目錄

一、NTFS安全權限

1、NTFS權限概述

2、文件系統概述

3、NTFS文件系統特點

4、修改NTFS權限

4.1、取消權限繼承（取消父子關系）

4.2、文件及文件夾權限

4.3、權限累加

4.4、拒絕最大

4.5、取得所有權

4.6、強制繼承

4.7、文件復制對權限的影響

二、文件共享服務器

1、共享服務器概述

2、創建共享

3、訪問共享

真機：win10中實現文件共享

4、創建隱藏的共享

5、訪問隱藏共享的方法

6、共享相關命令

7、屏蔽系統隱藏共享自動產生（見以下步驟）

7.1、打開注冊表

7.2、定位共享注冊表位置

8、查看本地網絡連接狀態

9、關閉445服務

---

一、NTFS安全權限

學NTFS安全權限的目的是給文件和文件夾設置權限

1、NTFS權限概述

① 通過設置NTFS權限，實現不同的用戶訪問不同對象的權限。（對象：文件和文件夾） ② 分配了正確的訪問權限后，用戶才能訪問其資源（資源就是所謂的對象，就是文件和文件夾） ③ 設置權限防止資源被篡改、刪除

2、文件系統概述

文件系統就是你這個磁盤分區的存儲格式（存儲文件的方式叫文件系統） 如果一個分區不建立文件系統，那么這個分區是無法存儲一丁點數據的。 大白話： 就是必須建立文件系統，怎么建立呢？就是我們在這個分區空地上“打格子”，這個格子是存儲文件的一個存儲單元，有了這個格子，這個分區才能存文件，這個格子就叫文件系統 什么叫格式化？ 格式化就是把所有分區的數據全部清除，重新在這塊分區上打格子 所以格式化翻譯成專業術語就等于制作文件系統，所以格式化的時候要選擇文件系統類型就是選擇格子的類型。格子有大小，一般NTFS格子最小是4KB FAT轉換為NTFS： convert 盤符: /fs:ntfs? ? ? #數據不丟失，但不可逆！ 文件系統即在外部存儲設備上組織文件的方法 常用的文件系統： ?FAT? ? windows? ? ?（文件分配表：File Allocation Table） ?NTFS windows? ? ?（NTFS：New Technology File System） ?EXT?? linux常見

3、NTFS文件系統特點

1. 提高磁盤讀寫性能 2. 可靠性 ? ? 加密文件系統 ? ? 訪問控制列表ACL（設置權限）【格式化是NTFS的分區，在這個分區里面存儲的文件才具備設置權限，如果是FAT就不能設置權限，一律平等】 ? ? 什么是訪問控制列表？當你想訪問某個用戶想訪問我這個文件的時候，我對你的行為要進行控制，這叫訪問控制。為什么叫列表呢？這個列表會顯示不同的用戶受到什么樣的控制。 3. 磁盤利用率 ? ? 壓縮 ? ? 磁盤配額 4. 支持單個文件大于4個G

4、修改NTFS權限

查看文件系統：選擇磁盤分區——》右鍵屬性查看

實驗：創建兩個用戶a，b對他們進行不同的權限管理（創建用戶過程省略）

1、選擇剛創建好的文件夾右鍵屬性——》安全——》查看ACL表

新建的用戶叫普通用戶，默認劃分到users組

灰色格子就是不能修改的意思

取消“父子關系”后：添加a，b兩個用戶

創建后，點擊a，b兩個用戶，分別設置權限

新建的兩個用戶對桌面是有完全控制權限的，因為桌面是它自己的東西，但是要進入別人的地盤就要有權限！！！

?

