電腦主要操作系統(tǒng)安全檢查常用操作及檢查命令

電腦主要操作系統(tǒng)安全檢查常用操作及檢查命令1AIX系統(tǒng)檢查常用操作AIX版本號(hào)檢查方法/檢查命令命令用途命令解釋errpt–dH檢查系統(tǒng)硬件報(bào)錯(cuò)日志errpt用途生成一個(gè)記錄下來(lái)的錯(cuò)誤的報(bào)表語(yǔ)法處理從錯(cuò)誤日志得來(lái)的硬件錯(cuò)誤日志報(bào)表errpt–dH處理從錯(cuò)誤日志得來(lái)的軟件錯(cuò)誤日志報(bào)表errpt–dSerrpt–dS檢查系統(tǒng)軟件報(bào)錯(cuò)日志Mail或查看系統(tǒng)安全日志mail：vi/usr/spool/mail/root用途發(fā)送和接收郵件語(yǔ)法讀取新來(lái)的郵件mail-eVi/tmp/hacmp.out查看HACMP日志Vi/smit.log查看Smit日志alog–tboot-o查看系統(tǒng)引導(dǎo)日志alog用途創(chuàng)建并維護(hù)創(chuàng)建自標(biāo)準(zhǔn)輸入的固定大小的日志文件語(yǔ)法標(biāo)識(shí)在alog配置數(shù)據(jù)庫(kù)中定義的日志alog-tLogType-Vdf–k查看文件系統(tǒng)空間使用情況df用途報(bào)告文件系統(tǒng)上的空間信息語(yǔ)法以1024字節(jié)塊為單位顯示文件系統(tǒng)上的空間統(tǒng)計(jì)信息df–k對(duì)每個(gè)鏡象的卷組使用命令:lsvg–l<VG名>查看系統(tǒng)鏡象同步情況lsvg用途顯示關(guān)于卷組的信息。lsvg命令顯示關(guān)于卷組的信息。如果使用VolumeGroup參數(shù)，只顯示那個(gè)卷組的信息。如果不使用VolumeGroup參數(shù)，顯示所有已定義的卷組名列表。當(dāng)來(lái)自“設(shè)備配置”數(shù)據(jù)庫(kù)的信息不可用時(shí)，某些字段將會(huì)包含一個(gè)問(wèn)號(hào)（？）替代丟失的數(shù)據(jù)。當(dāng)對(duì)命令給出一個(gè)邏輯卷標(biāo)識(shí)時(shí)，lsvg命令試圖從描述區(qū)域獲得盡可能多的信息。語(yǔ)法lsvg–l<VG名>列出由VolumeGroup參數(shù)指定的組內(nèi)的每個(gè)邏輯卷的以下信息：LV卷組內(nèi)的一個(gè)邏輯卷Type邏輯卷類型LPs邏輯卷中的邏輯分區(qū)數(shù)PPs邏輯卷使用的物理分區(qū)數(shù)PVs邏輯卷使用的物理卷數(shù)Logicalvolumestate邏輯卷的狀態(tài)。Opened/stale表示邏輯卷是打開(kāi)的但包含的分區(qū)不是當(dāng)前的。Opened/syncd表示邏輯卷是打開(kāi)和同步的。Closed表示邏輯卷還沒(méi)有打開(kāi)。Mountpoint邏輯卷的文件系統(tǒng)安裝點(diǎn)（如果適用）lsps–a查看內(nèi)存交換區(qū)使用率lsps用途顯示調(diào)頁(yè)空間的特征語(yǔ)法lsps{-s|[-c|-l]{-a|-t{lv|nfs}|PagingSpace}}描述lsps命令顯示調(diào)頁(yè)空間的特征。lsps命令顯示如調(diào)頁(yè)空間名稱、物理卷名稱、卷組名稱、大小、使用調(diào)頁(yè)空間百分比、空間是活動(dòng)的還是非活動(dòng)的以及調(diào)頁(yè)空間是否設(shè)置為自動(dòng)等特征。PagingSpace參數(shù)指定要顯示特征的調(diào)頁(yè)空間。-a指定要給出的所有調(diào)頁(yè)空間的特征。大小以兆字節(jié)計(jì)。Topas查看系統(tǒng)性能topas用途報(bào)告所選本地系統(tǒng)的統(tǒng)計(jì)信息描述topas命令報(bào)告選定的本地系統(tǒng)活動(dòng)的統(tǒng)計(jì)信息。