WINDOWS葵花宝典.docx
《WINDOWS葵花宝典.docx》由会员分享,可在线阅读,更多相关《WINDOWS葵花宝典.docx(39页珍藏版)》请在冰点文库上搜索。
![WINDOWS葵花宝典.docx](https://file1.bingdoc.com/fileroot1/2023-6/16/a1617e9d-2ada-4848-8530-69360e0431b4/a1617e9d-2ada-4848-8530-69360e0431b41.gif)
WINDOWS葵花宝典
《WINDOWS葵花宝典》
安装和配置windowsserver2003:
安装管理工具:
安装光盘的i386\adminpak.msi
或者操作系统目录下的%system32%\system32\adminpak.msi
安全帐户管理数据库
本地SAM位置%system32%\system32\config\sam
域中SAM位置windows\NTDS\ntds.dit
用户配置文件
漫游配置文件(在域中使用)
新建文件夹将其共享,更改共享文件夹权限和安全权限使所有人完全控制
用户属性--配置文件--UNC路径例:
\\server\sharename\%username%
强制配置文件
(用该帐户登陆去访问服务器上的共享配置文件夹)将配置文件夹中的ntuser.dat改为ntuser.man
临时配置文件
在不能登陆的情况下自动配置
用户和组
在本地组中不能加入本地组,但可以加入系统组,本地组中增加成员时只能添加本地用户和内置安全主体。
工作组为本地组分配权限时可以使用ALP策略(本地安全策略---用户权限分配)为组分配权限
域环境
默认情况下域中的AccountOperators(帐户管理员)DomainAdmins(域)EnterpriseAdmins(企业)有管理用户的权限
文件夹审核
本地安全----起用对象审核
打开审核的文件夹属性-----高级-----加入需要审核的用户和组----审核的具体内容----用事件查看器查看
ActiveDirectory的安装(NTFS分区系统,DNS服务支持)
运行-----dcpromo命令
注:
安装备份域控制器时,机算机中所有本地用户和组将全部消失,加密的文件也无法打开
恢复控制台的安装
e:
\i386\winnt32/cmdcons(假设e为光盘所在的目录/cmdcons为存放控制台的目录)
FAT转换为NTFS文件系统
运行-----converte:
/fs:
ntfs注e为要转换的盘符
卷影副本客户端软件
服务器安装目录下system32\clients\wclient其中amd64ia64是为64位CPU准备的普通用户安装x86下的twcli32.msi
打印机
打印机端口重定向
有两台打印机HP1和HP2,当HP1发生故障时,可以通过下列方法重定向端口到HP2
单击HP1打印机属性中的---端口选项卡----添加新端口---选择localport---新端口----输入HP2打印机的UNC路径
打印机优先级
对一台物理打印机添加两台罗辑打印机(客户机上)分别设置它们的优先级为1或99,99具有高优先级(属性---高级)
在活动目录中发布打印机
默认情况下共享的打印机以经发布到了活动目录中,如果看不到,在ActiveDirectory中点查看-----用户组和计算机做为容器.
