第四章-数据安全PPT课件.ppt

第四章数据安全 本章描述 在Windows系统中 对于用户而言 最重要的就是数据的安全 数据的安全主要是文件和文件夹的安全 我们可以通过设置用户对文件和文件夹的访问权限来进行设置 文件夹具有共享权限 文件夹和文件都具有NTFS权限 在实际应用中 往往需要两者共同作用来实现对文件和文件夹的保护 2020 3 18 1 在保证系统安全的同时 我们不能忽略数据的安全 因为很多人使用计算机都是用于工作的 要处理工作中用到的大量的数据 对于这些人来说 计算机就是一个最基本的工具罢了 丢失或者损坏可以接受 但数据的损失是不可接受的 在保证安全的操作系统的同时保护好自己的数据安全是十分有必要的 2020 3 18 2 4 1数据安全标准 本章通过5个子任务即设置NTFS权限 共享文件夹权限 文件的审核 磁盘配额的设置和EFS文件系统加密保护设置等内容 用户应该达到如下数据安全标准 1 会通过设置文件和文件夹的NTFS权限 限制用户对数据的访问2 会通过设置共享文件权限及与NTFS的共同作用 实现对文件和文件夹的保护3 会根据需求设置文件的审核权限4 能够设置用户磁盘配额 从而防止用户随意放置大量的无用数据5 会设置文件的EFS文件系统加密和解密技术 2020 3 18 3 4 2设置NTFS权限 任务描述1 基于NTFS分区的文件系统具有NTFS文件权限和文件夹权限 认识NTFS文件和文件夹的权限 并为文件和文件夹设置其NTFS权限 从而保证文件的访问安全 如何设置文件和文件夹的NTFS权限呢 技能要求 为不同的用户设置相同或不同的文件和文件夹的访问读取权限 理解多重NTFS权限同时设置后 用户对文件和文件夹访问权限的不同 2020 3 18 4 在NTFS分区中 设置权限要注意两个问题 1 操作系统的版本 只有windows7专业版 企业版 旗舰版才可以设置访问权限 2 要按照新建账户 所有使用本机的人创建各自独立的用户账户 因为只有每个人使用自己的账户 才可以有效地控制访问 该列表记录了每一用户和组对该资源的访问权限 在Windows7的NTFS权限作用下 用户必须获得明确的授权才能访问相应的文件和文件夹 2020 3 18 5 4 2 1NTFS权限概述 NTFS权限分为标准NTFS权限和特殊NTFS权限两大类 1标准NTFS权限对于文件 标准NTFS权限分别为 读取 写入 读取和运行 修改 完全控制 对于文件夹 标准NTFS权限分别为 读取 写入 列出文件夹目录 读取和运行 修改 完全控制 2020 3 18 6 4 2 2多重NTFS权限 权限的累加用户对资源的有效权限是分配给该个人用户帐户和用户所属组的所有权限的总和 如果用户对文件具有 读取 权限 该用户所属的组又对该文件具有 写入 的权限 那么该用户就对该文件同时具有 读取 和 写入 的权限 2020 3 18 7 假设情况如下所示 有一个文件叫FILE USER1用户属于GROUP1组 USER1对文件FILE的权限为读取 组GROUP1对FILE文件的权限为写入 如图4 3所示 那么USER1对文件FILE的权限为 读取 写入 2020 3 18 8 权限的累加 2020 3 18 9 文件权限高于文件夹权限 意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权 假设你们能够访问一个文件 那么即使该文件位于你们不具有访问权限的文件夹中 你们也可以进行访问 前提是该文件没有继承它们所属的文件夹的权限 举例如下 假设你们对文件夹FOLDER没有访问权限 但是该文件夹下的文件FILE TXT没有继承FOLDER的权限 也就是说你们对FILE TXT文件是有权限访问的 只不过你们无法用资源管理器之类的东西来打开FOLDER文件夹 你们无法看到文件FILE而已因为你们对FOLDER没有访问权限 但是你们可以通过输入它们的完整的路径来访问该文件 比如你们可以用c folder file txt来访问FILE文件 假设在C盘 2020 3 18 10 拒绝权限高于其他权限 拒绝权限可以覆盖所有其他们的权限 甚至作为一个组的成员有权访问文件夹或文件 但是该组被拒绝访问 那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件 也就是说上面第一点的权限累积原则将失效 举例说明如下 假设情况如下 有一个文件叫FILE USER1用户属于GROUP1组 USER1对文件FILE的权限为读取 组GROUP1对FILE文件的权限为拒绝如图4 