操作系统(windows)--知识点

1 知识要点知识要点 1 1 1 1 WindwosWindwos 账号体系账号体系 分为用户与组 用户的权限通过加入不同的组来授权 用户 组 1 2 1 2 账号账号 SIDSID 安全标识符是用户帐户的内部名 用于识别用户身份 它在用户帐户创建时由系统自 动产生 在 Windows 系统中默认用户中 其 SID 的最后一项标志位都是固定的 比如 administrator 的 SID 最后一段标志位是 500 又比如最后一段是 501 的话则是代表 GUEST 的帐号 1 3 1 3 账号安全设置账号安全设置 通过本地安全策略可设置账号的策略 包括密码复杂度 长度 有效期 锁定策略等 设置方法 开始 运行 输入 secpol msc 立即启用 gpupdate force 1 4 1 4 账号数据库账号数据库 SAMSAM 文件文件 sam 文件是 windows 的用户帐户数据库 所有用户的登录名及口令等相关信息都会保存 在这个文件中 可通过工具提取数据 密码是加密存放 可通过工具进行破解 1 5 1 5 文件系统文件系统 NTFS New Technology File System 是 WindowsNT 环境的文件系统 新技术文件系统 是 Windows NT 家族 如 Windows 2000 Windows XP Windows Vista Windows 7 和 windows 8 1 等的限制级专用的文件系统 操作系统所在的盘符的文件系统必须格式化为 NTFS 的文件系统 4096 簇环境下 NTFS 取代了老式的 FAT 文件系统 在 NTFS 分区上 可以为共享资源 文件夹以及文件设置访问许可权限 许可的设置包 括两方面的内容 一是允许哪些组或用户对文件夹 文件和共享资源进行访问 二是获得访问 许可的组或用户可以进行什么级别的访问 访问许可权限的设置不但适用于本地计算机的 用户 同样也应用于通过网络的共享文件夹对文件进行访问的网络用户 与 FAT32 文件系统 下对文件夹或文件进行访问相比 安全性要高得多 另外 在采用 NTFS 格式的 Win 2000 中 应用审核策略可以对文件夹 文件以及活动目录对象进行审核 审核结果记录在安全日 志中 通过安全日志就可以查看哪些组或用户对文件夹 文件或活动目录对象进行了什么 级别的操作 从而发现系统可能面临的非法访问 通过采取相应的措施 将这种安全隐患 减到最低 这些在 FAT32 文件系统下 是不能实现的 通过文件的属性安全标签 可设置文本的权限 1 6 1 6 服务服务 服务是一种应用程序类型 它在后台运行 服务应用程序通常可以在本地和通过网络 为用户提供一些功能 例如客户端 服务器应用程序 Web 服务器 数据库服务器以及其他 基于服务器的应用程序 每项服务对应着一个或多个程序 不同的程序通过都存在自身的一些漏洞 所以服务 必须最小化 关闭不必要的服务 减少风险 建议将以下服务停止 并将启动方式修改为 手动 Automatic Updates 不使用自动更新可以关闭 Background Intelligent Transfer Service 不使用自动更新可以关闭 DHCP Client Messenger Remote Registry Print Spooler Server 不使用文件共享可以关闭 Simple TCP IP Service Simple Mail Transport Protocol SMTP SNMP Service Task Schedule TCP IP NetBIOS Helper 1 7 1 7 日志日志 Windows 网络操作系统都设计有各种各样的日志文件 如应用程序日志 安全日志 系统日志 Scheduler 服务日志 FTP 日志 WWW 日志 DNS 服务器日志等等 这些根据 你的系统开启的服务的不同而有所不同 我们在系统上进行一些操作时 这些日志文件通 常会记录下我们操作的一些相关内容 这些内容对系统安全工作人员相当有用 比如说有 人对系统进行了 IPC 探测 系统就会在安全日志里迅速地记下探测者探测时所用的 IP 时 间 用户名等 用 FTP 探测后 就会在 FTP 日志中记下 IP 时间 探测所用的用户名等 Windows 日志文件默认位置是 systemroot system32 config 安全日志文件 systemroot system32 config SecEvent EVT 系统日志文件 systemroot system32 config SysEvent EVT 应用程序日志文件 systemroot system32 config AppEvent EVT FTP 连接日志和 HTTPD 事务日志 systemroot system32 LogFiles 可通过事件查看器 eventvwr msc 查看日志 可通过本地安全策略设置记录哪些日志 1 8 1 8 WindowsWindows 登录类型及安全日志解析登录类型及安全日志解析 登录类型 2 交互式登录 Interactive 在本地键盘上进行的登录 但不要忘记通过 KVM 登录仍然属于交互式登录 虽然它是基于网络的 登录类型 3 网络 Network 当你从网络的上访问一台计算机时在大多数情况下 Windows 记为类型 3 最常见的情况就是连接到共享文件夹或者共享打印机时 登录类型 5 服务 Service 与计划任务类似 每种服务都被配置在某个特定的用户 账户下运行 当一个服务开始时 Windows 首先为这个特定的用户创建一个登录会话 这将被记为类型 5 登录类型 7 解锁 Unlock 你可能希望当一个用户离开他的计算机时相应的工作站 自动开始一个密码保护的屏保 当一个用户回来解锁时 Windows 就把这种解锁操作 认为是一个类型 7 的登录 失败的类型 7 登录表明有人输入了错误的密码或者有人在 尝试解锁计算机 登录类型 8 网络明文 NetworkCleartext 当从一个使用 Advapi 的 ASP 脚本登录或 者一个用户使用基本验证方式登录 IIS 才会是这种登录类型 登录过程 栏都将列出 Advapi 登录类型 10 远程交互 RemoteInteractive 当你通过终端服务 远程桌面或远程协 助访问计算机时 Windows 将记为类型 10 1 9 1 9 防火墙防火墙 Windows 都自带有防火墙功能 应根据业务需要限定允许访问网络的应用程序 和允 许远程登陆该设备的 IP 地址范围 1 10 