1、操作系统windows知识点汇总1知识要点1.1. Windwos账号体系分为用戸与组,用户的权限通过加入不同的组来授权 用户:名称 全名 描述密 Admini str at or 管理计算机(域的内 置械户旳ASFHET ASF.HET计算机储户 用于运行ASF.HET辅助讲程(aspneWp.曲)的帐户艮Guest 供来宾访问计算机或访问域的内置帐尸旳 IUSRJTSF0CUS-FF23EDB 羽 FHAM_NSFOCUS-FF2:3EIIB SUPF0RT_388945a0Internet来宾帐戶 启动IIS进程帐尸 CN二Microsoft Cor.匿名访问Internet信息服务的内
2、置帐户用于启动进程外应用程序的Internet信息服务的內置帐尸 这是一个帮助和支持月艮务的提供商除户I描述Admini str at orcBackup Operators stributed COM UsersGuestsjfjj N |自函| X會甌|直匝掺安全设置E C3帐尸策略? L.ra密码第略1 L.苗辰户锁定策略策昭/ 1安全设置圃复位评尸锁定计数器 30分钟之后霞帐戶锁定时间 30分钟L1 帐户锁走阈值 5次无效登录 j匡口软件限判策昭a- IF安全策略I在本地计算机1.4.账号数据库SAM文件sam文件是windows的用户数据库,所有用户的登录需及口令等相关信息都会保存在
3、这 个文件中。可通过工具提取数据,密码是加密存放,可通过工具进行破解。1.5.文件系统NTFS (New Technology File System),是WindowsNT环境的文件系统。新技术文件系统 是 Windows NT 家族(如,Windows 2000 Windows XP Windows Vista Windows 7 和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件 系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。在NTFS分区上,可以为共享资源、文件夹以及文件设巻访问许可权限。许可的设置包 括两方而的
4、容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许 可的组或用户可以进行什么级别的访问。访问许可权限的设苣不但适用于本地汁算机的用户, 同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文 件夹或文件进行访问相比,安全性要高得多。另外,在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通 过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操 作,从而发现系统可能而临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。 这些在FAT32文件系
5、统下,是不能实现的。通过文件的属性安全标签,可设置文本的权限:%C5%Di/4WEB%Dui7D %EC%B2%E2%.常规 共享安全肌b共享|自定义组或用尸名称:Adni ini str at ors (JilOZONGY A-8B 4E8BA3jn ixiistrators) 虚 CREATOR OVm 层 mozongyang (|i10Z0HJpdt3 Bicker jad Int.场 ClipEook轡 DJ” Zvcxit Syztr 裁 BFIP Sstari Ap. IConput ar Brov 鶴 Cryptographic 20N Sarvar Pr. 務DKCF Cli
6、ent 毋 DiztribuQed Fi . 嗡Diztebuted Li. 电Di:su*5bMcd Li. Distr jbut&d 7r. 轡DKS Client 轡Etyoy Xwportin. 喙 Ent LogRplicm 目走义设g制面板 P自走义各类网络的设置你可以修改使用的每种类型的网洛的防火塩设置。专用网络设冒)启用Windows防火塩沮止所有传入连接包括位于允许亦用列表中的应用0 Windows防火塩沮止新恋用时通知我O关闭Windows防火埋(不推荐) 公用网络设冒)启用Windows防火塩沮止所有传入连接包括位于允许亦用列表中的应用0 Windows防火塩沮止新恋用时
7、通知我O关闭Windows防火埋(不推荐)1.10. SYN 保护SYN攻击为常见拒绝服务攻击,windows可通过修改注册表参数启用SYN攻击保护,建 议参数如下:指左触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5;指迢处于SYN_RCVD状态的TCP连接数的阈值为500:指左处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。 配置方法:在“开始亠运行亠键入regedit启用SYN攻击保护的命劣值位于注册表项HKEY_LOCAL_MACHINESYSTEMCunentControlSEServices 之下。值名称: SnAttackProtectg 推
