1. 什麼算是信息系統整體訪問控制策略
信息系統整體的安全運行。
身份鑒別與訪問控制是信息安全領域的兩個十分重要的概念。然而,對這兩個概念的含義往往有不同的理解。希望通過本文所引發的討論能對統一這兩個概念的理解有所幫助。
在GB17859中.身份鑒別指的是用戶身份的鑒別,包括用戶標識和用戶鑒別。在這里.用戶標識解決注冊用戶在一個信息系統中的惟一性問題.用戶鑒別則解決用戶在登錄一個信息系統時的真實性問題。一般情況下.當用戶注冊到一個系統時,系統應給出其惟一性的標識.並確定對其進行鑒別使用的信息(該信息應是保密的、並且是難以仿造的.一方面以一定方式提供給用戶.另一方面由系統保存)。當用戶登錄到該系統時,用戶應提供鑒別信息,系統則根據注冊時所保留的鑒別信息對用戶所提供的鑒別信息的真實性進行鑒別。
其實.從更廣義的范圍來講.信息系統中的身份鑒別應包括用戶身份鑒別和設備身份鑒別.用戶身份鑒別又分為注冊用戶的身份鑒別和網上數據交換用戶的身份鑒別。上述GB17859中的身份鑒別主要指的是注冊用戶的身份鑒別。網上數據交換時用戶的身份鑒別是指非注冊用戶間進行數據交換時的身份鑒別。也就是通常所說的在相互不知道對方身份的情況下,又要確認對方身份的真實、可信.從而確認數據交換的可信賴性。這就需要通過所謂的可信第三方(如由CA系統提供的認證機制)實現數據交換雙方身份的真實性認證。關於設備的身份鑒別.其實與注冊用戶的身份鑒別沒有多大區別.只是鑒別的對象是接入系統的設備而已。對接入系統的設備進行身份鑒別.同樣要先對其進行注冊,並在注冊時確定鑒別信息(鑒別信息既與設備相關聯.又由系統保留)。當需要將設備接入系統時.被接入設備需提供鑒別信息,經系統確認其身份的真實性後方可接入。
訪問控制在GB17859中同樣有其特定的含義.並對自主訪問控制和強制訪問控制的策略做了具體的說明。其實.訪問控制在更廣的范圍有著更廣泛的含義。在許多情況下.人們往往把身份鑒別也稱作是一種訪問控制。如果我們把是否允許登錄系統看作是是否允許對系統進行訪問.把身份鑒別稱為訪問控制也未嘗不可。問題是需要對其具體含義做清晰的描述。這也是我們為什麼把身份鑒別與訪問控制這兩個概念一起進行討論的原因
談到訪問控制.首先必須對訪問控制的粒度有所了解。訪問控制講的是對主體訪問客體的控制。粒度顯然涉及主體和客體兩個方面。主體一般是以用戶為單位實施訪問控制(劃分用戶組只是對相同訪問許可權用戶的一種管理方法).網路用戶也有以IP地址為單位實施訪問控制的。客體的訪問控制粒度由粗到細可以是整個應用系統 某個網路系統.某個伺服器系統,某個操作系統.某個資料庫管理系統、某個文件 某個資料庫.資料庫中的某個表 甚至庫表中的某個記錄或欄位等。一般來講 對整個系統(包括信息系統、網路系統、伺服器系統、操作系統、資料庫管理系統、應用系統等)的訪問.通常是採用身份鑒別的方法進行控制.也就是相對的粗粒度訪問控制。細粒度的訪問控制,通常是指在操作系統、資料庫管理系統中所提供的用戶對文件或資料庫表、記錄/欄位的訪問所進行的控制.也就是GB17859中所描述的經典的訪問控制。這類訪問控制分為自主訪問控制和強制訪問控制兩種。當然也可以在網關等處設置以伺服器為對象的自主訪問控制或強制訪問控制機制,實現以伺服器為粒度的訪問控制。
所謂自主訪問控制是指由系統提供用戶有權對自身所創建的訪問對象(文件、資料庫表等)進行訪問.並有權將對這些對象的訪問權授予其他用戶和從授予許可權的用戶收回其訪問許可權。訪問對象的創建者還有權進行授權轉讓」 即將 授予其他用戶訪問許可權 的許可權轉
讓給別的用戶。需要特別指出的是,在一些系統中.往往是由系統管理員充當訪問對象的創建者角色 並進行訪問授權 而在其後通過」授權轉讓 將許可權轉讓給指定用戶.於是容易引起這種訪問控制不是由用戶自主決定訪問許可權的誤會。
所謂強制訪問控制是指由系統(通過專門設置的系統安全員)對用戶所創建的對象進行統一的強制性控制,按照確定的規則決定哪些用戶可以對哪些對象進行哪些操作類型的訪問,即使是創建者用戶,在創建一個對象後.也可能無權訪問該對象。強制訪問控制常見的安全模型是Bell—La pala模型(也稱多級安全模型)。該模
型的安全策略分為強制訪問和自主訪問兩部分。自主訪問控制允許用戶自行定義其所創建的數據.它以一個訪問矩陣表示包括讀、寫、執行、附加以及控制等訪問模式。由於它的自主訪問控制策略已廣為人們熟知。所以在提到多級安全模型時.往往重點探討其強制訪問控制策略。多級安全模型的強制訪問控制策略以等級和范疇
作為其主、客體的敏感標記,並施以」從下讀、向上寫」的簡單保密性規則。需要強調的是.作為敏感標記的等級和范疇.必須由專門設置的系統安全員,通過由系統提供的專門界面設置和維護.敏感標記的改變意味著訪問許可權的改變。因此可以說.所有用戶的訪問許可權完全是由安全員根據需要決定的。強制訪問控制還有其他安
全策略 比如 角色授權管理 。該安全策略將系統中的訪問操作按角色進行分組管理。一種角色執行一組操作.由系統安全員統一進行授權。當授予某個用戶某一角色時,該用戶就具有執行該角色所對應的一組操作的許可權。當安全員撤銷其授予用戶的某一角色時,相應的操作許可權也就被撤銷。這完全類似於現實社會中對領導職務的任命和撤銷。這一策略的訪問許可權也是通過安全員通過角色授權決定的。
