文档介绍:知识关键点
Windwos账号体系
分为用户和组,用户权限经过加入不一样组来授权
用户:
组:
账号SID
安全标识符是用户帐户内部名,用于识别用户身份,它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中,其SID最终一项标志位全部是固定,比如administratorSID最终一段标志位是500,又比如最终一段是501话则是代表GUEST帐号。
账号安全设置
经过当地安全策略可设置账号策略,包含密码复杂度、长度、使用期、锁定策略等:
设置方法:“开始”->“运行”,立即启用:gpupdate /force
账号数据库SAM文件
sam文件是windows用户帐户数据库,全部用户登录名及口令等相关信息全部会保留在这个文件中。可经过工具提取数据,密码是加密存放,可经过工具进行破解。
文件系统
NTFS (New Technology File System),是 WindowsNT 环境文件系统。新技术文件系统是
Windows NT家族(如,Windows 、Windows XP、Windows Vista、Windows 7和 windows )等限制级专用文件系统(操作系统所在盘符文件系统必需格式化为NTFS文件系统,4096簇环境下)。NTFS替换了传统FAT文件系统。
在NTFS分区上,能够为共享资源、文件夹和文件设置访问许可权限。许可设置包含两方面内容:一是许可哪些组或用户对文件夹、文件和共享资源进行访问;二是取得访问许可组或用户能够进行什么等级访问。访问许可权限设置不仅适适用于当地计算机用户,一样也应用于经过网络共享文件夹对文件进行访问网络用户。和FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。另外,在采取NTFS格式Win 中,应用审核策略能够对文件夹、文件和活动目录对象进行审核,审核结果统计在安全日志中,经过安全日志就能够查看哪些组或用户对文件夹、文件或活动目录对象进行了什么等级操作,从而发觉系统可能面临非法访问,经过采取对应方法,将这种安全隐患减到最低。这些在FAT32文件系统下,是不能实现。
经过文件属性安全标签,可设置文本权限:
服务
服务是一个应用程序类型,它在后台运行。服务应用程序通常能够在当地和经过网络为用户提供部分功效,比如用户端/服务器应用程序、Web服务器、数据库服务器和其它基于服务器应用程序。
每项服务对应着一个或多个程序,不一样程序经过全部存在本身部分漏洞,所以服务必需最小化,关闭无须要服务,降低风险。提议将以下服务停止,并将开启方法修改为手动:
Automatic Updates(不使用自动更新能够关闭)
Background Intelligent Transfer Service(不使用自动更新能够关闭)
DHCP Client
Messenger
Remote Registry
Print Spooler
Server(不使用文件共享能够关闭)
Simple TCP/IP Service
Simple Mail Transport Protocol (SMTP)
SNMP Service
Task Schedule
TCP/IP NetBIOS Helper
日志
Windows网络操作系统全部设计有多种多样日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些依据你系统开启服务不一样而有所不一样。我们在系统上进行部分操作时,这些日志文件通常会统计下我们操作部分相关内容,这些内容对系统安全工作人员相当有用。比如说有些人对系统进行了IPC探测,系统就会在安全日志里快速地记下探测者探测时所用IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用用户名等。
Windows日志文件默认位置是“%systemroot%\system32\config
安全日志文件:%systemroot%\system32\config\
系统日志文件:%systemroot%\system32\config\
应用程序日志文件:%systemroot%\system32\config\
FTP连接日志和HTTPD事务日志:%systemroot%\system32\LogFiles\
可经过事件查看器()查看日志
可经过当地安全策略设置统计哪些日志
Windows