2007年08月29日 星期三 下午 03:26
1:标准用户
该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文件.
2:受限用户
该用户可操作计算机并保存文档,但不可以安装程序或进行可能对系统文件和设置有潜在的破坏性的任何修改.
3:其他用户
(1)系统管理员--有对计算机的完全访问控制权.
(2)备份操作员不能根改安全性设置
(3)客人--权限同受限用户
(4)高级用户--权限同标准用户
在XP中设置用户权限按照一下步骤进行:
进入\"控制面板\在\"控制面板\"中双击\"管理工具\"打中开\"管理工具\在\"管理工具\"中双击\"计算机管理\"打开\"计算机管理\"控制台,在\"计算机管理\"控制台左面窗口中双击\"本地用户和组\再单下面的\"用户\右面窗口即显示此计算机上的所有用户。要更改某用户信息,右击右面窗口的该用户的图标,即弹出快捷菜单,该菜单包括:设置密码、删除、重命名、属性、帮助等项,单击设置密码、删除、重命名等项可进行相应的操作。单击属性弹出属性对话框,“常规”选项卡可对用户密码安全,帐户的停锁等进行设置,“隶属于”选项卡可改变用户
组,方法如下:先选中下面列表框中的用户,单击“删除”按纽,如此重复删除列表中的所有用户,单击“添加”按纽,弹出“选择组”对话柜,单击“高级”按纽,单击“立即查找”按纽,下面列表框中列出所有的用户组,Administrators组为管理员组(其成员拥有所有权限),Power Users组为超级用户组(其成员拥有除计算机管理以外的所有权限,可安装程序),User组为一般用户组(其成员只执行程序,不能安装和删程序)。根据需要选择用户组后,单击“确定”、单击“确定”,单击“确定”关闭“属性”对话框即将该用户改为新的用户组,其拥有新用户组的权限。重启计算机后更改生效。
在家庭里或者在单位中,可能都存在一机多用户共用的现象。根据各个用户的需要,合理设置相应的权限。在WinXP中,你可以轻松完成这些设置(以家庭中多用户使用权限的设置为例)。
一、禁止安装软件
如果孩子总是喜欢无休止地往电脑中安装游戏软件,那么你该如何禁止他们的安装权限呢?最有效的方法是为他们创建一个受限账户,这样,当孩子以自己的账户登录WinXP时,只能运行预先安装好的程序和存取属于自己的文件,对软件安装嘛,只能说拜拜了。创建受限账户的具体步骤如下:
1.首先以系统管理员(Administrator)的身份登录到WinXP。
2.点击选择“开始→控制面板”命令,在“控制面板”窗口中双击“用户账户”图标。
3.在弹出的窗口任务列表中点击“创建一个新用户”^39020301a^1,然后在向导窗口的文本框内输入一个名称(例如“Moon”),这个名称将出现在欢迎屏幕或开始菜单中,点击“下一步”按钮。
4.在新出现的画面中提供了“计算机管理员”和“受限”两种权限。用鼠标点选“受限”单选按钮,然后点击“创建账户”即可^39020301b^2。
另外,在任务列表窗口中你还可以完成对所建账户进行改名和删除等操作。
二、账户管理好帮手——家庭成员组
倘若你想要让其他用户对自己的某个文件夹只具有读的权限,通常的做法是分别为每个账户赋权限。如果用户比较多的话,这样的做法比较麻烦,为了解决这个问题,就是创建一个家庭成员组,只要将其他账户添加到这个组中,然后再给这个组分配此权限,那么该组中的所有用户就都拥有了这个权限。创建组的具体步骤如下:
1.点击选择“开始→控制面板”命令,依次双击“管理工具→计算机管理”图标,弹出“计算机管理”窗口。
2.在左侧窗格的树形结构中,逐级展开“系统工具→本地用户和组”,在该分支下有“用户”和“组”两个选项。选择“组”,在右侧窗格中你会发现“Administrators”、“Power Users”、“Users”和“Guests”等系统内建的组^39020301c^3。
3.选择“操作→新建组”命令,弹出“新建组”窗口。在“组名”框内输入“Home Member”,然后点击“创建”按钮即可创建一个组。
4.接下来为该组填加成员,点击“添加”按钮,弹出“选择用户”窗口^39020301d^4。
5.点击“对象类型”按钮,将对象类型选择为“用户”;然后再点击“高级”按钮。
6.在进一步展开的选择用户窗口中点击“立即查找”,在搜寻结果列表中选取“Sun”用户,点击“确定”按钮^39020301e^5,即可将“Sun”账户添加到该组中,采用相同的方法,将其他用户也添加到这个组中。
三、WinXP也可实现标准账户权限
在家庭成员当中,倘若一个用户想要获得类似于Win2000中标准账户的权限时,可WinXP并没有直接提供创建这类账户的功能,那我们该如何实现呢?具体设置步骤如下:
1.在“计算机管理”窗口的“系统工具→本地用户和组”分支下,选择“组”选项,在右侧窗格中双击“Users”组,弹出“Sun属性”窗口,在“成员”列表中点选“Sun”,然后单击“删除”按钮将该账户删除,
点击“确定”按钮返回到“计算机管理”窗口。
2.双击“Power Users”组,在弹出“Power Users”属性窗口中点击“添加”按钮,按照上文介绍的方法将“Sun”账户添加到“Power Users”组中即可。
这样,一个受限账户Sun可以获得标准账户的权限,从此即可解除软件安装的限制了。
四、给文件加个护身符
当多人共用一台电脑时,想必你最担心的是自己的文档被他人误删除,或者秘密文档被偷看,倘若你用的是NTFS文件系统,那就让WinXP为你的文档(或文件夹)加个护身符吧!倘若是这样,即使一个受限账户也可以拒绝管理员访问他的受保护的文件(或文件夹)。现以实例介绍一下设置方法,例如禁止管理员访问“MyDocument”文件夹,而家庭成员组的账户可以对该文件夹进行只读访问。具体步骤如下:
1.例如以“Moon”身份登录,用鼠标右键点击“MyDocument”文件夹,选择快捷菜单中的“属性”命令。在打开的属性窗口中选择“安全”选项卡^39020301f^6。
2.点击“高级”按钮,在弹出的高级安全设置窗口中将“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框前的勾选标记取消,此时屏幕上会弹出一个安全提示,这里选择“复制”(或者“删除”)即可^39020301g^7。然后点击“确定”退回到属性窗口。
3.在“用户和组”列表中将“SYSTEM”、“CREATOR OWNER”和“Users”组删除。
4.接着点击“添加”按钮,弹出“选择用户和组”对话框,按照上文介绍的方法,将“Home Member”组添加到“组或用户名称”列表中。
5.接下来分别设置权限,在属性窗口的“组或用户名称”列表中首先选取“Administrators”组,然后在下面的权限列表中勾选“完全控制”行中的“拒绝”复选框,同时你会发现这一列的其他复选框也自动打上了勾选标记^39020301h^8。这样管理员组的成员就被拒绝访问该文件夹了。
6.再选择“Home Member”组,在权限列表中确保“读取和运行”的“允许”复选框处于勾选状态即可。这样,该组中的成员(例如姐姐和弟弟)就能查看和运行该文件夹中的文档了。
倘若给“Home Membe”组只设置读文件夹的权限,又给一个用户设置写的权限,但最终该用户只能获取读文件夹的权限,这是因为“安全”属性总是取所有权限中最严格的缘故。
提示:在WinXP中,若要对文件夹进行安全权限设置时,首先该文件夹所在的磁盘驱动器必须是NTFS文件系统,倘若不是这种文件系统,必须先进行转换操作,其方法为:在“运行”对话框内键入“Convert X:/fs:ntfs”(其中X就是被转换的磁盘驱动器),点击“确定”即可。
另外,若文件夹属性窗口中没有发现“安全”选项卡时,你只要在资源管理器窗口中,选择“工具→文件夹选项”命令,在弹出的窗口中选择“查看”选项卡,然后将“高级设置”列表中的“使用简单文件共享”复选框的勾选标记去掉即可。
五、公共文件夹中设个安全屏障
倘若你的某个文件夹(例如“Public”)存放了一些公共文件,可以允许Users组成员读写,但是这个文件夹中还有一个“Secret”子文件夹用来存放一些重要文件,只允许Users组成员读取。这样的安全屏障该如何设置呢?具体方法如下:
1.首先用鼠标点击“Public”文件夹,选择快捷菜单中的“属性”命令,在弹出的属性窗口中点击“安全”选项卡。
2.在“组或用户名称”列表中选择“Users”组,然后将其权限设置为允许“完全控制”。
3.然后再打开“Public”文件夹,选择“Secret”右键菜单中的“属性”命令,在弹出的属性窗口中点击“安全”选项卡,此时你会发现“Users”组拥有“完全控制”的权限,并且允许权限显示为灰色,表明该权限是从上级文件夹“Public”上传递下来的,点击“拒绝”中的“写入”,选中该项,点击“确定”按钮,此时系统给出一个“安全”警告窗口,提示“拒绝”的优先级要高于“允许”,单击“是”即可。
这样,“Users”组成员再往“Secret”文件夹中写文件时,就会遭到拒绝。拒绝权限好比是拦路设的屏障,用来阻止来自上一级(父级)下达的命令。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限实例攻击
权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。
打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。
通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。
还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。
系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。
对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。
那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。
对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\\www目录,也就是网站目录读、写权。
最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。
当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
Windows XP权限设置详解什么是XP权限设置,很多的朋友都不是很清楚。这里收集了一些Windows XP权限设置的教程,应该是比较全的。以后大家用起Windows XP来应该会方便很多哦!
作为微软第一个稳定且安全的作系统,Windows XP经过几年的磨合过渡期,终于以超过Windows系列作系统50%的用户占有量成为目前用户使用最多的作系统。在慢慢熟悉了Windows XP后,兄弟们学学一些较深入且实用的知识,以便能让系统充分发挥出Windows XP的高级性能。
因此本文以Windows XP Professional版本为平台,引领兄弟们感受一下Windows XP在“权限”方面的设计魅力!
一、什么是权限
Windows XP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。
“权限”(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即“设置某个文件夹有哪些用户可以拥有相应的权限”,而不能是以用户为主,即“设置某个用户可以对哪些资源拥有权限”。这就意味着“权限”必须针对“资源”而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,“某个资源”是必须存在的。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有“读取”作权限、Administrators组成员拥有“读取+写入+删除”作权限等。
值得一提的是,有一些Windows用户往往会将“权力”与“权限”两个非常相似的概念搞混淆,这里做一下简单解释:“权力”(Right)主要是针对用户而言的。“权力”通常包含“登录权力”(Logon Right)和“特权”(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。
二、安全标识符、访问控制列表、安全主体
说到Windows XP的权限,就不能不说说“安全标识符”(Security Identifier, SID)、“访问控制列表”(Access
Control List,ACL)和安全主体(Security Principal)这三个与其息息相关的设计了。
1.安全标识符
在Windows XP中,系统是通过SID对用户进行识别的,而不是很多用户认为的“用户名称”。SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为“A”的账户)后,再次创建这个“A”账户时,前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。
查看用户、组、服务或计算机的SID值,可以使用“Whoami”工具来执行,该工具包含在Windows XP安装光盘的“Support\\Tools”目录中,双击执行该目录下的“Setup”文件后,将会有包括Whoami工具在内的一系列命令行工具拷贝到“X:\\Program Files\\Support Tools”目录中。此后在任意一个命令提示符窗口中都可以执行“Whoami /all”命令来查看当前用户的全部信息。
2.访问控制列表(ACL)
访问控制列表是权限的核心技术。顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是Windows XP对资源进行保护时所使用的一个标准。
在访问控制列表中,每一个用户或用户组都对应一组访问控制项(Access Control Entry, ACE),这一点只需在“组或用户名称”列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整,如取消某个用户对某个资源的“写入”权限。
3.安全主体(Security Principal)
在Windows XP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同,账户的管理方式也有所不同──本地账户被本地的SAM管理;域的账户则会被活动目录进行管理……
一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的作过程。因为用户组包括多个用户,所以大多数情况下,为资源指派权限时建议使用用户组来完成,这样可以非常方便地完成统一管理。
三、权限的四项基本原则
在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:
1.拒绝优于允许原则
“拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。
但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际作中,“shyzhong”用户无法对这个资源进行“写入”作。
2.权限最小化原则
Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。
基于这条原则,在实际的权限赋予作中,我们就必须为资源明确赋予允许或拒绝作的权限。例如系统中新
建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。
3.权限继承性原则
权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。
4.累加原则
这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权限将会是“读取+写入”两种。
显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!