與訪問控制相關聯的另一個十分重要的概念是 用戶一主體綁定 。這一概念的引入.對多用戶環境、進程動態運行所實施的訪問操作的控制提供了支持。作為動態運行的系統進程.它在不同時間段為不同的用戶服務 因而無法為其設置固定的敏感標記。通過用戶一主體綁定機制.可以將進程動態地與其所服務的用戶相關聯。於是.在任何時候.進程所實施的訪問操作都能夠通過這種關聯找到其所服務的用戶,也就能找到實施強制訪問控制的主體。操作是由進程實施的.而確定是否允許進行此次訪問的主體對象卻是進程為其服務的用戶
2. 訪問控制的基本原理和常見模型
訪問控制的功能及原理:
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
1、認證。包括主體對客體的識別及客體對主體的檢驗確認;
2、控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍;
3、安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。
訪問控制的模型:
主要的訪問控制類型有3種模型:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1、自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
2、強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。
3、基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
3. 什麼事訪問控制訪問控制包括哪幾個要素
訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。
訪問控制包括伺服器、目錄、文件等。訪問控制是給出一套方法,將系統中的所有功能標識出來,組織起來,託管起來,將所有的數據組織起來標識出來託管起來, 然後提供一個簡單的唯一的介面,這個介面的一端是應用系統一端是許可權引擎。
(3)對文件的訪問常由什麼控制擴展閱讀
實現機制:訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和復雜的行為,實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應,制止非授權用戶的非授權行為;還要保證敏感信息的交叉感染。
為了便於討論這一問題,我們以文件的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源(文件或是資料庫),可能的行為有讀、寫和管理。為方便起見,我們用Read或是R表示讀操作,Write或是W表示寫操作,Own或是O表示管理操作。
4. 一次磁碟訪問的時間由哪些部分構成有哪些方法提高磁碟讀寫性能
問: 一次磁碟訪問的時間由哪些部分構成?有哪些方法提高磁碟讀寫性能?
答:磁碟訪問時間是由多因素決定的,其中很大程度上取決於磁碟的物理性能。磁碟訪問時 間T由3部分組成:T=Ts+Tr+Tt 其中,Ts為尋道時間,Tr為旋轉延遲時間、Tt為傳輸時間。
提高硬碟讀寫速度的有效方法:
一、合理使用硬碟
何為合理使用硬碟呢?首先我們要了解硬碟碟片的物理結構。分區並格式化後的硬碟卻是以扇區為基本單位的,一個分區是由若干個扇區構成的。那什麼是扇區呢?我們都知道磁碟在工作時是轉動的,它所存儲的信息是按一系列同心圓記錄在其表面上的,每一個同心圓稱為一個磁軌,在圖1我們可以看到磁軌和扇區的分布情況(當然,這只是個示意圖而已,實物要比圖中密得多!),很多朋友認為那個紅色的「大塊頭」是一個扇區,但正確的認識應該是黃色的那小塊為一個扇區。一個扇區的大小為512位元組,一個整圓環為一個磁軌,一個磁軌上有若干個扇區,所以我們不難看出,越*外的磁軌上的單個扇區其體積越大,換句話就是其密度越小,由於硬碟是機械傳動,所以磁頭對其的尋找、讀、寫速度也就越快,分區的分布也是從外圈向內圈的,所以C盤相對於D盤等要*外,這就是為什麼我們感覺C 盤比D、E等分區要快的原因。
明白了上面的知識,我們就能合理使用硬碟了!以一塊容量為60GB的新硬碟為例進行說明:把C盤分為3至5GB(視操作系統而定),把D盤調成1GB,把E盤設為10GB,省下的就看著設吧(可對半分為F和G盤)——對系統速度沒有什麼影響。
分好區後如何使用是最為關鍵的:
1、把操作系統裝在C盤上並把MwIE、Foxmail、ICQ、qq、FlashGet、超級兔子、播放器軟體以及一些看圖軟體等常用小型軟體也安裝在C盤上。如果您使用諸如Office之類的微軟大型軟體的話,也要將其安裝到C盤上。當然,由於我們並不會用到其中的全部功能,所以要定製安裝那些有用的部分以節省C盤空間!然後把虛擬內存設置到D盤上(只是暫時的^_^)後再使用系統自帶的磁碟碎片整理程序把C盤整理一下。
2、使用「微曉注冊表優化大師」之類的系統修改軟體把「我的文檔」、「上網緩沖」、「上網歷史」、「收藏夾」等經常要進行寫、刪操作的文件夾設置到D盤上來盡量避免其它分區產生磁碟碎片而降低硬碟性能!
