本地安全策略
本地安全策略影响本地计算机的安全设置
两种打开方式:
开始→Windows管理工具→本地安全策略
运行secpol.msc命令
1.帐户策略设置
A.密码策略:
密码必须符合复杂性要求
密码长度最小值
密码最长使用期限
密码最短使用期限
强制密码历史
用可还原的加密来储存密码
B.帐户锁定策略:
账户锁定阈值
账户锁定时间
重置账户锁定计数器
2.本地策略
A.审核策略
通过审核(auditing)可以让系统管理员来跟踪是否有用户访问计算机内的资源、跟踪计算机运行情况等。审核工作通常需要经过以下三个步骤:
启用审核策略:Administrators成员才有权限
设置将要审核的资源:必须有管理审核及安全日志权限的用户才可以审核资源,默认是 Administrators成员才有此权限。
查看安全日志文件:管理工具--事件查看器--windows日志--安全
案例1:审核策略更改行为
案例2:审核账户登录访问行为
案例3:审核系统事件行为
案例4:审核目录访问行为
B.用户权限分配:
允许本地登录、拒绝本地登录、允许用户直接在本台计算机上按ctrl+alt+del键、将工作站添加到域中、闭系统、更改系统时间.....
C.安全选项:
交互登录:无须按ctrl+alt+del键、不显示最后的用户名、提示用户密码过期前更改密码、试图登录的用户的消息文本、试图登录的用户的消息标题.....
动态硬盘
一、基本磁盘
分区类型:MBR、GPT
MBR:
硬盘分区,有三种:主分区,扩展分区,逻辑分区
MBR分区表中逻辑地址以32位二进制表示,所以最大只能表示2^32个地址,所以最大容量为2^32*512字节(默认每个扇区大小)=2048G
一个硬盘主分区至少有1个,最多4个,扩展分区可以没有,最多1个。且主分区+扩展分区总共不能超过4个。逻辑分区可以有若干个。
其中扩展分区不能直接用,必须用来分出逻辑分区,逻辑分区存活于扩展分区中。逻辑分区是扩展分区的一部分。
创建分区, 空间只能是同一块磁盘的空间。
windows支持五种类型的动态卷:简单卷、跨区卷、带区卷、镜像卷和RAID-5 卷。
简单卷:基本磁盘转化为动态磁盘后,所有的主分区和逻辑分区就变成了简单卷。
跨区卷:
跨区卷是一种由多个物理磁盘空间所组成的动态卷,创建跨区卷的步骤与创建简单卷一致,不同的是至少需要两个磁盘,每个磁盘的空间量可以不一样。
跨区卷的容量是组成跨区卷的所有磁盘空间的总和。
跨区卷的成员不能有系统卷和启动卷,跨区卷是把其他磁盘上的空余空间组合成一个比较大的逻辑卷,
也就是说把其他磁盘上未分配的空间组成一个跨区卷。存储信息时,跨区卷会先存储完其中一个成员的磁盘,再存储到下一个。
注意:删除成员分区时,所有的磁盘都会解散,数据将会消失。
带区卷(RAID-0)
以带区形式在两个或多个相同容量的物理磁盘上存储数据的卷。带区卷上的数据被交替、平均(以带区形式)地分配给这些磁盘,
带区卷是所有 Windows 系统中可用的卷中性能最佳的,但它不提供容错。如果带区卷上的任何一个磁盘数据损坏或磁盘故障,
则整个卷上的数据都将丢失。带区卷可以看作硬件RAID中的RAID0。
可以提高I/O性能
带区卷存储、读取数据效率更高。因为同时使用多块硬盘分别存储或读取数据。
镜像卷(RAID1):
在两个物理磁盘上复制数据的容错卷,容量是物理磁盘容量之和除以物理磁盘数量。它通过使用卷的副本(镜像)复制该卷中的信息来提供数据冗余,
镜像总位于另一个磁盘上。如果其中一个物理磁盘出现故障,则该故障磁盘上的数据将不可用,但是系统可以使用未受影响的
另一个磁盘继续操作。镜像卷可以看作硬件RAID中的RAID1。
RAID-5
RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。 RAID 5可以理解为是RAID 0和RAID 1的折中方案。
RAID 5可以为系统提供数据安全保障,RAID 5具有和RAID 0相近似的数据读取速度,只是多了一个奇偶校验信息,
写入数据的速度比对单个磁盘进行写入操作稍慢。同时由于多个数据对应一个奇偶校验信息,RAID 5的磁盘空间利用率要比RAID
1高,存储成本相对较低,是目前运用较多的一种解决方案。
RAID5的可用磁盘数为:n-1.