注意:在Windows XP中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。
四、资源权限高级应用
以文件与文件夹的权限为例,依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。下面来看看如何进
行设置:
1.NTFS权限
首先我们要知道:只要是存在NTFS磁盘分区上的文件夹或文件,无论是否被共享,都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效!
NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。
在大多数的情况下,“标准权限”是可以满足管理需要的,但对于权限管理要求严格的环境,它往往就不能令管理员们满意了,如只想赋予某用户有建立文件夹的权限,却没有建立文件的权限;如只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等……这个时候,就可以让拥有所有权限选项的“特别权限”来大显身手了。也就是说,特别权限不再使用“套餐型”,而是使用可以允许用户进行“菜单型”的细节化权限管理选择了。
那么如何设置标准访问权限呢?以对一个在NTFS分区中的名为“zhiguo”的文件夹进行设置标准访问权限为例,可以按照如下方法进行作:
因为NTFS权限需要在资源属性页面的“安全”选项卡设置界面中进行,而Windows XP在安装后默认状态下是没有激活“安全”选项卡设置功能的,所以需要首先启用系统中的“安全”选项卡。方法是:依次点击“开始”→“设置”→“控制面板”,双击“文件夹选项”,在“查看”标签页设置界面上的“高级设置”选项列表中清除“使用简单文件共享(推荐)”选项前的复选框后点击“应用”按钮即可。
设置完毕后就可以右键点击“zhiguo”文件夹,在弹出的快捷菜单中选择“共享与安全”,在“zhiguo属性”窗口中就可以看见“安全”选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的,此时应首先在“组或用户名称”列表中选择需要赋予权限的用户名组(这里选择“zhong”用户),接着在下方的“zhong 的权限”列表中设置该用户可以拥有的权限即可。
下面简单解释一下六个权限选项的含义:
①完全控制(Full Control):该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限;
②修改(Modify):该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限;
③读取和运行(Read & Execute):该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径;
④列出文件夹目录(List Folder Contents):该权限允许用户查看资源中的子文件夹与文件名称;
⑤读取(Read):该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等;
⑥写入(Write):该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
如果在“组或用户名称”列表中没有所需的用户或组,那么就需要进行相应的添加作了,方法如下:点击“添加”按钮后,在出现的“选择用户和组”对话框中,既可以直接在“输入对象名称来选择”文本区域中输入用户或组的名称(使用“计算机名\\用户名”这种方式),也可以点击“高级”按钮,在弹出的对话框中点击“立即查找”按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。如图2所示。
如果想删除某个用户组或用户的话,只需在“组或用户名称”列表中选中相应的用户或用户组后,点击下方的“删除”按钮即可。但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,如果希望拒绝某个用户或用户组访问某个资源,还要在“组或用户名称”列表中选择相应的用户名用户组后,为其选中下方的“拒绝”复选框即可。
那么如何设置特殊权限呢?假设现在需要对一个名为“zhiguo”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限,基于安全考虑,又决定取消该账户的“删除”权限。此时,如果使用“标准权限”的话,将无法完成要求,而使用特别权限则可以很轻松地完成设置。
首先,右键点击“zhiguo”目录,在右键快捷菜单中选择“共享与安全”项,随后在“安全”选项卡设置界面中选中“zhong”用户并点击下方的“高级”按钮,在弹出的对话框中点击清空“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”项选中状态,这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的“安全”对话框中点击“复制”或“删除”按钮后(点击“复制”按钮可以首先复制继承的父级权限设置,然后再断开继承关系),接着点击“应用”按钮确认设置,再选中“zhong”用户并点击“编辑”按钮,在弹出的“zhong的权限项目”对话框中请首先点击“全部清除”按钮,接着在“权限”列表中选择“遍历文件夹/运行文件”、“列出文件夹/读取数据”、“读取属性”、“创建文件/写入数据”、“创建文件夹/附加数据”、“读取权限”几项,最后点击“确定”按钮结束设置。
在经过上述设置后,“zhong”用户在对“zhiguo”进行删除作时,就会弹出提示框警告作不能成功的提示了。显然,相对于标准访问权限设置上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。
为了大家更好地理解特殊权限列表中的权限含义,以便做出更精确的权限设置,下面简单解释一下其含义:
⑴遍历文件夹/运行文件(Traverse Folder/Execute File):该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。注意:只有当在“组策略”中(“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”)将“跳过遍历检查”项授予了特定的用户或用户组,该项权限才能起作用。默认状态下,包括“Administrators”、“Users”、“Everyone”等在内的组都可以使用该权限。对于文件来说,拥了这项权限后,用户可以执行该程序文件。但是,如果仅为文件夹设置了这项权限的话,并不会让用户对其中的文件带上“执行”的权限;
⑵列出文件/读取数据(List Folder/Read Data):该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据;
⑶读取属性(Read Attributes):该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性);
⑷读取扩展属性(Read Extended Attributes):该权限允许查看文件或文件夹的扩展属性,这些扩展属性通常由程序所定义,并可以被程序修改;
⑸创建文件/写入属性(Create Files/Write Data):该权限允许用户在文件夹中创建新文件,也允许将数据写入现有文件并覆盖现有文件中的数据;
⑹创建文件夹/附加数据(Create Folder/Append Data):该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据,但不能对文件现有的数据进行覆盖、修改,也不能删除数据;
⑺写入属性(Write Attributes):该权限允许用户改变文件或文件夹的属性;
⑻写入扩展属性(Write Extended Attributes):该权限允许用户对文件或文件夹的扩展属性进行修改;
⑼删除子文件夹及文件(Delete Subfolders and Files):该权限允许用户删除文件夹中的子文件夹或文件,即使在这些子文件夹和文件上没有设置删除权限;
⑽删除(Delete):该权限允许用户删除当前文件夹和文件,如果用户在该文件或文件夹上没有删除权限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它;
⑾读取权限(Read Permissions):该权限允许用户读取文件或文件夹的权限列表;
⑿更改权限(Change Permissions):该权限允许用户改变文件或文件夹上的现有权限;
⒀取得所有权(Take Ownership):该权限允许用户获取文件或文件夹的所有权,一旦获取了所有权,用户就可以对文件或文件夹进行全权控制。
这里需要单独说明一下“修改”权限与“写入”权限的区别:如果仅仅对一个文件拥有修改权限,那么,不仅可以对该文件数据进行写入和附加,而且还可以创建新文件或删除现有文件。而如果仅仅对一个文件拥有写入权限,那么既可以对文件数据进行写入和附加,也可以创建新文件,但是不能删除文件。也就是说,有写
入权限不等于具有删除权限,但拥有修改权限,就等同于拥有删除和写入权限。
2.共享权限(Shared Permission)
只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限,如果这个资源同时拥有NTFS和共享两种权限,那么系统中对权限的具体实施将以两种权限中的“较严格的权限”为准──这也是“拒绝优于允许”原则的一种体现!
