信息安全管理2資料

1、 信息安全管理(gunl)（二）共六十六頁一、容災(zāi)與數(shù)據(jù)備份容災(zāi)就是減少災(zāi)難事件發(fā)生的可能性以及限制災(zāi)難對關(guān)鍵業(yè)務(wù)流程所造成的影響的一整套行為。容災(zāi)的目的和實質(zhì)就是保持信息系統(tǒng)的業(yè)務(wù)(yw)持續(xù)性，將災(zāi)難損失降到可容忍的范圍。容災(zāi)方案需要考慮的要點：災(zāi)難的類型(lixng)恢復(fù)時間恢復(fù)程度實用技術(shù)成本共六十六頁容災(zāi)等級(dngj)第0級本地冗余備份，投資少，技術(shù)簡單，但原始數(shù)據(jù)和備份數(shù)據(jù)可能一起被毀第1級數(shù)據(jù)介質(zhì)轉(zhuǎn)移，數(shù)據(jù)異地存放，安全保管，但無備用系統(tǒng)，會丟失部分數(shù)據(jù)第2級應(yīng)用系統(tǒng)冷備，數(shù)據(jù)異地存放，有備用系統(tǒng)，系統(tǒng)硬件冷備份，會丟失部分數(shù)據(jù)第3級數(shù)據(jù)電子傳送，使用網(wǎng)絡(luò)傳輸技術(shù)，自動異地備份

2、，提高備份頻率第4級應(yīng)用系統(tǒng)溫備，備份系統(tǒng)處于活動狀態(tài)，數(shù)據(jù)恢復(fù)達到小時級第5級應(yīng)用系統(tǒng)熱備，系統(tǒng)鏡像，同步更新，災(zāi)難(zinn)發(fā)生時需要人工切換，數(shù)據(jù)恢復(fù)達到分鐘級第6級數(shù)據(jù)零丟失，在線實時鏡像，作業(yè)動態(tài)分配，自動切換共六十六頁共六十六頁數(shù)據(jù)備份數(shù)據(jù)備份是指為了防止出現(xiàn)因自然災(zāi)害、硬件故障、軟件錯誤(cuw)、認為誤操作等造成的數(shù)據(jù)丟失，而將全部或部分原數(shù)據(jù)集合復(fù)制到其他的存儲介質(zhì)中的過程。當(dāng)數(shù)據(jù)丟失或被破壞時，結(jié)合其他恢復(fù)工具，原數(shù)據(jù)可以從備份數(shù)據(jù)中恢復(fù)出來。數(shù)據(jù)備份策略完全備份：每隔一段時間對系統(tǒng)進行一次全面?zhèn)浞菰隽總浞荩合葘ο到y(tǒng)進行一次完全備份，然后每隔一段時間進行一次備份，僅僅(j

3、njn)備份在這個期間更改的內(nèi)容累計備份：備份從上次進行完全備份后更改的全部數(shù)據(jù)文件混合應(yīng)用：設(shè)立備份周期，結(jié)合不同備份方式的特點，制定策略。備份策略設(shè)計周一：完全備份周二：增量備份周三：增量備份周四：增量備份周五：累計備份周六：增量備份周日：增量備份共六十六頁常用的數(shù)據(jù)備份技術(shù)1、NAS，作為以太網(wǎng)文件服務(wù)器，提供文件級數(shù)據(jù)訪問2、遠程鏡像技術(shù)，又叫遠程復(fù)制(fzh)，產(chǎn)生同一個數(shù)據(jù)的鏡像視圖3、快照技術(shù)，在遠程存儲系統(tǒng)中產(chǎn)生多個邏輯備份4、IP SAN，建立高速子網(wǎng)提供高性能存儲環(huán)境，可實現(xiàn)動態(tài)數(shù)據(jù)塊存儲。共六十六頁1、批處理命令實現(xiàn)備份固定路徑的備份：md c:%date%xcopy d

4、:1 c:%date% /e/y/c說明：Md 新建文件夾Data 當(dāng)前日期XCOPY source destination 參數(shù)/y /e source 指定要復(fù)制的文件。 destination 指定新文件的位置和/或名稱(mngchng)。 /e 復(fù)制目錄和子目錄，包括空的。 /y 禁止提示以確認改寫一個現(xiàn)存目標文件。 /c 即使有錯誤，也繼續(xù)復(fù)制。共六十六頁2、利用SuperFlexible軟件備份數(shù)據(jù)同步文件備份工具。用于在不同位置PC、筆記本電腦和服務(wù)器之間備份數(shù)據(jù)或同步文件支持定時自動備份?？赏轿募?、支持多配置文件、檢測刪除的文件、支持計劃運行、可用郵件通知、支持完全鏡像模式備

5、份、可安全備份數(shù)據(jù)庫文件、支持備份一個文件的多個版本、支持日志、支持備份超過64GB的文件。練習(xí)：1、d:a與e:b之間測試各種( zhn)備份方式，如完全備份、增量備份、累計備份、刪除文件同步等。2、 d:a與9(io)之間測試網(wǎng)絡(luò)備份3、根據(jù)需要制定一個合適需求的7天的混合備份策略，并用SuperFlexible實現(xiàn)。共六十六頁數(shù)據(jù)災(zāi)難(zinn)恢復(fù)數(shù)據(jù)的災(zāi)難恢復(fù)(huf)是在計算機發(fā)生意外故障時，使硬盤上的文件信息丟失的故障降到最低，為了提高災(zāi)難恢復(fù)(huf)的成功率，我們在平時使用電腦時應(yīng)注意一下幾點：1、重要的資料歸檔分類2、數(shù)據(jù)存儲在硬盤分區(qū)的后面幾個分區(qū)，系統(tǒng)盤讀寫頻繁，容易損

