Windows文件系统

Windows NTFS技巧

系统权限设置NTFS:

windows2000以后的操作系统引入了一种权限机制，以实现对计算机的分级管理，他使不同的用户有不同的权限，从而适应了更加严峻的安全状况和应用需求：New Technology File System。

在NTFS分区上，可以为共享资源、文件夹以及文件设置访问权限。

许可的设置包括两方面的内容：

1、允许哪些组或用户对文件夹、文件和共享资源进行访问；

2、获得访问许可的组或用户可以进行什么级别的访问。

3、访问许可权限的设置不但适用于本地计算机的用户，同样也适用于通过网络的共享文件夹对文件进行访问的网络用户。

4、应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。

NTFS限制目录访问：　　

常见危险程序的NTFS限制：

1、 net1.exe

net.exe user a a /add

# net.exe实际依托于net1.exe,将net1.exe禁用掉之后，net自然无法使用。

2、 cmd.exe -- 所谓的"黑窗口"

3、 tftp.exe -- 小型文件传输

4、 netstat.exe -- 查看网路连接情况

netstat -ano

5、 regedit.exe -- 注册表

6、 at.exe

at  21:00 shutdown -s -t 180

7、 attrib.exe -- 文件属性的修改

attrib +R +A +H +S d:/1.txt
# R 只读文件属性
# A 存档文件属性
# H 隐藏文件属性
# S 系统文件属性

8、 cacls.exe -- ntfs命令行模式 cacls

cacls D:\test /t /e /c /d username
cacls D:\test /t /e /c /g username:f
# /t 更改当前目录及其所有子目录中指定文件的ACL
# /e 编辑ACL而不替换
# /c 在出现拒绝访问错误时继续
# /d user 拒绝指定用户访问
# /g user:perm 赋予指定用户权限
#     R 读取
#     W 写入
#     C 更改
#     F 完全控制

9、 format.exe -- 格式化磁盘 format c:

10、netsh.exe -- 系统调试，可以修改系统的网关、IP地址等

Windows下常见目录的安全设置：

Windows WFP和EFS技巧

文件系统安全:

WFP的英文全称是Windows File Protection，即Windows 文件保护。他的主要功能是防止系统文件被不匹配的版本替换或是覆盖。在安装新应用程序时，由于不经意间采用了过时的dll(动态链接库)文件最容易使系统文件遭到破坏。

微软把windows安装光盘上的所有dll、exe、fon、ocx、sys、tff结尾的文件都加以保护。

备份在%SYSTEMROOT%/system32/dllcache文件夹下。

当WFP监控到这些文件被覆盖或替换后就要开始自己的工作了。

首先他会扫描可能有问题的文件，如果这些文件与备份文件夹内"原装"文件不符，WFP会把用备份目录下备份的文件还原。

如果该文件没有做备份，系统会提示你插入Windows的安装光盘以复原该文件。

攻击者可能会关闭WFP

1、点击运行-->开始，键入regedt32并回车。

2．找到【HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon】；

3、新建DWORD项，命名为SFCDisable;

4、在Hexadecimal项下输入键值为ffffff9d以关闭WFP；

5、重启使所作修改生效。

重启电脑后查看日志文件。在每次Windows启动后都会记录下WFP被关闭的情况。

EFS

-- EFS = Encrypting File System，加密文件系统。

-- EFS 对用户使透明的。

针对存储在NTFS磁盘卷上的文件和文件夹执行对用户透明的加密操作，说到对用户透明，是因为用户使用它加密的文件在访问时不会产生任何让你输入密码之类的操作，感觉和访问未加密文件没有区别。

公钥加密/私钥解密。

加密步骤：

1、对要加密的文件右键 -- 属性 -- 高级

2、选择"加密内容以便保护数据"。