1file2NTFS分區(qū)讀取file2權(quán)限寫入讀取Windows系統(tǒng)安全拒絕權(quán)限優(yōu)先于其它權(quán)限在 Windows 系統(tǒng)的所有 NTFS 權(quán)限中，拒絕權(quán)限優(yōu)先于其他任何權(quán)限。即使用戶作為一個(gè)組的成員有權(quán)訪問文件或文件夾，一旦該用戶被設(shè)置了

21、拒絕訪問權(quán)限，則最終將剝奪該用戶可能擁有的任何其他權(quán)限。在實(shí)際使用中，應(yīng)當(dāng)盡量避免使用拒絕權(quán)限，因?yàn)樵试S用戶和組進(jìn)行某種訪問，要比設(shè)置拒絕權(quán)限更容易做到。文件系統(tǒng)安全A用戶寫入禁止file2寫入讀取C文件file1file2NTFS分區(qū)讀取+寫入GROUP BGROUP AWindows系統(tǒng)安全權(quán)限繼承文件和子文件夾從其父文件夾繼承權(quán)限，即管理員為父文件夾指定的任何權(quán)限，同時(shí)也適用于在該父文件夾中所包含的子文件夾和文件。如當(dāng)允許權(quán)限繼承時(shí)，為 Folder1 設(shè)置的訪問權(quán)限，將自動被傳遞給 File1、Folder2 和 File2。子文件夾 Folder2 和文件 File1、File2 將

22、自動取得為父文件夾 Folder1 設(shè)置的訪問權(quán)限NTFS權(quán)限繼承FOLDER1file1file2讀取+寫入U(xiǎn)SERS GROUPFOLDER2Windows系統(tǒng)安全禁止權(quán)限繼承可以禁止指定給一個(gè)父文件夾的權(quán)限被這個(gè)文件夾中所包含的子文件夾和文件繼承。當(dāng)禁止權(quán)限繼承時(shí)，為 Folder1 設(shè)置的訪問權(quán)限，將不被傳遞給 File1、Folder2 和 File2。NTFS權(quán)限繼承FOLDER1file1file2讀取+寫入U(xiǎn)SERS GROUPFOLDER2Windows系統(tǒng)安全設(shè)置NTFS文件夾權(quán)限使用管理員進(jìn)行權(quán)限設(shè)置操作取消everyone的所有權(quán)限文件系統(tǒng)安全Windows系統(tǒng)安全設(shè)置

23、NTFS文件夾權(quán)限指定高級權(quán)限更改權(quán)限取得所有權(quán)指定高級訪問權(quán)限文件系統(tǒng)安全Windows系統(tǒng)安全復(fù)制和移動對文件夾權(quán)限的影響在 NTFS 分區(qū)內(nèi)和 NTFS 分區(qū)之間復(fù)制或者移動文件、文件夾時(shí)，Windows 系統(tǒng)會將其作為新文件或文件夾，因此，會對源文件或文件夾的 NTFS 權(quán)限產(chǎn)生影響。在復(fù)制文件和文件夾時(shí)，必須擁有源文件夾的讀取權(quán)限，并且對目標(biāo)文件夾具有“寫入”權(quán)限。在移動文件或文件夾時(shí)，必須對目標(biāo)文件夾擁有寫入”權(quán)限，并且對源文件夾擁有“修改”權(quán)限。當(dāng)從一個(gè)文件夾向另一個(gè)文件夾復(fù)制文件或文件夾時(shí)，或者從一個(gè)磁盤分區(qū)向另一個(gè)磁盤分區(qū)復(fù)制文件或文件夾時(shí)，復(fù)制文件或文件夾會對 NTFS 權(quán)

24、限產(chǎn)生下述影響：當(dāng)在單個(gè) NTFS 分區(qū)內(nèi)復(fù)制文件夾或文件時(shí)，文件夾或文件的復(fù)制將繼承目的文件夾的權(quán)限。當(dāng)在 NTFS 分區(qū)之間復(fù)制文件夾或文件時(shí)，文件夾或者文件的復(fù)件將繼承目的文件夾的權(quán)限。當(dāng)將文件或文件夾復(fù)制到非 NTFS 分區(qū)(如 FAT32 分區(qū)或 FAT 分區(qū))時(shí)，因?yàn)榉?NTFS 分區(qū)不支持NTFS 權(quán)限，所以，這些文件夾或文件將丟失 NTFS 權(quán)限。文件系統(tǒng)安全Windows系統(tǒng)安全移動對 NTFS 權(quán)限的影響如下：當(dāng)在單個(gè) NTFS 分區(qū)內(nèi)移動文件夾或文件時(shí)，該文件夾或者文件保留其原來的權(quán)限。當(dāng)在 NTFS 分區(qū)之間移動文件夾或文件時(shí)，該文件夾或文件將繼承目的文件夾權(quán)限。當(dāng)在