例如,某个共享资源的NTFS权限设置为完全控制,而共享权限设置为读取,那么远程用户就只能使用“读取”权限对共享资源进行访问了。
注意:如果是FAT16/FAT32文件系统中的共享文件夹,那么将只能受到共享权限的保护,这样一来就容易产生安全性漏洞。这是因为共享权限只能够限制从网络上访问资源的用户,并无法限制直接登录本机的人,即用户只要能够登录本机,就可以任意修改、删除FAT16/FAT32分区中的数据了。因此,从安全角度来看,我们是不推荐在Windows XP中使用FAT16/FAT32分区的。
设置共享权限很简单,在右键选中并点击一个文件夹后,在右键快捷菜单中选择“共享与安全”项,在弹出的属性对话框“共享”选项卡设置界面中点击选中“共享该文件夹”项即可,这将使共享资源使用默认的权限设置(即“Everyone”用户拥有读取权限)。如果想具体设置共享权限,那么请点击“权限”按钮,在打开的对话框中可以看到权限列表中有“完全控制”、“更改”和“读取”三项权限可供选择。
下面先简单介绍一下这三个权限的含义:
①完全控制:允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹,另外,也可以修改该文件夹中的NTFS访问权限和夺取所有权;
②更改:允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹,但不能创建新文件;
③读取:允许用户读取当前文件夹的文件和子文件夹,但是不能进行写入或删除作。
说完了权限的含义,我们就可以点击“添加”按钮,将需要设置权限的用户或用户组添加进来了。在缺省情况下,当添加新的组或用户时,该组或用户将具备“读取”(Read)权限,我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。
接着再来说说令很多读者感到奇怪的“组和用户名称”列表中的“Everyone”组的含义。在Windows 2000中,这个组因为包含了“Anonymous Logon”组,所以它表示“每个人”的意思。但在Windows XP中,请注意──这个组因为只包括“Authenticated Users”和“Guests”两个组,而不再包括“Anonymous Logon”组,所以它表示了“可访问计算机的所有用户”,而不再是“每个人”!请注意这是有区别的,“可访问计算机的所有用户”意味着必须是通过认证的用户,而“每个人”则不必考虑用户是否通过了认证。从安全方面来看,这一点是直接导致安全隐患是否存在关键所在!
当然,如果想在Windows XP中实现Windows 2000中那种“Everyone”设计机制,那么可以通过编辑“本地安全策略”来实现,方法是:在“运行”栏中输入“Secpol.msc”命令打开“安全设置”管理单元,依次展开“安全设置”→“本地策略”,然后进入“安全选项”,双击右侧的“网络访问:让‘每个人’权限应用于匿名用户”项,然后选择“已启用”项既可。
注意:在Windows XP Professional中,最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户,对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。
3.资源复制或移动时权限的变化与处理
在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下:
(1)复制资源时
在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。
(2)移动资源时
在移动资源时,一般会遇到两种情况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动作就是首先进行资源的复制,然后从原有位置删除资源的作。
(3)非NTFS分区
上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的,如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上,那么所有的权限均会自动全部丢失。
4.资源所有权的高级管理
有时我们会发现当前登录的用户无法对某个资源进行任何作,这是什么原因呢?其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的──这将会造成所有人(包括“Administrator”组成员)都无法访问资源,例如不小心将“zhiguo”这个文件夹的所有用户都删除了,这将会导致所有用户都无法访问这个文件夹,此时很多朋友就会束手无策了,其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。
首先,我们需要检查一下资源的所有者是谁,如果想查看某个资源(如sony目录)的用户所有权的话,那么只需使用“dir sony /q”命令就可以了。在反馈信息的第一行就可以看到用户是谁了,例如第一行的信息是“lovebook\\zhong”,那么意思就是lovebook这台计算机中的“zhong”用户。
如果想在图形界面中查看所有者是谁,那么需要进入资源的属性对话框,点击“安全”选项卡设置界面中的“高级”按钮,在弹出的“(用户名)高级安全设置”界面中点击“所有者”选项卡,从其中的“目前该项目的所有者”列表中就可以看到当前资源的所有者是谁了。
如果想将所有者更改用户,那么只需在“将所有者更改为”列表中选择目标用户名后,点击“确定”按钮即可。此外,也可以直接在“安全”选项卡设置界面中点击“添加”按钮添加一个用户并赋予相应的权限后,让这个用户来获得当前文件夹的所有权。
注意:查看所有者究竟对资源拥有什么样的权限,可点击进入“有效权限”选项卡设置界面,从中点击“选择”按钮添加当前资源的所有者后,就可以从下方的列表中权限选项的勾取状态来获知了。
五、程序使用权限设定
Windows XP作系统在文件管理方面功能设计上颇为多样、周全和智能化。这里通过“程序文件使用权限”设置、将“加密文件授权多个用户可以访问”和了解系统日志的访问权限三个例子给大家解释一下如何进行日常应用。
1.程序文件权限设定
要了解Windows XP中关于程序文件的访问权限,我们应首先来了解一下Windows XP在这方面的两个设计,一是组策略中软件限制策略的设计;二是临时分配程序文件使用权限的设计。
(1)软件限制策略