6、壞，恢復(fù)困難3、定期備份 ，最好能做到異地網(wǎng)絡(luò)備份共六十六頁數(shù)據(jù)(shj)存儲原理及硬盤分區(qū)硬盤是計算機中最重要的數(shù)據(jù)存儲設(shè)備，計算機的操作系統(tǒng)、應(yīng)用軟件、驅(qū)動程序、數(shù)據(jù)資料都保存在硬盤中。硬盤的外部結(jié)構(gòu)包括接口、控制(kngzh)電路板和外殼。硬盤接口分為IDE、SATA、SCSI和光纖通道四種。共六十六頁1、硬盤的內(nèi)部結(jié)構(gòu)共六十六頁2、硬盤工作原理： 硬盤讀寫期間，硬盤磁頭通常在硬盤盤面上進行讀寫數(shù)據(jù)的操作，磁頭本身懸浮于盤片上方，與盤片的距離在0.3微米以內(nèi)，當(dāng)運行(ynxng)期間驅(qū)動器發(fā)生物理震動時，驅(qū)動器磁頭和驅(qū)動器盤面可能會直接發(fā)生接觸，從而造成數(shù)據(jù)丟失，甚至形成物理壞道，造成硬

7、盤損壞。所以硬盤的損壞通常來自于硬盤的物理震動，發(fā)生在硬盤進行讀寫操作時。 對于用戶來說個人數(shù)據(jù)安全非常重要，很多數(shù)據(jù)是不能丟失的，毫不夸張地說，硬盤上存儲的數(shù)據(jù)的價值甚至要超過電腦本身。因此，“安全性”理所當(dāng)然地成為電腦的重點。共六十六頁3、硬盤分區(qū)分區(qū)后將硬盤分成主引導(dǎo)扇區(qū)、操作系統(tǒng)引導(dǎo)扇區(qū)、FAT表、DIR目錄區(qū)和Data數(shù)據(jù)區(qū)五部分。 其中主引導(dǎo)扇區(qū)MBR在一個硬盤中是是唯一的，MBR區(qū)的內(nèi)容只有在硬盤啟動時才讀取其內(nèi)容，然后駐留內(nèi)存。其它4部分則根據(jù)(gnj)硬盤分區(qū)的多少而異。 主引導(dǎo)扇區(qū)MBR位于整個硬盤的0磁道0柱面1扇區(qū)，包括硬盤主引導(dǎo)記錄MBR（Main Boot Reco

8、rd）和分區(qū)表DPT（Disk Partition Table）。其中主引導(dǎo)記錄的作用就是檢查分區(qū)表是否正確以及判別哪個分區(qū)為可引導(dǎo)分區(qū)，并在程序結(jié)束時把該分區(qū)的啟動程序（也就是操作系統(tǒng)引導(dǎo)扇區(qū)）調(diào)入內(nèi)存加以執(zhí)行。 共六十六頁操作系統(tǒng)引導(dǎo)扇區(qū)OBR（OS Boot Record），通常位于(wiy)硬盤的0磁道1柱面1扇區(qū)（對于多重引導(dǎo)方式啟動的系統(tǒng)則位于相應(yīng)的主分區(qū)/擴展分區(qū)的第一個扇區(qū)），是操作系統(tǒng)可直接訪問的第一個扇區(qū)，它也包括一個引導(dǎo)程序和一個被稱為BPB（BIOS Parameter Block）的本分區(qū)參數(shù)記錄表。文件分配(fnpi)表FAT(File Allocation Tab

9、le) ，是DOS/Win9x系統(tǒng)的文件尋址系統(tǒng)。共六十六頁 目錄區(qū)DIR是Directory即根目錄區(qū)的簡寫，DIR記錄著每個文件（目錄）的文件名，擴展名，起始單元（這是最重要的）、文件的屬性，大小，創(chuàng)建日期，修改日期等住處內(nèi)容。操作系統(tǒng)在讀寫文件時，根據(jù)DIR中的起始單元，結(jié)合FAT表就可以知道文件在磁盤的具體位置，然后順序讀取每個簇的內(nèi)容就可以了。 數(shù)據(jù)區(qū)DATA是真正意義上的數(shù)據(jù)存儲區(qū)，DATA雖然占據(jù)了硬盤的絕大部分空間，但沒有了前面的各部分，它對于我們來說只能是一些沒有任何意義的二進制代碼。我們通常所說的格式化程序Format，并沒有把DATA區(qū)的數(shù)據(jù)清除，只是重寫了FAT表而已，

10、至于硬盤分區(qū)，也只是修改了MBR和OBR，絕大部分的DATA區(qū)的數(shù)據(jù)并沒有被改變，這也是許多硬盤數(shù)據(jù)能夠得以修復(fù)的原因。 如果(rgu)你經(jīng)常整理磁盤，那么你的數(shù)據(jù)區(qū)的數(shù)據(jù)可能是連續(xù)的，這樣即使MBR/FAT/DIR全部壞了，我們也可以使用數(shù)據(jù)恢復(fù)軟件如Finaldata，只要找到一個文件的起始保存位置，就可以恢復(fù)了。共六十六頁硬盤分區(qū)表損毀 如果電腦在進行磁盤整理或者其他需要大量磁盤讀寫過程的操作的時候，突如其來的斷電有很大可能(knng)會產(chǎn)生分區(qū)表損壞，造成硬盤所有分區(qū)信息丟失，無法進入操作系統(tǒng)，更嚴重的是由于FAT表被破壞，文件起始地址無法查找，所有數(shù)據(jù)都不能訪問。如果硬盤數(shù)據(jù)不重要的

