NTFS文件系统的安全属性
在Windows平台上如果你使用的是类NT系统,比如Windows NT/2000/XP/2003……,你可以把你的磁盘分区的格式设置为NTFS,从而得到NTFS的安全属性。为什么我们有必要使用NTFS?怎么使用NTFS?这是本文要回答的问题。
FAT、FAT32文件系统是DOS、Window95/98/ME的产物,FAT是一种兼容性(这点也是因为其出现得很早)很强的文件系统,包括Linux等其它OS都支持FAT,如果你经常有需要在不同操作系统之间进行数据交换的必要,估计你也不是本文阅读的对象(因为你知道的比我更多了,呵)。
我们都知道目前病毒、木马、流氓软件之类的东东是让人深恶痛绝,作为FAT文件系统,你只有依赖于防毒、防木马等专用工具来抵御侵扰,因为我看到很多同事,在2000/XP/2003上也同样在系统内安装一大堆杀毒、杀木马之类的软件,我对此不持反对意见,因为在没有熟悉NTFS的安全属性之前,这些工具是必须的(因为现在办公环境没有INTERNET基本是不可能的)。我始终深信这一点:一个好的NTFS安全属性配置,应该可以让你不用安装任何的防杀毒或者查杀木马的软件。虽然我目前还必须安装杀毒软件。
使用杀毒软件的用户都知道,这是要牺牲计算机性能来换得的安全性,而且通常国内好些杀毒软件会令你的操作系统变得奇慢无比,这是最让我无法忍受的一点(因为我穷,用的PC性能都不是当前最好的,要被这些辅助性工具瓜分PC性能实在觉得很不划算)。
使用NTFS做安全属性配置,能够实现病毒的抵御,使系统处在病毒无法感染的环境下,同时由于NTFS是类NT系统与生俱来的,只是我们会不会使用的问题。当然,已经被感染的情况下,NTFS是不能帮你杀毒的,它只能抵御感染,NTFS不是杀毒工具,它只是一种具有安全属性的文件系统格式而已。
下面来说说,如何在类NT系统中获得NTFS分区。通常情况下,我们在安装Window时,它会提醒你,安装系统的盘是按什么格式(FAT32还是NTFS)进行格式化,如果你在安装的时候已经选择了NTFS,那么恭喜你,你已经跨入了安全防御的第一步。如果你没有选择成NTFS,或者需要把其它分区变成NTFS,不用担心,系统为你准备了工具convert命令,你可以在Windows已经运行的情况下,点击“开始”“运行”(快捷键 win+R)输入 cmd,回车之后我们来到命令行窗口,这时我们可以输入类似下面的命令:
Convert c: /FS:NTFS
如果你的C盘是系统盘,或者你要转换为NTFS的盘正在被使用(盘上有文件被打开),系统会提示你下次启动时,它会自动执行转换工作,如果你要转换的分区(分区在Bill的系统上就叫X盘啦)没有任何的使用,转换工作可以立即执行,这是无损的,不用担心数据会丢失。如果你用PQMagic进行分区格式转换,你自己要注意备份数据啊。还有建议你不要把NTFS反转成FAT,因为我被害过啊,转换不成,文件全搞丢了,是用的PQMagic,估计是当时功能有限,convert命令好像是不支持反转成FAT的,反正你可以试试,用软件就是这点好,可以多动手测试,不怕浪费只要你有时间,我老本行搞机械就不行啦,设计一个东西不行的话,那就是资金浪费啦,呵,题外话。
得到了NTFS的盘,我们就可以通过右健点击该盘上任意文件、文件夹甚至盘符你在属性对话框中你可以看到“安全”属性页(什么你没有看到安全页,那你肯定XP及以上系统而且使用了简单共享,请在资源管理器“工具”“文件夹选项”中“查看”页把“使用简单共享”这项的选择去掉就OK,还没有?那你是不是用了XP HOME版了啊?唉那我记得好像XP HOME对这一功能支持有限,用PRO吧!),会有类似于如下的画面:
图 安全属性页
看到了吧,名称列表框列出了所有当前对象的可访问对象(用户)列表,如果不在列表框的有可能不能访问该对象(如果没有添加Everyone);下面的权限内容也是我们研究的对象。在做进一步的设置之前我们先来说说NTFS的一些使用原则(纯属个人使用经验,不对的请使用指正)。