如果不想在活动目录中显示共享打印机,将打印机属性----共享中的-----列入活动目录去掉
通过web管理打印机http:
//服务器名/printers(要有iis的支持)
dhcp服务器
dhcp数据库%Systemroot%\system32\Dhcp
数据库压缩对于1000台以上的大型网络至少一月进行一次脱机压缩,小型网络数月一次
压缩命令进入数据库目录cd%Systemroot%\system32\Dhcp
停止dhcp服务netstopdhcpserve
压缩dhcp数据库jetpackDHCP.MDBTMP.MDB(tmp.mdb为用户自已定义)
开启dhcp服务netstartdhcpserver
客户机请求dhcpdiscoverS--0.0.0.0D--255.255.255.255
服务器响应dhcpofferS--服务器idD--255.255.255.255掩码提供给客户机的ID
客户机选择dhcprequestS--0.0.0.0D--255.255.255.255选择的id
服务器确认dhcpackS--服务器idD--255.255.255.255
ip租约的更新当服务器重新起动或租期达50%时,客机真接向原服务器发送请求dhcprequest,如果服务器没有响,当租期达到87.5%时,客户机向所有的服务器发送dhcpdiscover以更新现有租约。
否则无法使用现有租约。
超级作用域将多个作用域加入超级作用域,可以实现为同一网段不同子网分配ip地址。
(启用LAN路由)
服务器属性配置
003路由器默认网关地址
006DNS服务器DNS服务器的IP地址
015NDS或名用于解析的DNS域名
044WINS/NBNS用于客户机的WINS服务器名
046WINS/NBTWINS节点类型
DHCP地址类别
建立用户类别服务器---定义用户地址类别----添加---输入类别名---输入ASCII码(类别名)
配置用户类别属性服务器选项----高级-----用户类别选项-----选择已定义的类别------配置属性
客户端设置
定义用户类别运行---ipconfig/setclassid"本地连接"类别名
查看用户类别运行---ipconfig/showclassid"本地连接"
DNS服务器
FQDN完全合格域名例:
根域-----顶级域-----二级域-----主机名名称空间结构
顶级域又分为-----组织域(3个字符)-----地理域(2个字符)-----反向域(in-addr.arpa)
gov政府部门com商业部门edu教育部门org民间团体net网络服务mil军事部门
dns查询过程递规查询迭代查询正向查询反向查询(查找1.2.2.2的fqdn就查2.2.2.1.in-addr.arpa)
建立dns静态映射的目录windows\system32\drivers\etc\hosts
资源记录表
资源记录说明
SOA(起始授权机构)定义了该区域中授权的服务器
NS(名称服务器)该区域的授权服务器和指定的主服务器和备份服务器
A(主机)域名到IP的映射
PTR(指针)IP映射到域名
SRV(服务位置)列出了那些服务器正在提供特定的服务
相关命令
nslookup测试dns服务器
ipconfig/displaydns显示dns客户机域名解析缓存中的内容
ipconfig/flushdns清楚dns缓存
netlogon服务用来更新dns服务
windows服务
启用windows代理local-machise\system\currantcontrolset\services\netbt\paranters将enablelmhosts值0改为1
windows服务节点类型
B节点——只使用广播方法。
该类型的节点在本地子网上使用广播消息来发现位于同一子网中的计算机。
P节点——只和名字服务器使用点对点通信。
该类型的节点使用服务(如WINS服务器)来进行查询以获取要解析的地址。
M节点——先使用广播,再点对点通信。
该类型的节点在LAN上发送广播消息来查找另一台电脑,如果没有回应或查找失败,就转为使用P点节方式继续查询。
它向名称解析服务器注册自己的名称时也是用的广播消息。
H节点——先使用点对点通信,然后使用广播。
该类型的节点使用NetBIOS名称解析服务来进行注册或解析,如果无法连接到名称解析服务器(如WINS服务器)则再转为使用B节点方式继续查询。
节点类型与二进制的关系B---1P---2M---4H---8(通过DHCP向下分发)
收缩数据库参照DHCP
windows远程访问服务器
远程式访问协议
PPPLSIPMicrosoftRASLAN协议
点到协议串行线路网际协议windows客户机远程访问协议tcp/ipipxappletalknetbeul
VPN协议
PPTP不支持隧道验证只支持IP互连网络不支持报头压缩8字节MPPE加密
L2TP支持隧道验证X。
25ATM帧中继等支持报头压缩14字节IPsec加密
ppp多链路协议
BAP动态地为多链路连接添加或者删除多余的链接
BACP同时出现两个ppp实体添加或者删除链接时选择其中的一个连接
常用身份验证的方法
PAP口令验证协议(名文传输)
CHAP询问响应类型的验证协议用HASH加密比PAP与SPAP更安全
MS-CHAP2提供比CHAP更强大的安全访问连接访问机制不兼容老版本但更安全
MS-CHAP向下兼容windows98windowsNT等老版本
EAP可扩展验证协议指纹、智能卡等
SPAP密码身份验证协议是Shiva公司使用的一种可逆加密机制
MPPE(Microsoft点到点加密)
使用带有40,56,128位加密密码。
在WINDOWS系统中得到了基于拨号与PPTP方试的VPN客户端服务器的支持,MPPE密钥将在MS-CHAP、MS-CHAPv2、或EAP/TLS用户身份验证过程中生成。
\
注:
在域浑合模式下不能使用远程访问控制策略,要想使用得把域提升为2000纯模式或2003纯模式
IAS服务器---RADIUS
安装---网络服务-----INTENET验证服务(将VPN服务器变为RADIUS服务器)
IAS服务器----对VPN服务器做统一管理,身份验证,计帐等.