11、話，只要重新分區(qū)并格式化，硬盤就可以重新使用了；但是，如果里面有比較重要的數(shù)據(jù)，怎樣在保存系統(tǒng)和數(shù)據(jù)的情況下解決這個問題呢？ 我們可以用DiskMan這個軟件去自動修復(fù)分區(qū)表。該軟件采用圖形界面，以圖表的形式揭示了分區(qū)表的詳細結(jié)構(gòu)。具有分區(qū)表重建功能，能自動恢復(fù)被破壞的分區(qū)表； 還可以備份包括邏輯分區(qū)表及各分區(qū)引導(dǎo)記錄在內(nèi)的所有硬盤分區(qū)信息。共六十六頁共六十六頁常見Raid 故障及可恢復(fù)性分析 1、軟件故障： a突然斷電造成RAID磁盤陣列卡信息的丟失的數(shù)據(jù)恢復(fù)。 b重新配置RAID陣列信息，導(dǎo)致的數(shù)據(jù)丟失恢復(fù)。 c如果磁盤順序出錯，將會導(dǎo)致系統(tǒng)不能識別數(shù)據(jù)。 d誤刪除、誤格式化、誤分區(qū)、誤克

12、隆、文件解密、命毒損壞等數(shù)據(jù)恢復(fù)工作。 2、硬件損壞： araid一般都會有幾塊硬盤，其中某一塊(y kui)硬盤出現(xiàn)損壞，數(shù)據(jù)將無法讀取。 braid出現(xiàn)壞道，導(dǎo)致數(shù)據(jù)丟失，這種恢復(fù)成功率比較大。 c如果硬盤同時出現(xiàn)兩塊以上的損壞，恢復(fù)工作非常復(fù)雜，成功率比較低。RAID故障注意事項 1、數(shù)據(jù)丟失(dis)后，用戶千萬不要對硬盤進行任何操作，將硬盤按順序卸下來，用鏡像軟件將每塊硬盤做成鏡像文件，留下備份盤。 2、不要對Raid卡進行Rebuild操作，否則會加大恢復(fù)數(shù)據(jù)的難度。 3、標記好硬盤在Raid卡上面的順序。 4、一旦出現(xiàn)問題，可以撥打?qū)I(yè)數(shù)據(jù)恢復(fù)中心的咨詢電話找專業(yè)工程師進行咨詢，

13、切忌自己試圖進行修復(fù)，除非你確信自己有足夠的技術(shù)和經(jīng)驗來處理數(shù)據(jù)風(fēng)險。上海數(shù)據(jù)恢復(fù)中心聯(lián)系電話：800-8199166六十六頁FinalData V2.0 超級數(shù)據(jù)恢復(fù)工具,其特性功能包括：支持(zhch)FAT16/32和NTFS，恢復(fù)完全刪除的數(shù)據(jù)和目錄，恢復(fù)主引導(dǎo)扇區(qū)和FAT表損壞丟失的數(shù)據(jù)，恢復(fù)快速格式化的硬盤和軟盤中的數(shù)據(jù)，恢復(fù)CIH破壞的數(shù)據(jù)，恢復(fù)硬盤損壞丟失的數(shù)據(jù)，通過網(wǎng)絡(luò)遠程控制數(shù)據(jù)恢復(fù)等等。在Windows環(huán)境下刪除一個文件，只有目錄信息從FAT或者MFT（NTFS）刪除。這意味著文件數(shù)據(jù)仍然留在你的磁盤上。所以，從技術(shù)角度來講，這個文件是可以恢復(fù)的

14、。FinalData就是通過這個機制來恢復(fù)丟失的數(shù)據(jù)的，在清空回收站以后也不例外。另外，F(xiàn)inalData可以很容易地從格式化后的文件和被病毒破壞的文件恢復(fù)。甚至在極端的情況下，如果目錄結(jié)構(gòu)(jigu)被部分破壞也可以恢復(fù)，只要數(shù)據(jù)仍然保存在硬盤上。數(shù)據(jù)恢復(fù)工具RecoverMyFiles可根據(jù)文件類型快速恢復(fù)數(shù)據(jù)共六十六頁恢復(fù)步驟：1）、選擇分區(qū)，掃描分區(qū)目錄表，檢測出已刪除的文件2）、定義恢復(fù)文件的簇大小(dxio)，1Mb256個簇3）、將文件保存到其他分區(qū)共六十六頁數(shù)據(jù)恢復(fù)練習(xí)：1、在d:新建一個(y )word文件，輸入一些字符后保存。將這個文件刪除，并清空回收站。利用finalda

15、ta 恢復(fù)這個文件到c:。利用RecoverMyFiles恢復(fù)。2、對d:進行格式化利用finaldata 恢復(fù)原來d盤的文件到c: 。利用RecoverMyFiles恢復(fù)共六十六頁數(shù)據(jù)庫創(chuàng)建、備份、恢復(fù)和調(diào)用以SQl2000為例一、1、建立一個數(shù)據(jù)庫abc，創(chuàng)建一個含有(hn yu)id和name字段的數(shù)據(jù)表123，添加幾條記錄 2、制作備份abc.bak，然后刪除數(shù)據(jù)庫abc 3、新建數(shù)據(jù)庫abc，將備份還原到數(shù)據(jù)庫上，查看數(shù)據(jù)表中的記錄 4、建立一個定時備份的維護計劃，每天23點定時備份。二、新建一個數(shù)據(jù)庫，名字任意，將一個外部備份文件還原到這個數(shù)據(jù)庫上。查看數(shù)據(jù)表字段，觀察SQL注入攻

