操作系统(windows)--知识点教程.docx

知识要点 Windwos账号体系 分为用户与组，用户的权限通过加入不同的组来授权 用户： 组： 账号SID 安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。 账号安全设置 通过本地安全策略可设置账号的策略，包括密码复杂度、长度、有效期、锁定策略等： 设置方法：“开始”-“运行”输入secpol.msc，立即启用：gpupdate /force 账号数据库SAM文件 sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据，密码是加密存放，可通过工具进行破解。 文件系统 NTFS (New Technology File System)，是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如，Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统，4096簇环境下)。NTFS取代了老式的FAT文件系统。 在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文件夹或文件进行访问相比，安全性要高得多。另外，在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。这些在FAT32文件系统下,是不能实现的。 通过文件的属性安全标签，可设置文本的权限： 服务 服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。 每项服务对应着一个或多个程序，不同的程序通过都存在自身的一些漏洞，所以服务必须最小化，关闭不必要的服务，减少风险。建议将以下服务停止，并将启动方式修改为手动： Automatic Updates（不使用自动更新可以关闭） Background Intelligent Transfer Service（不使用自动更新可以关闭） DHCP Client Messenger Remote Registry Print Spooler Server（不使用文件共享可以关闭） Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper 日志 Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。 Windows日志文件默认位置是“%systemroot%\system32\config 安全日志文件：%systemroot%\system32\config\SecEvent.EVT 　　 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 　　 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT FTP连接日志和HTTPD事务日志：%systemroot%\system32\LogFiles\ 可通过事件查看器（eventvwr.msc）查看日志 可通过本地安全策略设置记录哪些日志 Windows登录类型及安全日志解析 登录类型2：交互式登录（Interactive） 在本地键