操作系统windows--知识点_计算机-windows相关.pdf

《操作系统windows--知识点_计算机-windows相关.pdf》由会员分享，可在线阅读，更多相关《操作系统windows--知识点_计算机-windows相关.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-1.知识要点 1.1.Windwos账号体系 分为用户与组，用户的权限通过参加不同的组来授权 用户：组：1.2.账号 SID 平安标识符是用户的部名，用于识别用户身份，它在用户创立时由系统自动产生。在Windows系统中默认用户中，其 SID 的最后一项标志位都是固定的，比方 administrator的 SID 最后一段标志位是 500，又比方最后一段是 501 的话则是代表 GUEST的。1.3.账号平安设置 通过本地平安策略可设置账号的策略，包括密码复杂度、长度、有效期、锁定策略等：设置方法：开场-运行输入 secpol.msc，立即启用：gpupdate/force 1.4.账号数据

2、库 SAM 文件 sam 文件是 windows的用户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据，密码是加密存放，可通过工具进展破解。1.5.文件系统 NTFS(New Technology File System)，是 WindowsNT 环境的文件系统。新技术文件系统是 Windows NT 家族(如，Windows 2000、Windows*P、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为 NTFS 的文件系统，4096 簇环境下)。NTFS 取代了老式的

3、 FAT 文件系统。在 NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的容:一是允许哪些组或用户对文件夹、文件和共享资源进展访问;二是获得访问许可的组或用户可以进展什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进展访问的网络用户。与 FAT32 文件系统下对文件夹或文件进展访问相比，平安性要高得多。另外，在采用 NTFS 格式的 Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进展审核，审核结果记录在平安日志中，通过平安日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进展了什么级

4、别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种平安隐患减到最低。-这些在 FAT32 文件系统下,是不能实现的。通过文件的属性平安标签，可设置文本的权限：1.6.效劳 效劳是一种应用程序类型，它在后台运行。效劳应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/效劳器应用程序、Web 效劳器、数据库效劳器以及其他基于效劳器的应用程序。每项效劳对应着一个或多个程序，不同的程序通过都存在自身的一些漏洞，所以效劳必须最小化，关闭不必要的效劳，减少风险。建议将以下效劳停顿，并将启动方式修改为手动：Automatic Updates不使用自动更新可以关闭 Backgro

5、und Intelligent Transfer Service不使用自动更新可以关闭 DHCP Client Messenger Remote Registry Print Spooler Server 不使用文件共享可以关闭 Simple TCP/IP Service Simple Mail Transport Protocol(SMTP)SNMP Service Task Schedule TCP/IP NetBIOS Helper 1.7.日志 Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，平安日志、系统日志、Scheduler效劳日志、FTP 日志、日志、DN

6、S 效劳器日志等等，这些根据你的系统开启的效劳的不同而有所不同。我们在系统上进展一些操作时，这些日志文件通常会记录下我们操作的一些相关容，这些容对系统平安工作人员相当有用。比方说有人对系统进展了 IPC 探测，系统就会在平安日志里迅速地记下探测者探测时所用的 IP、时间、用户名等，用 FTP 探测后，就会在 FTP 日志中记下 IP、时间、探测所用的用户名等。Windows日志文件默认位置是%systemroot%system32config 平安日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32con

7、figSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT FTP 连接日志和 HTTPD 事务日志：%systemroot%system32LogFiles 可通过事件查看器eventvwr.msc查看日志 可通过本地平安策略设置记录哪些日志 1.8.Windows登录类型及平安日志解析 登录类型 2：交互式登录Interactive在本地键盘上进展的登录，但不要忘记通过别用户身份它在用户创立时由系统自动产生在系统中默认用户中其的最后一项标志位都是固定的比方的最后一段标志位是又比方最后一段是的话则是代表的账号平安设置通过本地

8、平安策略可设置账号的策略包括密码复杂度长度有效关信息都会保存在这个文件中可通过工具提取数据密码是加密存放可通过工具展破解文件系统是环境的文件系统新技术文件系统是家族如和等的限制级专用的文件系统操作系统所在的盘符的文件系统必须格式化为的文件系统簇环境一是允许哪些组或用户对文件夹文件和共享资源展访问二是获得访问许可的组或用户可以展什么级别的访问访问许可权限的设置不但适用于本地计算机的用户同样也应用于通过网络的共享文件夹对文件展访问的网络用户与文件系统-KVM 登录仍然属于交互式登录，虽然它是基于网络的。登录类型 3：网络Network当你从网络的上访问一台计算机时在大多数情况下Windows记为类

