操作系統(tǒng)(windows)知識(shí)點(diǎn)

學(xué)問(wèn)要點(diǎn)Windwos賬號(hào)體系分為用戶與組，用戶的權(quán)限通過(guò)參加不同的組來(lái)授權(quán)用戶：組：SID安全標(biāo)識(shí)符是用戶帳戶的內(nèi)部名用于識(shí)別用戶身份它在用戶帳戶創(chuàng)立時(shí)由系統(tǒng)自動(dòng)產(chǎn)生。在Windows系統(tǒng)中默認(rèn)用戶中，其 SID的最終一項(xiàng)標(biāo)志位都是固定的，比方administrator的SID最終一段標(biāo)志位是500，又比方最終一段是501的話則是代表GUEST的帳號(hào)。賬號(hào)安全設(shè)置通過(guò)本地安全策略可設(shè)置賬號(hào)的策略，包括密碼簡(jiǎn)單度、長(zhǎng)度、有效期、鎖定策略等：”e賬號(hào)數(shù)據(jù)庫(kù)SAM文件sam文件是windows的用戶帳戶數(shù)據(jù)庫(kù),全部用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中?？赏ㄟ^(guò)工具提取數(shù)據(jù)，密碼是加密存放，可通過(guò)工具進(jìn)展破解。文件系統(tǒng)NTFS(NewTechnologyFileSystem，是WindowsNT環(huán)境的文件系統(tǒng)。技術(shù)文件系統(tǒng)WindowsNT家族(如，Windows2023WindowsXPWindowsVistaWindows7和windows8.1)等的限制級(jí)專用的文件系統(tǒng)(NTFS的文件系統(tǒng)，4096簇環(huán)境下)。NTFSFAT文件系統(tǒng)。在NTFS分區(qū)上，可以為共享資源、文件夾以及文件設(shè)置訪問(wèn)許可權(quán)限。許可的設(shè)置包括兩方面的內(nèi)容:一是允許哪些組或用戶對(duì)文件夾、文件和共享資源進(jìn)展訪問(wèn);二是獲得訪問(wèn)許可的組或用戶可以進(jìn)展什么級(jí)別的訪問(wèn),FAT32文件系統(tǒng)下對(duì)文NTFSWin2023中,應(yīng)用過(guò)安全日志就可以查看哪些組或用戶對(duì)文件夾、文件或活動(dòng)名目對(duì)象進(jìn)展了什么級(jí)別的操作，從而覺(jué)察系統(tǒng)可能面臨的非法訪問(wèn)，通過(guò)實(shí)行相應(yīng)的措施，將這種安全隱患減到最低。FAT32文件系統(tǒng)下,是不能實(shí)現(xiàn)的。通過(guò)文件的屬性安全標(biāo)簽，可設(shè)置文本的權(quán)限：效勞用戶供給一些功能，例如客戶端/效勞器應(yīng)用程序、Web效勞器、數(shù)據(jù)庫(kù)效勞器以及其他基于效勞器的應(yīng)用程序。AutomaticUpdates〔不使用自動(dòng)更可以關(guān)閉〕BackgroundIntelligentTransferService〔不使用自動(dòng)更可以關(guān)閉〕DHCPClientMessengerRemoteRegistryPrintSpoolerServer〔不使用文件共享可以關(guān)閉〕SimpleTCP/IPServiceSimpleMailTransportProtocol(SMTP)SNMPServiceTaskScheduleTCP/IPNetBIOSHelper日志W(wǎng)indows統(tǒng)日志、Scheduler效勞日志、FTP日志、WWW日志、DNS效勞器日志等等，這些依據(jù)你的進(jìn)展了IPC探測(cè)，系統(tǒng)就會(huì)在安全日志里快速地登記探測(cè)者探測(cè)時(shí)所用的IP、時(shí)間、用戶名FTPFTPIP、時(shí)間、探測(cè)所用的用戶名等。