IAS=RADIUS服务器将VPN服务器配置成为RADIUS客户端
相关命令
netshrasipshowconfig查看IP远程访问的配置
NAT网络地址转换
静态NAT将内网每个主机永久映射为合法公有IP地址转换原理
out数据包,NAT将源IP地址和源端口号转换为公有IP和可能改变的端口号
in数据包,NAT将目的IP地址和端口号转换为私有IP和最初的端口号
NAT池采用动态分配的方式映射到内部网络
PAT采用端口多路复用技术
PKI公钥基础结构
PKI-----是一种支持密钥的基础结构,目得是通过自动管理密钥和证书,可以为客户建立起一个安全可靠的运营环境,使用户可以在多种应用环境下方便的使用加密和数字簦名技术,从而保证网络上数据的完整性,机密性和有效性;
数字签名----提供身份验证和数据完整性验证,使得接收方能够确认发送方的身份标识,确保数据在传输过程中没有被篡改.
CA-----是一个可信任的实体,它根据CA策略负责发布,更新和吊销证书.
RA-----负责将用户的有关申请信息存档备案,并存储在数据库中,并将审核通过的的证书请求发给证书颁发机构.RA分担了CA的部分工作.管理更方便.
AIA---证书分发点
CRL---证书吊销列表
加密类型
加密类型加密算法密钥长度性能对比
对称加密DES,3DES,IDEA64位,128位64位为一组对数据加密,速度快适用于大数据块加密度,管理不灵活.
非对称加密RSA,膨胀椭圆曲线公钥,私钥在实际应用中时间长,速度慢,适用于小数据块的加密,管理灵活
对称加密与非对称加密的混合使用(数据加密)
发送方用对称加密的方法,将文件加密后传给接收方.
发送方在将(发送方和接收方共同拥有的密钥)通过非对称加密的方法加密后传给接收方
接收方用私钥解密得到对称密钥
然后用对称密钥去解读对称加密的文件
PGP(prettygoodprivacy)邮件加密软件(具体用法见windows管理上146页)
有一种RSA和传统加密的杂合算法,传输前不需要保密通道来传输密钥,用于数字簦名和文摘算法,加密前压缩等.
HASH算法
HASH算法是一个简单而不可逆的过程.确保文件的完整性和可靠性.
常用的HASH算法有SHAMD5等.
公钥加密应用
数据加密---公钥加密,以用户私钥作为解密密钥,则可实现多个用户加密的信息只能由一个子用户解读.可能以数据加密.
数字签名---反之可用于数字签名.
