[精选]信息安全管理讲义.pptx
信息安全管理二信息安全管理二一、容灾与数据备份一、容灾与数据备份容灾就是减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为。容灾的目的和实质就是保持信息系统的业务持续性,将灾难损失降到可容忍的范围。容灾方案需要考虑的要点:灾难的类型恢复时间恢复程度实用技术成本容灾等级容灾等级第0级本地冗余备份,投资少,技术简单,但原始数据和备份数据可能一起被毁第1级数据介质转移,数据异地存放,安全保管,但无备用系统,会丧失局部数据第2级应用系统冷备,数据异地存放,有备用系统,系统硬件冷备份,会丧失局部数据第3级数据电子传送,使用网络传输技术,自动异地备份,提高备份频率第4级应用系统温备,备份系统处于活动状态,数据恢复到达小时级第5级应用系统热备,系统镜像,同步更新,灾难发生时需要人工切换,数据恢复到达分钟级第6级数据零丧失,在线实时镜像,作业动态分配,自动切换数据备份数据备份数据备份是指为了防止出现因自然灾害、硬件故障、软件错误、认为误操作等造成的数据丧失,而将全部或局部原数据集合复制到其他的存储介质中的过程。当数据丧失或被破坏时,结合其他恢复工具,原数据可以从备份数据中恢复出来。数据备份策略数据备份策略完全备份:每隔一段时间对系统进行一次全面备份增量备份:先对系统进行一次完全备份,然后每隔一段时间进行一次备份,仅仅备份在这个期间更改的内容累计备份:备份从上次进行完全备份后更改的全部数据文件混合应用:设立备份周期,结合不同备份方式的特点,制定策略。备份策略设计周一:完全备份周二:增量备份周三:增量备份周四:增量备份周五:累计备份周六:增量备份周日:增量备份常用的数据备份技术常用的数据备份技术1、NAS,作为以太网文件效劳器,提供文件级数据访问2、远程镜像技术,又叫远程复制,产生同一个数据的镜像视图3、快照技术,在远程存储系统中产生多个逻辑备份4、IP SAN,建立高速子网提供高性能存储环境,可实现动态数据块存储。1、批处理命令实现备份、批处理命令实现备份固定路径的备份:md c:%date%xcopy d:1 c:%date%/e/y/c说明:Md 新建文件夹Data 当前日期XCOPY source destination 参数/y/e source 指定要复制的文件。destination 指定新文件的位置和/或名称。/e 复制目录和子目录,包括空的。/y 禁止提示以确认改写一个现存目标文件。/c 即使有错误,也继续复制。2、利用、利用SuperFlexible软件备份数据软件备份数据同步文件备份工具。用于在不同位置PC、笔记本电脑和效劳器之间备份数据或同步文件支持定时自动备份。可同步文件、支持多配置文件、检测删除的文件、支持方案运行、可用邮件通知、支持完全镜像模式备份、可安全备份数据库文件、支持备份一个文件的多个版本、支持日志、支持备份超过64GB的文件。练习:练习:1、d:a与e:b之间测试各种备份方式,如完全备份、增量备份、累计备份、删除文件同步等。2、d:a与ftp:/10.144.0.19io之间测试网络备份3、根据需要制定一个适宜需求的7天的混合备份策略,并用SuperFlexible实现。数据灾难恢复数据灾难恢复数据的灾难恢复是在计算机发生意外故障时,使硬盘上的文件信息丧失的故障降到最低,为了提高灾难恢复的成功率,我们在平时使用电脑时应注意一下几点:1、重要的资料归档分类2、数据存储在硬盘分区的后面几个分区,系统盘读写频繁,容易损坏,恢复困难3、定期备份,最好能做到异地网络备份数据存储原理及硬盘分区数据存储原理及硬盘分区硬盘是计算机中最重要的数据存储设备,计算机的操作系统、应用软件、驱动程序、数据资料都保存在硬盘中。硬盘的外部结构包括接口、控制电路板和外壳。硬盘接口分为IDE、SATA、SCSI和光纤通道四种。1、硬盘的内部结构、硬盘的内部结构2 2、硬盘工作原理:、硬盘工作原理:硬盘读写期间,硬盘磁头通常在硬盘盘面上进行读写数据的操作,磁头本身悬浮于盘片上方,与盘片的距离在0.3微米以内,当运行期间驱动器发生物理震动时,驱动器磁头和驱动器盘面可能会直接发生接触,从而造成数据丧失,甚至形成物理坏道,造成硬盘损坏。所以硬盘的损坏通常来自于硬盘的物理震动,发生在硬盘进行读写操作时。对于用户来说个人数据安全非常重要,很多数据是不能丧失的,毫不夸张地说,硬盘上存储的数据的价值甚至要超过电脑本身。因此,“安全性理所当然地成为电脑的重点。