操作系统(windows)知识点

《操作系统(windows)知识点》由会员分享，可在线阅读，更多相关《操作系统(windows)知识点（11页珍藏版）》请在金锄头文库上搜索。

1、1. 知识要点1.1. Windwos账号体系分为用户与组，用户的权限通过加入不同的组来授权用户：组：1.2. 账号SID安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。1.3. 账号安全设置通过本地安全策略可设置账号的策略，包括密码复杂度、长度、有效期、锁定策略等：设置方法：“开始”-“运行”输入secpol.msc，立即启用：gpupdate /force1.4. 账号数据库

2、SAM文件sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据，密码是加密存放，可通过工具进行破解。1.5. 文件系统NTFS (New Technology File System)，是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如，Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统，4096簇环境下)。NTFS取代了老式的FAT文件系统。

3、 在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文件夹或文件进行访问相比，安全性要高得多。另外，在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面

4、临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。这些在FAT32文件系统下,是不能实现的。 通过文件的属性安全标签，可设置文本的权限：1.6. 服务服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。每项服务对应着一个或多个程序，不同的程序通过都存在自身的一些漏洞，所以服务必须最小化，关闭不必要的服务，减少风险。建议将以下服务停止，并将启动方式修改为手动： Automatic Updates（不使用自动更新可以关闭） Background Intelligen

5、t Transfer Service（不使用自动更新可以关闭） DHCP Client Messenger Remote Registry Print Spooler Server（不使用文件共享可以关闭） Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper1.7. 日志Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等

6、，这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。Windows日志文件默认位置是“%systemroot%system32config 安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EV

7、T 应用程序日志文件：%systemroot%system32configAppEvent.EVT FTP连接日志和HTTPD事务日志：%systemroot%system32LogFiles可通过事件查看器（eventvwr.msc）查看日志可通过本地安全策略设置记录哪些日志1.8. Windows登录类型及安全日志解析 登录类型2：交互式登录（Interactive） 在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。 登录类型3：网络（Network） 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文

8、件夹或者共享打印机时。 登录类型5：服务（Service） 与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5 登录类型7：解锁（Unlock） 你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。 登录类型8：网络明文（NetworkCleartext） 当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才

9、会是这种登录类型。“登录过程”栏都将列出Advapi。 登录类型10：远程交互（RemoteInteractive） 当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10。1.9. 防火墙Windows都自带有防火墙功能，应根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。1.10. SYN保护SYN攻击为常见拒绝服务攻击，windows可通过修改注册表参数启用SYN攻击保护，建议参数如下：指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重

10、传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。配置方法：在“开始-运行-键入regedit”启用 SYN 攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。值名称：SynAttackProtect。推荐值：2。以下部分中的所有项和值均位于注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 之下。指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。启用 S

11、ynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。1.11. 屏幕保护应设置带密码的屏幕保护，建议将时间设定为5分钟。1.12. 补丁管理应安装最新的Servi

12、ce Pack补丁集，windows每月发布新增漏洞的安全补丁，应每月及时安装安全补丁。1.13. 防病毒软件安装一款防病毒软件，并及时更新病毒库。1.14. 启动项及自动播放列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。开始-运行-MSconfig”启动菜单中，取消不必要的启动项。关闭Windows自动播放功能：开始运行输入gpedit.msc，打开组策略编辑器，浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。2. 练习题序号题目ABCD答案1在Windows 2000操作系统下，以下工具不能用于查看系统开放端口和进程关联性的工

13、具或命令是netstattcpviewfporttcpvconA2Windows上，想要查看进程在打开那些文件，可以使用哪个命令或工具openfilesdirlistfilelistA3Windows XP上，系统自带了一个用于显示每个进程中主持的服务的命令，该命令是tlisttasklisttaskmgrprocessmgrB4某Windows服务器被入侵，入侵者在该服务器上曾经使用IE浏览站点并下载恶意程序到本地，这时，应该检查IE的收藏夹IE的历史记录IE的内容选项IE的安全选项B5在微软操作平台系统Windows 9x/NT/2000全部支持的验证机制是LMNTLMKerberosNT

14、LM V2A6以下工具可以用于检测Windows系统中文件签名的是IceswordSrvinstwBlacklightsigverifD7以下可以用于本地破解Windows密码的工具是（ ）John the RipperL0pht Crack 5TscrackHydraB8不属于windows下rootkit技术的是（）LKM rootkitInline hookIAT hookSsdt hookA9Windows的主要日志不包括的分类是系统日志安全日志应用日志失败登录请求日志D10WINDOWS 2003中的文件系统使用的都是强制访问控制自主访问控制基于角色的访问控制B11从Windows2

15、000安全系统架构中，可以发现，Windows 2000实现了一个_，它在具有最高权限的内核模式中运行，并对运行在用户模式中的应用程序代码发出的资源请求进行检查。SRMLSASAMWinlogonA12Windows 2000中，其符合C2级标准的安全组件包括灵活的访问控制审计强制登录以上均是D13Windows NT/2000下的访问控制令牌主要由下列哪些组件组成用户SID用户所属组的SID用户名以上均是D14要实现Windows NT/2000的安全性，必须采用下列哪种文件系统FAT32NTFSCDFSExt2B15Windows 2000所支持的认证方式包括下列哪些NTLMKerberosLanManager以上均是D16某公司