16、擊型態(tài)。共六十六頁Sqlserver數(shù)據(jù)庫備份(bi fn)共六十六頁數(shù)據(jù)庫自動(zdng)備份必須要啟動Task Scheduler服務(wù)共六十六頁二、操作系統(tǒng)(co zu x tn)安全設(shè)置操作系統(tǒng)主要負責(zé)處理器管理、存儲管理、文件管理、設(shè)備管理和作業(yè)管理。一般分為(fn wi)內(nèi)核（Kernel）和殼（Shell）操作系統(tǒng)安全要素：用戶認證存儲器保護文件和I/o設(shè)備的訪問控制共享的實現(xiàn)內(nèi)部進程通信同步共六十六頁硬件(yn jin)硬件(yn jin)抽象層（HAL）I/O管理器微 內(nèi) 核對象管理器安全引用監(jiān)視器本地過程調(diào)用程序進程管理器虛擬內(nèi)存管理器圖形設(shè)備管理器即插即用管理器電源管理器配

17、置管理器緩存管理器安全子系統(tǒng)（LSA）Win32子系統(tǒng)其他子系統(tǒng)（Posix，RAS）登錄過程（Winlogon）DOS 客戶Win32 客戶其他客戶（Posix，RAS）Win16 客戶WOWVDM內(nèi)核模式（0GB |2GB）用戶模式（2GB |4GB）Windows 2000系統(tǒng)結(jié)構(gòu)共六十六頁基本功能調(diào)度線程執(zhí)行在線程之間切換設(shè)備環(huán)境捕獲并處理中斷和異常對內(nèi)核對象的管理在處理器之間負責(zé)同步（在多處理器系統(tǒng)中）內(nèi)核進程的特性內(nèi)核的執(zhí)行除了中斷服務(wù)例程(ISR)外，不會被其他線程所搶先內(nèi)核的大部分代碼和數(shù)據(jù)不會被調(diào)頁到物理RAM之外內(nèi)核和執(zhí)行體（對象管理器、內(nèi)存管理器等統(tǒng)稱為執(zhí)行體）的關(guān)系：兩

18、者都在文件(wnjin)C:WINNTSYSTEM32NTOSKRNL.EXE中實現(xiàn)執(zhí)行體具有相對較高的級別內(nèi)核不能從用戶模式調(diào)用，其功能是通過執(zhí)行體來從用戶模式下訪問的操作系統(tǒng)(co zu x tn)微內(nèi)核共六十六頁名稱模塊所實現(xiàn)的位置模式何時被啟動/被加載由誰啟動HAL.DLL硬件抽象層N/A系統(tǒng)啟動時SYSTEMNTOSKRNL.EXE內(nèi)核和執(zhí)行體內(nèi)核系統(tǒng)啟動時SYSTEMKERNEL32.DLLWIN32子系統(tǒng).DLLN/A系統(tǒng)啟動時SYSTEMGDI32.DLLWIN32子系統(tǒng).DLLN/A系統(tǒng)啟動時SYSTEMUSER32.DLLWIN32子系統(tǒng).DLLN/A系統(tǒng)啟動時SYSTEM

19、ADVAPI32.DLLWIN32子系統(tǒng).DLLN/A系統(tǒng)啟動時SYSTEMSMSS.EXE會話管理器用戶系統(tǒng)啟動時SYSTEMWIN32K.SYSWIN32的內(nèi)核模式部分內(nèi)核系統(tǒng)啟動時SMSS.EXECSRSS.EXE用戶模式進程用戶系統(tǒng)啟動時SMSS.EXEWINLOGON.EXEWindows登錄進程用戶系統(tǒng)啟動時SMSS.EXELSASS.EXE本地安全性鑒別子系統(tǒng)用戶系統(tǒng)啟動時WINLOGON.EXEMSGINA.DLL缺省GINAN/A系統(tǒng)啟動時WINLOGON.EXESERVICES.EXE服務(wù)控制器用戶系統(tǒng)啟動時WINLOGON.EXENTDLL.DLL支持函數(shù)和到執(zhí)行體的接口

20、NA系統(tǒng)啟動時SMSS.EXEOS2SS.EXEOS/2子系統(tǒng)進程用戶根據(jù)需要SMSS.EXEPSXDLL.DLLPOSIX子系統(tǒng).DLLNA根據(jù)需要SMSS.EXEPSXSS.DLLPOSIX子系統(tǒng)進程用戶根據(jù)需要SMSS.EXEWindows重要(zhngyo)的系統(tǒng)文件共六十六頁硬件(yn jin)硬件(yn jin)抽象層（HAL）I/O管理器微 內(nèi) 核對象管理器安全引用監(jiān)視器本地過程調(diào)用程序進程管理器虛擬內(nèi)存管理器圖形設(shè)備管理器即插即用管理器電源管理器配置管理器緩存管理器安全子系統(tǒng)（LSA）Win32子系統(tǒng)其他子系統(tǒng)（Posix，RAS）登錄過程（Winlogon）DOS 客戶Win

21、32 客戶其他客戶（Posix，RAS）Win16 客戶WOWVDMWindows 子系統(tǒng)與文件的對應(yīng)關(guān)系對應(yīng)文件 NTOSKRNL.EXE對應(yīng)文件HAL.DLLKERNEL32.DLLGDI32.DLLUSER32.DLLADVAPI32.DLLWIN32K.SYSPSXSS.DLLPSXDLL.DLLLSASS.EXE共六十六頁NT/Win2000啟動(qdng)所需文件： Ntldr這是一個隱藏的，只讀的系統(tǒng)文件，用來裝載操作系統(tǒng)Boot.ini這是一個只讀的系統(tǒng)文件，用來在基于Intelx86的計算機上建立啟動裝載操作系統(tǒng)選擇菜單的文件Bootsect.dos這是個隱藏的系統(tǒng)文件，如果

