1、1.知识要点1.1. Windwos 账号体系分为用户与组,用户的权限通过加入不同的组来授权用户:组:1.2. 账号 SID安全标识符是用户帐户的内部名,用于识别用户身份,它在用户帐户创建时由系统自动产生。在 Windows 系统中默认用户中,其 SID 的最后一项标志位都是固定的,比如administrator 的 SID 最后一段标志位是 500,又比如最后一段是 501 的话则是代表 GUEST的帐号。1.3. 账号安全设置通过本地安全策略可设置账号的策略,包括密码复杂度、长度、有效期、锁定策略等:设置方法:“开始”-“运行”输入 secpol.msc,立即启用:gpupdate /fo
2、rce1.4. 账号数据库 SAM 文件sam 文件是 windows 的用户帐户数据库 ,所有用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据,密码是加密存放,可通过工具进行破解。1.5. 文件系统NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是 Windows NT 家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7 和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS 的文件系统,4096
3、簇环境下)。NTFS 取代了老式的 FAT 文件系统。在 NTFS 分区上,可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户, 同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与 FAT32 文件系统下对文件夹或文件进行访问相比,安全性要高得多。另外,在采用 NTFS 格式的 Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户
4、对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。这些在 FAT32 文件系统下,是不能实现的。通过文件的属性安全标签,可设置文本的权限:1.6. 服务服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web 服务器、数据库服务器以及其他基于服务器的应用程序。每项服务对应着一个或多个程序,不同的程序通过都存在自身的一些漏洞,所以服务必须最小化,关闭不必要的服务,减少风险。建议将以下服务停止,并将启动方式修改为手动: Automatic Update
5、s(不使用自动更新可以关闭) Background Intelligent Transfer Service(不使用自动更新可以关闭) DHCP Client Messenger Remote Registry Print Spooler Server(不使用文件共享可以关闭) Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper1.7. 日志Windows 网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志
6、、Scheduler 服务日志、 FTP 日志、WWW 日志、 DNS 服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了 IPC 探测,系统就会在安全日志里迅速地记下探测者探测时所用的 IP、时间、用户名等,用 FTP 探测后,就会在 FTP 日志中记下 IP、时间、探测所用的用户名等。Windows 日志文件默认位置是 “%systemroot%system32config 安全日志文件:%systemroot%system32configSecE
7、vent.EVT 系统日志文件:%systemroot%system32configSysEvent.EVT 应用程序日志文件:%systemroot%system32configAppEvent.EVT FTP 连接日志和 HTTPD 事务日志:%systemroot%system32LogFiles可通过事件查看器(eventvwr.msc)查看日志可通过本地安全策略设置记录哪些日志1.8. Windows 登录类型及安全日志解析 登录类型 2:交互式登录( Interactive) 在本地键盘上进行的登录,但不要忘记通过KVM 登录仍然属于交互式登录,虽然它是基于网络的。 登录类型 3:
8、网络(Network) 当你从网络的上访问一台计算机时在大多数情况下Windows 记为类型 3,最常见的情况就是连接到共享文件夹或者共享打印机时。 登录类型 5:服务(Service ) 与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows 首先为这个特定的用户创建一个登录会话,这将被记为类型 5 登录类型 7:解锁(Unlock) 你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows 就把这种解锁操作认为是一个类型 7 的登录,失败的类型 7 登录表明有人输入了错误的密码或者有人在尝试解锁计
9、算机。 登录类型 8:网络明文( NetworkCleartext) 当从一个使用 Advapi 的 ASP 脚本登录或者一个用户使用基本验证方式登录 IIS 才会是这种登录类型。 “登录过程”栏都将列出Advapi。 登录类型 10:远程交互(RemoteInteractive) 当你通过终端服务、远程桌面或远程协助访问计算机时,Windows 将记为类型 10。1.9. 防火墙Windows 都自带有防火墙功能,应根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的 IP 地址范围。1.10. SYN 保护SYN 攻击为常见拒绝服务攻击,windows 可通过修改注册表参数启用
10、SYN 攻击保护,建议参数如下:指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数阀值为 5;指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为 500;指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。配置方法:在“开始-运行-键入 regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称:SynAttackProtect。推荐值:2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEM
11、CurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值: 5。启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SY
12、N flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据: 400。1.11. 屏幕保护应设置带密码的屏幕保护,建议将时间设定为 5 分钟。1.12. 补丁管理应安装最新的 Service Pack 补丁集,windows 每月发布新增漏洞的安全补丁,应每月及时安装安全补丁。1.13. 防病毒软件安装一款防病毒软件,并及时更新病毒库。1.14. 启动项及自动播放列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。开始-运行-MSconfig”启动菜单中,取消不必要的启动项。关闭 Windows 自动播放功能: 开始 运行输入 gpedit.msc,打开组策略
13、编辑器,浏览到计算机配置 管理模板系统,在右边窗格中双击“ 关闭自动播放”,对话框中选择所有驱动器,确定即可。2.练习题序号 题目 A B C D 答案1 在 Windows 2000 操作系统下,以下工具不能用于查看系统开放端口和进程关联性的工具或命令是 netstat tcpview fport tcpvcon A2 Windows 上,想要查看进程在打开那些文件,可以使用哪个命令或工具 openfiles dir list filelist A3 Windows XP 上,系统自带了一个用于显示每个进程中主持的服务的命令,该命令是 tlist tasklist taskmgr proce
14、ssmgr B4某 Windows 服务器被入侵,入侵者在该服务器上曾经使用 IE 浏览站点并下载恶意程序到本地,这时,应该检查IE 的收藏夹IE 的历史记录IE 的内容选项 IE 的安全选项 B5 在微软操作平台系统 Windows 9x/NT/2000 全部支持的验证机制是 LM NTLM Kerberos NTLM V2 A6 以下工具可以用于检测 Windows 系统中文件签名的是 Icesword Srvinstw Blacklight sigverif D7 以下可以用于本地破解 Windows 密码的工具是( )John the RipperL0pht Crack 5 Tscra
15、ck Hydra B8 不属于 windows 下 rootkit 技术的是() LKM rootkit Inline hook IAT hook Ssdt hook A9 Windows 的主要日志不包括的分类是 系统日志 安全日志 应用日志 失败登录请求日志 D10 WINDOWS 2003 中的文件系统使用的都是 强制访问控制 自主访问控制基于角色的访问控制B11从 Windows2000 安全系统架构中,可以发现,Windows 2000 实现了一个_,它在具有最高权限的内核模式中运行,并对运行在用户模式中的应用程序代码发出的资源请求进行检查。SRM LSA SAM Winlogon
16、A12 Windows 2000 中,其符合 C2 级标准的安全组件包括灵活的访问控制审计 强制登录 以上均是 D13 Windows NT/2000 下的访问控制令牌主要由下列哪些组件组成 用户 SID 用户所属组的 SID 用户名 以上均是 D14 要实现 Windows NT/2000 的安全性,必须采用下列哪种文件系统 FAT32 NTFS CDFS Ext2 B15 Windows 2000 所支持的认证方式包括下列哪些 NTLM Kerberos LanManager 以上均是 D16某公司的 Windows 网络准备采用严格的验证方式,基本的要求是支持双向身份认证,应该建议该公司
17、采用哪一种认证方式NTLM NTLMv2 Kerberos LanManager C17 某公司员工希望在他的 Windows NT 系统中提供文件级权限控制,作为安全管理员应该如何建议将文件系统设置为NTFS将文件系统设置为FAT32安装个人防火墙,在个人防火墙中作相应配置将计算机加入域,而不是工作组A18 下面哪个答案可能是 Windows 系统中 Dennis 用户的 SID DennisSID-1-1-34-5664557893-2345873657-1002S-1-2-23-5677654567-66732145654-1002S-1-2-23-5677654567-66732145
18、654-100C19Windows NT 的安全标识(SID)串是由当前时间、计算机名称和另外一个计算机变量共同产生的,这个变量是什么击键速度用户网络地址处理当前用户模式线程所花费 CPU的时间PING 的响应时间 C20 Windows NT 中哪个文件夹存放 SAM 文件 %Systemroot%Systemroot%system32sam%Systemroot%system32config%Systemroot%config C21Windows 2000 分布式安全模型中,客户端不可能直接访问网络资源;网络服务创建客户端()并使用客户端的凭据来执行请求的操作以模拟客户端信任域控制器标识
19、符安全性标识符访问令牌访问控制列表 (ACL) C22从 Windows2000 安全系统架构中,可以发现,Windows 20000 实现了一个(),它在具有最高权限的内核模式中运行,并对运行在用户模式中的应用程序代码发出的资源请求进行检查SRM LSA SAM Winlogon A23 关于 Windows 2000 的 IIS 服务器 HTTP 状态码定义描述正确的是 “200“ :接受 “202“ :完成“300“ :多重选择“404“ :错误请求 C24 Windows 下黑客经常使用 eventcreate 这个命令行工具来伪造日志,而其无法伪造的日志是 安全 应用 系统 A25 以下属于 Windows shellcode 特点的是可以直接用系统调用编写各版本Windows的系统调用号相同PEB 定位函数地址C26 Windows 下加载 ISAPI 过滤器失败,欲对其失败原因进行分析,应在()日志中查找相关信息 系统日志 安全日志 应用日志 C
