操作系統(tǒng)windows知識點

1、1.知識要點1.1. Windwos賬號體系分為用戶與組，用戶的權(quán)限通過加入不同的組來授權(quán)用戶:容禰I全名描述更 A 血i ni strtt or JCafhetASP.耽T計算機魅尸管理計宜機（域）的內(nèi)置帳戶用于運行ASF.m 輔助進程（wpnet呼啦）的幀尸E zJGnest供來宜訪問計食機或訪問域的向置魅戶爲IUSR_MSFOCUS-FF23EDB l£l1lfAM_MSP0CUS-FF23EDB 第 JVPrOKT 388g45adInternet來賓帳戶 啟動IIS進程帳戶 CN=:Microso£t Cor., P匿名訪間Intt信直服務(wù)的偽要帳戶 用于啟動進趕

2、外應(yīng)用程序的Internn信息服務(wù)的內(nèi)置除尸 遠是一個幫助和支持月艮務(wù)的提供商魅尸組:稱A<lm 1 n.i stir at dte1描述營鋰員時計弊機/域育不賽韻制胡是全詩同觀Ba-ckup Op era LorsDi stributed COM Usex-sQuestsW* twarlc C &nifi giir-ftt i電 tP«r£LirimaiLi-« L口麻 U>«i Prt&rmajice Monitor Users 幽階t Users 團Hi nt GpartoreRe m o L e DlEsJkLop U

3、n亡:r 且Ke pll cat_or jSvsers jjHlpServn 2 弓Gr-mpTlnetCLi ents備份操作員為了備恃或還原立怦可以替氓安全限制成閔允訐啟珈戯活利使用此計算機上的分冇式COM對象按默認值'來辰跟用尸廻的成員有伺等訪問枳但來再帳尸的限制更多 注此組中的成員有部知晉理杪限宰管理冋綜功能的配豊此擔的成員可礙程訪同H計劃此計算機上性能計數(shù)谿的日志：此姐的戚丘可心遠擡訪I可U曲視此計茸機高級用戶Aw Uisrs）擁有大部分管理權(quán)限i咀也有限制，因此i蠱;咸攝可肌管理域打Eiwt此蛆叩的成吳皺理子遠程登錄的枚颶玄持域中的丈件夏制用尸無法進冇有意或無意的改動-Ei

4、t>用尸可以運行蛭起驗證的應(yīng)用幫曲和古持中竝IIS工作進程組卒組的屈員可誼問此乘號上的Tlna服靜器1.2. 賬號 SID安全標識符是用戶帳戶的內(nèi)部名，用于識別用戶身份，它在用戶帳戶創(chuàng)建時由系統(tǒng)自動產(chǎn)生。在 Windows系統(tǒng)中默認用戶中，其SID的最后一項標志位都是固定的，比如administrator的SID最后一段標志位是 500,又比如最后一段是 501的話則是代表GUEST的 帳號。1.3. 賬號安全設(shè)置通過本地安全策略可設(shè)置賬號的策略，包括密碼復(fù)雜度、長度、有效期、鎖定策略等:設(shè)置方法："開始”-> 運行"輸入secpol.msc，立即啟用：gpup

5、date /force豐地宜全站丈件Q抹作査看QJWQI）* * |畫| X凰|國函0 U帳戶策昭+ E3本垛帶昭 + _|蛍鑰策昭,_|較件卩詼廉喀n-fl ip崟全竟咯，在玉地卄僵機密碼和罐戶潼定策略 審核.用戶權(quán)利和妄笳選助詡&藥稱 占帙戶探哺U衣地芾隔C_l輕皤踣軟憎艮制策晤#if寶仝策眄，在菲地計篦機血 協(xié)議安全性drs«）管忍 為折山立件迥操柞妙查看塑）幫助Qp於安瑩視晉 -衛(wèi)帳戶策略:- J 1衛(wèi)就戸駆罡輪略密碼策略F _9本地董略1± _|公鑰集略1±1-二1號悴限常慌酩+ S IF蚩全策略在本地計煌機策疇$國瓷碼必駆符合境雜性要求 勒密碼

