第6章NTFS磁盘的安全与管理.ppt

最后，用户在使用EFS加密文件（文件夹）时，必须遵循以下原则： （1）不要加密系统文件夹。 （2）不要加密临时目录。 （3）应该始终加密个人文件夹。 （4）部署EFS前必须定义合适的DRA。 （5）必须备份用户证书和DRA证书。 （6）使用EFS后应尽量避免重新安装系统，重新安装前应先将文件解密。 （7）加密文件系统不对传输过程加密。 4.2.6 加密文件系统EFS（续） 习题 4 4.1 什么是文件系统？说明各种操作系统所对应的文件系统。 4.2 NTFS文件系统与FAT文件系统有什么区别？ 4.3 如何将FAT文件系统转变为NTFS文件系统？ 4.4 EFS文件证书丢失该如何处理？ 实训4 NTFS权限管理及加密文件系统的实现 4.1 设置NTFS权限，使指定用户的使用磁盘空间不超过1 000KB。 4.2 目前系统中有两用户userA和userB，以及对应的文件夹A和B，设置权限，使用户userB在对文件夹A有完全控制权限的情况下，文件夹A中的文件却不能被userB读取。 4.3 进行设置，使得在一定在磁盘空间下，能够容纳尽可能多的文件。 4.4 在命令提示符下对指定的文件进行加、解密。 4.5 为了在加密过程中，对不加密父文件夹下的某个子文件夹进行设置。 * * * * * * （1）遍历文件夹/执行文件； （2）列出文件夹/读取数据 ； （3）读取属性； （4）读取扩展属性； （5）创建文件/写入数据； （6）创建文件夹/附加数据； （7）写入属性； （8）写入扩展属性； 4.2.2 NTFS权限的设置（续） （9）删除； （10）读取权限； （11）变更权限； （12）取得所有权。 这些权限设置中比较重要的是变更权限和获得所有权，通常情况下，这两个特殊权限要慎重使用，一旦赋予了某个用户修改权限，便可以改变相应文件或者文件夹的权限设置。同样，一旦赋予了某个用户获得所有权权限，他就可以作为文件的所有者对文件做出查阅并更改。 4.2.2 NTFS权限的设置（续） 2.NTFS权限的设置方法 进行NTFS权限设置实际上就是设置“谁”有“什么”权限，如图4.3所示的选项卡上端的窗口和按钮用于选取用户和组账户，解决“谁”的问题；下端的窗口和按钮用于为上面窗口中选中的用户或组设置相应的权限，解决“什么”的问题。 4.2.2 NTFS权限的设置（续） 4.2.2 NTFS权限的设置（续） 图4.3 “属性”对话框的“安全”选项卡 （1）添加/删除用户和组 单击图4.3中的“编辑”按钮后，在弹出的对话框中单击“添加”按钮将出现如图4.4所示的对话框，在这个对话框中可以直接在文本框中输入用户、账户名称。如图4.4（a）所示，再单击“检查名称”对该名称进行核实，如图4.4（b）所示。 4.2.2 NTFS权限的设置（续） 4.2.2 NTFS权限的设置（续） （a）直接输入名称 （b）核实所输入的名称 图4.4 输入名称并核实 如果希望以选取的方式添加用户和组账户名称，可以单击“高级”按钮，在如图4.5所示的对话框中单击“对象类型”按钮缩小搜索账户类型的范围，然后单击“位置”按钮指定搜索账户的位置，然后单击“立即查找”按钮。 4.2.2 NTFS权限的设置（续） 图4.5 搜索并选择用户和组账户 此时，在“属性”对话框的“安全”选项卡上端的窗口中已经可以看到新添加的用户和组，如图4.6所示。 4.2.2 NTFS权限的设置（续） 图4.6 新添加的用户和组账户名称 （2）为用户和组设置权限 在如图4.7所示的对话框上端选取一个账户，就可以在下端的窗口中设置相应的NTFS权限。 图4.7 高级安全设置 4.2.2 NTFS权限的设置（续） 思考： 假设：系统除了管理员用户administrator外，还有两个用户userA和userB，以及相对应的文件夹A和B。如何让文件夹A只能被userA读取，而不能被userB读取？ 4.2.2 NTFS权限的设置（续） 1.权限的组合 当一个用户属于多个组时，这个用户会得到各个组的累加权限，一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。 举例： 假设有一个用户Bob，如果Bob属于A和B两个组，A组对某文件有读取权限，B组对此文件有写入权限，Bob自己对此文件有修改权限，那么Bob对此文件的最终权限为“读取+写入+修改”。 4.2.3 NTFS权限的应用规则 2.权限的继承 继承就是指新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，但是从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。 3.移动和复制操作对权限继承性的影响 （1）在同一个分区内移动文件或文件夹时的影响； （2）在同一