該命令使用curses庫(kù)以合適的格式來(lái)顯示其輸出，該格式適合于在一個(gè)80x25基于字符的顯示器上或至少同樣大小的圖形顯示器的窗口中進(jìn)行查看。topas命令需要在系統(tǒng)中安裝perfagent.tools文件集。檢查已有備份帶或執(zhí)行l(wèi)smksysb-B查看系統(tǒng)數(shù)據(jù)備份lsmksysb用途列出或恢復(fù)備份在指定介質(zhì)上的卷組內(nèi)容描述lsmksysb命令列出來(lái)自磁帶、文件、CD-ROM或其它源上的卷組備份的內(nèi)容，也可以用來(lái)從有效備份源恢復(fù)文件。lsmksysb命令也用于如多個(gè)CD、DVD或磁帶的多卷備份。lsmksysb–B打印卷組備份日志至標(biāo)準(zhǔn)輸出。該標(biāo)志顯示以往的256個(gè)備份（粗略地）。該日志是alog格式的，保存在/var/adm/ras/vgbackuplog中。日志每行由分號(hào)隔開(kāi)的文件或設(shè)備名列表組成，該命令用于設(shè)置備份、日期、收縮大小、備份的總大小以及建議維護(hù)包（如果有的話）。lsdev–C|grepent查看網(wǎng)卡狀態(tài)lsdev用途顯示系統(tǒng)中的設(shè)備及其特征。描述lsdev命令顯示設(shè)備配置數(shù)據(jù)庫(kù)中設(shè)備的有關(guān)信息。使用-C標(biāo)志可以顯示定制設(shè)備對(duì)象類中所有設(shè)備的有關(guān)信息。系統(tǒng)顯示與以下類似的消息：en0可用10-80標(biāo)準(zhǔn)以太網(wǎng)網(wǎng)絡(luò)接口et0已定義10-80IEEE802.3以太網(wǎng)網(wǎng)絡(luò)接口grep命令用途搜索文件中的模式描述grep命令用于搜索由Pattern參數(shù)指定的模式，并將每個(gè)匹配的行寫(xiě)入標(biāo)準(zhǔn)輸出中。Ipconfig-a查看網(wǎng)絡(luò)IP地址ifconfig用途配置或顯示TCP/IP網(wǎng)絡(luò)的網(wǎng)絡(luò)接口參數(shù)描述可以使用ifconfig命令指定網(wǎng)絡(luò)接口地址，并配置或顯示當(dāng)前網(wǎng)絡(luò)接口配置信息。Ifconfig–a顯示系統(tǒng)中所有接口信息Netstat-rn查看系統(tǒng)路由netstat用途顯示網(wǎng)絡(luò)狀態(tài)-n以數(shù)字顯示網(wǎng)絡(luò)地址。如該標(biāo)志未指定，netstat命令將解釋可能的地址并象征性地顯示它們。可以在任意顯示格式下使用該標(biāo)志。-r顯示路由表Ping<網(wǎng)卡-地址>檢測(cè)網(wǎng)卡通訊ping用途發(fā)送一個(gè)回送信號(hào)請(qǐng)求給網(wǎng)絡(luò)主機(jī)描述/usr/sbin/ping命令發(fā)送一個(gè)因特網(wǎng)控制報(bào)文協(xié)議(ICMP)ECHO_REQUEST去從主機(jī)或網(wǎng)關(guān)那里獲得ICMPECHO_RESPONSE信號(hào)。ping命令用于：確定網(wǎng)絡(luò)和各外部主機(jī)的狀態(tài)跟蹤和隔離硬件和軟件問(wèn)題測(cè)試、評(píng)估和管理網(wǎng)絡(luò)Vi/etc/hosts查看/etc/hostsPing<外部主機(jī)名>Ping<DNS解析的外部地址>查看DNS設(shè)置sysdumpdev–l查看DUMP配置sysdumpdev配置檢查接管測(cè)試用途更改運(yùn)行中系統(tǒng)的主要或輔助轉(zhuǎn)儲(chǔ)設(shè)備的指定描述sysdumpdev命令更改運(yùn)行中系統(tǒng)的主要或輔助轉(zhuǎn)儲(chǔ)設(shè)備的指定。