6、展度最小值 鋤密碼最忙便用期眼 舅審碼毘短便用廊限 囲強制疾碼厲史 觀用可還原的加e來請有密碼妄全說置已禁用&亍彌42天0'天0個衛(wèi)隹酌密碼 已荼用濡本覽安全設(shè)置立悴電）換住妙 養(yǎng)署迪 幫時過a ® x a金匝於安全謖置匕衛(wèi)帳戶髓疇 _3巒碼策咯“ 衛(wèi)帳尸鎖定策略0 riMiflh b a a B 安金設(shè)査1躅亙位帳戶皈 計數(shù)器30分鐘之后閥帳戶箍定時間30井髀帳戶斟走閾苕5汝無效道錄5l"“W1 i.u.iUBBxiiL“*亠1.4. 賬號數(shù)據(jù)庫SAM文件sam文件是windows的用戶帳戶數(shù)據(jù)庫，所有用戶的登錄名及口令等相關(guān)信息都會保存 在這個文件中。可

7、通過工具提取數(shù)據(jù)，密碼是加密存放，可通過工具進行破解。1.5. 文件系統(tǒng)NTFS （New Tech no logy File System），是 Win dowsNT環(huán)境的文件系統(tǒng)。新技術(shù)文件系統(tǒng) 是 Windows NT 家族（如，Windows 2000、Windows XP、Windows Vista、Windows 7 和 windows 8.1）等的限制級專用的文件系統(tǒng)（操作系統(tǒng)所在的盤符的文件系統(tǒng)必須格式化為NTFS的文件系統(tǒng)，4096簇環(huán)境下）。NTFS取代了老式的FAT文件系統(tǒng)。在NTFS分區(qū)上，可以為共享資源、文件夾以及文件設(shè)置訪問許可權(quán)限。許可的設(shè)置包括兩方面的內(nèi)容：一是

8、允許哪些組或用戶對文件夾、文件和共享資源進行訪問；二是獲得訪問許可的組或用戶可以進行什么級別的訪問。訪問許可權(quán)限的設(shè)置不但適用于本地計算機的用戶,同樣也應(yīng)用于通過網(wǎng)絡(luò)的共享文件夾對文件進行訪問的網(wǎng)絡(luò)用戶。與FAT32文件系統(tǒng)下對文件夾或文件進行訪問相比，安全性要高得多。另外，在采用NTFS格式的Win 2000中,應(yīng)用審核策略可以對文件夾、文件以及活動目錄對象進行審核，審核結(jié)果記錄在安全日志中,通過安全日志就可以查看哪些組或用戶對文件夾、文件或活動目錄對象進行了什么級別的操作，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪問，通過采取相應(yīng)的措施，將這種安全隱患減到最低。 這些在FAT32文件系統(tǒng)下，是不能實現(xiàn)的

9、。通過文件的屬性安全標簽，可設(shè)置文本的權(quán)限：%C5°D WEBD 4 了 口 %ECB2%E2% * ,共享安全畑共拿目定義組或用尸名稱:hdjiiini(JOZOHGYA-3B4ESBVAdministratcrs)fJJCRIATOft OTHR感 moTngyang (MUZONG-YA-0B4E3E''hi&tgngj-angISYSTEMUsers (NOGONGVA-SB4IBBWser誰加Admiaistr atur s 的根P艮遼)允許 拒絕修憩B1讀取和迂行B列出文件夾目錄寫入EU IrV-l-Hl PH赭釧枸曲我商細誥骨，待舉豐“高加” ”

10、16服務(wù)服務(wù)是一種應(yīng)用程序類型，它在后臺運行。服務(wù)應(yīng)用程序通?？梢栽诒镜睾屯ㄟ^網(wǎng)絡(luò)為 用戶提供一些功能，例如客戶端 /服務(wù)器應(yīng)用程序、 Web服務(wù)器、數(shù)據(jù)庫服務(wù)器以及其他基 于服務(wù)器的應(yīng)用程序。工評 kit世三看凹簾射d" | I?1 FS-臺回 it 地謀T理0熹至看Etn»*£n峙也丁豐訶1L1 C A.L I DCl Exl. jy AfjpLi ic h.L a an L “ 4y Ag-j'lJi >e bI I an N « %3F HUT StsM b> niet vxtl C 閃&VtW3fEOLipEok&#