在“运行”栏中输入“Gpedit.msc”命令打开组策略窗口后,在“计算机配置”→“Windows设置”→“安全设置”分支中,右键选中“软件限制策略”分支,在弹出的快捷菜单中选择新建一个策略后,就可以从“软件限制策略”分支下新出现的“安全级别”中看到有两种安全级别的存在了。
这两条安全级别对于程序文件与用户权限之前是有密切联系的:
①不允许的:从其解释中可以看出,无论用户的访问权如何,软件都不会运行;
②不受限的:这是默认的安全级别,其解释为“软件访问权由用户的访问权来决定”。显然,之所以在系统中可以设置各种权限,是因为有这个默认安全策略在背后默默支持的缘故。如果想把“不允许的\"安全级别设置为默认状态,只需双击进入其属性界面后点击“设为默认值”按钮即可。
(2)临时分配程序文件
为什么要临时分配程序文件的管理权限呢?这是因为在Windows XP中,有许多很重要的程序都是要求用户具有一定的管理权限才能使用的,因此在使用权限不足以使用某些程序的账户时,为了能够使用程序,我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单:右键点击要运行的程序图标,在弹出的快捷菜单中选择“运行方式”,在打开的“运行身份”对话框中选中“下列用户”选项,在“用户名”和“密码”右侧的文本框中指定用户及密码即可。
显然,这个临时切换程序文件管理权限的设计是十分有必要的,它可以很好地起到保护系统的目的。
2.授权多个用户访问加密文件
Windows XP在EFS上的改进之一就是可以允许多个用户访问加密文件,这些用户既可以是本地用户,也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组,而只能颁发给用户,所以只能授权单个的账户访问加密文件,而用户组将不能被授权。
要授权加密文件可以被多个用户访问,可以按照如下方法进行作:
选中已经加密的文件,用鼠标右键点击该加密文件,选择“属性”,在打开的属性对话框中“常规”选项卡下点击“高级”按钮,打开加密文件的高级属性对话框,点击其中的“详细信息”按钮(加密文件夹此按钮无效),在打开的对话框中点击“添加”按钮添加一个或多个新用户即可(如果计算机加入了域,则还可以点击“寻找用户”按钮在整个域范围内寻找用户)。
如果要删除某个用户对加密文件的访问权限,那么只需选中此用户后点击“删除”按钮即可。
3.日志的访问权限
什么是日志?我们可以将日志理解为系统日记,这本“日记”可以按系统管理员预先的设定,自动将系统中发生的所有事件都一一记录在案,供管理员查询。既然日志信息具有如此重要的参考作用,那么就应该做好未经授权的用户修改或查看的权限控制。因此,我们非常有必要去了解一下日志的访问权限在Windows XP中是怎样设计的。一般来说,Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。
这三种类型的账户对不同类型的日志拥有不同的访问权限,下面来看一下表格中具体的说明,请注意“√”表示拥有此权限;“×”表示无此权限。
对应用程序日志的权限
账户 读取 写入 清除
Administrators √ √ √
SYSTEM √ √ √
Everyone √ √ ×
对安全日志的权限
账户 读取 写入 清除
Administrators √ × √
SYSTEM √ √ √
Everyone × × ×
对系统日志的权限
账户 读取 写入 清除
Administrators √ √ √
SYSTEM √ √ √
Everyone √ × ×
通过对比,可以看出SYSTEM拥有的权限最高,可以对任意类型的日志进行读写和清除作;Everyone用户则可以读取应用程序和系统日志,但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些,只有SYSTEM能够对之写入。
如果想为其他用户赋予管理审核安全日志的权限,那么可以在“运行”栏中输入“Gpedit.msc”命令打开组策略编辑器窗口后,依次进入“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”,双击右侧的“管理审核和安全日志”项,在弹出的对话框中添加所需的用户即可。
六、内置安全主体与权限
在Windows XP中,有一群不为人知的用户,它们的作用是可以让我们指派权限到某种“状态”的用户(如“匿名用户”、“网络用户”)等,而不是某个特定的用户或组(如“zhong”、“CPCW”这类用户)。这样一来,对用户权限的管理就更加容易精确控制了。这群用户在Windows XP中,统一称为内置安全主体。下面让我们来了解一下:
1.安全主体的藏身之处
下面假设需要为一个名为“zhiguo”的目录设置内置安全主体中的“Network”类用户权限为例,看看这群“默默无闻”的用户藏身在系统何处。
首先进入“zhiguo”目录属性界面的“安全”选项卡设置界面,点击其中的“添加”按钮,在弹出的“选择用户或组”对话框中点击“对象类型”按钮。在弹出对话框中只保留列表中的“内置安全主体”项,并点击“确定”按钮。
在接下来的对话框中点击“高级”按钮,然后在展开的对话框中点击“立即查找”按钮,就可以看到内置
安全主体中包含的用户列表了。
2.安全主体作用说明
虽然内置安全主体有很多,但正常能在权限设置中使用到的并不多,所以下面仅说明其中几个较重要的:
①Anonymous Logon:任何没有经过Windows XP验证程序(Authentication),而以匿名方式登录域的用户均属于此组;
②Authenticated Users:与前项相反,所有经过Windows XP验证程序登录的用户均属于此组。设置权限和用户权力时,可考虑用此项代替Everyone组;
③BATCH:这个组包含任何访问这台计算机的批处理程序(Batch Process);
④DIALUP:任何通过拨号网络登录的用户;
⑤Everyone:指所有经验证登录的用户及来宾(Guest);
⑥Network:任何通过网络登录的用户;
⑦Interactive:指任何直接登录本机的用户;
⑧Terminal server user:指任何通过终端服务登录的用户。
……
在明白了内置安全主体的作用后,在进行权限的具体指派时就可以让权限的应用精确程度更高、权限的应用效果更加高效。显然,Windows XP中设置此类账户是十分有必要的,毕竟计算机是以应用为主,以应用类型进行账户分类,必然会使权限的管理不再混乱,管理更加合理!