Windows日志文件默認(rèn)位置是“%systemroot%\system32\config安全日志文件：%systemroot%\system32\config\SecEvent.EVT系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT應(yīng)用程序日志文件：%systemrooFTPD事務(wù)日志：%systemroot%\system32\LogFiles\可通過(guò)大事查看器〔〕查看日志可通過(guò)本地安全策略設(shè)置記錄哪些日志W(wǎng)indows登錄類型及安全日志解析2InteractiveKVM登錄仍舊屬于交互式登錄，雖然它是基于網(wǎng)絡(luò)的。登錄類型3〕當(dāng)你從網(wǎng)絡(luò)的問(wèn)一臺(tái)電腦時(shí)在大多數(shù)狀況下記為類型3，最常見(jiàn)的狀況就是連接到共享文件夾或者共享打印機(jī)時(shí)。5ServiceWindows57Unlock〕你可能期望當(dāng)一個(gè)用戶離開(kāi)他的電腦時(shí)相應(yīng)的工作站自動(dòng)Windows就把這種解鎖操作認(rèn)為是一個(gè)類型7的登錄，失敗的類型7登錄說(shuō)明有人輸入了錯(cuò)誤的密碼或者有人在嘗試解鎖電腦。8NetworkCleartextAdvapiASP腳本登錄或者一個(gè)用戶使用根本驗(yàn)證方式登錄IISAdvapi。10RemoteInteractive訪問(wèn)電腦時(shí)，Windows10。防火墻WindowsIP地址范圍。SYN保護(hù)SYN攻擊為常見(jiàn)拒絕效勞攻擊，windowsSYN攻擊保護(hù)，建議參數(shù)如下：SYNTCP5；指定處于SYN_RCVD狀態(tài)的TCP500；指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP400。配置方法：在“開(kāi)頭->運(yùn)行->regedit”啟用SYN攻擊保護(hù)的命名值位于注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名稱：SynAttackProtect。推舉值：2。以下局部中的全部項(xiàng)和值均位于注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定必需在觸發(fā)SYNflood保護(hù)之前超過(guò)的TCP連接懇求閾值。值名稱：TcpMaxPortsExhausted。推舉值：5。啟用SynAttackProtect后，該值指定SYN_RCVD狀態(tài)中的TCP連接閾值，超過(guò)SynAttackProtect時(shí)，觸發(fā)SYNflood保護(hù)。值名稱：TcpMaxHalfOpen。推舉值數(shù)據(jù)：500。啟用SynAttackProtectSYN_RCVD狀態(tài)中的TCP連接tNd。推舉值數(shù)據(jù)：400。屏幕保護(hù)應(yīng)設(shè)置帶密碼的屏幕保護(hù)，建議將時(shí)間設(shè)定為5分鐘。補(bǔ)丁治理ServicePack補(bǔ)丁集，windows每月公布增漏洞的安全補(bǔ)丁，應(yīng)每月準(zhǔn)時(shí)安裝安全補(bǔ)丁。防病毒軟件安裝一款防病毒軟件，并準(zhǔn)時(shí)更病毒庫(kù)。啟動(dòng)項(xiàng)及自動(dòng)播放列出系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載的進(jìn)程和效勞列表，不在此列表的需關(guān)閉。開(kāi)頭 ->運(yùn)行->MSconfig”啟動(dòng)菜單中，取消不必要的啟動(dòng)項(xiàng)。關(guān)閉Windows→運(yùn)行→→治理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對(duì)話框中選擇全部驅(qū)動(dòng)器，確定即可。練習(xí)題序號(hào)題目 A B C D 答案Windows20231查看系統(tǒng)開(kāi)放端口和進(jìn)程關(guān)聯(lián)性的工具或命令是Windows上，想要查看進(jìn)程在翻開(kāi)那些文件，可以

