操作系统windows知识点文档格式.docx

操作系统windows知识点文档格式.docx

《操作系统windows知识点文档格式.docx》由会员分享，可在线阅读，更多相关《操作系统windows知识点文档格式.docx（17页珍藏版）》请在冰豆网上搜索。

与FAT32文件系统下对文件夹或文件进行访问相比，安全性要高得多。

另外，在采用NTFS格式的Win2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。

这些在FAT32文件系统下,是不能实现的。

通过文件的属性安全标签，可设置文本的权限：

1.6.服务

服务是一种应用程序类型，它在后台运行。

服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。

每项服务对应着一个或多个程序，不同的程序通过都存在自身的一些漏洞，所以服务必须最小化，关闭不必要的服务，减少风险。

建议将以下服务停止，并将启动方式修改为手动：

✓AutomaticUpdates（不使用自动更新可以关闭）

✓BackgroundIntelligentTransferService（不使用自动更新可以关闭）

✓DHCPClient

✓Messenger

✓RemoteRegistry

✓PrintSpooler

✓Server（不使用文件共享可以关闭）

✓SimpleTCP/IPService

✓SimpleMailTransportProtocol（SMTP）

✓SNMPService

✓TaskSchedule

✓TCP/IPNetBIOSHelper

1.7.日志

Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。

我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。

比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。

Windows日志文件默认位置是“%systemroot%\system32\config

✓安全日志文件：

%systemroot%\system32\config\SecEvent.EVT　　

✓系统日志文件：

%systemroot%\system32\config\SysEvent.EVT　　

✓应用程序日志文件：

%systemroot%\system32\config\AppEvent.EVT

✓FTP连接日志和HTTPD事务日志：

%systemroot%\system32\LogFiles\

可通过事件查看器（eventvwr.msc）查看日志

可通过本地安全策略设置记录哪些日志

1.8.Windows登录类型及安全日志解析

✓登录类型2：

交互式登录（Interactive）在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。

✓登录类型3：

网络（Network）当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。

✓登录类型5：

服务（Service）与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5

✓登录类型7：

解锁（Unlock）你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

✓登录类型8：

网络明文（NetworkCleartext）当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。

“登录过程”栏都将列出Advapi。

✓登录类型10：

远程交互（RemoteInteractive）当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10。

1.9.防火墙

Windows都自带有防火墙功能，应根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址X围。

1.10.SYN保护

SYN攻击为常见拒绝服务攻击，windows可通过修改注册表参数启用SYN攻击保护，建议参数如下：

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5；

指定处于SYN_RCVD状态的TCP连接数的阈值为500；

指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

配置方法：

在“开始->

运行->

键入regedit”

启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。

值名称：

SynAttackProtect。

推荐值：

2。

以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。

指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。

TcpMaxPortsExhausted。

5。

启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYNflood保护。

TcpMaxHalfOpen。

推荐值数据：

500。

启用SynAttackProtect后，指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。

超过SynAttackProtect时，触发SYNflood保护。

TcpMaxHalfOpenRetried。

400。

1.11.屏幕保护

应设置带密码的屏幕保护，建议将时间设定为5分钟。

1.12.补丁管理

应安装最新的ServicePack补丁集，windows每月发布新增漏洞的安全补丁，应每月及时安装安全补丁。

1.13.防病毒软件

安装一款防病毒软件，并及时更新病毒库。

1.14.启动项及自动播放

列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。

开始->

MSconfig”启动菜单中，取消不必要的启动项。

关闭Windows自动播放功能：

开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。

2.练习题

序号

题目

A

B

C

D

答案

1

在Windows2000操作系统下，以下工具不能用于查看系统开放端口和进程关联性的工具或命令是

netstat

tcpview

fport

tcpvcon

2

Windows上，想要查看进程在打开那些文件，可以使用哪个命令或工具

openfiles

dir

list

filelist

3

WindowsXP上，系统自带了一个用于显示每个进程中主持的服务的命令，该命令是

tlist

tasklist

taskmgr

processmgr

4

某Windows服务器被入侵，入侵者在该服务器上曾经使用IE浏览站点并下载恶意程序到本地，这时，应该检查

IE的收藏夹

IE的历史记录

IE的内容选项

IE的安全选项

5

在微软操作平台系统Windows9x/NT/2000全部支持的验证机制是

LM

NTLM

Kerberos

NTLMV2

6

以下工具可以用于检测Windows系统中文件签名的是

Icesword

Srvinstw

Blacklight

sigverif

7

以下可以用于本地破解Windows密码的工具是（）

JohntheRipper

L0phtCrack5

Tscrack

Hydra

8

不属于windows下rootkit技术的是（）

LKMrootkit

Inlinehook

IAThook

Ssdthook

9

Windows的主要日志不包括的分类是

系统日志

安全日志

应用日志

失败登录请求日志

10

WINDOWS2003中的文件系统使用的都是

强制访问控制

自主访问控制

基于角色的访问控制

11

从Windows2000安全系统架构中，可以发现，Windows2000实现了一个______，它在具有最高权限的内核模式中运行，并对运行在用户模式中的应用程序代码发出的资源请求进行检查。

SRM

LSA

SAM

Winlogon

12

Windows2000中，其符合C2级标准的安全组件包括

灵活的访问控制

审计

强制登录

以上均是

13

WindowsNT/2000下的访问控制令牌主要由下列哪些组件组成

用户SID

用户所属组的SID

用户名

14

要实现WindowsNT/2000的安全性，必须采用下列哪种文件系统

FAT32

NTFS

CDFS

Ext2

15

Windows2000所支持的认证方式包括下列哪些

LanManager

16

某公司的Windows网络准备采用严格的验证方式，基本的要求是支持双向身份认证，应该建议该公司采用哪一种认证方式

NTLMv2

17

某公司员工希望在他的WindowsNT系统中提供文件级权限控制，作为安全管理员应该如何建议

将文件系统设置为NTFS

将文件系统设置为FAT32

安装个人防火墙，在个人防火墙中作相应配置

将计算机加入域，而不是工作组

18

下面哪个答案可能是Windows系统中Dennis用户的SID

Dennis

SID-1-1-34-5664557657-1002

S-1-2-23--1002

S-1-2-23--100

19

WindowsNT的安全标识（SID）串是由当前时间、计算机名称和另外一个计算机变量共同产生的，这个变量是什么

击键速度

用户网络地址

处理当前用户模式线程所花费CPU的时间

PING的响应时间

20

WindowsNT中哪个文件夹存放SAM文件

\%Systemroot%

\%Systemroot%\system32\sam

\%Systemroot%\system32\config

\%Systemroot%\config

21

Windows2000分布式安全模型中，客户端不可能直接访问网络资源；

网络服务创建客户端（）并使用客户端的凭据来执行请求的操作以模拟客户端

信任域控制器标识符

安全性标识符

访问令牌

访问控制列表（ACL）

22

从Windows2000安全系统架构中，可以发现，Windows20000实现了一个（），它在具有最高权限的内核模式中运行，并对运行在用户模式中的应用程序代码发出的资源请求进行检查

23

关于Windows2000的IIS服务器HTTP状态码定义描述正确的是

"

200"

：

接受

202"

完成

300"

多重选择

404"

错误请求

24

Windows下黑客经常使用eventcreate这个命令行工具来伪造日志，而其无法伪造的日志是

安全

应用

系统

25

以下属于Windowsshellcode特点的是

可以直接用系统调用编写

各版本Windows的系统调用号相同

PEB定位函数地址

26

Windows下加载ISAPI过滤器失败，欲对其失败原因进行分析，应在（）日志中查找相关信息