【转自bbs.bitsCN.com】
三、文件加密与解密
在使用电脑的过程中,保护文件安全可是头等大事。为了有效保护自己文件的私密性,许多用户都采用第三方加密软件对文件进行加密、解密。其实,在Windows XP中,利用NFTS格式的磁盘分区特性以及系统自带的功能,便可以有多种方法保证文件的安全。
注意:以下操作均在NTFS分区上进行。
1.最简单的文件加密
在Windows XP中,有一个文件夹与众不同,它便是位于系统所在盘符下的\"Documents and Settings\"中,是一个以系统登录用户名为文件名的文件夹。
选中该文件,点击鼠标右键,选择\"属性\"命令,在出现的对话框中点击\"共享\"选项卡,只要选中\"将这个文件夹设为专用\"选项,便可以保护该文件夹中所有的文件。即使是系统管理员也无法打开。而其他文件夹属性中的\"将这个文件夹设为专用\"选项均为灰色不可用。
提示:利用这个方法,每个用户只能对以自己用户名为名称的那个文件夹进行保护,对其他用户名为名称的文件夹无法进行类似的设置。同时被设为专用的文件夹无法共享,而被共享的文件夹则无法被设为专用。
2.用户权限加密
如果多个用户共用一台电脑,不进行相应的设置,势必会危及到不同用户的文件安全。利用Windows XP给自己的文件赋予不同的权限,便可以灵活、方便地保护自己的文件。
提示:由于Windows XP默认的是文件简单共享方式,这种情况下无法为文件夹或文件设置访问权限,可双击\"我的电脑\",在出现的窗口中,点击\"工具→文件夹选项\"菜单命令,在出现的对话框中点击\"查看\"选项卡,
在\"高级设置\"列表中将\"使用简单文件共享\"选项去掉即可。
(1)了解不同用户类型及权限
右键点击\"我的电脑\",选择\"管理\"命令,在打开的\"计算机管理\"窗口中双击展开\"本地用户和组→组\"选项,此时会在右侧窗口中出现多个用户组,每个用户组都分别具有不同的权限。
Administrator组拥有对计算机/域的完全访问控制权;Backup Operator组无须根据计算机的文件权限就可以备份和还原它们,并可登录计算机和关闭计算机,但无法更改安全性设置;Power User组拥有大部分管理权限,可安装不修改操作系统文件且不需安装系统服务的应用程序,可以运行经过验证的应用程序;Replicator组权限是在域内复制文件;User组权限能使用已安装在电脑上的大部分程序,可是却无法自己安装或删除其他程序,不能安装硬件,但可以更改自己的账户名称、图片,更改或删除自己账户的密码;Guest组权限有着\"User组\"同等的访问权,但限制更多。
(2)设定用户访问权限
如何才能自己决定不同用户对文件夹的访问权限呢?在此以设置文件夹拒绝User组中的\"DD\"用户进行访问为例。
选中在NTFS格式分区中的一个文件夹或文件,点击鼠标右键,选择\"属性\"命令,在出现的对话框中点击\"安全\"选项卡,然后在\"组或用户名称\"列表中将User组删除。
提示:若无法删除,可点击\"高级\"按钮,在出现的对话框中将\"从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目\"选项去掉,在出现的提示框中点击\"复制\"按钮即可。
点击\"添加\"按钮,在出现的对话框加入用户\"DD\",在\"DD的权限\"列表中选中\"拒绝\"中的\"完全控制\"选项,最后点击\"确定\"按钮,就可以让该用户无法访问你的文件了。
用相同方法还可以对其他用户或组进行不同的权限设置,以实现不同的文件访问要求。
3.利用EFS进行文件保护
EFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接加密保存,在很大程度上提高了数据的安全性。
(1)什么是EFS加密
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到\"访问拒绝\"的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
(2)EFS加密
选中NTFS分区中的一个文件,点击鼠标右键,选择\"属性\"命令,在出现的对话框中点击\"常规\"选项卡,然后点击\"高级\"按钮,在出现的对话框中选中\"加密内容以便保护数据\"选项,点击\"确定\"即可。
此时你可以发现,加密文件名的颜色变成了绿色,当其他用户登录系统后打开该文件时,就会出现\"拒绝访问\"的提示,这表示EFS加密成功。而如果想取消该文件的加密,只需将\"加密内容以便保护数据\"选项去除即可
(3)EFS解密
如果其他人想共享经过EFS加密的文件或文件夹,又该怎么办呢?由于重装系统后,SID(安全标示符)的改变会使原来由EFS加密的文件无法打开,所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件,必须要进行备份证书。
点击\"开始→运行\"菜单项,在出现的对话框中输入\"certmgr.msc\",回车后,在出现的\"证书\"对话框中依次双击展开\"证书-当前用户→个人→证书\"选项,在右侧栏目里会出现以你的用户名为名称的证书。选中该证书,点击鼠标右键,选择\"所有任务→导出\"命令,打开\"证书导出向导\"对话框。
在向导进行过程中,当出现\"是否要将私钥跟证书一起导出\"提示时,要选择\"是,导出私钥\"选项,接着会出现向导提示要求密码的对话框。为了安全起见,可以设置证书的安全密码。当选择好保存的文件名及文件路径后,点击\"完成\"按钮即可顺利将证书导出,此时会发现在保存路径上出现一个以PFX为扩展名的文件。
当其他用户或重装系统后欲使用该加密文件时,只需记住证书及密码,然后在该证书上点击右键,选择\"安装证书\"命令,即可进入\"证书导入向导\"对话框。按默认状态点击\"下一步\"按钮,输入正确的密码后,即可完成证书的导入,这样就可顺利打开所加密的文件。
4.查找缺损的系统文件
有时,一些系统文件因某些不明原因而损坏,造成系统运行不稳定。如果此时因个别文件缺损而重装或还原系统,的确有点\"杀鸡用牛刀\"的感觉。而利用Windows XP中的\"系统文件检查器\"功能可以轻松应对这些难题。
点击\"开始→运行\"菜单项,在出现的对话框中输入\"cmd\",回车后即可进入\"命令提示符\"窗口。在提示符后输入\"sfc\"命令并按下回车键,便可出现该命令各个参数的意义。