4.1、取消權限繼承（取消父子關系）

作用：取消后，可以任意修改權限列表了。 方法：文件夾右鍵屬性---安全---高級---去掉第一個對號--選擇復制即可（2008系統叫添加） （就是你和你父親要脫離父子關系了，復制就是留著父親給的資產也就是權限，刪除就是不留）

只要把父親的權限改一點點，后面都會同步

4.2、文件及文件夾權限

案例： 建立jimi文件夾，并設置NTFS權限，要求a用戶只能讀取文件夾中的文件，不能在jimi文件夾中創建新的文件，b用戶只 能在jimi文件夾中創建新的文件，不能讀取文件。

4.3、權限累加

當用戶同時屬于多個組時，權限是累加的！ 案例： 用戶a同時屬于IT組與HR組，IT組對文件夾jimi可以讀取，HR組可以對jimi文件夾寫入，則a用戶最終的權限為讀取和寫入。

4.4、拒絕最大

當用戶權限累加時，相同的權限，允許和拒絕權限碰撞，拒絕最大！ 案例： 用戶a屬于財務部組，財務部組成員為10個用戶，財務部組擁有對文件夾xxx訪問權限，現要求a用戶不能脫離財務部組， 同時要求a沒有訪問文件夾xxx的權限。

4.5、取得所有權

默認只有administrator有這個權限！ 作用：可以將任何文件夾的所有者改為administrator 案例： 用戶a已離職，但xxx文件夾的屬主是a，由于a用戶對xxx文件夾做過權限修改，導致其他用戶對xxx文件夾沒有任何權 限，現需要管理員administrator用戶將xxx文件夾重新修改權限

訪問控制列表ACL是很嚴格的，如果表中沒有管理員，連管理員也訪問不了，權限查看都查看不了，但是能取得所有權

方法：文件夾右鍵屬性——》安全——》高級——》所有者——》將所有者更改為管理員或管理員組（也可以更改為其他用戶或組）——》一定要把下面的“替換子容器及對象的所有者”那個選擇框勾選上！（就是把這個文件夾所有“子民”都改成我）——》確定

4.6、強制繼承

作用：對下強制繼承父子關系！（父親對兒子強制恢復關系，這種強制是無法拒絕的） 方法：文件夾右鍵屬性--安全--高級--勾上第二個對號（用在此顯示的可以應用到子對象的項目代替所有子對象的權限項目），即可！（瞬間讓所有文件權限統一） 案例： xxx文件夾下有多個子文件夾及文件，由于長時間的權限管理，多個子文件夾的權限都做過不同的權限修改，現需要xxx 下的所有子文件及文件夾的權限全部統一。

4.7、文件復制對權限的影響

文件復制后，文件的權限會被目標文件夾的權限覆蓋。（到了別人地盤上了，過繼給人家了） 移動文件，跨分區移動就會被覆蓋，同分區移動就保留

---

本章練習： 1.創建一個文件夾，實現Tom用戶只能創建新的文件，jack用戶只能讀取及下載文件 2.將用戶a加入到CEO組，且不能從該組中剔除,為文件夾jimi賦權限，要求ceo組可以完全控制jimi文件夾，但a不能訪 問該文件夾。 3.普通用戶創建文件，并設置權限，且未給管理員任何權限，管理員登錄系統后，能夠成功刪除該文件 4.練習強制繼承，并驗證成功性。

二、文件共享服務器

1、共享服務器概述

通過網絡提供文件共享服務，提供文件下載和上傳服務（類似于FTP服務器） 共享服務器的協議：CIFS協議（這個協議和FTP協議不一樣，FTP協議是全球通用的，但是CIFS是微軟開發的，就是在微軟電腦上最好用，linux雖然也能訪問，但是微軟更支持，微軟的全系系統都帶這個服務不需要額外安裝，換句話說，學完這個知識，兩個人傳資料不得非要用U盤，只要你們兩個在一個局域網，就可以通過這個服務互相共享。你只要把地址告訴他就行） 在公司里，一般對內共享用這個比較多，FTP用在對外共享。（不是絕對的）

2、創建共享

方法：文件夾右鍵屬性--共享--開啟共享--設置共享名（不建議用中文）--設置共享權限 注： 1）在本地登錄時，只受NTFS權限的影響 2）在遠程登錄時，將受共享及NTFS權限的共同影響，且取交集（最嚴格的部分）！ 3）所以建議設置共享權限為everyone完全控制，然后具體的權限需求在NTFS權限中設置即可。

3、訪問共享

在開始運行/或我的電腦地址欄中，輸入UNC地址：（兩根反斜杠加IP叫UNC地址） \\文件共享服務器IP \\文件共享服務器IP\共享名（不是文件夾名）此條命令直接進入共享文件夾