3、硬盘分区、硬盘分区分区后将硬盘分成主引导扇区、操作系统引导扇区、FAT表、DIR目录区和Data数据区五局部。其中主引导扇区MBR在一个硬盘中是是唯一的,MBR区的内容只有在硬盘启动时才读取其内容,然后驻留内存。其它4局部则根据硬盘分区的多少而异。主引导扇区MBR位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBRMain Boot Record和分区表DPTDisk Partition Table。其中主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导分区,并在程序结束时把该分区的启动程序也就是操作系统引导扇区调入内存加以执行。操作系统引导扇区OBROS Boot Record,通常位于硬盘的0磁道1柱面1扇区对于多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区,是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPBBIOS Parameter Block的本分区参数记录表。文件分配表FATFile Allocation Table,是DOS/Win9x系统的文件寻址系统。目录区DIR是Directory即根目录区的简写,DIR记录着每个文件目录的文件名,扩展名,起始单元这是最重要的、文件的属性,大小,创立日期,修改日期等住处内容。操作系统在读写文件时,根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置,然后顺序读取每个簇的内容就可以了。数据区DATA是真正意义上的数据存储区,DATA虽然占据了硬盘的绝大局部空间,但没有了前面的各局部,它对于我们来说只能是一些没有任何意义的二进制代码。我们通常所说的格式化程序Format,并没有把DATA区的数据去除,只是重写了FAT表而已,至于硬盘分区,也只是修改了MBR和OBR,绝大局部的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用数据恢复软件如Finaldata,只要找到一个文件的起始保存位置,就可以恢复了。硬盘分区表损毁硬盘分区表损毁 如果电脑在进行磁盘整理或者其他需要大量磁盘读写过程的操作的时候,突如其来的断电有很大可能会产生分区表损坏,造成硬盘所有分区信息丧失,无法进入操作系统,更严重的是由于FAT表被破坏,文件起始地址无法查找,所有数据都不能访问。如果硬盘数据不重要的话,只要重新分区并格式化,硬盘就可以重新使用了;但是,如果里面有比较重要的数据,怎样在保存系统和数据的情况下解决这个问题呢?我们可以用DiskMan这个软件去自动修复分区表。该软件采用图形界面,以图表的形式揭示了分区表的详细结构。具有分区表重建功能,能自动恢复被破坏的分区表;还可以备份包括逻辑分区表及各分区引导记录在内的所有硬盘分区信息。常见常见Raid故障及可恢复性分析故障及可恢复性分析1、软件故障:a突然断电造成RAID磁盘阵列卡信息的丧失的数据恢复。b重新配置RAID阵列信息,导致的数据丧失恢复。c如果磁盘顺序出错,将会导致系统不能识别数据。d误删除、误格式化、误分区、误克隆、文件解密、命毒损坏等数据恢复工作。2、硬件损坏:araid一般都会有几块硬盘,其中某一块硬盘出现损坏,数据将无法读取。braid出现坏道,导致数据丧失,这种恢复成功率比较大。c如果硬盘同时出现两块以上的损坏,恢复工作非常复杂,成功率比较低。RAID故障本卷须知故障本卷须知1、数据丧失后,用户千万不要对硬盘进行任何操作,将硬盘按顺序卸下来,用镜像软件将每块硬盘做成镜像文件,留下备份盘。2、不要对Raid卡进行Rebuild操作,否则会加大恢复数据的难度。3、标记好硬盘在Raid卡上面的顺序。4、一旦出现问题,可以拨打专业数据恢复中心的咨询 找专业工程师进行咨询,切忌自己试图进行修复,除非你确信自己有足够的技术和经验来处理数据风险。上海数据恢复中心上海数据恢复中心联系 :800-8199166 13818281066FinalData V2.0 超级数据恢复工具,其特性功能包括:支持FAT16/32和NTFS,恢复完全删除的数据和目录,恢复主引导扇区和FAT表损坏丧失的数据,恢复快速格式化的硬盘和软盘中的数据,恢复CIH破坏的数据,恢复硬盘损坏丧失的数据,通过网络远程控制数据恢复等等。