例如,在命令提示符后键入\"sfc/scannow\"命令,回车后,\"系统文件检查器\"就会开始检查当前的系统文件是否有损坏、版本是否正确,如果发现错误,程序就会要求插入Windows XP安装光盘来修复或者替换不正确的文件,从而保证了系统的稳定。
1.安装强力支持工具
运行\\Support\\Tools目录中的Setup.exe或SupTools.msi文件便可以进行支持工具的安装。在安装过程中,我们可选择\"典型安装\"或\"完全安装\"两种安装模式。
提示:通过\"典型安装\"可以安装57个工具,而\"完全安装\"将安装103个工具。
安
装结束,点击\"开始→所有程序→Windows Support Tools\"菜单项,在该项中共有3个程序项。点击\"Command Prompt\"项,便可进入命令行中,在命令提示符后输入\"Dir\"命令,便可以查看到许多EXE可执行文件,它们就是Windows XP的支持工具。
不过,并非每一个工具都有图形用户界面,有些工具必须从命令行运行,这类工具的运行方式通常用命令行参数控制,输入某个工具的程序名称再加上\"/?\"参数即可获得命令行参数的清单及其用途说明。
由于Windows XP的支持工具众多,我们不能将它们一一列举,在此介绍几个常用小工具,希望对大家有所帮助。
2.反安装利器
在卸载一些程序时,我们有时会发现某些程序无法完全被卸载,并且还会出现出错提示、系统死机等现象。之所以会出现这些情况,主要是因为程序本身并没有完全安装或者程序文件被破坏,从而无法执行反安装程序。
如果把程序安装目录全部删除,但由于在注册表中还有该程序的相关键值存在,仍然可能会有以上问题存在。如何清除这些程序呢?不少用户大都采用第三方反安装软件去卸载它们,其实Windows XP支持工具中的Msicuu.exe、Msizap.exe工具完全可以帮上你的忙。
(1)使用Msicuu.exe更方便
打开支持工具的安装目录(C:\\Program Files\\Support Tools),选中并双击Msicuu.exe文件,打开\"Windows Installer Clean Up\"对话框,在该对话框中,我们可以看到系统所安装的程序列表,选中打算删除的程序,然后点击\"Rmove(删除)\"按钮就可以帮助你清除有问题的程序。
注意:使用Msicuu.exe时,必须以管理员身份登录,否则系统将提示错误信息。
(2)命令格式的反安装工具
点击\"开始→所有程序→Windows Support Tools→Command Prompt\"菜单项,在命令提示符后输入\"msizap\"并按下回车键,便可以看到Msizap.exe所有可用的命令行参数。这里,我们以删除Office 2003为例。
点击\"开始→运行\"菜单项,在出现的对话框中输入\"regedit\",回车后打开注册表编辑器,进入HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall,在下面的项中发现它的标识是{90110804-6000-11D3-8CF-0150048383C9}。
返回到命令提示符窗口,输入\"msizap T {90110804-6000-11D3-8CFE-0150048383C9}\"命令(输入时不含双引号),便可将Office 2003顺利删除。
注意:Msizap.exe可能会删除一些系统文件,所以只有当\"添加或删除程序\"、Msicuu.exe等都无效时,才可以考虑使用Msizap.exe。
3.查找磁盘中的重复文件
电脑中总有一些重复的文件存在,这些文件的存在一方面不便于管理,另一方面也会浪费一定的空间。关于查找重复文件的第三方软件很多,而在支持工具中却早就为你准备了一款小工具──Dupfinder.exe。
在支持工具的安装目录(C:\\Program Files\\Support Tools)中双击该程序,即可开启一个图形窗口,在\"Search in(搜索)\"栏中输入相应的分区盘符或路径,然后点击\"Start Search(开始搜索)\"按钮即可,不久就可以
找到许多重复的文件了。点击\"File\"菜单,便可选择打开的菜单列表相应的选项,根据不同的要求进行操作。
提示:为了安全起见,可以将重复的文件重命令或移动操作,当重启系统后各方面仍能正常运行,才建议删除复文件。
4.文件对比
上面操作中找到的重复文件是否真正完全一样吗?在支持工具中有一个名为Windiff.exe的文件可以让你更加清楚地了解。Windiff.exe可对文件或2个文件夹中的文件进行ASCII码对比,从而找出两者间的不同之处。
启动该程序同样可以看到一个图形窗口,点击\"File→Compare Files(比较文件)\"或\"File→Compare Directories(比较目录)\"菜单命令,选择两个文件或文件夹后,便可以对它们进行比较。
点击\"Expand(详细)\"按钮即可查看更为详细的比较结果,对于两个文件的不同之处,第一个文件用红色前景标出,第二个文件用黄色背景标出。
5.观看更详细的文件属性
对于文件的各项属性,在支持工具中也有命令文件可以轻松查看它们。
在支持工具的安装目录双击Vfi.exe,便可以打开这款可视化文件信息工具。打开\"File\" 菜单,在出现的下拉列表中选择文件或文件夹,就可以看到各个文件的详细信息,这包括了文件名称、扩展名、创建日期、修改日期、版本、语言、代码页等信息。
点击\"Touch\"按钮,还可以显示出一个日历和时钟,只要设置好日期、时间信息,最后点击\"OK\"按钮就可以了更改文件的原始创建日期,非常方便。
6.让Windows XP兼容更多程序
在使用Windows XP过程中,一些老的程序并不能很好地在该系统环境中安装与运行,这的确令人遗憾。不过,我们可以进入Windows XP安装光盘中Support\\Tools文件夹,双击Act20.exe文件,安装Application Compatibility Toolkit(应用程序兼容性工具箱)以解决这些问题。
执行安装目录的可执行文件,就可以实现在Windows XP上模拟其他的操作系统,如Windows 9X、Windows 2000等操作环境,从而骗过一些原本不能在Windows XP上安装或运行的程序,使其得以顺利安装或运行。
进入Application Compatibility Toolkit的安装目录,可看到其中共有3个应用程序:Compatibility Administration Tool、Application Verifier、QFixApp.exe,执行它们可不同程度地对应用程序进行兼容性测试。在此以执行QFixApp.exe为例。