主要和輔助轉(zhuǎn)儲(chǔ)設(shè)備在一個(gè)系統(tǒng)配置對(duì)象中指定。新的設(shè)備指定直到sysdumpdev命令重新運(yùn)行或系統(tǒng)重新啟動(dòng)時(shí)才有效。sysdumpdev–l列出主要和輔助轉(zhuǎn)儲(chǔ)設(shè)備、復(fù)制目錄和forcecopy屬性的當(dāng)前值。Vi/etc/environmentlsdev–Ccprocessor確認(rèn)可用的物理CPU數(shù)量查看CPU信息bindprocessorbindprocessor–q確認(rèn)可以使用的CPU數(shù)量用途將進(jìn)程的內(nèi)核線程綁定至處理器或取消綁定至處理器描述bindprocessor命令綁定或取消綁定進(jìn)程的內(nèi)核線程，或列出可用的處理器。Process參數(shù)是將要綁定或取消綁定線程的進(jìn)程的進(jìn)程標(biāo)識(shí)，ProcessorNum參數(shù)是要使用的處理器的綁定CPU標(biāo)識(shí)。如果ProcessorNum參數(shù)被省略，則進(jìn)程被綁定至隨意選擇的處理器。bindprocessor命令的-q標(biāo)志列出可用的綁定CPU標(biāo)識(shí)：可以將給定的邏輯號(hào)用作ProcessorNum參數(shù)的值lsattr–Elmem0查看內(nèi)存信息lsattr用途顯示系統(tǒng)中設(shè)備的屬性特征和可能的屬性值描述lsattr命令顯示關(guān)于給定設(shè)備或設(shè)備類型的屬性信息語(yǔ)法-E顯示有效值（只對(duì)于用-l標(biāo)志指定的定制設(shè)備才有效）-lName指定定制設(shè)備對(duì)象類中要顯示其屬性名稱或值的設(shè)備邏輯名lspv查看硬盤(pán)信息lsdev–C|grepent查看網(wǎng)卡信息lsdev–Cctape查看磁帶機(jī)信息lsdev–C|grepfcs查看光纖卡信息Instfix–i|grepML查看OS補(bǔ)丁級(jí)別信息instfix用途安裝與關(guān)鍵字或修正相關(guān)的文件集描述instfix命令允許安裝一個(gè)或一套補(bǔ)丁而不用知道任何信息，除了標(biāo)識(shí)該補(bǔ)丁的“授權(quán)程序分析報(bào)告”（APAR）號(hào)或其它唯一關(guān)鍵字。語(yǔ)法-i顯示是安裝了補(bǔ)丁還是關(guān)鍵字。用-k或者-f標(biāo)志來(lái)調(diào)用這個(gè)標(biāo)志。當(dāng)使用-i標(biāo)志時(shí)不應(yīng)嘗試安裝。如果沒(méi)有指定-k或者-f標(biāo)志，就會(huì)顯示所有已知的補(bǔ)丁。lscfg–vp|grep–p“Systemfirmware”查看微碼信息lscfglscfg–vp|grep–p“PlatformFirmware”用途顯示系統(tǒng)的配置信息、診斷信息和重要產(chǎn)品數(shù)據(jù)（VPD）信息。描述如果運(yùn)行l(wèi)scfg命令時(shí)不帶任何標(biāo)志，它就會(huì)顯示當(dāng)前定制VPD對(duì)象類中找到的每個(gè)設(shè)備的名稱、位置和描述，該VPD對(duì)象類是sys0對(duì)象的子設(shè)備。語(yǔ)法-p顯示特定于平臺(tái)的設(shè)備信息。該標(biāo)志僅僅適用于AIX4.2.1或更新版本。顯示定制VPD對(duì)象類中找到的VPD。同樣的，與-p標(biāo)志一起使用時(shí)，可以顯示AIX-v4.2.1或更新版本上特定于平臺(tái)的VPD。