原则一,NTFS安全属性的拒绝权限优先于允许权限。也就是说,你同一个用户你在不同的两个组中,一个组你设置的允许删除,而另一个组你又设置拒绝删除,那么它的综合权限是拒绝删除。这一点你在设置拒绝的时候,往往系统会善意地提醒你,你需要知道这意味什么,因为如果你不小心为系统盘设置了everyone完全拒绝,那意味着什么呢?我没有做过测试,估计是系统没搞了,不过你级段够高的话,估计还是可以有办法来修正。我的经验告诉我,everyone不要做拒绝设置,除非你明白这是在干什么。
原则二,不要随意用管理员的身份登录使用系统。这里说的管理员并不是单纯地说是Administrator这个用户,而是在你的安全属性表中你给予了最大权限的用户。那……我岂不是很不自由?为了性能,而且你真正需要做系统维护(安装、卸载……)时间应该是很少的,建议你多用 run as。
我们在实际进行安全属性设置和使用系统时都应该牢记以上两点,安全意识你自己必须永不懈怠。要知道安全始于防范,再安全的系统,如果连维护使用者都不注意安全的话,根本不存在安全的系统,毕竟计算机不是人啊,她工作需要你为她指定路线。
说了这么半天,NTFS怎么防毒啊?别急下面的内容我就一步一步教你怎么把系统做到防毒、防木马、防……,防不了利用OS BUG的入侵(所以Bill才需要不断改进,不断地发补丁)。
通常情况下,我们最需要防的是系统盘的Winnt(2000)/Windows(XP/2003)和Program Files这两个文件夹,因为我们平常的活动基本集中在这两个文件夹中,虽然你感觉不到。一般病毒感染,也都往你Winnt和Winnt\System32下面作怪,要么生成文件,要么修改你的系统文件,在我遇到过的情况中,木马基本100%都往winnt及winnt\System32下面植入它的程序,病毒就比较泛滥,只要是EXE不管哪儿都有可能被感染,甚至不是EXE也一样感染。我们就以Winnt目录为例,其它就雷同了。
这里先作一些约定,系统盘是C:盘。先增加用户组 Public,BHS(你中意的名称啊)。再增加一个使用系统的用户darnis(你中意的名称呵,这是我的En. Name),他归属于 Power Users、BHS用户组,以后你就用 darnis这个用户登录系统了啊。进行权限设置时应确保你登录的用户具备设置该对象权限的权限,有点绕,反正你要有权限设置才能进行下面的工作。
通常情况下,如果是2000我们由FAT转成NTFS时,系统盘通常是everyone 完全控制,这意味着跟FAT差不多,还没有进行任何的安全限制。我们利用安全属性的继承性,先为整个系统盘定义一些共用的安全属性,通常我会把C盘上权限进行限制,然后在需要开放权限的文件或者文件夹上开放权限给特定的用户,这叫宁可错杀一千也不可放过一个,有点黑,。这安全属性要是可以导出来就好了,就是我还没有发现怎么导出来,我下面还是一个一个地贴一下安全属性,以便于你看清楚,怎么实施。
我们先把Administrators、System、Public、Power Users、BHS、Guests添加到用户列表中,看起来像下图所示。
图 C盘安全属性
这个对话框拉不长,名称列表里面还有Public和System以及Power Users。在这一页上我们可以预先进行一些权限设置,以方便我们细调。选中 Administrators 在权限中选中完全控制的允许项,System一样也是允许完全控制,把Guests和Public用户组的完全控制的拒绝项选中,这就意味着归属于Guests和Public用户组的用户不能访问C盘。下面为BHS用户组指定初步的权限把写入的拒绝项选中,选中读取及运行和列出文件夹目录、读取这三项的允许选中看起来就像下图。
图 BHS用户组的安全属性
这里everyone我们需要减少它的权限选项如下图所示。
图 everyone安全属性
再来设置Power Users的权限,如下图。
图 Power Users组权限
最新相关文章发表评论