9、型 3，最常见的情况就是连接到共享文件夹或者共享打印机时。登录类型 5：效劳Service 与方案任务类似，每种效劳都被配置在*个特定的用户账户下运行，当一个效劳开场时，Windows首先为这个特定的用户创立一个登录会话，这将被记为类型 5 登录类型 7：解锁Unlock 你可能希望当一个用户离开他的计算机时相应的工作站自动开场一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型 7 的登录，失败的类型 7 登录说明有人输入了错误的密码或者有人在尝试解锁计算机。登录类型 8：网络明文NetworkClearte*t当从一个使用 Advapi 的 ASP 脚本登

10、录或者一个用户使用根本验证方式登录 IIS 才会是这种登录类型。登录过程栏都将列出 Advapi。登录类型 10：远程交互RemoteInteractive当你通过终端效劳、远程桌面或远程协助访问计算机时，Windows将记为类型 10。1.9.防火墙 Windows都自带有防火墙功能，应根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的 IP 地址围。1.10.SYN 保护 SYN 攻击为常见拒绝效劳攻击，windows可通过修改注册表参数启用 SYN 攻击保护，建议参数如下：指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数阀值为 5；指定处于 SYN_RCVD 状

11、态的 TCP 连接数的阈值为 500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。配置方法：在开场-运行-键入 regedit 启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。以下局部中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称

12、：TcpMa*PortsE*hausted。推荐值：5。启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 别用户身份它在用户创立时由系统自动产生在系统中默认用户中其的最后一项标志位都是固定的比方的最后一段标志位是又比方最后一段是的话则是代表的账号平安设置通过本地平安策略可设置账号的策略包括密码复杂度长度有效关信息都会保存在这个文件中可通过工具提取数据密码是加密存放可通过工具展破解文件系统是环境的文件系统新技术文件系统是家族如和等的限制级专用的文件系统操作系统所在的盘符的文件系统必须格式化为的文件系统簇环境一是允许哪些组或用户对文件夹文件和

13、共享资源展访问二是获得访问许可的组或用户可以展什么级别的访问访问许可权限的设置不但适用于本地计算机的用户同样也应用于通过网络的共享文件夹对文件展访问的网络用户与文件系统-SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMa*HalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMa*HalfOpenRetried。推荐值数据：400。1.11.屏幕保护 应设置带密码的屏幕

14、保护，建议将时间设定为 5 分钟。1.12.补丁管理 应安装最新的 Service Pack 补丁集，windows每月发布新增漏洞的平安补丁，应每月及时安装平安补丁。1.13.防病毒软件 安装一款防病毒软件，并及时更新病毒库。1.14.启动项及自动播放 列出系统启动时自动加载的进程和效劳列表，不在此列表的需关闭。开场-运行-MSconfig 启动菜单中，取消不必要的启动项。关闭 Windows自动播放功能：开场运行输入 gpedit.msc，翻开组策略编辑器，浏览到计算机配置管理模板系统，在右边窗格中双击关闭自动播放，对话框中选择所有驱动器，确定即可。2.练习题 序号 题目 A B C D

15、答案 1 在 Windows 2000操作系统下，以下工具不能用于查看系统开放端口和进程关联性的工具或命令是 netstat tcpview fport tcpvcon A 别用户身份它在用户创立时由系统自动产生在系统中默认用户中其的最后一项标志位都是固定的比方的最后一段标志位是又比方最后一段是的话则是代表的账号平安设置通过本地平安策略可设置账号的策略包括密码复杂度长度有效关信息都会保存在这个文件中可通过工具提取数据密码是加密存放可通过工具展破解文件系统是环境的文件系统新技术文件系统是家族如和等的限制级专用的文件系统操作系统所在的盘符的文件系统必须格式化为的文件系统簇环境一是允许哪些组或用户对

16、文件夹文件和共享资源展访问二是获得访问许可的组或用户可以展什么级别的访问访问许可权限的设置不但适用于本地计算机的用户同样也应用于通过网络的共享文件夹对文件展访问的网络用户与文件系统-2 Windows上，想要查看进程在翻开那些文件，可以使用哪个命令或工具 openfiles dir list filelist A 3 Windows*P上，系统自带了一个用于显示每个进程中主持的效劳的命令，该命令是 tlist tasklist taskmgr processmgr B 4*Windows效劳器被入侵，入侵者在该效劳器上曾经使用 IE 浏览站点并下载恶意程序到本地，这时，应该检查 IE 的收藏夹

17、 IE 的历史记录 IE 的容选项 IE 的平安选项 B 5 在微软操作平台系统 Windows 9*/NT/2000全部支持的验证机制是 LM NTLM Kerberos NTLM V2 A 6 以下工具可以用于检测 Windows系统中文件签名的是 Icesword Srvinstw Blacklight sigverif D 7 以下可以用于本地破解 Windows密码的工具是 John the Ripper L0pht Crack 5 Tscrack Hydra B 8 不属于 windows下 rootkit技术的是 LKM rootkit Inline hook IAT hook