在Windows环境下删除一个文件,只有目录信息从FAT或者MFTNTFS删除。这意味着文件数据仍然留在你的磁盘上。所以,从技术角度来讲,这个文件是可以恢复的。FinalData就是通过这个机制来恢复丧失的数据的,在清空回收站以后也不例外。另外,FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下,如果目录结构被局部破坏也可以恢复,只要数据仍然保存在硬盘上。数据恢复工具数据恢复工具RecoverMyFiles可根据文件类型快速恢复数据恢复步骤:1、选择分区,扫描分区目录表,检测出已删除的文件2、定义恢复文件的簇大小,1Mb256个簇3、将文件保存到其他分区数据恢复练习:数据恢复练习:1、在d:新建一个word文件,输入一些字符后保存。将这个文件删除,并清空回收站。利用finaldata 恢复这个文件到c:。利用RecoverMyFiles恢复。2、对d:进行格式化利用finaldata 恢复原来d盘的文件到c:。利用RecoverMyFiles恢复数据库创立、备份、恢复和调用数据库创立、备份、恢复和调用以SQl2000为例一、1、建立一个数据库abc,创立一个含有id和name字段的数据表123,添加几条记录 2、制作备份abc.bak,然后删除数据库abc 3、新建数据库abc,将备份复原到数据库上,查看数据表中的记录 4、建立一个定时备份的维护方案,每天23点定时备份。二、新建一个数据库,名字任意,将一个外部备份文件复原到这个数据库上。查看数据表字段,观察SQL注入攻击型态。Sqlserver数据库备份数据库备份数据库自动备份必须要启动数据库自动备份必须要启动TaskScheduler效劳效劳二、操作系统安全设置操作系统主要负责处理器管理、存储管理、文件管理、设备管理和作业管理。一般分为内核Kernel和壳Shell操作系统安全要素:用户认证存储器保护文件和I/o设备的访问控制共享的实现内部进程通信同步硬件硬件硬件硬件硬件抽象层硬件抽象层硬件抽象层硬件抽象层HALHALI/OI/O管理器管理器管理器管理器微微微微 内内内内 核核核核对象对象对象对象管理器管理器管理器管理器安全引用安全引用安全引用安全引用监视器监视器监视器监视器本地过程本地过程本地过程本地过程调用程序调用程序调用程序调用程序进程进程进程进程管理器管理器管理器管理器虚拟内存虚拟内存虚拟内存虚拟内存管理器管理器管理器管理器图形设备图形设备图形设备图形设备管理器管理器管理器管理器即插即用即插即用即插即用即插即用管理器管理器管理器管理器电源电源电源电源管理器管理器管理器管理器配置配置配置配置管理器管理器管理器管理器缓存缓存缓存缓存管理器管理器管理器管理器安全子系统安全子系统安全子系统安全子系统LSALSAWin32Win32子系统子系统子系统子系统其他子系统其他子系统其他子系统其他子系统PosixPosix,RASRAS登录过程登录过程登录过程登录过程WinlogonWinlogonDOSDOS客户客户客户客户Win32Win32客户客户客户客户其他客户其他客户其他客户其他客户PosixPosix,RASRASWin16Win16客户客户客户客户WOWWOWVDMVDM内内内内核核核核模模模模式式式式0 0GGBB|2 2GGB B用用用用户户户户模模模模式式式式2 2GGBB|4 4GGB BWindows2000Windows2000系统结构系统结构系统结构系统结构1.1.基本功能基本功能基本功能基本功能a.a.调度线程执行调度线程执行调度线程执行调度线程执行b.b.在线程之间切换设备环境在线程之间切换设备环境在线程之间切换设备环境在线程之间切换设备环境c.c.捕获并处理中断和异常捕获并处理中断和异常捕获并处理中断和异常捕获并处理中断和异常d.d.对内核对象的管理对内核对象的管理对内核对象的管理对内核对象的管理e.e.在处理器之间负责同步在多处理器系统中在处理器之间负责同步在多处理器系统中在处理器之间负责同步在多处理器系统中在处理器之间负责同步在多处理器系统中2.2.内核进程的特性内核进程的特性内核进程的特性内核进程的特性a.a.内核的执行除了中断效劳例程内核的执行除了中断效劳例程内核的执行除了中断效劳例程内核的执行除了中断效劳例程ISRISR外,不会被其他线外,不会被其他线外,不会被其他线外,不会被其他线程所抢先程所抢先程所抢先程所抢先b.b.