11、39;電> DCH十 IvllI SyztQn 電CCH* Sytun 九p_ . CcnputAr Ur 4v C*r 備Cb肝Wgr砰hi。 備 DZCm WE* Pr %DH：r CLienl Di-stnb'j-t td f l . Disbr-ibijl: tJ Ll.Li. DieLrabtai 7r. 野原CUul E*rftr Rpgljd .Ec »n.t Li： gk.B 3. BL UlA L PTLHn-lj.! <ltJ SijfI1 « isssssssI弟!"豐啣爭眾世求撫4：Ht.¥!K 砒跑 Mi融年

12、藹 豐tft和硏 鉗系輦 H堪爭耐 工證爭鮭SUM%本世眸RRSJBSS- -M.SfSE網(wǎng)洛用尿 酥朋希 豐HL期元 -fct&.Stt 4：M.S*fe 41HUS一 七出也脂 心<?：vLMnLi腔|電jM留每項服務(wù)對應(yīng)著一個或多個程序，不同的程序通過都存在自身的一些漏洞，所以服務(wù)必須最小化，關(guān)閉不必要的服務(wù)，減少風險。建議將以下服務(wù)停止，并將啟動方式修改為手動：? Automatic Updates （不使用自動更新可以關(guān)閉）?Background Intelligent Transfer Service （不使用自動更新可以關(guān)閉）?DHCP Clie ntMesse n

13、gerRemote RegistryPrint SpoolerServer (不使用文件共享可以關(guān)閉)Simple TCP/IP ServiceSimple Mail Tran sport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper1.7. 日志W(wǎng)indows網(wǎng)絡(luò)操作系統(tǒng)都設(shè)計有各種各樣的日志文件，如應(yīng)用程序日志，安全日志、系統(tǒng)日志、Scheduler服務(wù)日志、FTP日志、WWW日志、DNS服務(wù)器日志等等，這些根據(jù)你的 系統(tǒng)開啟的服務(wù)的不同而有所不同。我們在系統(tǒng)上進行一些操作時，這些日志文件通常會記錄下我們操作的一

14、些相關(guān)內(nèi)容，這些內(nèi)容對系統(tǒng)安全工作人員相當有用。比如說有人對系統(tǒng)進行了 IPC探測，系統(tǒng)就會在安全日志里迅速地記下探測者探測時所用的IP、時間、用戶名等，用FTP探測后，就會在FTP日志中記下IP、時間、探測所用的用戶名等。Windows 日志文件默認位置是"systemroot%system32config?安全日志文件：systemroot%system32co nfig'SecEve nt.EVT?系統(tǒng)日志文件：%systemroot%system32co nfig'SysEve nt.EVT?應(yīng)用程序日志文件：%systemroot%system32co nf

15、igAppEve nt.EVT?FTP連接日志和 HTTPD事務(wù)日志：可通過事件查看器(even tvwr.msc )查看日志-IDJZJ蘭件（1）禪悵交春空 弼吐世_ *斗回廚|冒團即國FH（21班用程庠安全性125亍爭件1 trriBlI來朋2L1L 斗-257：16?58Security一2D1L -425I： 16： 58Secnrity2O1L-4-25T. 10： 58Secnriiy/審嘶功201L-4 25T.IB 58SCILE L$毎M功£01L-4-257. IB 58Secin i 吁201L-4-256:39:40ecurx ij嚴嘶班2O1L-4-25S:

16、 39:40Securi tj?2C1L-4-25B:39:04SecTuri iy嚴曦成功2OU-4-256： 39:04SacTiri iy2011-4-2&6:39:04Sqctuti iy201: -4-苦&-. 8:04Sfituri ty討審細功201:-4-苦S-3T155Seeuriiy201'.-4-256 3T 51Sernri ty才帝孩威功2O1L-4-256:32:56Seciiri ty討審酸戚功M-4-島6： n： ioSecnri ty水車謝功EDI L-4-25&: 11:1b5ecurity/審黴成功201L-4-25&