2HP/UX系統(tǒng)檢查常用操作檢查命令或方法命令用途命令解釋uname–a查看系統(tǒng)ID號(hào)，OS版本及用戶權(quán)限等信息uname用途查看操作系統(tǒng)版本和licensehostname查看主機(jī)名稱hostname用途設(shè)置或顯示當(dāng)前主機(jī)系統(tǒng)的名稱概要hostname[name_of_host]說(shuō)明hostname命令用于顯示當(dāng)前主機(jī)的名稱，與gethostname()系統(tǒng)調(diào)用結(jié)果相同（請(qǐng)參閱gethostname(2)）。擁有相應(yīng)權(quán)限的用戶可通過(guò)指定參數(shù)name_of_host來(lái)設(shè)置主機(jī)名；通常在啟動(dòng)腳本/sbin/init.d/hostname中完成此操作。name_of_host參數(shù)限制為MAXHOSTNAMELEN個(gè)字符，如<sys/param.h>中所定義。如果支持網(wǎng)絡(luò)產(chǎn)品，則可能使用其他名稱識(shí)別系統(tǒng)。請(qǐng)參閱隨系統(tǒng)附帶的節(jié)點(diǎn)管理器文檔資料。mstm/ioscan-fnCprocessor查看CPU信息mstm/dmesg查看內(nèi)存信息ioscan–fnCdisk查看硬盤(pán)信息ioscan掃描I/O系統(tǒng)說(shuō)明ioscan根據(jù)需要掃描系統(tǒng)硬件、可用的I/O系統(tǒng)設(shè)備或內(nèi)核I/O系統(tǒng)數(shù)據(jù)結(jié)構(gòu)，并列出結(jié)果。對(duì)于系統(tǒng)中的每個(gè)硬件模塊，ioscan缺省情況下顯示硬件模塊的硬件路徑、硬件模塊的類以及簡(jiǎn)要說(shuō)明。ioscan–nf(注意有否unclaimed,unknown,NO_HW狀態(tài))查看各I/O卡及設(shè)備的所有相關(guān)信息lanscan查看網(wǎng)卡狀態(tài)及網(wǎng)絡(luò)配置信息lanscan-顯示局域網(wǎng)設(shè)備的配置和狀態(tài)概要lanscan[-ailmnpqv]說(shuō)明lanscan顯示有關(guān)系統(tǒng)上具有軟件支持的每個(gè)局域網(wǎng)設(shè)備的下列信息：硬件路徑、物理地址、卡實(shí)例編號(hào)、硬件狀態(tài)、網(wǎng)絡(luò)接口、網(wǎng)絡(luò)管理ID、MAC類型、支持HPDLPDLPI主設(shè)備編號(hào)、需要超過(guò)48位的那些接口的擴(kuò)展工作站地址、網(wǎng)絡(luò)接口支持的封裝方法。ifconfiglanX確認(rèn)網(wǎng)絡(luò)地址ifconfig-配置網(wǎng)絡(luò)接口參數(shù)說(shuō)明ifconfig命令的第一種形式為網(wǎng)絡(luò)接口分配地址并（或）配置網(wǎng)絡(luò)接口參數(shù)。在主控臺(tái)上，進(jìn)入命令提示符CM，查看PDC固件版本號(hào)在CM>sysrev在主控臺(tái)上，進(jìn)入命令提示符CM，查看GPS固件版本號(hào)在CM>sysrevdmesg查看信息緩存dmesg-收集系統(tǒng)診斷消息以構(gòu)成錯(cuò)誤日志概要/usr/sbin/dmesg[-][core][system]說(shuō)明dmesg在系統(tǒng)緩沖區(qū)中查找最近輸出的診斷消息，并在標(biāo)準(zhǔn)輸出上輸出它們。lvlnbootv查看邏輯卷啟動(dòng)配置lvlnboot-準(zhǔn)備LVM邏輯卷，使其成為根卷、引導(dǎo)卷、主交換卷或轉(zhuǎn)儲(chǔ)卷。說(shuō)明lvlnboot命令可更新卷組中的所有物理卷，以便系統(tǒng)下一次引導(dǎo)時(shí)，該卷組上的邏輯卷成為根卷、引導(dǎo)卷、主交換卷或轉(zhuǎn)儲(chǔ)卷。如果指定了不存在的邏輯卷，該命令將失敗。如果已經(jīng)有另外的邏輯卷鏈接到根或主交換，該命令將失敗。參數(shù)：-v輸出詳細(xì)消息。