内核的大局部代码和数据不会被调页到物理内核的大局部代码和数据不会被调页到物理内核的大局部代码和数据不会被调页到物理内核的大局部代码和数据不会被调页到物理RAMRAM之外之外之外之外3.3.内核和执行体内核和执行体内核和执行体内核和执行体对象管理器、内存管理器等统称为执行体对象管理器、内存管理器等统称为执行体的的的的关系:关系:关系:关系:1.1.两者都在文件两者都在文件两者都在文件两者都在文件C:WINNTSYSTEM32NTOSKRNL.EXEC:WINNTSYSTEM32NTOSKRNL.EXE中实现中实现中实现中实现2.2.执行体具有相对较高的级别执行体具有相对较高的级别执行体具有相对较高的级别执行体具有相对较高的级别3.3.内核不能从用户模式调用,其功能是通过执行体来从用户内核不能从用户模式调用,其功能是通过执行体来从用户内核不能从用户模式调用,其功能是通过执行体来从用户内核不能从用户模式调用,其功能是通过执行体来从用户模式下访问的模式下访问的模式下访问的模式下访问的操作系统微内核操作系统微内核操作系统微内核操作系统微内核名称名称模模块块所所实现实现的位置的位置模式模式何何时时被启被启动动/被加被加载载由由谁谁启启动动HAL.DLL硬件抽象层N/A系统启动时SYSTEMNTOSKRNL.EXE内核和执行体内核系统启动时SYSTEMKERNEL32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMGDI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMUSER32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMADVAPI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMSMSS.EXE会话管理器用户系统启动时SYSTEMWIN32K.SYSWIN32的内核模式局部内核系统启动时SMSS.EXECSRSS.EXE用户模式进程用户系统启动时SMSS.EXEWINLOGON.EXEWindows登录进程用户系统启动时SMSS.EXELSASS.EXE本地安全性鉴别子系统用户系统启动时WINLOGON.EXEMSGINA.DLL缺省GINAN/A系统启动时WINLOGON.EXESERVICES.EXE效劳控制器用户系统启动时WINLOGON.EXENTDLL.DLL支持函数和到执行体的接口NA系统启动时SMSS.EXEOS2SS.EXEOS/2子系统进程用户根据需要SMSS.EXEPSXDLL.DLLPOSIX子系统.DLLNA根据需要SMSS.EXEPSXSS.DLLPOSIX子系统进程用户根据需要SMSS.EXEWindowsWindows重要的系统文件重要的系统文件重要的系统文件重要的系统文件硬件硬件硬件硬件硬件抽象层硬件抽象层硬件抽象层硬件抽象层HALHALI/OI/O管理器管理器管理器管理器微微微微 内内内内 核核核核对象对象对象对象管理器管理器管理器管理器安全引用安全引用安全引用安全引用监视器监视器监视器监视器本地过程本地过程本地过程本地过程调用程序调用程序调用程序调用程序进程进程进程进程管理器管理器管理器管理器虚拟内存虚拟内存虚拟内存虚拟内存管理器管理器管理器管理器图形设备图形设备图形设备图形设备管理器管理器管理器管理器即插即用即插即用即插即用即插即用管理器管理器管理器管理器电源电源电源电源管理器管理器管理器管理器配置配置配置配置管理器管理器管理器管理器缓存缓存缓存缓存管理器管理器管理器管理器安全子系统安全子系统安全子系统安全子系统LSALSAWin32Win32子系统子系统子系统子系统其他子系统其他子系统其他子系统其他子系统PosixPosix,RASRAS登录过程登录过程登录过程登录过程WinlogonWinlogonDOSDOS客户客户客户客户Win32Win32客户客户客户客户其他客户其他客户其他客户其他客户PosixPosix,RASRASWin16Win16客户客户客户客户WOWWOWVDMVDMWindows子系统与文件的对应关系子系统与文件的对应关系对应文件对应文件对应文件对应文件 NTOSKRNL.EXENTOSKRNL.EXE对应文件对应文件对应文件对应文件HAL.DLLHAL.DLLKERNEL32.DLLGDI32.DLLUSER32.DLLADVAPI32.DLLWIN32K.SYSPSXSS.DLLPSXDLL.DLLLSASS.EXE1.NT/Win2000启动所需文件:启动所需文件:a.Ntldr-这是一个隐藏的,只读的系统文件,用来装载操作系统这是一个隐藏的,只读的系统文件,用来装载操作系统b.Boot.ini-这是一个只读的系统文件,用来在基于这是一个只读的系统文件,用来在基于Intelx86的计的计算机上建立启动装载操作系统选择菜单的文件算机上建立启动装载操作系统选择菜单的文件c.Bootsect.dos-这是个隐藏的系统文件,如果另外的操作系统被这是个隐藏的系统文件,如果另外的操作系统被选择,则被选择,则被Ntldr装载到内存。