\表示路徑，\\表示網絡路徑
千萬千萬千萬要注意斜杠的方向！！！（反斜杠“\”）
別說什么正反了，記著混亂。就叫撇斜杠和捺斜杠！

本地NTFS權限僅限本地用戶登錄的控制，當用戶遠程登錄的時候受到共享權限和本地NTFS權限的共同影響，而且取交集（比如運行A共享權限為讀，本地NTFS權限為寫，取交集A遠程時什么權限都沒有） 這樣就太麻煩了，簡便方法：把本地設置為完全控制權限，取交集的時候遠程登錄選什么就取什么（設置共享權限在屬性——》共享里面，設置本地權限在安全里面） 判斷題： 服務器上有某文件夾：d:\feifei 服務器IP：10.1.1.1 共享名： f 以下哪種方式可以正常訪問該共享？ \\10.1.1.1\d\feifei（不關心在哪個盤，文件夾名是什么，只關心分享文件夾名） \\10.1.1.1\feifei \\10.1.1.1\d\f \\10.1.1.1\f? ? ?正確（√） 案例： 1.開2臺虛擬機，并互相ping通 2.設置2003為共享服務器，并在客戶機上可以訪問共享，要求aa賬戶只能下載，bb賬戶只能上傳，cc賬戶可以上傳下載 及刪除

真機：win10中實現文件共享

?

如果屬性里面沒有“共享”，可能是win10禁用了Server服務：解決方法services.msc啟動server服務

如果訪問不了，可能開著防火墻

4、創建隱藏的共享

方法：共享名$ 不告訴別人，別人就不知道

5、訪問隱藏共享的方法

\服務器IP\共享名$ \\10.0.0.3\jm$

6、共享相關命令

net share #列出共享列表（類比：net user是列出用戶列表? ? net localgroup是列出組列表） IPC$叫空連接（最不安全），最好把這個共享刪除。 寫下\\ip地址\c$再輸入你的密碼就可以查看你的資料了（這方便微軟進行遠程管理） net share 共享名 /del #刪除共享 net share c$ /del （只是暫時刪除——》但是每次開機后又會出現） 處理方法1：把net share c$ /del 寫進批處理，放到開始啟動菜單里面，每次啟動就會執行 處理方法2：修改注冊表，讓他每次開機不要自動生成 創建共享（用命令行）： net share 共享名=共享資源路徑 案例：共享C盤 net share c$=c:\

7、屏蔽系統隱藏共享自動產生（見以下步驟）

7.1、打開注冊表

如果我們把一臺電腦當中一個城市，注冊表就相當于這個城市的公安系統里面的某個部門（戶籍科）沒有登記就變成“黑戶”了，你每在這個電腦上裝一個軟件，這個軟件的相關信息放到注冊表里面去注冊。注冊表在C盤，雖然軟件安裝在別的盤，但是它的信息在C盤。

打開注冊表編輯器：regedit（注冊表不止一個文件，有N個，打開的是編輯器，只要通過編輯器編輯后臺的注冊表就行了）register?edit

?

7.2、定位共享注冊表位置

HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\ 右鍵新建REG_DWORD類型的AutoShareServer 鍵，值為 0（0就是關閉自動共享，1是開啟） Tips： 打開注冊表，按右箭頭展開，左箭頭關閉 隨便選擇一個文件，按一個字母，就會定位到以這個字母開頭的文件

8、查看本地網絡連接狀態

netstat -an

9、關閉445服務

可以通過關閉445端口來屏蔽病毒傳入（如勒索病毒等） 方法1：打開services.msc，并停止及禁用server服務 方法2：禁止被訪問445，配置高級安全防火墻-入站規則（在win7及以上系統，win2008及以上系統）【入站規則是限制別人訪問我，出站規則是限制我訪問別人】 如何添加入站規則？入站規則右鍵——》新建規則——》端口——》下一步——》445（UDP/TCP都要）——》阻止連接——》下一步下一步——》寫名稱 把本機（win10）的server服務也關閉 當時的勒索病毒就是從445端口傳進來的 關閉445后，打開cmd運行netstat -an依然有445，但是已經不起作用了 回顧： 3389是遠程桌面服務 23是telnet協議 445是文件共享服務

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。