1 10 SYNSYN 保护保护 SYN 攻击为常见拒绝服务攻击 windows 可通过修改注册表参数启用 SYN 攻击保护 建议参数如下 指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数阀值为 5 指定处于 SYN RCVD 状态的 TCP 连接数的阈值为 500 指定处于至少已发送一次重传的 SYN RCVD 状态中的 TCP 连接数的阈值为 400 配置方法 在 开始 运行 键入 regedit 启用 SYN 攻击保护的命名值位于注册表项 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 之下 值名称 SynAttackProtect 推荐值 2 以下部分中的所有项和值均位于注册表项 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 之下 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值 值名称 TcpMaxPortsExhausted 推荐值 5 启用 SynAttackProtect 后 该值指定 SYN RCVD 状态中的 TCP 连接阈值 超过 SynAttackProtect 时 触发 SYN flood 保护 值名称 TcpMaxHalfOpen 推荐值数据 500 启用 SynAttackProtect 后 指定至少发送了一次重传的 SYN RCVD 状态中的 TCP 连 接阈值 超过 SynAttackProtect 时 触发 SYN flood 保护 值名称 TcpMaxHalfOpenRetried 推荐值数据 400 1 11 1 11 屏幕保护屏幕保护 应设置带密码的屏幕保护 建议将时间设定为 5 分钟 1 12 1 12 补丁管理补丁管理 应安装最新的 Service Pack 补丁集 windows 每月发布新增漏洞的安全补丁 应每月及 时安装安全补丁 1 13 1 13 防病毒软件防病毒软件 安装一款防病毒软件 并及时更新病毒库 1 14 1 14 启动项及自动播放启动项及自动播放 列出系统启动时自动加载的进程和服务列表 不在此列表的需关闭 开始 运行 MSconfig 启动菜单中 取消不必要的启动项 关闭 Windows 自动播放功能 开始 运行 输入 gpedit msc 打开组策略编辑器 浏 览到计算机配置 管理模板 系统 在右边窗格中双击 关闭自动播放 对话框中选择所 有驱动器 确定即可 2 练习题练习题 序号序号题目题目 A AB BC CD D 答案答案 1 在 Windows 2000 操作系统下 以下工具不能用于 查看系统开放端口和进程关联性的工具或命令是 netstattcpviewfporttcpvconA 2 Windows 上 想要查看进程在打开那些文件 可以 使用哪个命令或工具 openfil es dirlistfilelistA 3 Windows XP 上 系统自带了一个用于显示每个进 程中主持的服务的命令 该命令是 tlisttasklisttaskmgrprocessmgrB 4 某 Windows 服务器被入侵 入侵者在该服务器上 曾经使用 IE 浏览站点并下载恶意程序到本地 这 时 应该检查 IE 的收 藏夹 IE 的历史 记录 IE 的内 容选项 IE 的安全选项 B 5 在微软操作平台系统 Windows 9x NT 2000 全部支 持的验证机制是 LMNTLM Kerbero s NTLM V2A 6 以下工具可以用于检测 Windows 系统中文件签名 的是 Iceswor d Srvinstw Blackli ght sigverifD 7 以下可以用于本地破解 Windows 密码的工具是 John the Ripper L0pht Crack 5 TscrackHydraB 8 不属于 windows 下 rootkit 技术的是 LKM rootkit Inline hook IAT hook Ssdt hookA 9 Windows 的主要日志不包括的分类是 系统日 志 安全日志 应用日 志 失败登录请求 日志 D 10 WINDOWS 2003 中的文件系统使用的都是 强制访 问控制 自主访问 控制 基于角 色的访 问控制 B 11 从 Windows2000 安全系统架构中 可以发现 Windows 2000 实现了一个 它在具有最高 权限的内核模式中运行 并对运行在用户模式中 的应用程序代码发出的资源请求进行检查 SRMLSASAMWinlogonA 12 Windows 2000 中 其符合 C2 级标准的安全组件包 括 灵活的 访问控 制 审计 强制登 录 以上均是 D 13 Windows NT 2000 下的访问控制令牌主要由下列哪 些组件组成 用户 SID 用户所属 组的 SID 用户名以上均是 D 14 要实现 Windows NT 2000 的安全性 必须采用下 列哪种文件系统 FAT32NTFSCDFSExt2B 15 Windows 2000 所支持的认证方式包括下列哪些 NTLMKerberos LanMana ger 以上均是 D 16 某公司的 Windows 网络准备采用严格的验证方式 基本的要求是支持双向身份认证 应该建议该公 司采用哪一种认证方式 NTLMNTLMv2 Kerbero s LanManagerC 17 某公司员工希望在他的 Windows NT 系统中提供文 件级权限控制 作为安全管理员应该如何建议 将文件 系统设 置为 NTFS 将文件系 统设置为 FAT32 安装个 人防火 墙 在 个人防 火墙中 作相应 配置 将计算机加入 域 而不是工 作组 A 18 下面哪个答案可能是 Windows 系统中 Dennis 用户 的 SID Dennis SID 1 1 34 56645578 93 23458736 57 1002 S 1 2 23 5677654 567 6673214 5654 1002 S 1 2 23 5677654567 66732145654 100 C 19 Windows NT 的安全标识 SID 串是由当前时间 计算机名称和另外一个计算机变量共同产生的 这个变量是什么 击键速 度 用户网络 地址 处理当 前用户 模式线 程所花 费 CPU 的时间 PING 的响应时 间 C 20 Windows NT 中哪个文件夹存放 SAM 文件 Syste mroot S