装载到内存。d.Ntdetect.-这是个隐藏的,只读系统文件,用于检测可用的这是个隐藏的,只读系统文件,用于检测可用的硬件并建立一个硬件列表硬件并建立一个硬件列表e.Ntbootddd.sys-这个文件仅被从这个文件仅被从SCSI磁盘启动的系统使用。磁盘启动的系统使用。2.NT/Win2000共同的启动序列文件是:共同的启动序列文件是:a.Ntoskrnl.exe-WindowsNT的内核的内核b.System-这个文件是系统配置设置的集合。这个文件是系统配置设置的集合。c.Devicedrivers-这些是支持各种设备驱动器的文件这些是支持各种设备驱动器的文件d.Hal.dll-硬件抽象层软件硬件抽象层软件WINDOWS系统启动所需的文件系统启动所需的文件NT/Win2000启动序列如下:启动序列如下:1.电源自检程序开始运行电源自检程序开始运行2.主引导记录被装入内存,并且程序开始执行主引导记录被装入内存,并且程序开始执行3.活动分区的引导扇区被装入内存活动分区的引导扇区被装入内存4.Ntldr从引导扇区被装入并初始化从引导扇区被装入并初始化5.将处理器的实模式改为将处理器的实模式改为32位平滑内存模式位平滑内存模式6.Ntldr开始运行适当的小文件系统驱动程序。小文件系统驱动程序是建立在开始运行适当的小文件系统驱动程序。小文件系统驱动程序是建立在NTLDR内部的,它能读内部的,它能读FAT或或NTFS。7.Ntldr读读boot.ini文件文件8.Ntldr装载所选操作系统装载所选操作系统*如果如果WindowsNT被选择,被选择,Ntldr运行运行Ntdetect.*对于其他的操作系统对于其他的操作系统,Ntldr装载并运行装载并运行Bootsect.dos然后向它传递控制然后向它传递控制.windowsNT过程结束过程结束.9.Ntdetect.搜索计算机硬件并将列表传送给搜索计算机硬件并将列表传送给Ntldr,以便将这些信息写进以便将这些信息写进HKEY_LOCAL_MACHINEHARDWARE中中.10.然后然后Ntldr装载装载Ntoskrnl.exe,Hal.dll和系统信息集合和系统信息集合11.Ntldr搜索系统信息集合搜索系统信息集合,并装载设备驱动配置以便设备在启动时开始工作并装载设备驱动配置以便设备在启动时开始工作12.Ntldr把控制权交给把控制权交给Ntoskrnl.exe,这时这时,启动程序结束启动程序结束,装载阶段开始装载阶段开始 WINDOWS系统启动的过程系统启动的过程基本的系统进程基本的系统进程基本的系统进程基本的系统进程1.1.smss.exesmss.exe 会话管理器会话管理器会话管理器会话管理器2.2.csrss.execsrss.exe子系统效劳器进程子系统效劳器进程子系统效劳器进程子系统效劳器进程 3.3.winlogon.exewinlogon.exe管理用户登录管理用户登录管理用户登录管理用户登录 4.4.services.exeservices.exe包含很多系统效劳包含很多系统效劳包含很多系统效劳包含很多系统效劳 5.5.lsass.exelsass.exe本地安全性鉴别子系统。本地安全性鉴别子系统。本地安全性鉴别子系统。本地安全性鉴别子系统。系统效劳系统效劳系统效劳系统效劳 6.6.svchost.exesvchost.exe包含很多系统效劳包含很多系统效劳包含很多系统效劳包含很多系统效劳 7.7.spoolsv.exespoolsv.exe 将文件加载到内存将文件加载到内存将文件加载到内存将文件加载到内存中以便迟后打印。中以便迟后打印。中以便迟后打印。中以便迟后打印。