4所示 那么USER1对文件FILE的权限为 拒绝 也就是无法访问文件FILE 2020 3 18 11 拒绝原则与累加原则并存 2020 3 18 12 那么USER1对文件FILE的权限为 读取 根据累计原则 USER1对文件FILE有 读取 写入 权限 但是由于USER1所属的GROUP2组被拒绝写入 所以就只剩下 读取 权限了 2020 3 18 13 4 2 3NTFS权限继承 NTFS权限具有继承性 默认情况下 授予父文件夹的权限将被包含在该父文件夹下的子文件夹或文件所继承 也可以说文件或文件夹默认继承分区或父文件夹的权限 并且继承来的权限不能直接设置和修改 2020 3 18 14 4 2 4获取所有权 在目标对象上单击鼠标右键 选择 属性 打开 属性 对话框 打开 安全 选项卡单击 高级 按钮 打开 高级安全设置 对话框 打开 所有者 选项卡 随后可以看到单击 编辑 按钮 选择 其他用户和组 并选中 替换子容器和对象的所有者 设置好后单击 确定 按钮 这样 所有者就可以访问文件夹了 2020 3 18 15 4 2 5复制和移动文件夹对权限的影响 同一个NTFS分区内或不同NTFS分区之间移动或复制一个文件或文件夹时 该文件或文件夹的NTFS权限会发生不同的变化 在同一个NTFS分区内移动文件或文件夹 在同一分区内移动的实质就是在目的位置将原位置上的文件或文件夹 搬 过来 因此文件和文件夹仍然保留有在原位置的一切NTFS权限 准确的讲就是该文件或文件夹的ACL不变 在不同NTFS分区之间移动文件或文件夹 在这种情况下文件和文件夹会继承目的分区中文件夹的权限 ACL 实质就是在原位置删除该文件或文件夹 并且在目的位置新建该文件或文件夹 在同一个NTFS分区内复制文件或文件夹 在这种情况下复制文件和文件夹将继承目的位置中的文件夹的权限 在不同NTFS分区之间复制文件或文件夹 在这种情况下复制文件和文件夹将继承目的位置中的文件夹的权限 2020 3 18 16 权限的设置需要我们进行大量的练习 因为只有这样 才可以充分了解不同权限项目的作用 以及权限的应用方式 不过 在设置权限时 应注意以下几点 1 通常情况下 尽量对文件夹设置权限 而不是对其中的某个文件设置权限2 在设置权限的时候 尽量针对用户或组具有某种权限 将其从权限列表中删除即可 一般情况下不需要添加明确的拒绝权限 3 对象的权限是通过SID控制的 而非用户名 例如 如果创建了一个用户 为该用户给某个对象设置了权限 再删除该用户 然后使用同样的用户名和密码重建用户后 新建的同名用户并不能直接获得之前分配的任何权限 2020 3 18 17 4 3设置文件权限 任务描述2 在用户从网络访问某个文件时 必须设置文件的共享权限 当共享权限与NTFS权限一起设置时 用户访问文件和文件夹的权限不同 由文件夹的共享权限与NTFS权限共同作用的结果决定 在设置时必须单独设置共享权限与NTFS权限 如何进行权限的设置呢 技能要求 共享文件夹权限与NTFS权限的结合使用 2020 3 18 18 4 3 1共享文件夹的权限设置 选择要共享的文件夹 右击并选择快捷菜单中的 属性 选项 打开文件夹属性 如software属性 对话框 如图4 14 选择 共享 单选按钮设置为简单共享 家庭网或者局域网的设置 选择 高级共享 并在 共享名 文本框中设置一个共享名称 并添加可以访问的用户 单击 权限 按钮 显示 software的权限 对话框 在 组或用户名称 列表框中显示了拥有访问共享文件夹权限的用户 在权限列表中显示了可以设置的权限 单击 添加 按钮 显示 选择用户 计算机或组 对话框 在 输入对象名称来选择 文本框中键入允许访问此共享文件夹的用户 如JS1用户 单击 确定 按钮 用户被添加到 共享权限 选项卡 2020 3 18 19 4 3 2共享文件夹权限与NTFS权限 如果是设置文件从网上访问 必须设置共享文件夹权限 单独设置NTFS权限是没有用的 如果在工作组坏境下还要同时还要开启GUEST账户 如果设置了共享文件的权限 同时也设置了NTFS权限 这时取两个权限的交集 即最小权限 如果从网络登录共享文件或文件夹 将会遇到两道关卡 共享权限和NTFS权限 只有当两个权限都开启时 用户才具备访问文件或者文件夹的权限 只要有一方没有开启 权限就不会起作用 这样可以很好的维护文件系统的安全性 2020 3 18 20 例如 某公司有技术部 市场部 办公室三个部门 各个部门下有各自存放的文件 技术部有JS1和JS2两个用户 