文档介绍:操作系统(windows)--知识点知识要点Windwos账号体系分为用户与组,用户的权限通过加入不同的组来授权用户:组:账号SID安全标识符是用户帐户的内部名,用于识别用户身份,它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中,其SID的最后一项标志位都是固定的,比如administrator的SID最后一段标志位是500,又比如最后一段是501的话则是代表GUEST的帐号。账号安全设置通过本地安全策略可设置账号的策略,包括密码复杂度、长度、有效期、锁定策略等:设置方法:“开始”->“运行”,立即启用:gpupdate/force账号数据库SAM文件sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据,密码是加密存放,可通过工具进行破解。文件系统NTFS(NewTechnologyFileSystem),是WindowsNT环境的文件系统。新技术文件系统是WindowsNT家族(如,Windows2000、WindowsXP、WindowsVista、Windows7和windows)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。在NTFS分区上,能够为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户能够进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。另外,在采用NTFS格式的Win2000中,应用审核策略能够对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就能够查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。这些在FAT32文件系统下,是不能实现的。通过文件的属性安全标签,可设置文本的权限:服务服务是一种应用程序类型,它在后台运行。服务应用程序通常能够在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其它基于服务器的应用程序。 每项服务对应着一个或多个程序,不同的程序通过都存在自身的一些漏洞,所以服务必须最小化,关闭不必要的服务,减少风险。建议将以下服务停止,并将启动方式修改为手动:AutomaticUpdates(不使用自动更新能够关闭)BackgroundIntelligentTransferService(不使用自动更新能够关闭)DHCPClientMessengerRemoteRegistryPrintSpoolerServer(不使用文件共享能够关闭)SimpleTCP/IPServiceSimpleMailTransportProtocol(SMTP)SNMPServiceTaskScheduleTCP/BIOSHelper日志Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。Windows日志文件默认位置是“%systemroot%\system32\config安全日志文件:%systemroot%\system32\config\ 系统日志文件:%systemroot%\system32\config\ 应用程序日志文件:%systemroot%\system32\config\FTP连接日志和HTTPD事务日志:%systemroot%\system32\LogFiles\可通过事件查看器()查看日志可通过本地安全策略设置记录哪些日志Windows登录类型及安全日志解析登录类型2:交互式登录(Interactive)在本地键盘上进行的登录,但不要忘记通过KVM登录依然属于交互式登录,虽然它是基于网络的。登录类型3:work)当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。登录类型5:服务(Service)与计划任务类似,每种服务都被配置在某个特