如果沒(méi)有其他參數(shù)，則輸出有關(guān)根卷、引導(dǎo)卷、交換卷和轉(zhuǎn)儲(chǔ)邏輯卷的信息。如果配置了根-引導(dǎo)組合卷，則不會(huì)顯示引導(dǎo)卷的信息。vgdisplay查看卷組（VG）配置vgdisplay-顯示有關(guān)LVM卷組的信息概要/usr/sbin/vgdisplay[-F][-v][vg_name...]說(shuō)明vgdisplay命令顯示有關(guān)卷組的信息。對(duì)于所指定的每個(gè)vg_name，vgdisplay僅顯示該卷組的信息。如果未指定vg_name，則vgdisplay顯示所有已定義卷組的名稱和對(duì)應(yīng)的信息。lvdisplay查看邏輯卷大小、屬性和狀態(tài)。lvdisplay-顯示有關(guān)LVM邏輯卷的信息概要/usr/sbin/lvdisplay[-F][-k][-v]lv_path...說(shuō)明lvdisplay命令顯示lv_path指定的每個(gè)邏輯卷的特性和狀態(tài)。pvdisplay-v/dev/dsk/c*t*d*查看磁盤(pán)各種信息，如磁盤(pán)大小，包含的邏輯卷，設(shè)備名稱等pvdisplay-顯示有關(guān)LVM卷組中物理卷的信息概要/usr/sbin/pvdisplay[-v][-d][-bBlockList]pv_path.../usr/sbin/pvdisplay-lpv_path.../usr/sbin/pvdisplay-F[-d][-v]pv_path...說(shuō)明pvdisplay命令顯示有關(guān)由pv_path參數(shù)指定的每個(gè)物理卷的信息。語(yǔ)法：-v對(duì)于每個(gè)物理卷，顯示在該物理卷上分配的盤(pán)區(qū)的邏輯卷以及所有物理盤(pán)區(qū)的使用情況。swapinfo–atm查看系統(tǒng)緩沖區(qū)信息swapinfo-系統(tǒng)分頁(yè)空間信息概要/usr/sbin/swapinfo[-mtadfnrMqws]說(shuō)明swapinfo輸出有關(guān)設(shè)備和文件系統(tǒng)分頁(yè)空間的信息。swapinfo還輸出有關(guān)下一次引導(dǎo)的主分頁(yè)設(shè)備的信息。bdf查看已加載的邏輯卷及其大小信息bdf-報(bào)告可用磁盤(pán)塊的數(shù)目（Berkeley版）概要/usr/bin/bdf[-b][-i][-l][-s][-ttype[filesystemfile]...]說(shuō)明bdf命令顯示指定filesystem（例如/dev/dsk/c0d0s0）上或包含指定file（例如$HOME）的文件系統(tǒng)上的可用磁盤(pán)空間量。如果未指定文件系統(tǒng)，則將輸出通常掛接的所有文件系統(tǒng)上的可用空間。報(bào)告的數(shù)目以千字節(jié)為單位。crontabl查看定時(shí)作業(yè)more/etc/rc.log查看系統(tǒng)啟動(dòng)日志more/var/adm/syslog/syslog.log查看系統(tǒng)運(yùn)行日志#more/etc/shutdownlog查看系統(tǒng)shutdown日志/var/adm/sw/swagent.log查看軟件變更日志More/var/adm/crash查看系統(tǒng)有無(wú)CoreDumpcmviewcl–v查看集群的運(yùn)行狀態(tài)3Solaris系統(tǒng)檢查常用操作檢查命令或方法命令用途命令解釋dmesg|greperrdmesg|grepwar查看軟硬件報(bào)錯(cuò)dmesg命令用實(shí)例名和物理名來(lái)標(biāo)識(shí)連到系統(tǒng)上的設(shè)備。dmesg命令也顯示系統(tǒng)診斷信息、操作系統(tǒng)版本號(hào)、物理內(nèi)存的大小以及其他信息。