市场部有SC1 SC2两个用户 办公室有ms和jl两个用户 要求经理 管理员 对所有部门的文件都具有完全控制的权限 各部门对自己的文件具有读写的权限 对其他部门文件具有读的权限 现在以技术部为例来说明权限的设置 即赋予JS1和JS2两个用户对 技术部 文件夹可以进行读写的权限 赋予经理 管理员 完全控制的权限 而JS1和JS2两个用户对 市场部 和 办公室 文档的权限是只读权限 下面是以用户JS1为例来说明具体的实现和验证过程 2020 3 18 21 4 3 3网络资源访问 设置资源共享的一般步骤为 设置共享文件夹 设置共享权限 设置NTFS权限 通过网络访问 1 通过 网上邻居 访问2 通过使用UNC路径访问3 通过 映射网络驱动器 2020 3 18 22 4 3 4配置用户权限 在为用户组指定权限时 有以下两点需要注意 1 权限是叠加的用户可以同时属于多个用户组 用户所拥有的权限 是其所属组权限的总和 对组指派的用户权限应用到该组的所有成员 在它们还是成员的时候 如果用户是多个组的成员 则用户权限是累积的 这意味着用户有多组权限 2 拒绝权限优先无论用户在其他组拥有怎样大的权限 只要其所属组中有一个明确设置了 拒绝 权限 那么该权限及其包含的权限也都将被拒绝 2020 3 18 23 4 3 5用户权限分配 基于安全考虑 推荐的用户权限设置如下 如果服务器是文件服务器 则允许Users组的用户访问 同时配合NTFS权限和文件共享权限进行控制 启用文件访问审核策略 2020 3 18 24 4 4设置文件审核 任务描述3 设置文件和文件夹的审核权限 对文件和文件夹的现有状态进行审核和追踪 随时查看当前用户对文件的操作状态 如何设置用户对文件的审核权限呢 技能要求 设置用户对文件和文件夹的审核权限 2020 3 18 25 1 设置审核对象2 设置审核项的应用范围3 设置审核4 查看审核记录 2020 3 18 26 4 5限制用户使用磁盘空间 任务描述4 当用户使用磁盘空间时 用户可以随意的放置一些大的文件吗 如何限制不同用户对磁盘空间的使用呢 技能要求 为不同用户分配不同的使用空间 2020 3 18 27 磁盘配额概述 作为管理员 当在某天收到系统报告 某个NTFS分区的磁盘空间不足 经检查 发现原来某个用户在共享给他们存放办公文件的文件夹中放进了很多视频文件 占用了大量的磁盘空间 如果想通过某种方法控制这种事情的再发生 可以采用NTFS文件系统内置的另一项功能 磁盘配额 2020 3 18 28 4 5 1配额 打开 Windows资源管理器 或者 计算机 选择要设定磁盘配额的驱动器 在选择的驱动器上右击 在弹出的快捷菜单中选择 属性 命令 弹出驱动器属性对话框 如图4 38所示选择 配额 标签 2020 3 18 29 打开 显示磁盘配额 选项卡 选中 启用配额管理 复选框 如图4 39所示 选中 拒绝将磁盘空间给超过配额限制的用户 复选框 当用户超过分配给他的配额时操作系统会拒绝用户向该驱动器上写入数据 在 将磁盘空间限制为 后的文本框中输入允许用户使用的最大空间量 在 将警告等级设置为 后的文本框中输入一个值 当用户使用的空间超过此值时操作系统会发出警告 然后单击 确定 按钮 完成为新用户启用磁盘配额 2020 3 18 30 4 5 2配额模板 EFS EncryptingFileSystem 加密文件系统 是Windows2000 XP所特有的一个实用功能 对于NTFS卷上的文件和数据 都可以直接加密保存 在很大程度上提高了数据的安全性 2020 3 18 31 4 6设置EFS文件保护 任务描述5 NTFS分区自带的有EFS文件和文件夹的加密保护功能 利用它 可以设置不同用户对不同文件的操作 保证文件和数据的安全 什么是EFS文件系统 如何实现EFS的加密保护呢 技能要求 设置EFS文件的加密和解密 2020 3 18 32 4 6 1EFS文件夹加密 EFS加密是基于公钥策略的 在使用EFS加密一个文件或文件夹时 系统首先会生成一个由伪随机数组成的FEK FileEncryptionKey 文件加密钥匙 然后将利用FEK和数据扩展标准X算法创建加密后的文件 并把它存储到硬盘上 同时删除未加密的原始文件 随后系统利用你的公钥加密FEK 并把加密后的FEK存储在同一个加密文件中 而在访问被加密的文件时 系统首先利用当前用户的私钥解密FEK 然后利用FEK解密出文件 在首次使用EFS时 如果用户还没有公钥 私钥对 统称为密钥 则会首先生成密钥 然后加密数据 如果你登录到了域环境中 