17、;. IT. 1&5ecuri ty-W-H _ ri HE*a -l F i c丁4可通過本地安全策略設(shè)置記錄哪些日志文件邏按作® 查看邊 秸助- I (tj 00 I X 金回安全設(shè)置 F衛(wèi)瞰戶策毎a3空履戶鎖定策昭匕本地第略審孩策翳衛(wèi)用戶視限分配 衛(wèi)妄&頂+ 一I公朝策略+ _i軟件限制策略+魁ip安全策略 > 在 本壇計算機董略窗審核目錄服務(wù)訪問 風審核特衩使用 躅審核系抵爭杵 畫審核噥戶蜀錄爭件 圃審核咪尸管理I妄全設(shè)置換 核核核核校 K. 審功審審審審審功審 無戚無無無無無成無1.8. Windows登錄類型及安全日志解析?登錄類型2:交互式登錄（I

18、nteractive）在本地鍵盤上進行的登錄，但不要忘記通過 KVM登錄仍然屬于交互式登錄，雖然它是基于網(wǎng)絡(luò)的。?登錄類型 3:網(wǎng)絡(luò)（Network） 當你從網(wǎng)絡(luò)的上訪問一臺計算機時在大多數(shù)情況下Windows記為類型3，最常見的情況就是連接到共享文件夾或者共享打印機時。?登錄類型5:服務(wù)（Service）與計劃任務(wù)類似，每種服務(wù)都被配置在某個特定的用戶賬戶下運行，當一個服務(wù)開始時，Windows首先為這個特定的用戶創(chuàng)建一個登錄會話, 將被記為類型5登錄類型7:解鎖(Unlock)你可能希望當一個用戶離開他的計算機時相應(yīng)的工作站自 動開始一個密碼保護的屏保，當一個用戶回來解鎖時，Windows

19、就把這種解鎖操作認為 是一個類型7的登錄，失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。登錄類型8:網(wǎng)絡(luò)明文(NetworkCleartext)當從一個使用 Advapi的ASP腳本登錄或者 一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型?！暗卿涍^程”欄都將列出Advapi。登錄類型10:遠程交互(Remote In teractive)當你通過終端服務(wù)、遠程桌面或遠程協(xié)助訪問計算機時， Windows將記為類型10。1.9. 防火墻Windows都自帶有防火墻功能，應(yīng)根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠程登陸該設(shè)備的IP地址范圍。平 心Windovrs呂

20、走交設(shè)星自走義各類網(wǎng)絡(luò)的設(shè)置你可二屢去空黑弐每壯洼蘭網(wǎng)凈購站火堆:殳疊U專用網(wǎng)青設(shè)置啟用Win Tows防火堵阻止所背俸入逹接r包括位于允詳宜用列表口前應(yīng)用Windows防火愷因止聊t用旳謹知我 O關(guān)廚Windows防火塩K推常公用網(wǎng)第設(shè)置© 啟用Windows站火堵阻止所有傳入連接r邑拮位于允許應(yīng)用歹表中的應(yīng)用Windows防火脅色±葯直申對通知我筋 O關(guān)丙Windows防火墩不推尊1.10. SYN保護SYN攻擊為常見拒絕服務(wù)攻擊， windows可通過修改注冊表參數(shù)啟用SYN攻擊保護，建議參數(shù)如下：指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閥值為 5 ；指

21、定處于 SYN_RCVD狀態(tài)的TCP連接數(shù)的閾值為 500 ；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值為 400。配置方法：在“開始 -運行 -鍵入 regedit ”啟用 SYN 攻擊保護的命名值位于注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名稱： SynAttackProtect 。推薦值： 2。以下部分中的所有項和值均位于注冊表項 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。 指定必須在觸發(fā) SYN flood 保護之前超過

22、的 TCP 連接請求閾值。值名稱： TcpMaxPortsExhausted 。推薦值： 5。啟用 SynAttackProtect 后，該值指定 SYN_RCVD 狀態(tài)中的 TCP 連接閾值，超過 SynAttackProtect 時，觸發(fā) SYN flood 保護。值名稱： TcpMaxHalfOpen 。推薦值數(shù) 據(jù)： 500。啟用SynAttackProtect后，指定至少發(fā)送了一次重傳的 SYN_RCVD狀態(tài)中的TCP連接 閾值。超過 SynAttackProtect 時，觸發(fā) SYN flood 保護。值名稱：TcpMaxHalfOpenRetried。 推薦值數(shù)據(jù)： 400。1.