Mail查看系統(tǒng)mail有無(wú)硬件報(bào)錯(cuò)信息cd/var/admgreperrmessages*grepwarmessages*查看系統(tǒng)報(bào)錯(cuò)信息df–k查看文件系統(tǒng)空間使用按Kbytes顯示可用硬盤(pán)空間的總量和已用的硬盤(pán)空間Swap-l查看內(nèi)存交換區(qū)使用率Vmstat查看系統(tǒng)性能/usr/platform/`uname–m`/sbin/prtdiag-v查看網(wǎng)卡狀態(tài)Ipconfig-a查看IP地址檢查/etc/defaultrouter文件查看路由信息ping<網(wǎng)卡-地址>查看網(wǎng)卡通訊情況vi/etc/inet/hosts查看/etc/inet/hostsping<外部主機(jī)名>dumpadm查看DUMP配置ps-ef查看有無(wú)僵尸進(jìn)程scstat–n確定節(jié)點(diǎn)狀態(tài)scstat–p確定群集組件狀態(tài)查看SUNＣluster3運(yùn)行狀態(tài)/usr/platform/`uname–m`/sbin/prtdiag-v查看硬件運(yùn)行狀態(tài)iostat-En檢查硬盤(pán)狀態(tài)uname-a查看OS補(bǔ)丁級(jí)別/usr/platform/`uname–m`/sbin/prtdiag-v|grepOBP查看微碼級(jí)別4Windows系統(tǒng)檢查常用操作檢查方法/檢查命令檢查目標(biāo)備注第1步：點(diǎn)擊[開(kāi)始]>[管理工具]>[英特網(wǎng)信息服務(wù)(IIS)管理]。檢查匿名FTP登錄被限制第2步：右擊[FTP位置]，并選擇[屬性]。第3步：選擇[安全賬戶]標(biāo)簽。第4步：確認(rèn)[允許匿名連接]框未被選中。a.如果使用ActiveDirectory：檢查默認(rèn)賬戶是否已停用第1步：按一下[開(kāi)始]“[管理工具]”[ActiveDirectory用戶和計(jì)算機(jī)]。第2步：突出[用戶]文件夾，確認(rèn)訪客賬戶已被停用（一個(gè)紅色的X會(huì)出現(xiàn)在用戶的圖標(biāo)上）。第3步：在同一屏幕上確認(rèn)默認(rèn)管理員賬戶被停用，創(chuàng)建了一個(gè)新的管理員賬戶并使用了一個(gè)強(qiáng)密碼。b.如果沒(méi)有使用ActiveDirectory：第1步：按一下[開(kāi)始]“[管理工具]”[計(jì)算機(jī)管理]。如果評(píng)估域賬戶，通過(guò)[動(dòng)作]菜單的[連接到另一臺(tái)計(jì)算機(jī)...]選項(xiàng)，連接該域內(nèi)的任何其他計(jì)算機(jī)。第2步：展開(kāi)[系統(tǒng)工具]“[本地用戶和組]節(jié)點(diǎn)。第3步：突出[用戶]文件夾，確認(rèn)訪客賬戶已被停用。如果它被禁用，一個(gè)紅色的X應(yīng)該會(huì)出現(xiàn)在用戶的圖標(biāo)。第4步：在同一屏幕上確認(rèn)默認(rèn)管理員賬戶被停用，創(chuàng)建了一個(gè)新的管理員賬戶并使用了一個(gè)強(qiáng)密碼。第1步:按一下[開(kāi)始]“[控制面板]”[系統(tǒng)]。檢查應(yīng)用服務(wù)器（如SQL，IIS等）不被用作域控制器和服務(wù)器第2步:按一下[計(jì)算機(jī)名]標(biāo)簽。第3步:確認(rèn)沒(méi)有域會(huì)被列在[域]標(biāo)簽中?？梢越邮軝C(jī)器屬于一個(gè)工作組，而不是一個(gè)域。第1步:按一下[開(kāi)始]“[運(yùn)行]”并輸入'regedt32'進(jìn)入注冊(cè)表編輯器（Regedt32.exe）。檢查訪問(wèn)注冊(cè)表權(quán)限第2步:找到以下注冊(cè)表項(xiàng)：HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\SecurePipeServers\Winreg\。