18、Ssdt hook A 9 Windows的主要日志不包括的分类是 系统日志 平安日志 应用日志 失败登录请求日志 D 10 WINDOWS 2003中的文件系统使用的都是 强制访问控制 自主访问控制 基于角色的访问控制 B 11 从 Windows2000平安系统架构中，可以发现，Windows 2000实现了一个_，它在具有最高权限的核模式中运行，并对运行在用户模式中的应用程序代码发出的资源请求进展检查。SRM LSA SAM Winlogon A 12 Windows 2000中，其符合 C2 级标准的平安组件包括 灵活的访问控制 审计 强制登录 以上均是 D 13 Windows NT

19、/2000下的访问控制令牌主要由以下哪些组件组成 用户SID 用户所属组的 SID 用户名 以上均是 D 14 要实现 Windows NT/2000的平安性，必须采用以下哪种文件系统 FAT32 NTFS CDFS E*t2 B 15 Windows 2000所支持的认证方式包括以下哪些 NTLM Kerberos LanManager 以上均是 D 16*公司的 Windows网络准备采用严格的验证方式，根本的要支持双向身份认证，应该建议该公司采用哪一种认证方式 NTLM NTLMv2 Kerberos LanManager C 17*公司员工希望在他的 Windows NT系统中提供文件

20、级权限控制，作为平安管理员应该如何建议 将文件系统设置为NTFS 将文件系统设置为FAT32 安装个人防火墙，在个人防火墙中作将计算机参加域，而不是工作组 A 别用户身份它在用户创立时由系统自动产生在系统中默认用户中其的最后一项标志位都是固定的比方的最后一段标志位是又比方最后一段是的话则是代表的账号平安设置通过本地平安策略可设置账号的策略包括密码复杂度长度有效关信息都会保存在这个文件中可通过工具提取数据密码是加密存放可通过工具展破解文件系统是环境的文件系统新技术文件系统是家族如和等的限制级专用的文件系统操作系统所在的盘符的文件系统必须格式化为的文件系统簇环境一是允许哪些组或用户对文件夹文件和共

21、享资源展访问二是获得访问许可的组或用户可以展什么级别的访问访问许可权限的设置不但适用于本地计算机的用户同样也应用于通过网络的共享文件夹对文件展访问的网络用户与文件系统-相应配置 18 下面哪个答案可能是 Windows系统中 Dennis用户的 SID Dennis SID-1-1-34-5664557893-2345873657-1002 S-1-2-23-5677654567-66732145654-1002 S-1-2-23-5677654567-66732145654-100 C 19 Windows NT的平安标识 SID 串是由当前时间、计算机名称和另外一个计算机变量共同产生的，这

22、个变量是什么 击键速度 用户网络地址 处理当前用户模式线程所花费 CPU的时间 PING 的响应时间 C 20 Windows NT中哪个文件夹存放 SAM 文件%Systemroot%Systemroot%system32sam%Systemroot%system32config%Systemroot%config C 21 Windows 2000 分布式平安模型中，客户端不可能直接访问网络资源；网络效劳创立客户端并使用客户端的凭据来执行请求的操作以模拟客户端 信任域控制器标识符 平安性标识符 访问令牌 访问控制列表(ACL)C 22 从 Windows2000平安系统架构中，可以发现，W

23、indows 20000实现了一个，它在具有最高权限的核模式中运行，并对运行在用户模式中的应用程序代码发出的资源请求进展检查 SRM LSA SAM Winlogon A 23 关于 Windows 2000的 IIS 效劳器 HTTP 状态码定义描述正确的选项是 200：承受 202：完成 300：多重选择 404：错误请求 C 24 Windows下黑客经常使用 eventcreate这个命令行工具来伪造日志，而其无法伪造的日志是 平安 应用 系统 A 25 以下属于 Windows shellcode特点的是 可以直接用系统调用编写 各版本Windows的系统调用号一样 PEB 定位函数

24、地址 C 26 Windows下加载 ISAPI 过滤器失败，欲对其失败原因进展分析，应在日志中查找相关信息 系统日志 平安日志 应用日志 C 别用户身份它在用户创立时由系统自动产生在系统中默认用户中其的最后一项标志位都是固定的比方的最后一段标志位是又比方最后一段是的话则是代表的账号平安设置通过本地平安策略可设置账号的策略包括密码复杂度长度有效关信息都会保存在这个文件中可通过工具提取数据密码是加密存放可通过工具展破解文件系统是环境的文件系统新技术文件系统是家族如和等的限制级专用的文件系统操作系统所在的盘符的文件系统必须格式化为的文件系统簇环境一是允许哪些组或用户对文件夹文件和共享资源展访问二是获得访问许可的组或用户可以展什么级别的访问访问许可权限的设置不但适用于本地计算机的用户同样也应用于通过网络的共享文件夹对文件展访问的网络用户与文件系统