23、11. 屏幕保護1.12. 補丁管理應(yīng)安裝最新的Service Pack補丁集，windows每月發(fā)布新增漏洞的安全補丁，應(yīng)每月及時安裝安全補丁。1.13. 防病毒軟件安裝一款防病毒軟件，并及時更新病毒庫。1.14. 啟動項及自動播放列出系統(tǒng)啟動時自動加載的進程和服務(wù)列表，不在此列表的需關(guān)閉。開始-> 運行->MSco nfig ”啟動菜單中，取消不必要的啟動項。關(guān)閉Windows自動播放功能：開始 宀運行宀輸入gpedit.msc，打開組策略編輯器，瀏覽 到計算機配置t管理模板t系統(tǒng)，在右邊窗格中雙擊 關(guān)閉自動播放”，對話框中選擇所有驅(qū) 動器，確定即可。2.練習題序號題目ABCD

24、答案1在 Windows 2000操作系統(tǒng)下，以下工具不能用于 查看系統(tǒng)開放端口和進程關(guān)聯(lián)性的工具或命令是n etstattcpviewfporttcpvconA2Win dows上，想要查看進程在打開那些文件，可以 使用哪個命令或工具ope nfilesdirlistfilelistA3Windows XP上，系統(tǒng)自帶了一個用于顯示每個進 程中主持的服務(wù)的命令，該命令是tlisttasklisttaskmgrprocessmgrB4某Windows服務(wù)器被入侵，入侵者在該服務(wù)器上 曾經(jīng)使用IE瀏覽站點并下載惡意程序到本地，這 時，應(yīng)該檢杳IE的收藏夾IE的歷史 記錄IE的內(nèi)容選項IE的安全選

25、項B5在微軟操作平臺系統(tǒng) Windows 9x/NT/2000全部支持的驗證機制是LMNTLMKerbero sNTLM V2A6以下工具可以用于檢測 Win dows系統(tǒng)中文件簽名 的是Iceswor dSrvi nstwBlackli ghtsigverifD7以下可以用于本地破解 Win dows密碼的工具是()Joh n the RipperL0phtCrack 5TscrackHydraB8不屬于windows下rootkit技術(shù)的是()LKM rootkitInline hookIAT hookSsdt hookA9Windows的主要日志不包括的分類是系統(tǒng)日 志安全日志應(yīng)用日 志

26、失敗登錄請求日志D10WINDOWS 200中的文件系統(tǒng)使用的都是強制訪 問控制自主訪問控制基于角 色的訪 問控制B11從Windows2000安全系統(tǒng)架構(gòu)中，可以發(fā)現(xiàn)，Windows 2000實現(xiàn)了一個，它在具有最高權(quán)限的內(nèi)核模式中運行，并對運行在用戶模式中 的應(yīng)用程序代碼發(fā)出的資源請求進行檢查。SRMLSASAMWinl ogo nA12Windows 2000中，其符合 C2級標準的安全組件包 括靈活的 訪問控 制審計強制登錄以上均是D13Windows NT/2000下的訪問控制令牌主要由下列哪 些組件組成用戶SID用戶所屬 組的SID用戶名以上均是D14要實現(xiàn) Windows NT/2000的安全性，必須米用下列哪種文件系統(tǒng)FAT32NTFSCDFSExt2B15Windows 2000所支持的認證方式包括下列哪些NTLMKerberosLanManager以上均是D16某公司的Windows網(wǎng)絡(luò)準備米用嚴格的驗證方 式，基本的要求是支持雙向身份認證，應(yīng)該建議 該公司采用哪一種認證方式NTLMNTLMv2Kerbero sLanMan agerC17某公司員工希望在他的Windows NT系統(tǒng)中提供文件級權(quán)限控制，作為安全管理員應(yīng)該如何建議將文件 系統(tǒng)設(shè) 置為NTFS將文件系統(tǒng)設(shè)置為FAT32安裝個 人防火 墻，在 個人防 火墻中 作相應(yīng) 配置將計算機加入