系统效劳系统效劳系统效劳系统效劳 8.8.explorer.exeexplorer.exe资源管理器资源管理器资源管理器资源管理器 9.9.internat.exeinternat.exe输入法输入法输入法输入法 Windows基本的系统进基本的系统进程程操作系统术语:操作系统术语:句柄:用来惟一标识资源例如文件中注册表项的值句柄:用来惟一标识资源例如文件中注册表项的值,以便程序可以访问它。线程线程Threads:被系统独立调度和分派资源的基本单位。:被系统独立调度和分派资源的基本单位。线程允许在进程中进行并发操作,并使一个进程能够在不同处理器上同时运行其程序的不同局部。进程进程Processes:一个可执行程序或者一种效劳在计算机上:一个可执行程序或者一种效劳在计算机上的一次执行活动。的一次执行活动。当你运行一个程序,你就启动了一个进程,系统首先为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程。一个进程可以包含假设干线程,这些线程可以帮助应用程序同时做几件事,提高运行效率。基本系统进程:基本系统进程:其中其中System和和*SS.EXE运行在纯内核态,无法结束运行在纯内核态,无法结束Csrss.exe:子系统效劳器进程,负责控制Windows创立或删除线程以及16位的虚拟DOS环境。Smss.exe:会话管理子系统,负责启动用户会话。Lsass.exe:本地的安全授权效劳,管理 IP 安全策略以及启动IKE和 IP 安全驱动程序。Services.exe:系统效劳的管理工具。Explorer.exe:资源管理器。Svchost.exe:系统启动的时检查注册表中的位置来创立需要加载的效劳列表,如果多个Svchost.exe同时运行,则说明当前有多组效劳处于活动状态;多个DLL文件正在调用它。winlogon.exe 管理用户登录 System Idle Process:空闲进程,作为单线程运行在每个处理器上并在系统不处理其它线程的时候分派处理器的时间。Spoolsv.exe:管理缓冲区中的打印和 作业。常见病毒进程常见病毒进程Avserve.exe 震荡波病毒Diagcfg.exe 广外女生木马lexpl0re.exe 恶邮差病毒Rundll32.exe 狩猎者病毒 Runouce.exe 中国黑客病毒Kernel32.exe 冰河木马Krn132.exe 求职信病毒Load.exe 尼姆达病毒Msblast.exe 冲击波病毒wgavm.exe魔鬼波Fujacks.B熊猫烧香病毒组策略组策略gpedit.msc组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。组策略对本地计算机可以进行两个方面的设置:本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关工程中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。这里的“计算机配置是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。组策略的应用组策略的应用1、禁止访问“控制面板如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略用户配置管理模板控制面板分支,然后将右侧窗口的“禁止访问控制面板策略启用即可。查看注册表,找到键值与组策略的关系HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer下的NoControlPanel2、禁止访问注册表编辑器 防止他人修改你的注册表,可以在组策略中禁止访问注册表编辑器,展开“用户配置“管理模板“系统,然后找到并双击“阻止访问注册表编辑器项,并将其设置为“已启用,这样用户在试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用。3、安全日志安全日志审核审核 Windows的默认安装是不开任何安全审核的,我们可以审核登录尝试、系统关闭或重新启动以及类似的事件,展开“计算机配置Windows设置安全设置本地策略审核策略,设置相应的审核,如登陆失败。