证书的发放过程
证书申请
RA确认用户
证书策略处理
RA提交用户早请信息到CA
CA为用户生成密钥对,并对用户ID进行签名,生成电子证书,然后CA将用户的数字证书和公用密钥发布到目录中
CA将电子证书传给RA
RA将电子证书传给用户
用户验证CA颁发的证书
证书的主要用途
信息的保密性
交易身分的确定性
不可否认性
不可修改性
通过WEB注册申请证书
http:
//服务器名或http:
//IP地址/certsrv
影响证书有效期的注册表键值
HKEY-LOCAL-MACHINE\System\currentControlset\Services\Certsvc\Configuration\
validityperiod
validityperiodunits
非建康证书状态
私钥弃失
证书不在有效期内
证书路径有问题---即根CA和下级CA在本地不受信任
ftp服务
隔离用户的设置
在ftp根目录下建立一个叫LocalUser的文件夹,在localuser目录下建立要隔离的用户名(用户名要在服务器和活动目录中存在)也可以建匿名访问目录pubic,这样就可以实现不同的用户访问不的文件夹中的内容。
FTP常用命令
FTP的命令行格式为:
ftp-v-d-i-n-g[主机名],其中
-v显示远程服务器的所有响应信息;
-n限制ftp的自动登录,即不使用;
.netrc文件;
-d使用调试方式;
-g取消全局文件名。
ftp>open主机ip地址登陆ftp
注:
根据提示输入用户名和密码,如果是匿名用户则输入anonymouspassword
dir[remote-directory][local-file]显示目录
注:
remote-directory指定要查看的目录,如果没有指定则显示当前目录
local-file指定要输出到本地的文件名,如果没有指定则输出到屏幕
ls[remote-directory][local-file]显示目录
getremote-file[local-file]下载文件
mgetremote-file多文件下载
注:
一次可下载多个文件,后面用空格隔开例如ftp>mget*.txt
mdelete成批删除远程计算机上的文件
mkdirdirectory创建远程目录
rmdirdirectory删除远程目录
putlocal-file将本地文件上传到远程计算机上
pwd显示当前路径
renamefilenamenewfilename重命名远程文件
help[command]帮助
bye退出
web方式访问ftp
ftp:
//用户名:
密码@ip地址
ftp客户端软件
crteFTPXPleapFTPleachFTPflashFTPsmartFTPabsoluteFTPFTPvoyagerturboFTP
FTP服务器软件
Wu-FTPProFTP在Unix、linux中常用,其中proftp最为常用功能更强
server-u在windors中常用
server-u功能如下
支持多用户接入
支持匿名用户,可随时限制用户登录数量
可对每个用户进行单独管理,也可使用组进行管理。
可对用户的下载或上传速度进行限制
可对目录和文件实现安全管理
支持虚拟目录可对ip地址禁止和允许访问
目录服的高级应用
安装活动目录的各种情况
新森林------第一次建域
新域树------在原有域的情况下建立一独立的树不共享域名
新子域------共享原来的域名
安装额外DC-------实现负载和安全
安装DC的准备工作
足够大的用户权限
ActiveDirectory的逻辑结构
活动目录为每个域建立一个目录数据库的副本,这个副本只存贮用于这个域的对象。
在域中,所有的域控制器都是平等的。
活动目录以多主复制模型在域控制器间实现复制,另外域是一个安全边界,在域中设置的安全策略只在本域起落架作用。
活动目录的物理结构
站点和域控制器
逻辑结构侧重于网络资源的管理,物理结构侧重于网络的配置和优化。
例如,一个多物理位置组成的域,如果没有站点,用户登录时可能会通过慢速的wan连接,连接到另一个位置的dc上,利用站点可以让用户登陆到本地的dc上,从而优化了性能。
全局编录
存贮了森林中所有activedriectory对象的一个副本的域控制器
查找对象
提供了根据用户主名的身分验证
在多域环境下提供通用组的身分验证信息
通用组的成员应该是全局组,而不应该是用户账号,因为通用组成员的变化会在森林中产生较大的复制量。
修改全局编录服务器的属性
打开站点与服务---default-first-site-name------serves----NTDS----属性----常规
ADSchema活动目录架构
Schema包括了两种类型的定义:
类和属性
Schema的扩展是全局性的
于系统有关的Schema类不能修改
对Schema的修改不能辙消
LDAP轻量目录访问协议
LDAP是TCP/IP网络上使用的一种协议,它定义了目录服务客户端如何访问目录服务器,以及客户端如何进行目录操作和共享目录数据。
LDAP路径写法从后往前
cn=bill,ou=it,dc=b,dc=a
操作主机
森林范围内的操作主机
架构主机默认为森林中的第一台dc
域命名主机默认为森林中的第一台dc
配置构架主机
运行----regsvr32schmmgmt.dll
打开MMC控制台-----添加activederictory构架------属性------操作主机
配置域铭主机
打开域和信任关系-----属性------操作主机
域范围内的操作主机
RID主机任何时候林中的每个域中只能有一个域控制器作为rid主机
PDC主机负责同步整个域内域控制器上的时间,同步账号锁定密码修改
结构主机负责更新从它所在域中的对象到其它域中的对象的引用。
除非域中只有一个域控制器,否则不应将GC和结构主机指派结同一台DC.