密钥的生成依赖于域控制器 否则依赖于本地机器 EFS加密系统对用户是透明的 这也就是说 如果你加密了一些数据 那么你对这些数据的访问将是完全允许的 并不会受到任何限制 而其他非授权用户试图访问加密过的数据时 就会收到 访问拒绝 的错误提示 EFS加密的用户验证过程是在登录Windows时进行的 只要登录到Windows 就可以打开任何一个被授权的加密文件 2 EFS加密实现 2020 3 18 33 4 6 2EFS文件夹解密 证书的备份与还原EFS是一种公钥加密体系 因此 加密和解密操作都需要证书 也叫做密钥 的参与 如果其他人想共享经过EFS加密的文件或文件夹 又该怎么办呢 由于重装系统后 SID 安全标示符 的改变会使原来由EFS加密的文件无法打开 在目前的技术水平下 如果想要在缺少证书的情况下解密文件 几乎是不可能的 所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件 必须要进行备份证书 点击 开始 所有程序 附件 运行 菜单项 在出现的对话框中输入 certmgr msc 回车后 在出现的 证书 对话框中 图4 43 依次双击展开 证书 当前用户 个人 证书 选项 在右侧栏目里会出现以你的用户名为名称的证书 选择此证书 出现图4 44所示的 导出证书向导 界面 设置导出证书的文件名 导出私钥 导出文件的格式分别如图4 45 4 46 4 47所示 最后导出成功 如图4 48所示 2020 3 18 34 实训 Windows数据安全综合训练 2020 3 18 35 一 实训题目 设置文件的NTFS权限 实训目的 通过设置文件和文件夹的NTFS权限 确定用户最终的权限实训准备 Windows7环境实训过程 1 在D盘上创建一个文件夹test 在文件夹test内新建文件ab txt创建用户Manager学号 LocalUser1 要求 1 允许同时连接4个用户 2 将完全控制权限指定给用户 Administrator 和 Manager学号 3 用户 LocalUser1 对文件夹TEST具有只读权限 4 以Manager学号用户访问共享文件夹test 进行如下操作 打开test文件夹 新建文件夹 新建文件cd txt 打开文件cd txt 更改文件cd txt的内容 删除文件cd txt 是否成功 为什么 5 以LocalUser1用户访问共享文件夹test 进行如下操作 打开test文件夹 新建文件夹 打开文件ab txt 更改文件ab txt的内容 删除文件ab txt 新建文件cd txt 是否成功 为什么 实训总结 对本次课的实验内容进行总结 并做记录 2020 3 18 36 二 实训题目 设置文件权限 实训目的 理解文件夹的共享权限 并根据用户要求设置文件的权限 实训准备 Windows7环境实训内容 通过设置文件的共享权限和NTFS权限共同作用 理解文件和文件夹的最终权限 实训过程 1 在D盘上创建一个文件夹test 将该文件夹设为共享 在文件夹test内新建文件ab txt创建用户Manager学号 LocalUser1 要求 1 共享名为 network学号 2 允许同时连接4个用户 3 将完全控制权限指定给用户 Administrator 和 Manager学号 4 用户 LocalUser1 在任何时刻都不能更改此文件夹 5 分别通过 网上邻居 运行 对话框 浏览器 映射网络驱动器 的方式访问相邻计算机上所设置的共享文件夹 6 在相邻计算机上以Manager学号用户访问共享文件夹test 进行如下操作 打开test文件夹 新建文件夹 新建文件cd txt 打开文件cd txt 更改文件cd txt的内容 删除文件cd txt 是否成功 为什么 7 在相邻计算机上以LocalUser1用户访问共享文件夹test 进行如下操作 打开test文件夹 新建文件夹 打开文件ab txt 更改文件ab txt的内容 删除文件ab txt 新建文件cd txt 是否成功 为什么 在本机以LocalUser1登录系统 执行上述操作 并思考共享文件夹的共享权限 对于本机访问起作用吗 8 删除test文件夹的共享功能 试图通过其他计算机以上述4种方式 步骤2 访问test文件夹 是否能够成功 9 新建data文件夹 将data文件夹共享 共享文件名为test 并思考设置共享文件夹时 共享名是否必须与文件夹的名字一致 实训总结 对本次课的实验内容进行总结 并做记录 2020 3 18 37 三 实训题目 设置文件审核 实训目的