22、另外的操作系統(tǒng)被選擇，則被Ntldr裝載到內(nèi)存。 N這是個隱藏的，只讀系統(tǒng)文件，用于檢測可用的硬件并建立一個硬件列表Ntbootddd.sys這個文件僅被從SCSI磁盤啟動的系統(tǒng)使用。NT/Win2000共同的啟動序列文件是： Ntoskrnl.exeWindowsNT的內(nèi)核System這個文件是系統(tǒng)配置設(shè)置的集合。Devicedrivers這些是支持各種設(shè)備驅(qū)動器的文件 Hal.dll硬件抽象層軟件 WINDOWS 系統(tǒng)啟動所需的文件(wnjin)共六十六頁NT/Win2000啟動序列如下： 電源自檢程序開始運行 主引導(dǎo)記錄被裝入內(nèi)存，并且程序開始執(zhí)行 活動分區(qū)的引導(dǎo)扇區(qū)被裝入內(nèi)存 Ntld

23、r從引導(dǎo)扇區(qū)被裝入并初始化 將處理器的實模式改為32位平滑內(nèi)存模式Ntldr開始運行適當(dāng)?shù)男∥募到y(tǒng)驅(qū)動程序。小文件系統(tǒng)驅(qū)動程序是建立在NTLDR內(nèi)部的，它能讀FAT或NTFS。Ntldr讀boot.ini文件 Ntldr裝載所選操作系統(tǒng)*如果WindowsNT被選擇，Ntldr運行N *對于其他的操作系統(tǒng),Ntldr裝載并運行Bootsect.dos然后向它傳遞控制. windowsNT過程結(jié)束. N搜索計算機硬件并將列表傳送給Ntldr,以便將這些信息(xnx)寫進HKE Y_LOCAL_MACHINEHARDWARE中.然后Ntldr裝載Ntoskrnl.exe,Hal.dll和系統(tǒng)信息

24、集合Ntldr搜索系統(tǒng)信息集合,并裝載設(shè)備驅(qū)動配置以便設(shè)備在啟動時開始工作 Ntldr把控制權(quán)交給Ntoskrnl.exe,這時,啟動程序結(jié)束,裝載階段開始 WINDOWS 系統(tǒng)啟動的過程(guchng)共六十六頁基本的系統(tǒng)進程smss.exe 會話管理器csrss.exe 子系統(tǒng)服務(wù)器進程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統(tǒng)服務(wù) lsass.exe本地安全性鑒別子系統(tǒng)。(系統(tǒng)服務(wù)) svchost.exe 包含很多系統(tǒng)服務(wù) spoolsv.exe 將文件加載到內(nèi)存中以便(ybin)遲后打印。(系統(tǒng)服務(wù)) explorer.exe 資源管理器 int

25、ernat.exe 輸入法 Windows 基本(jbn)的系統(tǒng)進程共六十六頁操作系統(tǒng)術(shù)語：句柄：用來惟一標識資源(例如文件中注冊表項)的值，以便程序可以訪問它。 線程Threads ：被系統(tǒng)獨立調(diào)度和分派資源的基本單位。線程允許在進程中進行并發(fā)操作，并使一個進程能夠在不同處理器上同時運行其程序的不同部分。進程Processes ：一個可執(zhí)行程序或者一種服務(wù)在計算機上的一次執(zhí)行活動。 當(dāng)你運行一個程序，你就啟動了一個進程，系統(tǒng)首先(shuxin)為該程序進程建立一個默認線程，然后程序可以根據(jù)需要自行添加或刪除相關(guān)的線程。 一個進程可以包含若干線程，這些線程可以幫助應(yīng)用程序同時做幾件事，提高運行

26、效率。共六十六頁基本系統(tǒng)進程：（其中System和*SS.EXE運行在純內(nèi)核態(tài)，無法結(jié)束）Csrss.exe：子系統(tǒng)服務(wù)器進程，負責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境。Smss.exe：會話管理子系統(tǒng)，負責(zé)啟動用戶會話。Lsass.exe：本地的安全授權(quán)服務(wù)，管理 IP 安全策略以及啟動IKE和 IP 安全驅(qū)動程序。Services.exe：系統(tǒng)服務(wù)的管理工具。Explorer.exe：資源管理器。Svchost.exe：系統(tǒng)啟動的時檢查注冊表中的位置來創(chuàng)建需要加載的服務(wù)列表，如果多個Svchost.exe同時運行，則表明當(dāng)前有多組服務(wù)處于活動狀態(tài)；多個DLL文件正在調(diào)

27、用它。winlogon.exe 管理用戶登錄 System Idle Process：空閑(kngxin)進程，作為單線程運行在每個處理器上并在系統(tǒng)不處理其它線程的時候分派處理器的時間。Spoolsv.exe：管理緩沖區(qū)中的打印和傳真作業(yè)。共六十六頁常見(chn jin)病毒進程Avserve.exe 震蕩波病毒Diagcfg.exe 廣外女生木馬lexpl0re.exe 惡郵差病毒Rundll32.exe 狩獵者病毒 Runouce.exe 中國黑客病毒Kernel32.exe 冰河木馬Krn132.exe 求職信病毒Load.exe 尼姆達病毒Msblast.exe 沖擊波病毒wgavm.

28、exe魔鬼(mgu)波Fujacks.B熊貓燒香病毒共六十六頁組策略 gpedit.msc組策略是管理員為用戶和計算機定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具(gngj)。通過使用組策略可以設(shè)置各種軟件、計算機和用戶策略。組策略對本地計算機可以進行兩個(lin )方面的設(shè)置：本地計算機配置和本地用戶配置。所有策略的設(shè)置都將保存到注冊表的相關(guān)項目中。對計算機策略的設(shè)置保存到注冊表的HKEY_LOCAL_MACHINE的相關(guān)項中，對用戶的策略設(shè)置將保存到HKEY_CURRENT_USER相關(guān)項中。這里的“計算機配置”是對整個計算機中的系統(tǒng)配置進行設(shè)置的，它對當(dāng)前計算機中所有用戶的運行環(huán)境都

