操作系统windows知识点.docx
《操作系统windows知识点.docx》由会员分享,可在线阅读,更多相关《操作系统windows知识点.docx(18页珍藏版)》请在冰点文库上搜索。
操作系统windows知识点
1.知识要点
1.1.Windwos账号体系
分为用户与组,用户的权限通过加入不同的组来授权
用户:
组:
1.2.账号SID
安全标识符是用户帐户的内部名,用于识别用户身份,它在用户帐户创建时由系统自动产生。
在Windows系统中默认用户中,其SID的最后一项标志位都是固定的,比如administrator的SID最后一段标志位是500,又比如最后一段是501的话则是代表GUEST的帐号。
1.3.账号安全设置
通过本地安全策略可设置账号的策略,包括密码复杂度、长度、有效期、锁定策略等:
设置方法:
“开始”->“运行”输入secpol.msc,立即启用:
gpupdate/force
1.4.账号数据库SAM文件
sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。
可通过工具提取数据,密码是加密存放,可通过工具进行破解。
1.5.文件系统
NTFS(NewTechnologyFileSystem),是WindowsNT环境的文件系统。
新技术文件系统是WindowsNT家族(如,Windows2000、WindowsXP、WindowsVista、Windows7和windows8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。
NTFS取代了老式的FAT文件系统。
在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。
许可的设置包括两方面的内容:
一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。
访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。
与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。
另外,在采用NTFS格式的Win2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。
这些在FAT32文件系统下,是不能实现的。
通过文件的属性安全标签,可设置文本的权限:
1.6.服务
服务是一种应用程序类型,它在后台运行。
服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。
每项服务对应着一个或多个程序,不同的程序通过都存在自身的一些漏洞,所以服务必须最小化,关闭不必要的服务,减少风险。
建议将以下服务停止,并将启动方式修改为手动:
✓AutomaticUpdates(不使用自动更新可以关闭)
✓BackgroundIntelligentTransferService(不使用自动更新可以关闭)
✓DHCPClient
✓Messenger
✓RemoteRegistry
✓PrintSpooler
✓Server(不使用文件共享可以关闭)
✓SimpleTCP/IPService
✓SimpleMailTransportProtocol(SMTP)
✓SNMPService
✓TaskSchedule
✓TCP/IPNetBIOSHelper
1.7.日志
Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。
我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。
比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。
Windows日志文件默认位置是“%systemroot%\system32\config
✓安全日志文件:
%systemroot%\system32\config\SecEvent.EVT
✓系统日志文件:
%systemroot%\system32\config\SysEvent.EVT
✓应用程序日志文件:
%systemroot%\system32\config\AppEvent.EVT
✓FTP连接日志和HTTPD事务日志:
%systemroot%\system32\LogFiles\
可通过事件查看器(eventvwr.msc)查看日志
可通过本地安全策略设置记录哪些日志
1.8.Windows登录类型及安全日志解析
✓登录类型2:
交互式登录(Interactive)在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。
✓登录类型3:
网络(Network)当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。
✓登录类型5:
服务(Service)与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5
✓登录类型7:
解锁(Unlock)你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
✓登录类型8:
网络明文(NetworkCleartext)当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。
“登录过程”栏都将列出Advapi。
✓登录类型10:
远程交互(RemoteInteractive)当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10。
1.9.防火墙
Windows都自带有防火墙功能,应根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
1.10.SYN保护
SYN攻击为常见拒绝服务攻击,windows可通过修改注册表参数启用SYN攻击保护,建议参数如下:
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;
指定处于SYN_RCVD状态的TCP连接数的阈值为500;
指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。
配置方法:
在“开始->运行->键入regedit”
启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