双击QFixApp.exe打开程序主界面,点击\"Browse\"按钮,选择打算运行或安装的可执行文件。
点击\"Layers\"选项卡,选择其中一个较为合适的操作环境选项,点击\"Run\"按钮即可。如果程序还是不能安装或运行,那就再尝试点击\"Fixes\"选项卡,可单独选中或取消其中的可选项,直至程序可以运行为止,由于设置项目非常专业,有兴趣的朋友可以使用试试。
在安装光盘的Support\\Tools目录下还有一个名为Deploy的CAB压缩文件,将其解压到一个临时目录后,其中的Setupmgr可用于制作进行无人值守全自动安装时的应答文件。用户可以事先将安装过程中所要回答的信息设置好,将其制成一个文件,这个文件就称为应答文件。安装程序可调用生成的应答文件,以实现无人值守的全自动安装。
七、\"玩具\"的魔力──PowerToys
为了增强Windows XP的功能,微软提供了一个增强工具集──PowerToys for Windows XP(以下简称PowerToys)。利用它,我们可以很方便地对Windows XP系统进行一些功能上的设置。
但是,对于PowerToys,微软并没有给出这个版本的中文版,而且新版的工具需要一个一个下载安装。不
过,我们
完全可以使用完整工具包的汉化版本。
提示:在安装PowerToys高版本时,必须要将低版本先卸载后才能安装。
1.轻松更改图片尺寸
如何才能将一张1024×768的图片,更换为800×600的图片呢?不少朋友大都会利用Photoshop、ACDSee等第三方软件去做。单张图片的修改还不显得麻烦,但如果要修改的图片很多,这种方法就有些\"劳命伤财\"了。有了PowerToys后,就不会再有这些烦恼。
选中所有需修改尺寸的图片文件,然后点击鼠标右键,选择\"更改图片大小\"命令,进入图片修改对话框,点击\"高级\"按钮,在出现的对话框中可根据需要选择相应的图片尺寸,当然也可以在\"自定义\"框中输入自行定义的数值。如果选中\"更改图片大小\"选项,就会用修改后的图片覆盖原图片,否则会产生新的图片文件;而选中\"使图片变小\"选项,则会让大的图片尺寸减小,而小的图片尺寸不会变大。
2.制作HTML幻灯片
自己拍了许多数码相片,如果想让其他好友分享,就必须把这些照片发给他们,但这样一来就感觉很没有新意,并且好友浏览起来也不是很方便。而打算将这些图片发布到网上时,就必须要了解制作网页的基本知识,可以这样对新手朋友而言无疑要麻烦许多。
其实,只要安装了PowerToys,便可以轻松制作HTML格式的幻灯片,不但让好友浏览时更加方便,而且还可以将其发布到网上去,让全世界的人们都能看到你的大作。
点击\"开始→所有程序→PowerToys→HTML幻灯片制作向导\"菜单项,以启动制作向导。在运行向导过程中,点击\"增加文件\"或\"增加文件夹\"按钮去添加图片;在进行到\"选项\"对话框中,可根据自己的需要设定图片尺寸、播放类型、保存路径等,最后点击\"下一步\"按钮便完成幻灯片的制作。
进入所保存的文件目录中,点击Default.htm文件,就可以看到自己亲手制作的HTML格式的幻灯片了。
3.用TweakUI优化系统
TweakUI是微软推出的一款系统优化工具。其实,当你安装PowerToys后,它就位于PowerToys程序组中。点击\"开始→所有程序→PowerToys→TweakUI 系统设置\"菜单项便可进入TweakUI设置对话框。
(1)做一个省心的鼠标
当在桌面上开启多个页面时,一般都是通过鼠标点击相应的页面以进行切换不同的窗口。可不可以不点击鼠标就可以进行切换呢?
展开设置窗口左侧列表中的\"鼠标\"选项,点击\"X-Mouse\"选项,在右侧窗口中分别选中\"激活这种鼠标\"和\"自动激活窗口\"选项,点击\"确定\"按钮便可。
当你再次将鼠标移至桌面上不同的窗口页面上时,即可发现鼠标所到之处,所指的窗口就会出现在最前面。
(2)去掉快捷方式的\"小尾巴\"
那些快捷方式总有难看的\"小尾巴\"存在,以前大家都是通过修改注册表的方式将它去除,而修改注册表毕竟比较危险,并且也不大方便,在TweakUI设置窗口中可以很方便将它去除。
展开设置窗口左侧列表下的\"资源管理器\"选项,点击\"快捷方式图标\"选项,选中右侧窗口中的\"没有箭头\"选项,点击\"确定\"按钮即可。
(3)隐藏驱动器图标
为了安全起见,我们往往将一些存放有重要数据的驱动器隐藏。隐藏的方法不外乎是修改注册表、利用第三方软件实现,而利用TweakUI同样也可以轻松隐藏这些驱动器图标。
点击左侧列表中\"我的电脑\"选项,点击\"硬盘\"选项,便会在右侧窗口中出现系统中所有的驱动器盘符,去掉打算隐藏的驱动器,点击\"确定\"按钮即可。
(4)隐藏控制面板中的重要选项
控制面板的功能很强大,可以通过它对系统做多方面的修改,正因为如此,为了防范他人通过控制面板中的选项去修改自己的系统,有必要将一些重要的选项屏蔽。在此,我们以屏蔽\"系统\"选项为例。
打开左侧列表中的\"控制面板\"选项,会在右侧窗口中出现多个项目选项,将其中的\"Sysdm.cpl\"选项去掉,点击\"确定\"按钮即可。
4.一机四用
有没有想到在一个显示器上能同时看到4种不同的桌面,并且在每个桌面还都能进行不同的操作?在Windows XP没有设置多用户的情况下,如果能实现虽有一个单用户存在,也可以让其他人在不同的桌面中进行不同操作的功能。让每个人各司其职,互不干扰,岂不美哉?PowerToys中的虚拟桌面功能就能帮你忙。
在系统工具栏上点击鼠标右键,选择\"工具栏→MSVDM\"命令,即可在任务栏中看到所增加的虚拟桌面按钮,其中从左到右的按钮依次是整体预览按钮、1~4号桌面快速切速按钮。当点击整体预览按钮时,便可以看到4个桌面的整体画面,用鼠标点击相应的窗口就可进入到其所对应的桌面环境。能在不同的桌面进行不同的操作操作,而不用担心会有互相干扰的情况,同时也可以避免桌面显得过于拥挤。
点击任务栏中\"MSVDM\"按钮,选择\"Configure Desktop Images(配置桌面图像)\"命令,即可打开更换桌面背景对话框,接下来便可在\"桌面背景\"列表中选择图片,从而随心所欲地为这4个桌面更换不同的背景。
当选择\"Shared Desktop(共享桌面)\"命令时,就可以利用Alt+Tab组合键进行各虚拟桌面环境的快速切换。选择\"Show Quick Switch Bottons(显示快速切换按钮)\"选项则可以在任务栏中显示这几个虚拟桌面的快速切换按钮。
因篇幅问题不能全部显示,请点此查看更多更全内容