29、起作用；而“用戶配置”則是對當(dāng)前用戶的系統(tǒng)配置進行設(shè)置的，它僅對當(dāng)前用戶起作用。共六十六頁組策略的應(yīng)用(yngyng)1、禁止訪問“控制面板”如果你不希望其他用戶訪問計算機的控制面板，你只要運行組策略編輯器，并在左側(cè)窗口中展開“本地計算機策略用戶配置管理模板控制面板”分支，然后將右側(cè)窗口的“禁止訪問控制面板”策略啟用即可。查看注冊表，找到鍵值與組策略的關(guān)系HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer下的NoControlPanel2、 禁止訪問注冊表編輯器 防止他人修改你的注冊表，可以在組策略中禁

30、止訪問注冊表編輯器，展開“用戶配置”“管理模板”“系統(tǒng)”，然后找到并雙擊“阻止訪問注冊表編輯器”項，并將其設(shè)置為“已啟用”，這樣(zhyng)用戶在試圖啟動注冊表編輯器時，系統(tǒng)將提示：注冊編輯已被管理員停用。 共六十六頁3、安全日志審核 Windows的默認(mrn)安裝是不開任何安全審核的，我們可以審核登錄嘗試、系統(tǒng)關(guān)閉或重新啟動以及類似的事件，展開 “計算機配置Windows設(shè)置安全設(shè)置本地策略審核策略”，設(shè)置相應(yīng)的審核,如登陸失敗。下面的這些審核是必須開啟的，其他的可以根據(jù)需要增加： 策略 設(shè)置 審核系統(tǒng)登陸事件 成功(chnggng)，失敗 審核帳戶管理 成功，失敗 審核對象訪問 成功

31、 審核策略更改 成功，失敗 審核特權(quán)使用 成功，失敗 審核系統(tǒng)事件 成功，失敗 共六十六頁Windows 的日志(rzh)系統(tǒng)類型Windows有三種類型的事件日志：系統(tǒng)日志 跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。應(yīng)用程序日志 跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。安全日志 跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。注意：安全日志的默認(mrn)狀態(tài)是關(guān)閉的。共六十六頁日志在系統(tǒng)(xtng)的位置是：%SYSTEMROOT%system32configSysEvent.Evt%SYST

32、EMROOT%system32configSecEvent.Evt%SYSTEMROOT%system32configAppEvent.EvtLOG文件在注冊表的位置是：HKEY_LOCAL_MACHINESystemCurrent Control SetServicesEventlog Windows 日志系統(tǒng)的存放(cnfng)位置共六十六頁微軟管理(gunl)控制臺MMCMMC是一個集成管理的工作平臺，通過它可以創(chuàng)建、保存或打開系統(tǒng)管理工具，從而管理計算機的、軟件和 系統(tǒng)的網(wǎng)絡(luò)組件，以及進行系統(tǒng)的維護。MMC 本身并不執(zhí)行管理功能，它只是集成眾多的管理工具，接納并管理執(zhí)行各種系統(tǒng)功能的工

33、具。通過選擇(xunz)GPE插件來打開各種工具。MMC 控制臺的界面由兩個窗格組成，左邊是控制臺的目錄樹，在此顯示控制臺目前可用的項目，右邊的窗格是詳細資料窗格，當(dāng)在樹目錄下選擇某選項時，此窗格將顯示相應(yīng)詳細信息，改變左邊的選項，右邊的詳細資料發(fā)生相應(yīng)的改變共六十六頁向控制臺樹添加項目 要向控制臺樹添加項目，可以使用 MMC 主工具欄上“文件”菜單中的“添加/刪除管理單元”命令。 在“添加/刪除管理單元”對話框中，“管理單元添加到”決定要添加的新項目位于控制臺樹上的哪個項目下面，默認值是“控制臺根節(jié)點”。 可以單擊“管理單元添加到”中的項目來定位控制臺樹之外的對象。 在桌面建立控制臺mmc1

34、，要求包含本地用戶和組、服務(wù)、事件(shjin)查看器、本地計算機策略等單元共六十六頁系統(tǒng)帳戶(zhn h)管理一、Windows用戶帳戶類型域用戶帳戶：存儲在域控制器的Active Directory數(shù)據(jù)庫內(nèi)。用戶可以利用(lyng)域用戶帳戶登錄域，并利用(lyng)強訪問網(wǎng)絡(luò)上的資源。如：訪問域中其他計算機內(nèi)的文件、打印機等資源。本地用戶帳戶：是創(chuàng)建在非域控制器的“本地安全帳戶數(shù)據(jù)庫”內(nèi)。用戶可以利用本地用戶由帳戶登錄該帳戶所在的計算機，只能夠訪問這臺計算機內(nèi)的資源，無法訪問網(wǎng)絡(luò)上的資源。如果要訪問其他計算機內(nèi)的資源，則必須輸入該計算機內(nèi)的帳戶名稱與密碼。 共六十六頁二、 添加用戶帳戶，

35、設(shè)置權(quán)限利用控制面板用戶帳戶創(chuàng)建一個受限帳戶abc，利用組策略設(shè)置用戶權(quán)限： 一個系統(tǒng)中存在多個用戶的話可設(shè)置不同(b tn)的用戶權(quán)限，在編輯器窗口的左側(cè)窗口中逐級展開“計算機配置Windows設(shè)置安全設(shè)置本地策略用戶權(quán)限指派”分支。雙擊改變裝載和卸載驅(qū)動程序的用戶權(quán)限，單擊“添加用戶或組”按鈕，指派給abc賬號，最后單擊“確定”按鈕退出。三、用戶配置文件或登錄腳本設(shè)置用戶的工作環(huán)境計算機管理本地用戶和組用戶，某個用戶屬性中選擇配置文件共六十六頁系統(tǒng)服務(wù)是通過在后臺運行特定的程序來提供控制硬件、實現(xiàn)計算機管理、網(wǎng)絡(luò)連接和維護、保證系統(tǒng)安全等功能。這些功能我們(w men)可以人為進行控制，以

