【网安第10课】NTFS权限
一.权限概念
不同的用户所在的组不同,不同的组拥有不同的权限
对文件夹和文件进行增,删,改,查,执行权限
二.文件系统
1.概念
文件系统是操作系统用于明确存储设备(常见的是磁盘,也有基于NAND Flash的固态硬盘)或分区上的文件的方法和数据结构;即在存储设备上组织文件的方法。
2.Windows常用文件系统
| 文件系统 | 核心特点 | 关键限制 | 适用场景 |
|---|---|---|---|
| FAT | 老旧、兼容性极好 | 单文件最大 4GB,无安全权限,无日志 | U盘、老设备、跨系统临时传输 |
| NTFS | Windows Server 标准,支持大容量、强安全权限、日志、加密、压缩 | - | Windows 系统盘及数据盘 |
| ReFS | 微软新一代,自动校验修复数据错误,容错性极强 | 不支持可移动介质,部分企业版才支持 | 服务器存储池、虚拟机、大规模数据存储 |
3.FAT文件系统
文件配置表(FAT)是微软开发的文件系统,后延伸至非NT内核的Windows操作系统。其核心通过文件分配表管理磁盘簇分配,早期设计优先考虑硬件兼容性,成为软盘、U盘等移动存储介质的通用格式 。FAT系统分为引导扇区、FAT表、根目录及数据区域,采用簇链结构存储文件 。
该文件系统历经FAT12、FAT16至FAT32的迭代:FAT12采用12位簇寻址,支持软盘等小型存储;FAT16扩展至16位簇地址,分区上限提升至2GB;FAT32使用32位簇地址理论支持8.7TB存储,但Windows系统限制格式化容量为32GB。其局限性包括不支持长文件名、单一文件最大4GB、缺乏权限控制机制及文件碎片化问题 。微软拥有VFAT和FAT32相关专利,影响跨系统兼容性 。
4.NTFS文件系统
NTFS(New Technology File System)是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。
5.ReFS文件系统
ReFS(弹性文件系统)是微软公司开发的新一代文件系统,最早发布于Windows Server 2012,旨在提供高数据可用性、完整性及超大规模存储支持。该系统通过元数据校验和、写入时分配事务模型确保数据一致性,并利用存储空间实现镜像或奇偶校验空间的自动修复功能,可处理PB级数据集且支持超大规模的卷、文件和目录。
6.NTFS压缩卷(实现分区)
第一步:选中想分的盘
第二步:打开计算机管理
第三步:选中盘之后,点击压缩卷
第四步:输入想分的空间大小
第五步:点击新建简单卷
第六步:点击下一步
第七步:继续下一步
第八步:可以选你要的盘的驱动器号
第九步:起卷标名字
第十步:点击完成
第十一步:完成
7.切换文件系统
1.格式化切换系统(里面的文件会丢失)
方法一:界面操作
方法二:命令操作
2.命令转换(里面的文件不会丢失)
conver 盘符: /FS:NTFS
注意:只能将FAT转换为NTFS
三.访问控制列表ACL
1.概念
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
1.ACL权限管理控制界面
在文件或文件夹属性里找到安全,可以查看用户或组对于这个文件或文件夹所拥有的权限,这就是ACL权限管理控制界面
2,NTFS权限的分类
| 权限名称 | 适用对象 | 说明 |
|---|---|---|
| 完全控制 | 文件夹、文件 | 最高权限,可执行所有操作(读取、写入、修改、删除、更改权限、获取所有权等 |
| 修改 | 文件夹、文件 | 可读取、写入、修改、删除,但无法更改权限设置 |
| 读取和执行 | 文件夹、文件 | 可查看内容、读取文件、运行应用程序;默认应用到对象及所有子对象 |
| 列出文件夹内容 | 仅文件夹 | 可查看文件夹内的子文件夹和文件名称;仅由文件夹继承,文件不继承 |
| 读取 | 文件夹、文件 | 可查看文件内容和文件夹属性,但不能修改任何内容 |
| 写入 | 文件夹、文件 | 可创建新文件和文件夹,可修改文件内容,但不能删除原有文件 |
| 特殊权限 | 文件夹、文件 | 自定义权限组合,当标准权限无法满足精细化需求时使用 |
编辑ACL
为这个文件夹添加/删除组和用户
四.权限规则
下图操作可看到用户或组对某个对象的权限
1.权限累加
用户对某资源的最终权限是该用户自身权限与其所属所有组权限的总和。例如,用户属于 A 组(读取权限)又属于 B 组(写入权限),则最终拥有读取 + 写入权限。
2.拒绝优先
"拒绝"权限永远优先于"允许"权限。只要用户或所属任一组被显式设置了拒绝某权限,即使其他组有该权限的允许设置,最终该权限也是拒绝的。
3.权限继承
新建的文件或文件夹会自动继承上一级目录的权限。从父级继承的权限在默认情况下不可直接修改,但可以取消继承后自行设置。
4.显式权限优先于继承权限
直接对文件或文件夹设置的权限(显式权限),优先级高于从父文件夹继承来的权限(继承权限)。
5.文件权限覆盖目录权限
当文件权限与所在目录权限发生冲突时,文件权限优先级更高。
五.特殊权限
| 特殊权限 | 说明 | 包含此权限的标准权限 |
|---|---|---|
| 遍历文件夹/执行文件 | 允许通过文件夹到达子文件夹(即使没有访问权限);允许运行可执行文件 | 完全控制、修改、读取和执行、列出文件夹内容 |
| 列出文件夹/读取数据 | 允许查看文件夹内的文件列表;允许读取文件数据 | 完全控制、修改、读取和执行、列出文件夹内容、读取 |
| 读取属性 | 允许查看文件或文件夹的基本属性(如只读、隐藏) | 完全控制、修改、读取和执行、列出文件夹内容、读取 |
| 读取扩展属性 | 允许查看文件或文件夹的自定义扩展属性 | 完全控制、修改、读取和执行、列出文件夹内容、读取 |
| 创建文件/写入数据 | 允许在文件夹内创建新文件;允许向现有文件中写入数据 | 完全控制、修改、写入 |
| 创建文件夹/附加数据 | 允许在文件夹内创建新的子文件夹;允许向现有文件末尾追加数据 | 完全控制、修改、写入 |
| 写入属性 | 允许修改文件或文件夹的基本属性 | 完全控制、修改、写入 |
| 写入扩展属性 | 允许修改文件或文件夹的自定义扩展属性 | 完全控制、修改、写入 |
| 删除子文件夹及文件 | 允许删除子文件夹和文件(即使对该子对象本身没有删除权限) | 完全控制 |
| 删除 | 允许删除当前文件或文件夹 | 完全控制、修改 |
| 读取权限 | 允许读取文件或文件夹的权限设置(ACL) | 所有标准权限 |
| 更改权限 | 允许修改文件或文件夹的权限设置(ACL) | 完全控制 |
| 取得所有权 | 允许获取文件或文件夹的所有权 | 完全控制 |
| 同步 | 允许不同线程等待文件或文件夹的信号,通常由系统自动处理 | 所有标准权限 |