25、NTFS分區(qū)之間移動文件夾或文件時(shí)，實(shí)際際是將文件夾或文件復(fù)制到新位置，然后，將其從原來的位置刪除。當(dāng)將文件或文件夾移動到非 NTFS 分區(qū)時(shí)，因?yàn)榉?NTFS 分區(qū)不支持 NTFS 權(quán)限，所以，這些文件夾或文件將丟失其 NTFS 權(quán)限。文件系統(tǒng)安全Windows系統(tǒng)安全審核功能可以跟蹤用戶對指定對象的詳細(xì)操作，并生成可供管理員查閱的事件日志，提供查看日志中安全事件的方法。這對于監(jiān)視非法用戶入侵以及危及系統(tǒng)數(shù)據(jù)安全性的嘗試是非常必要的。通常情況下，應(yīng)該被審核的最普通的事件類型包括：訪問對象，例如文件和文件夾用戶和組賬戶的管理員用戶登錄以及從系統(tǒng)注銷文件權(quán)限審核Windows系統(tǒng)安全審核策略指定

26、了要審核的與安全有關(guān)的事件的類別：文件權(quán)限審核審核事件潛在風(fēng)險(xiǎn)登錄/注銷失敗審核黑客暴力破解密碼登錄/注銷成功審核破解密碼登錄對特權(quán)的使用、用戶和管理、安全的更改策略、重新啟動、關(guān)機(jī)和系統(tǒng)時(shí)間的成功審核特權(quán)濫用對文件訪問和對象訪問事件的成功和失敗的審核，文件管理員對可疑用戶或組對敏感性文件讀寫訪問進(jìn)行成功和失敗的審核對敏感文件的不適當(dāng)訪問對文件訪問打印機(jī)和對象訪問事件的成功和失敗的審核。打印管理器對那些由可疑用戶或組訪問進(jìn)行成功和失敗的審核打印機(jī)的不適當(dāng)訪問為程序文件（exe和dll）的寫入訪問進(jìn)行的成功和失敗審核。成功和失敗的審核追蹤過程，執(zhí)行可疑程序，檢查意外修改程序文件和意外進(jìn)程創(chuàng)建的安

27、全日志病毒W(wǎng)indows系統(tǒng)安全每個(gè)對象都帶有一組安全信息或安全描述符。安全描述符部分指定了可以訪問對象的組或用戶，以及授予這些組或?qū)ο蟮脑L問類型(權(quán)限)。安全描述符中的這一部分稱為自由訪問控制列表(DACL)。 除了包含權(quán)限信息外，對象的安全描述符還包括審核信息。審核信息被稱為系統(tǒng)訪問控制列表(SACL)。SACL 特別指定了以下操作：訪問對象時(shí)要審核的組和用戶賬戶。對于每個(gè)組或用戶需要審核的訪問事件。修改文件就是個(gè)訪問事件的例子。基于對象的 DACL 中授予的每個(gè)組或用戶的權(quán)限的每個(gè)訪問事件的成功或失敗屬性。文件權(quán)限審核對象Windows系統(tǒng)安全共享文件夾權(quán)限具有以下特點(diǎn)：共享文件夾權(quán)限只適用于文件夾，而不適用于單獨(dú)的文件，并且只能為整個(gè)共享文件夾設(shè)置共享權(quán)限，而不能對該共享文件夾中的文件或子文件夾進(jìn)行設(shè)置。所以，共享文件夾權(quán)限不如NTFS 文件系統(tǒng)權(quán)限詳細(xì)。共享文件夾權(quán)限并不對直接登錄到計(jì)算機(jī)上的用戶起作用，它們只適用于通過網(wǎng)絡(luò)連接該文件夾的用戶，共享權(quán)限對直接登錄到服務(wù)器上的用戶是無效的。在 FAT/FAT32 系統(tǒng)卷上，共享文件夾權(quán)限是保證網(wǎng)絡(luò)資源被安全訪