值名称:
SynAttackProtect。
推荐值:
2。
以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。
值名称:
TcpMaxPortsExhausted。
推荐值:
5。
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpen。
推荐值数据:
500。
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。
超过SynAttackProtect时,触发SYNflood保护。
值名称:
TcpMaxHalfOpenRetried。
推荐值数据:
400。
1.11.屏幕保护
应设置带密码的屏幕保护,建议将时间设定为5分钟。
1.12.补丁管理
应安装最新的ServicePack补丁集,windows每月发布新增漏洞的安全补丁,应每月及时安装安全补丁。
1.13.防病毒软件
安装一款防病毒软件,并及时更新病毒库。
1.14.启动项及自动播放
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。
开始->运行->MSconfig”启动菜单中,取消不必要的启动项。
关闭Windows自动播放功能:
开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
2.练习题
序号
题目
A
B
C
D
答案
1
在Windows2000操作系统下,以下工具不能用于查看系统开放端口和进程关联性的工具或命令是
netstat
tcpview
fport
tcpvcon
A
2
Windows上,想要查看进程在打开那些文件,可以使用哪个命令或工具
openfiles
dir
list
filelist
A
3
WindowsXP上,系统自带了一个用于显示每个进程中主持的服务的命令,该命令是
tlist
tasklist
taskmgr
processmgr
B
4
某Windows服务器被入侵,入侵者在该服务器上曾经使用IE浏览站点并下载恶意程序到本地,这时,应该检查
IE的收藏夹
IE的历史记录
IE的内容选项
IE的安全选项
B
5
在微软操作平台系统Windows9x/NT/2000全部支持的验证机制是
LM
NTLM
Kerberos
NTLMV2
A
6
以下工具可以用于检测Windows系统中文件签名的是
Icesword
Srvinstw
Blacklight
sigverif
D
7
以下可以用于本地破解Windows密码的工具是()
JohntheRipper
L0phtCrack5
Tscrack
Hydra
B
8
不属于windows下rootkit技术的是()
LKMrootkit
Inlinehook
IAThook
Ssdthook
A
9
Windows的主要日志不包括的分类是
系统日志
安全日志
应用日志
失败登录请求日志
D
10
WINDOWS2003中的文件系统使用的都是
强制访问控制
自主访问控制
基于角色的访问控制
B
11
从Windows2000安全系统架构中,可以发现,Windows2000实现了一个______,它在具有最高权限的内核模式中运行,并对运行在用户模式中的应用程序代码发出的资源请求进行检查。
SRM
LSA
SAM
Winlogon
A
12
Windows2000中,其符合C2级标准的安全组件包括
灵活的访问控制
审计
强制登录
以上均是
D
13
WindowsNT/2000下的访问控制令牌主要由下列哪些组件组成
用户SID
用户所属组的SID
用户名
以上均是
D
14
要实现WindowsNT/2000的安全性,必须采用下列哪种文件系统
FAT32
NTFS
CDFS
Ext2
B
15
Windows2000所支持的认证方式包括下列哪些
NTLM
Kerberos
LanManager
以上均是
D
16
某公司的Windows网络准备采用严格的验证方式,基本的要求是支持双向身份认证,应该建议该公司采用哪一种认证方式
NTLM
NTLMv2
Kerberos
LanManager
C
17
某公司员工希望在他的WindowsNT系统中提供文件级权限控制,作为安全管理员应该如何建议
将文件系统设置为NTFS
将文件系统设置为FAT32
安装个人防火墙,在个人防火墙中作相应配置
将计算机加入域,而不是工作组
A
18
下面哪个答案可能是Windows系统中Dennis用户的SID
Dennis
SID-1-1-34-5664557893-2345873657-1002
S-1-2-23-5677654567-66732145654-1002
S-1-2-23-5677654567-66732145654-100
C
19
WindowsNT的安全标识(SID)串是由当前时间、计算机名称和另外一个计算机变量共同产生的,这个变量是什么
击键速度
用户网络地址
处理当前用户模式线程所花费CPU的时间
PING的响应时间
C
20
WindowsNT中哪个文件夹存放SAM文件
\%Systemroot%
\%Systemroot%\system32\sam
\%Systemroot%\system32\config
\%Systemroot%\config
C
21
Windows2000分布式安全模型中,客户端不可能直接访问网络资源;网络服务创建客户端()并使用客户端的凭据来执行请求的操作以模拟客户端
信任域控制器标识符
安全性标识符
访问令牌
访问控制列表(ACL)
C
22
从Windows2000安全系统架构中,可以发现,Windows20000实现了一个(),它在具有最高权限的内核模式中运行,并对运行在用户模式中的应用程序代码发出的资源请求进行检查
SRM
LSA
SAM
Winlogon
A
23
关于Windows2000的IIS服务器HTTP状态码定义描述正确的是
"200":
接受
"202":
完成
"300":
多重选择
"404":
错误请求
C
24
Windows下黑客经常使用eventcreate这个命令行工具来伪造日志,而其无法伪造的日志是
安全
应用
系统
A
25
以下属于Windowsshellcode特点的是
可以直接用系统调用编写
各版本Windows的系统调用号相同
PEB定位函数地址
C
26
Windows下加载ISAPI过滤器失败,欲对其失败原因进行分析,应在()日志中查找相关信息
系统日志
安全日志
应用日志
C
升级会员 