也就是说磁盘做RAID5后系统可使用容量为:单块磁盘容量*(n-1)
以四个硬盘组成的RAID 5为例,RAID 5不对存储的数据进行备份,而是把数据和与其相对应的奇偶校验信息存储到组成RAID5
的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据损坏后,
利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。
用简单的语言来表示,至少使用3块硬盘(也可以更多)组建RAID5磁盘阵列,当有数据写入硬盘的时候,按照1块硬盘的方式
就是直接写入这块硬盘的磁道,如果是RAID5的话这次数据写入会根据算法分成3部分,然后写入这3块硬盘,写入的同时还会
在这3块硬盘上写入校验信息,当读取写入的数据的时候会分别从3块硬盘上读取数据内容,再通过检验信息进行校验。当其中
有1块硬盘出现损坏的时候,就从另外2块硬盘上存储的数据可以计算出第3块硬盘的数据内容。
也就是说raid5这种存储方式只允许有一块硬盘出现故障,出现故障时需要尽快更换。当更换故障硬盘后,在故障期间写入的
数据会进行重新校验。 如果在未解决故障又坏1块,那就是灾难性的了。
文件共享服务
文件服务器作用
通过C/S结构提供资源的集中存储和访问
文件服务器功能
集中化管理
内容控制
高可靠性
搜索服务
共享和存储管理
为共享文件夹和存储资源提供集成和简化的管理
分布式文件系统(DFS)
使用户从一个入口访问位于多台计算机中的共享资源
通过网络连接多个服务器上的文件夹,提供容错、复制
文件服务器资源管理器
为文件夹或卷设置配额
屏蔽文件并生成报告
网络文件系统服务(NFS)
为混合系统平台提供文件共享
二、文件服务器配置
1.设置共享
“文件夹属性”---->“共享”选项卡
2.访问共享文件夹
具备访问共享文件夹权限的用户
访问方式:
\\IP地址
\\hostname
2、共享权限和NTFS权限
网络访问共享文件既受共享权限的影响 ,也受NTFS权限的影响。使用共享向导,在创建共享文件时会自动创建NTFS权限。
3、多次共享
一个文件夹可以使用不同的名称共享,共享权限可以设置的不一样。
4、设置匿名访问:
匿名访问表示任何人不需要用户名密码就可以访问到服务器共享的资源。
5、隐含共享
共享名+$
6、默认共享
共享权限不能改,管理员有完全控制权;
删除默认共享需要修改注册表。
7、访问共享资源的方式
网上邻居
映射网络驱动器
创建快捷方式
二、创建分布式文件系统(DFS)
1、DFS功能:实现资源的逻辑整合
2、实现两个服务器的文件夹数据同步
注意需要创建默认共享:net share d$=d:
3、文件服务器资源管理器
限制文件夹的大小,限制文件夹存放的文件类型。
在磁盘配额或者文件屏蔽配置时,定义的日志警告可在"事件查看器"
--->自定义视图--->管理事件中查看。
FTP服务
FTP(File Transfer Protocol,文件传输协议) 是 TCP/IP 协议组中的协议之一。工作模式为“FTP服务器/FTP客户端”。默认使用TCP端口中的 20和21这两个端口,其中20用于传输数据,21用于传输控制信息。
主要作用为:为用户提供上传和下载文件的服务
协议/应用程序、端口号(计算机常用端口号范围:1-65535)
每一个协议需要一个或多个端口支持,
对于计算机来讲,协议和端口就代表了我们用户所认识的"应用程序"
FTP服务/ftp协议,采用的是TCP的20、21号端口,20号端口用于数据传输,21号端口用于FTP连接、指令控制。
比如:通过浏览器访问网页,其实就是使用的http/https协议--->80/443端口实现的web网页数据传输。
二、工作方式
1. 控制连接
客户端希望与FTP服务器建立上传下载的数据传输时,它首先向服务器的TCP 21端口发起一个建立连接的请求,FTP服务器接受来自客户端的请求,完成连接的建立过程,这样的连接就称为FTP控制连接。
2. 数据连接
FTP控制连接建立之后,即可开始传输文件,传输文件的连接称为FTP数据连接。
FTP数据连接就是FTP传输数据的过程,它有两种"传输模式":
PORT(主动)方式的连接过程是:
客户端通过任意端口N(N>1024)向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器客户端生成的端口N+1。于是服务器从20端口向客户端的N+1端口发送连接请求,建立一条数据链路来传送数据。
PASV(被动)方式的连接过程是:
客户端通过任意端口N(N>1024)向服务器的FTP端口(默认是21)发送连接请求并监听N+1端口。服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端服务器随机生成的端口 P 333(P>1024)。于是客户端通过N+1端口向服务器的P端口发送连接请求,建立一条数据链路来传送数据。