3、把各種應用軟體安裝到E盤,至於游戲可裝在F盤,G盤用來存放影音文件。
4、對C盤再進行一次碎片整理,然後進行完下面的第二大步後再把虛擬內存設置到C盤上!
二、虛擬內存的設置
將虛擬內存設置成固定值已經是個普遍「真理」了,而且這樣做是十分正確的,但絕大多數人都是將其設置到C盤以外的非系統所在分區上,而且其值多為物理內存的2~3倍。多數人都認為這個值越大系統的性能越好、運行速度越快!但事實並非如此,因為系統比較依賴於虛擬內存——如果虛擬內存較大,系統會在物理內存還有很多空閑空間時就開始使用虛擬內存了,那些已經用不到的東東卻還滯留在物理內存中,這就必然導致內存性能的下降!
於是筆者從32MB內存開始試起至512MB內存為止,發現上面的說到的事實是非常正確的,虛擬內存應設置為物理內存0至1.5倍(0倍是多少啊?就是禁用! ^_^)為好,而且物理內存越大這個倍數就應越小而不是越大。當物理內存等於或大於512MB時,絕大多數PC就可以禁用虛擬內存不用了,這時內存性能是最高的!^_^
至於您的虛擬內存具體要設置成多大,您就要自己試一試了,因為這和常駐內存軟體的多少和大小以及您平時運行的軟體是有直接關系的,所以筆者無法給出建議值。您可先將其設為物理內存等同後,再運行幾個大型軟體,如果沒有異常情況出現的話,您就再將其設置成物理內存的一半後再運行那幾個大型軟體,如果出現了異常,您就要適當加大虛擬內存的值了!以此類推,當您找到最佳值後只要把這個值設置到C盤上就OK了!:)
注:如果您使用的是Windows ME及以下的操作系統的話,可下載「MagnaRAM 97」來優化物理內存和虛擬內存,這樣的效果更好!另外,筆者建議您不要再使用那些所謂的優化和整理內存的軟體了!
三、合理擺放「快捷方式」
絕大多數情況下,我們運行軟體都是通常該軟體的「快捷方式」來做到的,硬碟越來越大,安裝的軟體也越來越多,有很多朋友喜歡把快捷方式都放到桌面上,這樣不但使您眼花繚亂,而且系統性能也會下降,而且會造成系統資源佔用過大而使系統變得不穩定,所以我們最好把桌面上的快捷方式控制在10個左右,其它的快捷方式可全放到開始菜單和快捷啟動欄中,而且把所有軟體的「卸載」快捷方式刪除以提高系統性能。另外,盡量不要存在重復的快捷方式。
四、慎用「安全類」軟體
這里所說的安全類軟體就是指實時性的防毒軟體和防火牆。該類軟體對系統資源和CPU資源的佔用是非常大的(有的高達30%以上),如果您不經常上雜七雜八網站的話,這類軟體完全沒有必要使用!這比對CPU進行超頻可實際、方便得多了!:)
五、減少不必要的隨機啟動程序
這是一個老生常談的問題,但很多朋友並不知道什麼程序是可以禁止的,什麼是不能禁止的,所以很多人並沒有進行這一步的工作。有了優化大師這一工作就簡單得多了,在圖2界面的「開機速度優化」中優化大師會提示您什麼可以禁止,什麼不能禁止!
這樣做的好處除了能加快啟動速度外,還能提高系統在運行中的穩定性!
六、合理設置「圖標緩存」
通常系統默認的圖標緩存都是比較大的,這明顯有浪費的感覺,所以我們要將其值做適當的調整,我們可用「Windows優化大師」查看一下當前系統已經使用了多少圖標緩存,然後我們將其值設為實際大小的2倍左右即可。注:部分電腦可能無法使用優化大師進行修改,這時您可使用「超級兔子魔法設置」進行修改!
