文档介绍:肅Forpersonaluseonlyinstudyandresearch;mercialuse肀蒀知识要点肅Windwos账号体系膅分为用户与组,用户的权限通过加入不同的组来授权蒁用户:袇肈组:膅袂蕿账号SID袆安全标识符是用户帐户的内部名,用于识别用户身份,它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中,其SID的最后一项标志位都是固定的,比如administrator的SID最后一段标志位是500,又比如最后一段是501的话则是代表GUEST的帐号。芅节账号安全设置肇通过本地安全策略可设置账号的策略,包括密码复杂度、长度、有效期、锁定策略等:蚅设置方法:“开始”->“运行”,立即启用:gpupdate/force莅荿蝿莄蒅账号数据库SAM文件螀sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据,密码是加密存放,可通过工具进行破解。芇蒇文件系统薄NTFS(NewTechnologyFileSystem),是WindowsNT环境的文件系统。新技术文件系统是WindowsNT家族(如,Windows2000、WindowsXP、WindowsVista、)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。膁在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。另外,在采用NTFS格式的Win2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。这些在FAT32文件系统下,是不能实现的。罿通过文件的属性安全标签,可设置文本的权限:膆蚄薂服务莇服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。羅螄 每项服务对应着一个或多个程序,不同的程序通过都存在自身的一些漏洞,所以服务必须最小化,关闭不必要的服务,减少风险。建议将以下服务停止,并将启动方式修改为手动:羃AutomaticUpdates(不使用自动更新可以关闭)聿BackgroundIntelligentTransferService(不使用自动更新可以关闭)肈DHCPClient螄Messenger肀RemoteRegistry袁PrintSpooler螇Server(不使用文件共享可以关闭)袄SimpleTCP/IPService蒀SimpleMailTransportProtocol(SMTP)芈SNMPService薅TaskSchedule羄TCP/BIOSHelper袁羀日志莄Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。肄Windows日志文件默认位置是“%systemroot%\system32\config节安全日志文件:%systemroot%\system32\config\ 蒈系统日志文件:%systemroot%\system32\config\ 莇应用程序日志文件:%systemroot%\system32\config\:%systemroot%\system32\LogFiles\葿可通过事件查看器()查看日志膀膆芃可通过本地安全策略设置记录哪些日志袀蚈Windows登录类型及安全日志解析袅登录类型2:交互式登录(Interactive)