在真实环境下,双方服务器默认应该都开启了防火墙,因此一般采用主动模式而非被动模式。三、实现方式
常用 FTP客户端程序
命令行工具
www浏览器
专用图形工具
FlashFXP
FileZilla
CuteFTP
其它工具
资源管理器
FTP服务端程序
FTP发布服务:Windows Server 2016 IIS 角色中的一个可选角色服务
Serv-U:可以将任何一台PC设置成FTP服务器
四、传输模式
ASCII传输模式
二进制传输模式
五、FTP配置
在FTP控制台中的相关设置项的说明:
1.FTP IP地址和域限制
在该列表中可以添加IP和网段,实现拒绝或允许相关主机。
需要注意,当策略冲突时,最先匹配的的策略生效,策略匹配顺序为从上往下。
当请求者在该项目中未匹配成功时,默认是允许。
2.FTP 当前会话
在该列表中可以查看目前已经通过ftp协议连接至服务器的相关信息。
3.FTP 身份验证
在该列表中可以设置启用或关闭"匿名身份验证"和"基本身份验证",用于实现基于用户名密码访问和不需要密码访问。
4.FTP 授权规则
在该列表中可以设置对相关共享目录的访问权限
该授权规则比较严格,只有在该项目中能够匹配的用户或组才能实现拒绝或允许,而不在该列表的用户和组一律拒绝。
注意:"1.FTP IP地址和域限制"、"4.FTP 授权规则"在站点中可以设置,
在站点中的每个目录上也可以独立设置,站点中的每子目录有的权限站点也应该拥有这个权限,否则子目录将无此权限。
5.FTP请求筛选
在该项目中,可以设置在某个FTP共享文件夹中只显示哪些类后缀的文件,通过添加后缀类显示或不显示相关文件。
6.FTP日志
记录了关于用户登录、使用的命令等情况,该项目下有定义默认的日志存放位置,可直接打开查看。
7.FTP消息
在该项目中,可以设置登录FTP时的欢迎语以及退出语。一般在命令行模式下可以体现出来。
cmd连接ftp指定端口的方法:
>ftp //进入ftp交互式界面
ftp> open 192.168.1.10 211 //211表示远程连接的服务器端口号
ftp> dir //列出ftp服务器当前目录下的文件
ftp> cd public //进入当前目录下的public目录
ftp> get lisi5.txt //将ftp服务器中当前目录下的"lisi5.txt"下载至"当前目录"。"当前目录"为在cmd命令行中输入ftp连接服务器时的所在目录
ftp> get test.txt D:\123\test.txt
ftp> put c:\users\pillar_pc1\1626.txt //将本机的c盘users下pillar_pc1下的1626.txt上传至服务器,也就是指定了一个文件位置进行上传到服务器。
ftp> put D:\123\test1.txt 文件\test1.txt 红色路径为ftp服务器的路径
六、常见故障及解决方法汇总:
1.客户端访问FTP服务器出现”FTP将数据发送到服务器之前不加密或编码密码….. “
解决方法:在安装FTP时不要勾选 “虚拟主机名功能”
2.客户端访问提示:服务器不允许匿名用户登录,或者不接受….
解决方法:不要修改FTP根目录的安全属性
3.Windows10客户端访问server 2016时报错:
"打开ftp服务器上的文件夹时发生错误,请检查是否有权限访问该文件夹"
解决方法:打开客户端IE浏览器,lnternet选项---高级---"使用FTP被动模式"勾取消。
4.当server 2008服务器下载ftp共享的资源时可能会提醒“当前的安全设置不允许下载该文件…”
解决方案:进入IE浏览器设置---找到Internet---自定义级别,找到允许下载文件设置为”允许”
七、SerV-U服务:
启用Windows用户身份验证:
1.找到用户选项卡,选择"Windows验证"
2.勾上"启用Windows验证"
3.点击"配置Windows用户群组"
4.在"默认Windows用户群组"中的根目录中设置要共享的目录。
5.在"目录访问"中定义要共享的目录
通过以上配置,可以实现所有Windows用户访问该目录。
基于Windows验证实现不同用户拥有不同权限访问不同目录:
1.找到用户选项卡,选择"Windows验证"
2.勾上"启用Windows验证"、"使用Windows用户组...."
3.点击"配置Windows用户群组"
4.指定一个共享目录,在该目录下有相关用户要共享的目录。
5.在本地文件夹属性的NTFS权限中设置相关用户的权限,从而实现相关用户访问对应文件夹。
注意:启用windows用户组验证后,所有Windows用户默认都可以访问ftp项目。
serv-U的匿名访问:
创建用户"FTP"或者"Anonymous",不输入密码。
原文:https://www.cnblogs.com/kkfollwme/p/14437974.html