36、達到優(yōu)化系統(tǒng)和網(wǎng)絡(luò)、保證安全的目的。這些“服務(wù)”有些是必須要運行的，而很多“服務(wù)”對于我們(w men)一般用戶來說是沒有價值的，可以關(guān)閉。在xp系統(tǒng)中，有近90個服務(wù)，默認安裝完XP后，系統(tǒng)會開啟30多個服務(wù)，其中不少對于普通用戶根本用不到或暫時用不到，反而浪費了相當(dāng)多的內(nèi)存和系統(tǒng)資源，影響了系統(tǒng)啟動和運行的速度。我們只需要其中幾個就夠用了。禁止所有不必要的服務(wù)可以節(jié)省很多內(nèi)存和大量系統(tǒng)資源。系統(tǒng)(xtng)服務(wù) services.msc 共六十六頁Windows系統(tǒng)(xtng)服務(wù)單擊“開始” 指向“設(shè)置” 然后(rnhu)單擊“控制面板” 雙擊“管理工具” 然后雙擊“服務(wù)”：在列表框中顯

37、示的是系統(tǒng)可以使用的服務(wù) Windows 下可以在命令行中輸入services.msc打開服務(wù)列表。共六十六頁服務(wù)(fw)包括三種啟動類型：自動、手動、已禁用。自動 - Windows 2000啟動的時候自動加載服務(wù) 手動 - Windows 2000啟動的時候不自動加載服務(wù)，在需要的時候手動開啟 已禁用 - Windows 2000啟動的時候不自動加載服務(wù)，在需要的時候選擇手動或者自動方式開啟服務(wù)，并重新啟動電腦完成服務(wù)的配置雙擊需要進行配置的服務(wù)，出現(xiàn)下圖所示的屬性對話框：Windows 系統(tǒng)服務(wù)的啟動(qdng)類型共六十六頁必須的系統(tǒng)服務(wù)：DHCP client客戶端自動獲取IP地址時

38、需要(xyo)Event Log- 系統(tǒng)日志紀錄服務(wù)Network Connections 網(wǎng)絡(luò)連接Plug and Play- 自動查測新裝硬件，即插即用Print Spooler -打印機用Protected Storage儲存本地密碼和網(wǎng)上服務(wù)密碼Remote access auto connection manager寬帶網(wǎng)絡(luò)共享Remote Procedure Call (RPC) -遠程過程調(diào)用，系統(tǒng)核心服務(wù)server -局域網(wǎng)文件打印共享需要Telephony - 撥號服務(wù)Windows Audio -控制音頻，關(guān)閉就沒有聲音Windows Management Instrum

39、entation 對象管理程序共六十六頁建議禁用的系統(tǒng)服務(wù)：Distributed Link Tracking Client分布式連結(jié)(lin ji)追蹤客戶端,4MbDNS Client DNS 客戶端服務(wù) IMAPI CD-Burning COM ServiceXP刻牒服務(wù),1.6MbIndexing Service 索引服務(wù),嚴重影響速度Messenger 信使，可中妖刺病毒MS Software Shadow Copy Provider 磁盤區(qū)陰影復(fù)制QoS RSVP網(wǎng)絡(luò)質(zhì)量服務(wù)，保留20帶寬Remote desktop help session manager遠程幫助服務(wù),4Mbre

40、mote registry 遠程注冊表運行修改，大漏洞removable storage磁帶備份system restore service系統(tǒng)還原服務(wù)，占有大量內(nèi)存task schedulerwindows 計劃服務(wù)telnet 遠程登陸服務(wù)，大漏洞terminal services遠程終端服務(wù)，漏洞Webclient提供.net服務(wù)共六十六頁帳戶策略所有安全策略都是基于計算機的策略。帳戶策略定義在計算機上，然而卻可影響用戶帳戶與計算機或域交互作用的方式。帳戶策略包含三個子集：1、密碼策略。用于域或本地用戶帳戶。確定密碼設(shè)置（如強制執(zhí)行和有效期限）。2、帳戶鎖定策略。用于域或本地用戶帳戶。確

41、定某個帳戶被鎖定在系統(tǒng)之外的情況和時間長短。3、Kerberos 策略。用于域用戶帳戶。確定與 Kerberos 相關(guān)(xinggun)的設(shè)置（如票的有限期限和強制執(zhí)行）。本地計算機策略中沒有 Kerberos 策略。與帳戶策略具有類似行為的“安全選項”有兩個策略。它們是： 網(wǎng)絡(luò)訪問：允許匿名 SID/NAME 轉(zhuǎn)換 網(wǎng)絡(luò)安全登錄時間超時時強制注銷 共六十六頁Windows系統(tǒng)近幾年的攻擊都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通過利用IIS的一些漏洞入侵并且開始傳播(chunb)的。由于NT/2000系統(tǒng)上使用IIS作為WWW服務(wù)程序居多，再加

42、上IIS的脆弱性以及與操作系統(tǒng)相關(guān)性，整個NT/2000系統(tǒng)的安全性也受到了很大的影響。通過IIS的漏洞入侵來獲得整個操作系統(tǒng)的管理員權(quán)限對于一臺未經(jīng)安全配置的機器來說是輕而易舉的事情，所以，配置和管理好你的IIS在整個系統(tǒng)配置里面顯得舉足輕重了。 Windows 應(yīng)用服務(wù)器安全(nqun) IIS 服務(wù)安全配置共六十六頁IIS的配置可以分為以下幾方面： 1. 刪除目錄映射默認安裝的IIS默認的根目錄是C:inetpub，我們建議(jiny)你更改到其他分區(qū)的目錄里面，比如：D:inetpub目錄。默認在IIS里面有Scripts，IISAdmin，IISSamples，MSADC，IISHe