第3步:右擊[Winreg]，然后單擊[權(quán)限...]。第4步:確定只有管理員可以訪問(wèn)并更新注冊(cè)表表。第1步:按一下[開(kāi)始]“[管理工具]”[ActiveDirectory域和信任]。檢查Windows2003信任關(guān)系第2步:展開(kāi)根目錄，然后右擊域。第3步:從顯示的菜單上選擇屬性。第4步:選擇[信任]選項(xiàng)卡。第5步:檢查信任關(guān)系，并確定已建立的信任關(guān)系是必須的且支持域模式。第1步:按一下[開(kāi)始]“[管理工具]”[計(jì)算機(jī)管理]。檢查NTFS文件系統(tǒng)的使用第2步:展開(kāi)[存儲(chǔ)]“[磁盤(pán)管理]。第3步:確認(rèn)文件系統(tǒng)的每個(gè)分區(qū)是否設(shè)置為NTFS。第1步:按一下[開(kāi)始]“[管理工具]”[本地（域）安全策略]。檢察系統(tǒng)登錄會(huì)話超時(shí)設(shè)置第2步:選擇[安全設(shè)置]-“[本地策略]-”[安全選項(xiàng)]。第3步:雙擊安全選項(xiàng)標(biāo)記[Microsoftnetworkserver:Amountofidletimerequiredbeforesuspendingsession]，驗(yàn)證安全性設(shè)定值。建議值為鎖定后60分鐘將賬號(hào)鎖定。第1步:按一下[開(kāi)始]“[管理工具]”[本地（域）安全策略]。檢查密碼策略和賬戶鎖定策略第2步:選擇[安全設(shè)置][賬戶策略]，選擇[密碼策略]。第3步:檢查密碼組成，確保[密碼必須符合復(fù)雜性要求]已啟用。第4步:檢查最小密碼長(zhǎng)度，確保[最小密碼長(zhǎng)度]是根據(jù)策略要求設(shè)置。建議值為6或更高。第5步:檢查密碼更改頻率，確保[最大密碼有效期]是根據(jù)策略要求設(shè)置。建議值為90天或更少。第6步:檢查密碼歷史，確保[強(qiáng)制密碼歷史]是根據(jù)策略要求設(shè)置。建議值是防止重復(fù)使用的密碼至少一年。第7步:檢查不成功登錄嘗試后賬戶自動(dòng)鎖定，確認(rèn)[賬戶鎖定閾值]已設(shè)置。建議值為3和5之間。這個(gè)值可能會(huì)有所不同，但如值高于5，應(yīng)該和管理員討論。確認(rèn)[重設(shè)賬戶鎖定計(jì)數(shù)器后]設(shè)定，建議值為60分鐘。確認(rèn)[賬戶鎖定時(shí)間]設(shè)置為0。第1步:按一下[開(kāi)始]“[管理工具]”[計(jì)算機(jī)管理]。檢查用戶首次登錄后能夠改變密碼第2步:展開(kāi)[系統(tǒng)工具]“[本地用戶和組]”。第3步:突出[用戶]文件夾。第4步:雙擊一個(gè)沒(méi)有登錄的新創(chuàng)建的用戶，以查看用戶屬性。在常規(guī)選項(xiàng)卡上，確保[用戶下次登錄時(shí)必須更改密碼]已設(shè)定。第1步:按一下[開(kāi)始]“[管理工具]”[ActiveDirectory用戶和計(jì)算機(jī)]。檢查對(duì)特權(quán)IT功能的訪問(wèn)權(quán)限第2步:突出[組]文件夾，雙擊每個(gè)具有特權(quán)的用戶組（如管理員組或power用戶組），并確認(rèn)組內(nèi)的用戶是否合適。應(yīng)注意是否存在如下現(xiàn)象：-過(guò)多的用戶;-包含通用賬戶名；-將其他組作為管理員組成員之一。b.如果ActiveDirectory未使用：第1步:按一下[開(kāi)始]“[管理工具]”[計(jì)算機(jī)管理]。如果評(píng)估域賬戶，通過(guò)[動(dòng)作]菜單的[連接到另一臺(tái)計(jì)算機(jī)...]選項(xiàng)，連接該域內(nèi)的任何其他計(jì)算機(jī)。第2步:展開(kāi)[系統(tǒng)工具]“[本地用戶和組]節(jié)點(diǎn)，并突出[組]文件夾中。