下面的这些审核是必须开启的,其他的可以根据需要增加:下面的这些审核是必须开启的,其他的可以根据需要增加:下面的这些审核是必须开启的,其他的可以根据需要增加:下面的这些审核是必须开启的,其他的可以根据需要增加:策略策略策略策略设置设置设置设置 审核系统登陆事件审核系统登陆事件审核系统登陆事件审核系统登陆事件成功,失败成功,失败成功,失败成功,失败 审核帐户管理审核帐户管理审核帐户管理审核帐户管理成功,失败成功,失败成功,失败成功,失败 审核对象访问审核对象访问审核对象访问审核对象访问成功成功成功成功 审核策略更改审核策略更改审核策略更改审核策略更改成功,失败成功,失败成功,失败成功,失败 审核特权使用审核特权使用审核特权使用审核特权使用成功,失败成功,失败成功,失败成功,失败 审核系统事件审核系统事件审核系统事件审核系统事件成功,失成功,失成功,失成功,失败败败败 Windows的日志系统类型的日志系统类型Windows有三种类型的事件日志:有三种类型的事件日志:1.系统日志系统日志跟踪各种各样的系统事件,比方跟踪系统启动过程中的事件或者硬件和控制器的故障。跟踪各种各样的系统事件,比方跟踪系统启动过程中的事件或者硬件和控制器的故障。2.应用程序日志应用程序日志跟踪应用程序关联的事件,比方应用程序产生的象装载跟踪应用程序关联的事件,比方应用程序产生的象装载DLL动态链接库失败的信息将出动态链接库失败的信息将出现在日志中。现在日志中。3.安全日志安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状态是关闭的。态是关闭的。日志在系统的位置是:日志在系统的位置是:日志在系统的位置是:日志在系统的位置是:%SYSTEMROOT%system32configSysEvent.Evt%SYSTEMROOT%system32configSysEvent.Evt%SYSTEMROOT%system32configSecEvent.Evt%SYSTEMROOT%system32configSecEvent.Evt%SYSTEMROOT%system32configAppEvent.Evt%SYSTEMROOT%system32configAppEvent.EvtLOGLOG文件在注册表的位置是:文件在注册表的位置是:文件在注册表的位置是:文件在注册表的位置是:HKEY_LOCAL_MACHINESystemCurrentControlHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSetServicesEventlogWindowsWindows日志系统的存放位置日志系统的存放位置日志系统的存放位置日志系统的存放位置微软管理控制台微软管理控制台MMCMMC是一个集成管理的工作平台,通过它可以创立、保存或翻开系统管理工具,从而管理计算机的、软件和 系统的网络组件,以及进行系统的维护。MMC 本身并不执行管理功能,它只是集成众多的管理工具,接纳并管理执行各种系统功能的工具。通过选择GPE插件来翻开各种工具。MMC 控制台的界面由两个窗格组成,左边是控制台的目录树,在此显示控制台目前可用的工程,右边的窗格是详细资料窗格,当在树目录下选择某选项时,此窗格将显示相应详细信息,改变左边的选项,右边的详细资料发生相应的改变向控制台树添加工程向控制台树添加工程 要向控制台树添加工程,可以使用 MMC 主工具栏上“文件菜单中的“添加/删除管理单元命令。在“添加/删除管理单元对话框中,“管理单元添加到决定要添加的新工程位于控制台树上的哪个工程下面,默认值是“控制台根节点。可以单击“管理单元添加到中的工程来定位控制台树之外的对象。在桌面建立控制台mmc1,要求包含本地用户和组、效劳、事件查看器、本地计算机策略等单元系统帐户管理系统帐户管理一、一、Windows用户帐户类型用户帐户类型域用户帐户:域用户帐户:存储在域控制器的Active Directory数据库内。用户可以利用域用户帐户登录域,并利用强访问网络上的资源。如:访问域中其他计算机内的文件、打印机等资源。本地用户帐户:本地用户帐户:是创立在非域控制器的“本地安全帐户数据库内。用户可以利用本地用户由帐户登录该帐户所在的计算机,只能够访问这台计算机内的资源,无法访问网络上的资源。如果要访问其他计算机内的资源,则必须输入该计算机内的帐户名称与密码。二、二、添加用户帐户,设置权限添加用户帐户,设置权限利用控制面板用户帐户创立一个受限帐户abc,利用组策略设置用户权限:一个系统中存在多个用户的话可设置不同的用户权限,在编辑器窗口的左侧窗口中逐级展开“计算机配置Windows设置安全设置本地策略用户权限指派分支。双击改变装载和卸载驱动程序的用户权限,单击“添加用户或组按钮,指派给abc账号,最后单击“确定按钮退出。