域范围内的操作主机配置
用户和计算机-------所属域属性-------操作主机
委派管理
删除对用户的任务委派
点查看-----勾选高级------被委派用户属性-------安全-----高级-----删除不想要的权限
目录服务的复制
站点、子网、站点链接、站点链接桥和桥头服务器构成了目录服务的复制拓扑,
站点链接桥------有两个和多个链接组成,链接桥用来把两个和多个“站点链接”连起来。
在新建站点连接以后一定要修改默认站点,保证每个站点之间只复制一次。
域信任关系
单项信任
双项信任
可传递信任
不可传递信任
快捷方式传递可提高效率
外部信任一般为不可传递信任,在2003模式下可构建森林这间的信任关系。
并且是可传递信任。
要在china.nwtraders.msft与contoso.msft之间建立快捷方式传递
首先在china.nwtraders.msft所在在dns中添加转发器,指向contoso.msft的dns服务器,或者添加辅助区域,指向contoso.msft
其次在建立信任时,要在双方同时添加,且不需要输入用户名和密码。
要在china.nwtraders.msft与之间建信任
在双方的DNS区域都要设置对方的标准辅助区域以便于复制。
或者一方设置辅助区域一方设置转发。
在站点与信任中同时设置对方为信任域
组策略
组策略按照从下到上的顺序逐条执行,当策略设置发生冲突时,较后应用的策略会替代先应用的策略。
当计算机设置和用户设置冲突时计算机设置会替代用户设置
当上层的设置与下层的设置不同时,组策略的效果可以累加
若对同一个项做不同的设置,则先应的策略会被后应用的策略所替代
阻止策略继承
禁止替代就是不允许阻止策略继承组策略------选项中设置
其它常用命令
gpedit.msc打开组策略
adsiedit.msc查看授权服务器
gpupdate刷新策略
ntbackup.exe打开备份和还原工具
diskpart磁盘管理工具?
号查看相关命令
diskmgmt打开磁盘管理工具
msconfig系统配置实用程序
sysocmgr/i:
sysoc.inf打开windows添加删除组件
注册表应用实例
禁止cd-rom自动运行
HKEY-LOCAL-USER-MACHINE\SYSTEM\CurrentControlset\services\cdrom设置autorun值为0
加速菜单显示速度
HKEY-CURRENT-USER\Controlpanel\desktop将menushowdelay的值由400改为100
锁定桌面
Hkey-Users\Sofware\Microsoft\Windows\Curentversion\polioies\explores双击nosavesetting将值0改为1
设置自动登陆
HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\WindowsNt\CurrentVersion\Winlogon新建字符串AutoAdminlogn
新建字符串DefaultPassword
删除管理任务
HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explores\remotecomreuter\namespace将值删除
windowsserver2003网络测试工具:
1.ping命令用
ping命令用于查看网络上的主机是否在工作,它向该主机发送ICMPECHO_REQUEST包。
有时我们想从网络上的某台主机上下载文件,可是又不知道那台主机是否开着,就需要使用ping命令查看。
该命令的一般格式为:
ping[选项]主机名/IP地址
命令中各选项的含义如下
-c数目在发送指定数目的包后停止
-d设定SO_DEBUG的选项。
-f大量且快速地送网络封包给一台机器,看它的回应。
-I秒数设定间隔几秒送一个网络封包给一台机器,预设值是一秒送一次
-l次数在指定次数内,以最快的方式送封包数据到指定机器(只有超级用户可以使用此选项)。
-q不显示任何传送封包的信息,只显示最后的结果。
-r不经由网关而直接送封包到一台机器,通常是查看本机的网络接口是否有问题。
-s字节数指定发送的数据字节数,预设值是56,加上8字节的ICMP头,一共是64ICMP数据字节
例:
ping192.168.0.8-t,参数-t是等待用户去中断测试
2.查看DNS、IP、Mac等
A.Win98:
winipcfg
B.Win2000以上:
Ipconfig/