另外,桌面背景也不要弄得太復雜(建議設為「無」),有的朋友還做成了動畫桌面,這種做法沒有任何現實意義,除了會給系統帶來不穩定因素外,沒有任何好的作用——畢竟我們只有很少時間是面對桌面的!^_^
七、合理設置「磁碟緩存」
系統默認值通常都非常保守,所以我們要進行一定的修改,我們也可在「Windows優化大師」中對其進行修改,只是我們要手工進行數字的輸入,磁碟緩存最小值可設為2048(KB),最大值設為物理內存的25%,緩沖區讀寫單元為512。
注:這一做法會對多媒體軟體的穩定運行帶來很大的好處,尤其是最小值的設置不要太低!
八、盡量精簡右鍵菜單
很多程序在安裝後都會在右鍵菜單中留下身影,其中有很多都是我們用不到的,但其卻給我們的系統帶來了負擔。為此,我們可在「超級兔子魔法」等軟體中對右鍵菜單進行精簡,通常只保留常用的就行了!另外,您最好是將無用項刪除而不是只單純去掉其前面的小勾!
這樣做可有效減少因「新建」菜單而引起的失去響應的現象出現!
九、合適的顯示器刷新率和解析度
有些朋友總是抱怨自己的顯卡太差勁,有的顯卡的確是差勁了些,但很多情況下都是因為顯示器刷新率設置得過高所致的「假象」。通常15、17英寸的彩顯將刷新率設置成75Hz以上就行了(如果帶寬足夠當然也可以更高),沒有必要強行上得太高。解析度也是同一個道理,通常設成800×600或1024× 768就行了,只要夠用就好,完全沒有必要玩什麼「終極」和「骨灰」。
祝順利!有問題,請追問.有幫助,望採納.
5. 關於文件夾的拒絕訪問,高手進。。。。
用這個試試EasyRecovery Professional
NTFS只能在windows NT \xp\home下面識別,隨著時間的推移,NTFS將取代FTA32格式.
想要了解NTFS,我們首先應該認識一下FAT。FAT(File Allocation Table)是「文件分配表」的意思。對我們來說,它的意義在於對硬碟分區的管理。FAT16、FAT32、NTFS是目前最常見的三種文件系統。
FAT16:我們以前用的DOS、Windows 95都使用FAT16文件系統,現在常用的Windows 98/2000/XP等系統均支持FAT16文件系統。它最大可以管理大到2GB的分區,但每個分區最多隻能有65525個簇(簇是磁碟空間的配置單位)。隨著硬碟或分區容量的增大,每個簇所佔的空間將越來越大,從而導致硬碟空間的浪費。
FAT32:隨著大容量硬碟的出現,從Windows 98開始,FAT32開始流行。它是FAT16的增強版本,可以支持大到2TB(2048G的分區。FAT32使用的簇比FAT16小,從而有效地節約了硬碟空間。
NTFS:微軟Windows NT內核的系列操作系統支持的、一個特別為網路和磁碟配額、文件加密等管理安全特性設計的磁碟格式。隨著以NT為內核的Windows 2000/XP的普及,很多個人用戶開始用到了NTFS。NTFS也是以簇為單位來存儲數據文件,但NTFS中簇的大小並不依賴於磁碟或分區的大小。簇尺寸的縮小不但降低了磁碟空間的浪費,還減少了產生磁碟碎片的可能。NTFS支持文件加密管理功能,可為用戶提供更高層次的安全保證。
2、什麼系統可以支持NTFS文件系統?
只有Windows NT/2000/XP才能識別NTFS系統,Windows 9x/Me以及DOS等操作系統都不能支持、識別NTFS格式的磁碟。由於DOS系統不支持NTFS系統,所以最好不要將C:盤製作為NTFS系統,這樣在系統崩潰後便於在DOS系統下修復。
NTFS與操作系統支持情況如下:
FAT16 windows 95/98/me/nt/2000/xp unix,linux,dos
FAT32 windows 95/98/me/2000/xp
NTFS windows nt/2000/xp
3、我們需要NTFS嗎?
Windows 2000/XP在文件系統上是向下兼容的,它可以很好地支持FAT16/FAT32和NTFS,其中NTFS是Windows NT/2000/XP專用格式,它能更充分有效地利用磁碟空間、支持文件級壓縮、具備更好的文件安全性。如果你只安裝Windows 2000/XP,建議選擇NTFS文件系統。如果多重引導系統,則系統盤(C盤)必須為FAT16或FAT32,否則不支持多重引導。當然,其他分區的文件系統可以為NTFS。
4、如何將FAT分區轉換為NTFS?