三、用户配置文件或登录脚本设置用户的工作环境计算机管理本地用户和组用户,某个用户属性中选择配置文件系统效劳是通过在后台运行特定的程序来提供控制硬件、实现计算机管理、网络连接和维护、保证系统安全等功能。这些功能我们可以人为进行控制,以到达优化系统和网络、保证安全的目的。这些“效劳有些是必须要运行的,而很多“效劳对于我们一般用户来说是没有价值的,可以关闭。在xp系统中,有近90个效劳,默认安装完XP后,系统会开启30多个效劳,其中不少对于普通用户根本用不到或暂时用不到,反而浪费了相当多的内存和系统资源,影响了系统启动和运行的速度。我们只需要其中几个就够用了。禁止所有不必要的效劳可以节省很多内存和大量系统资源。系统效劳系统效劳services.mscWindows系统效劳系统效劳单击单击“开始开始-指向指向“设置设置-然后单击然后单击“控制面板控制面板-双击双击“管理工具管理工具-然后双击然后双击“效劳:在列表框中显示的是系统效劳:在列表框中显示的是系统可以使用的效劳可以使用的效劳Windows下可以在命令行中输入下可以在命令行中输入services.msc翻开效劳列表。翻开效劳列表。效劳包括三种启动类型:自动、手动、已禁用。效劳包括三种启动类型:自动、手动、已禁用。自动自动-Windows2000启动的时候自动加载效劳启动的时候自动加载效劳手动手动-Windows2000启动的时候不自动加载效劳,在需要的时候手动开启启动的时候不自动加载效劳,在需要的时候手动开启已禁用已禁用-Windows2000启动的时候不自动加载效劳,在需要的时候选择手动启动的时候不自动加载效劳,在需要的时候选择手动或者自动方式开启效劳,并重新启动电脑完成效劳的配置或者自动方式开启效劳,并重新启动电脑完成效劳的配置双击需要进行配置的效劳,出现以下图所示的属性对话框:双击需要进行配置的效劳,出现以下图所示的属性对话框:Windows系统效劳的启动类型系统效劳的启动类型必须的系统效劳:必须的系统效劳:DHCP client客户端自动获取IP地址时需要Event Log-系统日志纪录效劳Network Connections 网络连接Plug and Play-自动查测新装硬件,即插即用Print Spooler-打印机用Protected Storage储存本地密码和网上效劳密码Remote access auto connection manager宽带网络共享Remote Procedure Call RPC-远程过程调用,系统核心效劳server-局域网文件打印共享需要Telephony-拨号效劳Windows Audio-控制音频,关闭就没有声音Windows Management Instrumentation 对象管理程序建议禁用的系统效劳:建议禁用的系统效劳:Distributed Link Tracking Client分布式连结追踪客户端,4MbDNS Client DNS 客户端效劳 IMAPI CD-Burning ServiceXP刻牒效劳,1.6MbIndexing Service 索引效劳,严重影响速度Messenger 信使,可中妖刺病毒MS Software Shadow Copy Provider 磁盘区阴影复制QoS RSVP网络质量效劳,保存20带宽Remote desktop help session manager远程帮助效劳,4Mbremote registry 远程注册表运行修改,大漏洞removable storage磁带备份system restore service系统复原效劳,占有大量内存task schedulerwindows 方案效劳telnet 远程登陆效劳,大漏洞terminal services远程终端效劳,漏洞Webclient提供.net效劳帐户策略帐户策略所有安全策略都是基于计算机的策略。帐户策略定义在计算机上,然而却可影响用户帐户与计算机或域交互作用的方式。帐户策略包含三个子集:1、密码策略。用于域或本地用户帐户。确定密码设置如强制执行和有效期限。2、帐户锁定策略。用于域或本地用户帐户。确定某个帐户被锁定在系统之外的情况和时间长短。3、Kerberos 策略。用于域用户帐户。确定与 Kerberos 相关的设置如票的有限期限和强制执行。本地计算机策略中没有 Kerberos 策略。与帐户策略具有类似行为的“安全选项有两个策略。它们是:网络访问:允许匿名 SID/NAME 转换 网络安全登录时间超时时强制注销