第3步:突出[組]文件夾，雙擊每個(gè)具有特權(quán)的用戶組（如管理員組或power用戶組），并確認(rèn)組內(nèi)的用戶是否合適。應(yīng)注意是否存在如下現(xiàn)象：-過(guò)多的用戶;-包含通用賬戶名；-將其他組作為管理員組成員之一。第1步:在被檢查方的協(xié)助下，確定重要的生產(chǎn)數(shù)據(jù)目錄，是否在服務(wù)器上存在任何修改數(shù)據(jù)的腳本或功能。檢查對(duì)數(shù)據(jù)和數(shù)據(jù)修改功能的訪問(wèn)權(quán)限第2步:對(duì)第1步中確定的數(shù)據(jù)目錄，通過(guò)執(zhí)行以下命令，獲取系統(tǒng)產(chǎn)生的具有更新重要生產(chǎn)數(shù)據(jù)目錄或文件的用戶列表：?按一下[開(kāi)始]“[所有程序]”[附件]“[Windows資源管理器]。?在資源管理器中右擊待查的系統(tǒng)/程序文件，然后選擇[屬性]。?按一下[安全]標(biāo)簽，獲取具有訪問(wèn)權(quán)限的用戶或用戶組。第3步：審查具有訪問(wèn)重要生產(chǎn)數(shù)據(jù)的目錄和文件，其他任何數(shù)據(jù)修改腳本/功能的權(quán)限是否合理。訪問(wèn)權(quán)限應(yīng)僅限于那些工作職責(zé)所需的用戶。在第2步中獲得的安全訪問(wèn)權(quán)限包括用戶或用戶組。當(dāng)在安全訪問(wèn)權(quán)限中存在用戶組且該組具有更新權(quán)限，我們還需要審查組中用戶的適當(dāng)性。此外，應(yīng)該指出的是，“everyone”組通常包含所有域內(nèi)的用戶。“everyone”組不應(yīng)該有更新存取數(shù)據(jù)文件或程序的權(quán)限。要獲取組內(nèi)用戶列表：a：如果使用ActiveDirectory：?按一下[開(kāi)始]“[管理工具]”[ActiveDirectory用戶和計(jì)算機(jī)]。?突出[組]文件夾，雙擊每個(gè)組獲得組成員名單。b.如果未使用ActiveDirectory：?按一下[開(kāi)始]“[管理工具]”[計(jì)算機(jī)管理]。?如果評(píng)估域賬戶，通過(guò)[動(dòng)作]菜單的[連接到另一臺(tái)計(jì)算機(jī)...]選項(xiàng)，連接該域內(nèi)的任何其他計(jì)算機(jī)。?展開(kāi)[系統(tǒng)工具]“[本地用戶和組]節(jié)點(diǎn)，并突出[組]文件夾中。?雙擊每組獲得小組成員名單。第4步:如果使用了訪問(wèn)控制軟件，確定對(duì)該軟件進(jìn)行了配置，將更新數(shù)據(jù)目錄和文件的權(quán)限僅限于工作職責(zé)所需的用戶。第1步：通過(guò)執(zhí)行下列操作打開(kāi)ActiveDirectory用戶管理：[開(kāi)始]“[管理工具]”[ActiveDirectory用戶和計(jì)算機(jī)]。獲得臨時(shí)雇員的名單，并確保所有的賬戶皆設(shè)定了到期日期。第2步：突出[用戶]文件夾并雙擊對(duì)用戶進(jìn)行修改。第3步：選擇[賬戶]標(biāo)簽，確認(rèn)樣本用戶的截止日期是適當(dāng)?shù)?。?步:系統(tǒng)審計(jì)參數(shù)設(shè)置?按一下[開(kāi)始]“[管理工具]”[本地（域）安全策略]。?標(biāo)明[安全設(shè)置]“[本地策略]”[審核策略]。?右面板中顯示當(dāng)前機(jī)器設(shè)定的各級(jí)審計(jì)等級(jí)。建議的設(shè)置如下：檢查對(duì)用戶訪問(wèn)的監(jiān)控

審計(jì)賬戶登錄事件-成功與失敗;

審計(jì)賬戶管理-成功與失敗;

審計(jì)目錄服務(wù)訪問(wèn)-失敗;

審計(jì)登錄事件-成功與失敗;

審計(jì)對(duì)象訪問(wèn)-失敗;

審計(jì)政策變動(dòng)-成功與失敗;

審