Windows 2000/XP提供了分區格式轉換工具「Convert.exe」。Convert.exe是Windows 2000附帶的一個DOS命令行程序,通過這個工具可以直接在不破壞FAT文件系統的前提下,將FAT轉換為NTFS。它的用法很簡單,先在Windows 2000環境下切換到DOS命令行窗口,在提示符下鍵入:D:\\>convert 需要轉換的盤符 /FS:NTFS。如系統E盤原來為FAT16/32,現在 需要轉換為NTFS,可使用如下格式:D:\\>convert e: /FS:NTFS。所有的轉換將在系統重新啟動後完成。本人推薦使用此法進行轉換!
此外,你還可以使用專門的轉換工具,如著名的硬碟無損分區工具Powerquest Partition Magic 7.0,軟體下載頁面http://soft.km
5、如何在NTFS格式分區下找回意外刪除丟失的文件?
你可以使用專門的軟體,如Final Data for NTFS,或者是Get Data Back for NTFS 1.04。這兩個軟體的文件恢復效果都不錯。本人
6、如果Windows 2000/XP安裝在C盤(NTFS格式),當Windows崩潰時在DOS狀態下不能進入C盤,怎麼辦?
你可以使用Windows 2000/XP的安裝光碟啟動來修復Windows,或者是製作Windows 2000/XP的安裝啟動應急盤。注意:Windows 2000的安裝盤製作程序在程序的安裝光碟中,而Windows XP的應急盤製作是獨立提供的,需要從微軟的網站下載。
7、Final Data for NTFS或Get Data Back for NTFS可以修復被意外格式化的硬碟嗎?
這兩個軟體都可以恢復格式化刪除的數據(低級格式化除外)。常規格式化刪除的只是數據信息,低級格式化則刪除全部數據區,當硬碟技術還不像現在這樣發達的時候,磁碟表面很容易磨損。硬碟使用者對經常出現的讀錯誤,往往採用低級格式化。修復被格式化的硬碟,只能將這個硬碟拆下來,安裝到其他的計算機中,之後執行文件修復操作。Final Data甚至可以修復由CIH病毒破壞的硬碟。
8、Windows 98(FAT系統)下如何直接讀寫NTFS文件系統?
當電腦安裝有Windows 98和Windows 2000/XP兩個操作系統,如何在FAT系統下直接讀寫NTFS文件系統?雖然FAT系統可以轉換為NTFS?
解壓縮後,請把CR整個目錄(里邊有7個讀取NTFS文件系統必須使用到Windows 2000/XP的系統文件,其它3個是注釋文件)COPY到C盤(也可改名為NTFS_FILES,我是這樣改的),安裝結束後會出現一個配置界面,在該界面中的「NTFS System Files」項中需要設置的是程序可以借用的Windows 2000/XP系統的相關文件保存路徑,你就選擇剛才COPY到盤的CR目錄即可,然後其它什麼都不必去操作,到此設置完成,單擊OK按鈕保存設置並退出。重啟後就可以在Windows 98下訪問NTFS分區了!經過實際使用,證明安裝此軟體後,在NTFS分區上能讀、寫!
以上內容本人在WIN98SE+WINXP_PROCN+WINXP_PROEN及WINME+WINXP_PROCN+WINXP_PROEN上驗證通過!(2台機)
下面的內容僅供參考,建議你不要實施,至少我是這樣做的。
「Drive Letter Assignments」項中提供的設置是設置允許可以識別的NTFS分區盤符,設置的依據可以參考在Windows 2000/XP下的盤符順序。如果單擊界面中的「Advanced」按鈕,在關聯界面中提供了針對設置的NTFS分區高級設置,其中包括設置為只讀屬性「Read-Only」、允許寫入「Write-Through」。對於檢查點間隔「Checkpoint Interval」和寫回間隔「Writeback nterval」,使用程序提供的默認設置即可。
9、如何在DOS系統下直接讀寫NTFS文件系統?
Winternals Software LP 公司提供了工具軟體解決了這個問題。用一張MS-DOS啟動盤就可以作到以前不可能作到的事,修改,刪除?
10、在NTFS系統下,如何保護自己的文件、文件夾?
