NTFS文件系统的安全属性
这样初步的安全设置就可以了。哈,可以防毒了!…… 别急,还要继续这只是初步的。我们继续点击“高级…”按钮,进入安全属性的细部调整。
点击高级之后看起来就像下图。
图 安全属性高级对话框
这样子看起来是不是更人性化一些呢(呵,有锁标呢),这里面我们主要设置“权限”页的内容。需要做细调的在首先是BHS的拒绝属性。选中拒绝类型的BHS(就是前面有锁的那个BHS行啦),再点“查看/编辑”,这时看起来就像下图一样。
图 BHS用户组的权限详细情况
核对一下你的BHS拒绝权限是不是跟我这边一致,当然你也可以不一致,这里把创建文件/写入数据以及相关写入、删除等操作全部拒绝就是要防止当前使用系统的用户操作不会有意或者无意地破坏系统文件(因为你的登录用户归属于这个组)。
在BHS组的拒绝调整完成后,我们再来调整Power Users组的权限。调整后的Power Users组的权限看起来如下图所示。
图 Power Users组权限详细情况
Power Users组我们只设定允许权限,没有拒绝。
确认所有设置之后我们可以做一些简单的测试,看我们的权限设置是否成功。首先换登录用户为darnis,然后在C盘上新建一个目录,会得到如下图的提示。
图 新建目录测试结果
再来尝试删除一下文件,会得到如下图所示的提示。
图 删除文件测试结果
这样我们的目的结果达到,保护了C盘根目录的安全。这样就行了啊?这么简单?回答是别急,你再验证一下容易被病毒和木马感染的 Winnt和System32这两个目录。结果一样,恭喜你中奖了,实际上也许会不一样,跟没有设置安全属性一样,可以新建目录,可以删除文件。晕了,那是怎么回事?其实是这样,Bill出于系统管理的需要,通常会自己设定Winnt和Program Files以及 Documents and Settings的相关属性,以方便不同用户使用时的管理。我估计他是考虑到不同用户安装应用程序时会往Winnt及Program Files文件夹中拷贝或者更新文件,但是这是有安全隐患的,特别是现在的流氓软件根本你还不知道在安装它,结果就安装上了,汗死了,而且无法卸载。这里只需要做一些简单的设置你就可以把Bill为你“人性化”考虑的设置给同化掉。
右击Winnt目录,安全属性对话框跟C盘的看起来应该差不多,注意安全页的最下方多了一项选项“允许将来自父系的可继承权限传播给该对象”,同样的选项在高级框中也出现了。我们这一步在高级对话框中进行设置。这时我们把“允许将来自父系的可继承权限传播给该对象”勾选住,然后在权限项目列表中删除不必要的安全选项,实际上按拒绝优先的原则,我们可以不用管了,因为BHS的拒绝已经被从C盘的权限从“传播”到了C:\Winnt。在高级设置框中“允许将来自父系的可继承权限传播给该对象”的下面是“重置所有子对象的权限并允许传播可继承权限”把这个选项勾选住后,按“应用”,这时会出现下图所示的设置进程指示图。
图 重置所有子对象的权限进程指示
如果在应用过程中出现提示你可以按你实际情况进行回答,一般情况下为了保证安全被应用,都选择“继续”。
这样Winnt及子目录的所有权限都设置好了,再来做测试,你就会发现跟在C盘根目录下一样,都拒绝操作了。呵,至此,算是大功告成。其它需要增加安全性的地方,你再根据你自己的需要来增加安全设置,操作过程可以按上述的过程。
实际上,上述的操作都是为了规避恶意的代码在系统盘上留下作恶工具,也就起到了阻止病毒和木马入侵的作用。当然,黑客的攻击,也许这是不起作用的,因为他们利用了你操作系统的BUG,它可能取得系统的管理员权限,这时他是可以作任何事情的,所以你需要及时地打安全补丁,以避免遭受黑客的攻击。
防范是做好了,但是问题也来了。
1.我如何安装应用程序啊?
简单的答复是使用管理员登录进行安装,后再换回到普通用户进行使用。如果有些应用程序它有临时文件需要放到安装目录下,而安装目录又位于安全管制范围,那么你可以为它开放权限,简单的做法是从安全列表中删除 BHS 的安全控制(操作上应用先把“允许将来自父系的可继承权限传播给该对象”项取消选择,询问的时候选择“复制”,这样这后才可以删除)。这样这个用户又是从属于Power Users的,那么没有被拒绝(BHS没了),而允许又被开放(Power Users允许了),综合权限就是允许做相应的操作,如果你担心病毒侵扰,你可以再把执行文件单独设置拒绝权限,以达到不可侵扰的目的。
另外一些小的应用程序安装如果你嫌烦的话,你可以按住Shift键再右击安装程序的执行文件,你选择“运行方式……”,这时会弹出登录为对话框,这里你输入管理员帐号,这个安装过程就可以按管理员身份进行安装了。这种方式要有有效,需要系统服务中Run as 服务要在启动状态才行,通常情况下,也是启动的。
2.如果我重装了系统,以前我其它盘也设置了安全权限,这时以前的用户组全变成一串字符(SID)了,而且糟糕的是我只给他开放了权限,其它任何用户都不可访问,这该怎么办啊?数据很重要的!
关于这个问题你也不用担心。Bill为你考虑了很多,就是重新安装过的话,你可以使用管理员身份把这个文件或者文件夹先把所有权获取,再进行安全属性设置就可以了。当然如果你加了密,那……我没有那样做过,帮不了你,一般我也不会对一些文件进行加密,如果你的文件确实很机密,估计你会有其它的解决之道。
如何取得所有权?这也是通过安全属性页的高级对话框里面进行操作的。
图 安全属性之所有者
你选中Administrators再把下面“替换子容器及对象的所有者”选中,估计选中在应用的时候会有很多提示,如果最终执行不下去,你就可以一级一级(目录)地来,先把当前目录的所有者取到再确定之后,再来设置权限,设置的时候都把子容器选中,不行再重复,当然重复是指到下一级目录进行(别笨笨地只在当前目录做啊,根据提示来)。
如果已经是目录的所有者,那么你就可以重新设置它的权限。当然子目录有可能还不行,就按上面说的再递归操作吧,估计可以编个程序来做,不过我对WIN32API不熟,做不了呵。
3.如果中了毒,怎么也清不了病毒,连杀毒软件也清不了该怎么办啊?针对这一点我有另一篇说明,请参考Windows NT类系统中清除不能被杀毒软件清除掉的病毒文件的方法
最新相关文章发表评论