43、lp，Printers這些目錄映射，建議你完全刪除掉安裝IIS默認映射的目錄，包括在服務(wù)器上真實的路徑（%systemroot%是一個環(huán)境變量，在具體每臺服務(wù)器上可能不一樣，默認值由安裝時候選擇目錄決定）：Scripts 對應(yīng)c:inetpubscripts目錄IISAdmin 對應(yīng)%systemroot%System32inetsrviisadmin目錄IISSamples 對應(yīng)c:inetpubiissamples目錄。MSADC 對應(yīng)c:program filescommon filessystemmsadc目錄。IISHelp 對應(yīng)%systemroot%helpiishelp目錄。P

44、rinters 對應(yīng)%systemroot%webprinters目錄。還有一些IIS管理員頁面目錄： IISADMPWD 對應(yīng)%systemroot%system32inetsrviisadmpwd目錄IISADMIN 對應(yīng) %systemroot%system32inetsrviisadmin目錄共六十六頁Frontpage擴展服務(wù)從控制面板里面(lmin)打開“添加或刪除程序”選擇“添加/刪除windows組件”選擇“Internet信息服務(wù)（IIS）”，點“詳細信息”，請確認FrontPage 2000服務(wù)器擴展沒有被勾上。如果有，則取消掉，點確定就可以了。提示： 微軟公司提供了一個叫

45、iislockd的程序，它可以用來幫助你更安全的配置IIS。 共六十六頁禁用或刪除所有的示例應(yīng)用程序 示例只是示例；在默認情況(qngkung)下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從 http:/localhost 或 訪問；但是，它們?nèi)詰?yīng)被刪除。 下面 列出一些示例的默認位置。 示例 虛擬目錄 位置 IIS 示例 IISSamples c :inetpubiissamplesIIS 文檔 IISHelp c:winnthelpiishelp數(shù)據(jù)訪問 MSADC c:program filescommon filessystemmsadc啟用或刪除不需要的

46、COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對象組件，但是要注意這也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。例如，Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 共六十六頁刪除無用的腳本映射 IIS 被預(yù)先配置(pizh)為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應(yīng)刪除該映射

47、，步驟如下： 打開 Internet 服務(wù)管理器。 右鍵單擊 Web 服務(wù)器，然后從上下文菜單中選擇“屬性”。 主屬性 選擇 WWW 服務(wù) | 編輯 | 主目錄 | 配置 基于 Web 的密碼重設(shè) .htrInternet 數(shù)據(jù)庫連接器（所有的 IIS 5 Web 站點應(yīng)使用 ADO 或類似的技術(shù)） .idc服務(wù)器端包括 .stm、.shtm 和 .shtmlInternet 打印 .printer索引服務(wù)器 .htw、.ida 和 .idq 共六十六頁禁用父路徑(ljng) “父路徑”選項允許在對諸如 MapPath 函數(shù)調(diào)用中使用“.”。在默認情況下，該選項處于啟用狀態(tài)，應(yīng)該禁用它。禁用該

48、選項的步驟如下： 右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性”。 單擊“主目錄”選項卡。 單擊“配置”。 單擊“應(yīng)用程序選項”選項卡。 取消選擇“啟用父路徑”復(fù)選框。 禁用-內(nèi)容位置中的 IP 地址 “內(nèi)容-位置”標頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部 IP 地址。共六十六頁Windows的注冊表一、什么是注冊表 注冊表是 Windows 系統(tǒng)的一個巨大的樹狀分層的內(nèi)部核心數(shù)據(jù)庫。 它容納了應(yīng)用程序和計算機系統(tǒng)的全部配置信息、系統(tǒng)和應(yīng)用程序的初始化信息、應(yīng)用程序和文檔文件的關(guān)聯(lián)關(guān)系、硬件設(shè)備的說明、狀態(tài)和屬性以及各種狀態(tài)信息和數(shù)據(jù)。 注

49、冊表中存放著各種參數(shù)，直接控制(kngzh)著Windows的啟動、硬件驅(qū)動程序的裝載以及一些Windows應(yīng)用程序的運行，從而在整個Windows系統(tǒng)中起著核心作用。共六十六頁 注冊表在Windows 中起到中介的作用，負責(zé)系統(tǒng)同軟件、硬件、用戶之間的溝通。 在Windows 中運行一個應(yīng)用程序的時候，系統(tǒng)會從注冊表取得相關(guān)信息，如數(shù)據(jù)文件的類型、保存文件的位置(wi zhi)、菜單的樣式、工具欄的內(nèi)容、相應(yīng)軟件的安裝日期、用戶名、版本號、序列號等。用戶可以定制應(yīng)用軟件的菜單、工具欄和外觀，相關(guān)信息即存儲在注冊表中，注冊表會記錄應(yīng)用的設(shè)置，并把這些設(shè)置反映給系統(tǒng)。 注冊表會自動記錄用戶操作的

50、結(jié)果。二、注冊表的作用(zuyng)共六十六頁 注冊表的外部(wib)形式是Windows目錄下的兩個二進制文件System.dat和User.dat，內(nèi)部組織結(jié)構(gòu)是一個類似于目錄管理的樹狀分層的結(jié)構(gòu)。三、 注冊表的結(jié)構(gòu)(jigu)共六十六頁注冊表子目錄樹 ，5個主鍵HKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG共六十六頁(1)HKEY_LOCAL_MACHINE：包含本地計算機系統(tǒng)的信息，包括硬件和操作系統(tǒng)數(shù)據(jù)，如總線類型、系統(tǒng)內(nèi)存、設(shè)備驅(qū)動程序和啟動控制數(shù)據(jù)。 (2)HKEY_CLASSES_ROOT：包含由各種OLE技術(shù)(jsh)使用的信