由於NTFS文件分區格式具有良好的安全性,如果你不希望自己在硬碟中的文件被其他人調用或查看,使用許可權控制方式加密是非常有效的方法。設置方法非常簡單:以系統管理員身份登錄,使用滑鼠右鍵單擊需要加密的文件夾,選擇「Properties」,切換到「Security」選項卡。在「Group of user names」項中設置允許訪問的用戶只有Administrator和自己。刪除其他的所有用戶。保存設置退出即可。此後,其他用戶將不能訪問該文件夾。使用這項功能需要注意的是:一定要保證只有你一個人知道Administrator密碼,並且設置其他用戶不能屬於Administrator。此外,你還可以詳細的給每個用戶設置許可權,包括設置讀取許可權、寫入許可權、刪除許可權等,這樣使用起來就更加靈活。你還可以設置許可權,控制一個磁碟,或者磁碟分區只為自己使用,這樣其他人就不能看到你的任何東西了。
6. 改變文件/目錄的訪問許可權可以使用什麼命令
Linux系統中的每個文件和目錄都有訪問許可許可權,用它來確定誰可以通過何種方式對文件和目錄進行訪問和操作。
文件或目錄的訪問許可權分為只讀,只寫和可執行三種。以文件為例,只讀許可權表示只允許讀其內容,而禁止對其做任何的更改操作。可執行許可權表示允許將該文件作為一個程序執行。文件被創建時,文件所有者自動擁有對該文件的讀、寫和可執行許可權,以便於對文件的閱讀和修改。用戶也可根據需要把訪問許可權設置為需要的任何組合。
有三種不同類型的用戶可對文件或目錄進行訪問:文件所有者,同組用戶、其他用戶。所有者一般是文件的創建者。所有者可以允許同組用戶有權訪問文件,還可以將文件的訪問許可權賦予系統中的其他用戶。在這種情況下,系統中每一位用戶都能訪問該用戶擁有的文件或目錄。
每一文件或目錄的訪問許可權都有三組,每組用三位表示,分別為文件屬主的讀、寫和執行許可權;與屬主同組的用戶的讀、寫和執行許可權;系統中其他用戶的讀、寫和執行許可權。當用ls -l命令顯示文件或目錄的詳細信息時,最左邊的一列為文件的訪問許可權。例如:
$ ls -l sobsrc. tgz
-rw-r--r-- 1 root root 483997 Ju1 l5 17:3l sobsrc. tgz
橫線代表空許可。r代表只讀,w代表寫,x代表可執行。注意這里共有10個位置。第一個字元指定了文件類型。在通常意義上,一個目錄也是一個文件。如果第一個字元是橫線,表示是一個非目錄的文件。如果是d,表示是一個目錄。
例如:
- rw- r-- r--
普通文件 文件主 組用戶 其他用戶
是文件sobsrc.tgz 的訪問許可權,表示sobsrc.tgz是一個普通文件;sobsrc.tgz的屬主有讀寫許可權;與sobsrc.tgz屬主同組的用戶只有讀許可權;其他用戶也只有讀許可權。
確定了一個文件的訪問許可權後,用戶可以利用Linux系統提供的chmod命令來重新設定不同的訪問許可權。也可以利用chown命令來更改某個文件或目錄的所有者。利用chgrp命令來更改某個文件或目錄的用戶組。
下面分別對這些命令加以介紹。
chmod 命令
chmod命令是非常重要的,用於改變文件或目錄的訪問許可權。用戶用它控制文件或目錄的訪問許可權。
該命令有兩種用法。一種是包含字母和操作符表達式的文字設定法;另一種是包含數字的數字設定法。
1. 文字設定法
chmod [who] [+ | - | =] [mode] 文件名¼
命令中各選項的含義為:
操作對象who可是下述字母中的任一個或者它們的組合:
u 表示「用戶(user)」,即文件或目錄的所有者。
g 表示「同組(group)用戶」,即與文件屬主有相同組ID的所有用戶。
o 表示「其他(others)用戶」。
a 表示「所有(all)用戶」。它是系統默認值。
操作符號可以是:
+ 添加某個許可權。
- 取消某個許可權。
= 賦予給定許可權並取消其他所有許可權(如果有的話)。
設置mode所表示的許可權可用下述字母的任意組合:
r 可讀。
w 可寫。
x 可執行。
X 只有目標文件對某些用戶是可執行的或該目標文件是目錄時才追加x 屬性。
s 在文件執行時把進程的屬主或組ID置為該文件的文件屬主。方式「u+s」設置文件的用戶ID位,「g+s」設置組ID位。
t 保存程序的文本到交換設備上。
u 與文件屬主擁有一樣的許可權。
g 與和文件屬主同組的用戶擁有一樣的許可權。
o 與其他用戶擁有一樣的許可權。
文件名:以空格分開的要改變許可權的文件列表,支持通配符。
在一個命令行中可給出多個許可權方式,其間用逗號隔開。例如:chmod g+r,o+r example
使同組和其他用戶對文件example 有讀許可權。
2. 數字設定法
我們必須首先了解用數字表示的屬性的含義:0表示沒有許可權,1表示可執行許可權,2表示可寫許可權,4表示可讀許可權,然後將其相加。所以數字屬性的格式應為3個從0到7的八進制數,其順序是(u)(g)(o)。