netstat tcpviewopenfil

fport

tcpvcon A2 dir list filelist A使用哪個(gè)命令或工具 esWindowsXP3程中主持的效勞的命令，該命令是Windows

tlist

tasklist taskmgrprocessmgr B4 曾經(jīng)使用IE掃瞄站點(diǎn)并下載惡意程序到本地，這時(shí)，應(yīng)當(dāng)檢查在微軟操作平臺(tái)系統(tǒng)Windows9x/NT/20235持的驗(yàn)證機(jī)制是以下工具可以用于檢測(cè)Windows系統(tǒng)中文件簽名6的是以下可以用于本地破解Windows密碼的工具是

IE藏夾LMIceswordJohn

IE記錄NTLMSrvinstwL0pht

IE容選項(xiàng)KerberosBlacklight

IE的安全選項(xiàng) BNTLMV2 Asigverif Dthe〔〕Ripper

Crack5

TscrackHydra B不屬于windowsrootkitWindows

LKM Inlinerootkit hook系統(tǒng)日安全日志志

IAThook應(yīng)用日志基于角

Ssdthook 失敗登錄懇求D日志W(wǎng)INDOWS2023

強(qiáng)制訪問(wèn)掌握

自主訪問(wèn)掌握

色的訪 B問(wèn)掌握從Windows2023安全系統(tǒng)架構(gòu)中，可以覺(jué)察，Windows2023實(shí)現(xiàn)了一個(gè) ，它在具有最高11權(quán)限的內(nèi)核模式中運(yùn)行，并對(duì)運(yùn)行在用戶模式中的應(yīng)用程序代碼發(fā)出的資源懇求進(jìn)展檢查。Windows2023中，其符合C2

SRM LSA SAM Winlogon 敏捷的強(qiáng)制登12括WindowsNT/2023

訪問(wèn)控制

審計(jì)錄用戶所屬

以上均是 D13些組件組成要實(shí)現(xiàn)WindowsNT/202314下哪種文件系統(tǒng)Windows2023某公司的Windows網(wǎng)絡(luò)預(yù)備承受嚴(yán)格的驗(yàn)證方

SIDFAT32NTLM

SIDNTFSKerberos

用戶名CDFSLanManagers安裝個(gè)人防火墻，在s安裝個(gè)人防火墻，在將電腦參加個(gè)人防火墻中作相應(yīng)配置域，而不是工作組AS-1-2-23-5677654567-66732145654-S-1-2-23-5677654567-66732145654-100C1002處理當(dāng)前用戶模式線程所花PING間CCPU的時(shí)間\%Systemroot%\system32\confi\%Systemroot%\configCg

以上均是 DExt2 B以上均是 D式，根本的要求是支持雙向身份認(rèn)證，應(yīng)當(dāng)建議該公司承受哪一種認(rèn)證方式

NTLM NTLMv2 LanManager C某公司職工期望在他的WindowsNT17件級(jí)權(quán)限掌握，作為安全治理員應(yīng)當(dāng)如何建議下面哪個(gè)答案可能是Windows系統(tǒng)中Dennis18SIDWindowsNTSID〕串是由當(dāng)前時(shí)間、電腦名稱和另外一個(gè)電腦變量共同產(chǎn)生的，這個(gè)變量是什么

將文件系統(tǒng)設(shè)置為NTFSDennis擊鍵速度

將文件系統(tǒng)設(shè)置為FAT32SID-1-1-34-5664557893-2345873657-1002用戶網(wǎng)絡(luò)地址WindowsNTSAM

\%Systemroot%

\%Systemroot%\system32\samWindows2023分布式安全模型中，客戶端不行能直接訪問(wèn)網(wǎng)絡(luò)資源；網(wǎng)絡(luò)效勞創(chuàng)立客戶端〔〕并21使用客戶端的憑據(jù)來(lái)執(zhí)行懇求的操作以模擬客戶端

信任域掌握器標(biāo)識(shí)符

安全性標(biāo)識(shí)符

訪問(wèn)令牌

訪問(wèn)掌握列表C(ACL)Windows2023Windows2023022 SRM LSA SAM Winlogon 限的內(nèi)核模式中運(yùn)行，并對(duì)運(yùn)行在用戶模式中的應(yīng)用程序代碼發(fā)出的資源懇求進(jìn)展檢查Windows2023IIS效勞器