【正文】 圖 63 “計算機管理 ” 窗口 方法是在 “ 運行 ” 窗口中輸入 regedt32命令，在注冊表編輯器中找到 HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Sevices\ Lanmanserver\parameters鍵項，通過編輯這個鍵值項來實現(xiàn)。 共享權(quán)限類型 共享權(quán)限是保護 FAT和 FAT32卷上的網(wǎng)絡(luò)資源的唯一方法， NTFS文件格式的文件夾還可以通過文件的安全訪問權(quán)限配置。 具體配置步驟參見書本P223頁介紹。但是共享文件夾的訪問權(quán)限與 NTFS文件訪問權(quán)限又不完全獨立的，在 NTFS文件格式磁盤中的共享文件夾中，兩個權(quán)限是相互影響的，這在上節(jié)已有說明。 文件服務(wù)器的最佳權(quán)限設(shè)置 對于共享文件夾的訪問通過兩個權(quán)限項集來確定：共享上的權(quán)限集（稱為 “ 共享權(quán)限 ” ）和文件夾上的權(quán)限集（稱為 “ NTFS 文件和文件夾權(quán)限 ” ）。而且這些繼承下來的權(quán)限配置并不是輕易可以打斷的。如文件夾 Folder A 為用戶 USER1設(shè)置的共享權(quán)限為 “ 只讀 ” ，同時文件夾 Folder A為用戶 USER1設(shè)置的訪問權(quán)限為 “ 完全控制 ” ，那用戶 USER1的最終訪問權(quán)限為 “ 只讀 ” 。在文件或文件夾的移動或復(fù)制，其權(quán)限的繼承性要依如下幾種情況而定： （ 1）在同一 NTFS分區(qū)間復(fù)制或移動 （ 2）在不同 NTFS分區(qū)間復(fù)制或移動 （ 3）從 NTFS分區(qū)復(fù)制或移動到 FAT格式分區(qū) 2. 權(quán)限具有累加性 NTFS文件或文件夾的權(quán)限的累加性具體雙表現(xiàn)在以下幾個方面： （ 1）工作組權(quán)限由組中各用戶權(quán)限累加決定 （ 2）用戶權(quán)限由所屬組權(quán)限的累決定 3. 權(quán)限的優(yōu)先性 權(quán)限的這一特性又包含兩種子特性，（ 1）文件的訪問權(quán)限優(yōu)先文件夾的權(quán)限，也就是說文件權(quán)限可以越過文件夾的權(quán)限，不顧上一級文件夾的設(shè)置；（ 2） “ 拒絕 ” 權(quán)限優(yōu)先其它權(quán)限，也就是說 “ 拒絕 ” 權(quán)限可以越過其它所有其它權(quán)限，一旦選擇了 “ 拒絕 ” 權(quán)限，則其它權(quán)限也就不能取任何作用，相當于沒有設(shè)置。 、查看、更改或刪除文件和文件夾權(quán)限 本節(jié)介紹的是文件和文件夾權(quán)限查看、設(shè)置、更改或刪除方法， 具體參見書本 P227~P228頁。 以上具體權(quán)限選項說明參見書本 P225頁的表 66。共享文件夾的訪問權(quán)限是用戶通過網(wǎng)絡(luò)進行文件訪問的權(quán)限，而 NTFS訪問權(quán)限則是用戶在本地計算機中的文件訪問權(quán)限。我們知道，在 Windows 2022 Server /Server 2022家族服務(wù)器系統(tǒng)中，我們可以為每個用戶創(chuàng)建只有自己能訪問的主文件夾。 另一種方法就是在把所編寫的批處理文件直接放在相應(yīng)用戶賬戶文件夾下的 “ 啟動 ” 文件夾下（可以在資源管理器中直接查找到），這樣系統(tǒng)啟動時也會自動運行這個批處理文件，刪除系統(tǒng)默認共享。況且像遠程連接所需的 IP管道共享（ IPC$）根本找不到共享路徑。在 Windows Server 2022系統(tǒng)中，可以給用戶配置的權(quán)限比較多，總的來說可以分為大類：特權(quán)和用戶登錄權(quán)利。當您將用戶添加到組中時，用戶將接受指派給該組的所有用戶權(quán)利以及指派給該組的有關(guān)任何共享資源的所有權(quán)限。所以，我們在為用分配權(quán)限時先要清楚系統(tǒng)默認的用戶和組賬戶，以及它們各自的權(quán)限。這樣一來，入侵者就很難搞清哪個賬戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性。 Guest賬戶和更改管理員賬戶名 有很多入侵都是通過 Guest（來賓）賬戶進一步獲得管理員密碼或者權(quán)限，進而實現(xiàn)他們攻擊的目的。 NTLM身份驗證協(xié)議 是用來處理兩臺計算機（其中至少有一臺計算機運行 Windows NT ）之間事務(wù)的協(xié)議。 Inter協(xié)議安全性（ IPSec）可以使用 Kerberos協(xié)議進行身份驗證。而為了欺騙那些非法用戶，通常把一個具有較低權(quán)限的用戶名改為 administrator。但執(zhí)行該過程時需要視環(huán)境的不同而使用不同的管理憑據(jù)： ?如果創(chuàng)建或更新系統(tǒng)密鑰用于本地計算機：要執(zhí)行該過程，您必須是本地計算機 Administrators組的成員，或者您必須被委派適當?shù)臋?quán)限。這部分設(shè)置項目包括： ?強制密碼歷史 ?密碼最長使用期限 ?密碼最短使用期限 ?密碼長度最小值 ?密碼必須符合復(fù)雜性要求 ?用可還原的加密來存儲密碼 本節(jié)詳細內(nèi)容參見書本的 P192~P194頁。 ?定義 “ 密碼最長期限 ” 策略設(shè)置，可以使密碼的到期時間盡可能短，通常的間隔是 30至 90天。例如， Hello2U! 就是一個相對而言的弱密碼，因為包括一個完整、且順序一致的單詞。這很容易受到字典類的網(wǎng)絡(luò)攻擊。密碼破解軟件使用下面三種方法之一：巧妙猜測、詞典攻擊和自動嘗試字符的各種可能的組合。而在 Windows Server 2022系統(tǒng)中的本地策略中包含審核策略、用戶權(quán)限分配和安全選項三個子集。 域賬戶策略設(shè)置 本節(jié)要向大家介紹的就是這個域安全策略設(shè)置，不過它的基本設(shè)置方法基本上都適用于單機的本地安全設(shè)置。這些安全因素配置不當都有可能給整個企業(yè)網(wǎng)絡(luò)帶來安全威脅，特別是用戶賬戶密碼策略、文件夾共享和文件訪問權(quán)限這幾個方面。這一管理工具界面打開的方法是執(zhí)行 〖 開始 〗→ 〖 管理工具 〗 → 〖 域安全策略 〗 操作（注意不要選擇了“ 域控制器安全策略 ” 選項，因為那只是針對域控制器本身，而不是針對整個域網(wǎng)絡(luò)）。Windows Server 2022家族擁有一項新增功能，可以在操作系統(tǒng)啟動時檢查 Administrator賬戶密碼的復(fù)雜程度。因為安全的計算機需要對所有用戶賬戶都使用強密碼。 ?不包含完整的字典詞匯。 ?永遠不要