例如,如果想讓某個文件的屬主有「讀/寫」二種許可權,需要把4(可讀)+2(可寫)=6(讀/寫)。
數字設定法的一般形式為:
chmod [mode] 文件名¼
例子:
(1)文字設定法:
例1:$ chmod a+x sort
即設定文件sort的屬性為:
文件屬主(u) 增加執行許可權
與文件屬主同組用戶(g) 增加執行許可權
其他用戶(o) 增加執行許可權
例2:$ chmod ug+w,o-x text
即設定文件text的屬性為:
文件屬主(u) 增加寫許可權
與文件屬主同組用戶(g) 增加寫許可權
其他用戶(o) 刪除執行許可權
例3:$ chmod u+s a.out
假設執行chmod後a.out的許可權為(可以用ls – l a.out命令來看):
–rws--x--x 1 inin users 7192 Nov 4 14:22 a.out
並且這個執行文件要用到一個文本文件shiyan1.c,其文件存取許可權為「–rw-------」,即該文件只有其屬主具有讀寫許可權。
當其他用戶執行a.out這個程序時,他的身份因這個程序暫時變成inin(由於chmod命令中使用了s選項),所以他就能夠讀取shiyan1.c這個文件(雖然這個文件被設定為其他人不具備任何許可權),這就是s的功能。
因此,在整個系統中特別是root本身,最好不要過多的設置這種類型的文件(除非必要)這樣可以保障系統的安全,避免因為某些程序的bug而使系統遭到入侵。
例4:$ chmod a–x mm.txt
$ chmod –x mm.txt
$ chmod ugo–x mm.txt
以上這三個命令都是將文件mm.txt的執行許可權刪除,它設定的對象為所有使用者。
(2)數字設定法:
例1: $ chmod 644 mm.txt
$ ls –l
即設定文件mm.txt的屬性為:
-rw-r--r-- 1 inin users 1155 Nov 5 11:22 mm.txt
文件屬主(u)inin 擁有讀、寫許可權
與文件屬主同組人用戶(g) 擁有讀許可權
其他人(o) 擁有讀許可權
例2: $ chmod 750 wch.txt
$ ls –l
-rwxr-x--- 1 inin users 44137 Nov 12 9:22 wchtxt
即設定wchtxt這個文件的屬性為:
文件主本人(u)inin 可讀/可寫/可執行權
與文件主同組人(g) 可讀/可執行權
其他人(o) 沒有任何許可權
chgrp命令
功能:改變文件或目錄所屬的組。
語法:chgrp [選項] group filename¼
該命令改變指定指定文件所屬的用戶組。其中group可以是用戶組ID,也可以是/etc/group文件中用戶組的組名。文件名是以空格分開的要改變屬組的文件列表,支持通配符。如果用戶不是該文件的屬主或超級用戶,則不能改變該文件的組。
該命令的各選項含義為:
- R 遞歸式地改變指定目錄及其下的所有子目錄和文件的屬組。
例1:$ chgrp - R book /opt/local /book
改變/opt/local /book/及其子目錄下的所有文件的屬組為book。
chown 命令
功能:更改某個文件或目錄的屬主和屬組。這個命令也很常用。例如root用戶把自己的一個文件拷貝給用戶xu,為了讓用戶xu能夠存取這個文件,root用戶應該把這個文件的屬主設為xu,否則,用戶xu無法存取這個文件。
語法:chown [選項] 用戶或組 文件
說明:chown將指定文件的擁有者改為指定的用戶或組。用戶可以是用戶名或用戶ID。組可以是組名或組ID。文件是以空格分開的要改變許可權的文件列表,支持通配符。
該命令的各選項含義如下:
- R 遞歸式地改變指定目錄及其下的所有子目錄和文件的擁有者。
- v 顯示chown命令所做的工作。
例1:把文件shiyan.c的所有者改為wang。
$ chown wang shiyan.c
例2:把目錄/his及其下的所有文件和子目錄的屬主改成wang,屬組改成users。
$ chown - R wang.users /his
7. 訪問控制列表的作用和組成是什麼
標准和擴展標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號作用:控制流量對網路統一管理流量允許、拒絕用 標准ACL對單以服務或協議控制允許、拒絕用 擴展ACL。
8. WIN7區域網共享經常出現共享的文件夾無法訪問,別人也無法訪問
解決網路共享拒絕訪問、區域網共享文件夾拒絕訪問的問題:
啟用來賓帳戶,控制面板-用戶帳戶-啟用來賓帳戶」:
安裝NetBEUI協議:查看「網上鄰居」屬性——查看「本地連接」屬性——點擊「安裝」——查看 「協議」——看其中NetBEUI協議是否存在,如果存在則安裝。如果不存在則表明已經安裝了該協議,在Winxp系統默認的情況下該協議是已經安裝好了的;
查看本地安全策略設置是否禁用了GUEST賬號:控制面板——管理工具——本地安全策略——用戶權利指派——查看「拒絕從網路訪問這台計算機」項的屬性——看裡面是否有GUEST帳戶,如果有就把它刪除掉;
設置共享文件夾:如果不設置共享文件夾的話,網內的其它機器無法訪問到你的機器。
設置文件夾共享的方法有三種:第一種是:「工具--文件夾選項--查看--使用簡單文件夾共享」。這樣設置後,其他用戶只能以Guest用戶的身份訪問共享的文件或者是文件夾。第二種方法是:「控制面板--管理工具--計算機管理」,在「計算機管理」這個對話框中,依次點擊「文件夾共享--共享」,然後在右鍵中選擇「新建共享」即可。第三種方法最簡單,直接在想要共享的文件夾上點擊右鍵,通過「共享和安全」選項即可設置共享;
建立工作組:在Windows桌面上用右鍵點擊「我的電腦」,選擇「屬性」,然後單擊「計算機名」選項卡,看看該選項卡中有沒有出現區域網工作組名稱,如「workgroup」等;
然後單擊「網路 ID」按鈕,開始「網路標識向導」:單擊「下一步」,選擇「本機是商業網路的一部分,用它連接到其他工作著的計算機」;
單擊「下一步」,選擇「公司使用沒有域的網路」;單擊「下一步」按鈕,然後輸入你的區域網的工作組名,這里建議用「BROADVIEW」,再次單擊「下一步」按鈕,最後單擊「完成」按鈕完成設置;
重新啟動計算機後,區域網內的計算機就可以互訪了;
查看「計算機管理」是否啟用來賓帳戶:控制面版——計算機管理——本地用戶和組——用戶——啟用來賓帳戶。機器重新啟動後就可以了;
用戶權利指派:「控制面板--管理工具--本地安全策略」,在「本地安全策略」對話框中,依次選擇「本地策略--用戶權利指派」,在右邊的選項中依次對「從網路上訪問這台計算機」和「拒絕從網路上訪問這台計算機」這兩個選項進行設置。「從網路上訪問這台計算機」選項需要將guest用戶和everyone添加進去;「拒絕從網路上訪問這台計算機」需要將被拒絕的所有用戶刪除掉,默認情況下guest是被拒絕訪問的。
9. 如何設置文件夾許可權
現在越來越多的用戶使用NTFS文件系統來增強Windows系統的安全性。通常是在圖形用戶界面(GUI)的「安全」選項卡中對文件或目錄訪問控制許可權進行設置。還有一種設置方式大家可能很少使用,這就是Cacls命令。雖然它是一個基於命令行的命令,使用起來有點繁瑣,但只要你合理利用,也會在提高系統安全性方面起到很好的效果。
注意:要使用此命令首先要把該文件夾所在的盤轉換成NTFS格式
在CMD里輸入 convert X: /fs:ntfs 回車即可,X代表你想轉換的盤符
顯示或者修改文件的訪問控製表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 更改當前目錄及其所有子目錄中
指定文件的 ACL。
/E 編輯 ACL 而不替換。
/C 在出現拒絕訪問錯誤時繼續。
/G user:perm 賦予指定用戶訪問許可權。
Perm 可以是: R 讀取W 寫入C 更改(寫入)F 完全控制/R user 撤銷指定用戶的訪問許可權(僅在與 /E 一起使用時合法)。
/P user:perm 替換指定用戶的訪問許可權。
Perm 可以是: N 無R 讀取W 寫入C 更改(寫入)F 完全控制/D user 拒絕指定用戶的訪問。
在命令中可以使用通配符指定多個文件。
也可以在命令中指定多個用戶。
縮寫:CI - 容器繼承。
ACE 會由目錄繼承。
OI - 對象繼承。
ACE 會由文件繼承。
IO - 只繼承。
ACE 不適用於當前文件/目錄。
1.查看目錄和ACL以Windows XP系統為例,筆者使用Cacls命令查看E盤CCE目錄訪問控制許可權。點擊「開始→運行」,在運行對話框中輸入「CMD」命令,彈出命令提示符對話框,在「E:\>」提示符下輸入「Cacls CCE」命令,接著就會列出Windows XP系統中用戶組和用戶對CCE目錄的訪問控制許可權項目。如果想查看CCE目錄中所有文件訪問控制許可權,輸入「Cacls cce\ . 」命令即可。
2.修改目錄和ACL設置用戶訪問許可權:我們經常要修改目錄和文件的訪問許可權,使用Cacls命令就很容易做到。下面要賦予本機用戶Chenfeng對E盤下CCE目錄及其所有子目錄中的文件有完全控制許可權。在命令提示符對話框中輸入「Cacls CCE /t /e /c /g Chenfeng:f 」命令即可。
替換用戶訪問許可權:將本機用戶Chenfeng的完全控制許可權替換為只讀許可權。在命令提示符對話框中輸入「 Cacls CCE /t /e /c /p Chenfeng:r 」命令即可。
撤銷用戶訪問許可權:要想撤銷本機用戶Chenfeng對該目錄的完全控制許可權也很容易,在命令提示符中運行「Cacls CCE /t /e /c /r Chenfeng 」即可。
拒絕用戶訪問:要想拒絕用戶Chenfeng訪問CCE目錄及其所有子目錄中的文件,運行「Cacls CCE /t /e /c /d Chenfeng」即可。