8、荐值:2。以下部分中的所有项和值均位于注册表项HKEY_LOCAL_MACHINESYSTEMCunentControlSetServices 之下。指定必须在触发SYN flood保护之前超过的TCP连接请求阈值。值名称:TcpMaxPortsExliausted 推荐值:5 启用SyiiAttackProtect后,该值指泄SYN_RCVD状态中的TCP连接阈值,超过 SoiAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen推荐值数 据:500 o启用SynAttackProtect后,指左至少发送了一次重传的SYN_RCVD状态中的TCP
9、连接 阈值。超过 SynAttackProtect 时,触发 SYNflood 保扩5 值名称:TcpMaxHalfOpenRetried。 推荐值数据:400。1.11.屏幕保护应设置带密码的屏幕保护,建议将时间设左为5分钟。1.12.补丁管理应安装最新的Service Pack补集,windows每月发布新增漏洞的安全补应每月及 时安装安全补丁。1.13.防病毒软件安装一款防病毒软件.并及时更新病毒库。1.14.启动项及自动播放列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。开始-运行 -MSconfig”启动菜单中,取消不必要的启动项。关闭Windows自动播放功能:开始T运
10、行T输入gpedit.msc,打开组策略编辑器,浏览 到汁算机配置T管理模板T系统,在右边窗格中双击关闭自动播放,对话框中选择所有驱 动器,确泄即可。2 练习题序号题目ABCD答案1在Windows 2000操作系统下,以下工具不能用于 査看系统开放端口和进程关联性的工具或命令是netstattcpviewfporttcpvconA2Windows上,想要查看进程在打开那些文件,可以 使用哪个命令或工具openfilesdirlistfilelistA3Windows XP上,系统自带了一个用于显示每个进 程中主持的服务的命令,该命令是tlisttasklisttaskmgrprocessmg
11、rB4某Windows服务器被入侵,入侵者在该服务器上 曾经使用IE浏览站点并下载恶意程序到本地,这 时,应该检查IE的收 藏夹IE的历史 记录IE的容 选项IE的安全选项BL0在微软操作平台系统Windows 9x/NT/2000全部支 持的验证机制是LMNTLMKerberosNTLM V2A6以下工具可以用于检测Windows系统中文件签名 的是Iceswor dSrvinstwBlackli ghtsigverifD7以下可以用于本地破解Windows密码的工具是 ()John the RipperLOphtCrack 5TscrackHydraB8不属于windows b rootk
12、it技术的是()LKM rootkitInlinehookIAT hookSsdt hookA9Windows的主要日志不包括的分类是系统日 志安全日志应用日 志失败登录请求 日志D10WINDOWS 2003中的文件系统使用的都是强制访 问控制自主访问 控制基于角色的访 问控制B11从Windows2000安全系统架构中,可以发现, Windows 2000实现了一个 ,它在具有最高权限的核模式中运行,并对运行在用户模式中的 应用程序代码发出的资源请求进行检査。SRMLSASAMWinlogonA12Windows 2000中,其符合C2级标准的安全组件包 括灵活的 访问控 制审计强制登 录
13、以上均是D13Windows NT/2000下的访问控制令牌主要由下列哪 些组件组成用户SID用户所属 组的SID用户名以上均是D14要实现Windows NT/2000的安全性,必须采用下 列哪种文件系统FAT32NTFSCDFSExt2B15Windows 2000所支持的认证方式包括下列哪些NTLMKerberosLanMana ger以上均是D16某公司的Windows网络准备采用严格的验证方 式,基本的要支持双向身份认证,应该建议该公 刁采用哪一种认证方式NTLMNTLMv2Kerbero sLanManagerC17某公司员工希望在他的Windows NT系统中提供文 件级权限控制
14、,作为安全管理员应该如何建议将文件 系统设 置为 NTFS将文件系 统设置为 FAT32安装个 人防火 墙,在 个人防 火墙中 作相应 配置将计算机加入 域,而不是工 作组A18下而哪个答案可能是Windows系统中Dennis用户 的SIDDennisSID-1-1-34-5664557657-1002S-1-2-231002S-1-2-23100C19Windows NT的安全标识(SID)串是由当前时间、 计算机名称和另外一个计算机变量共同产生的, 这个变量是什么击键速 度用户网络 地址处理当 前用户 模式线 程所花 费CPU 的时间PING的响应时 间C20Windows NT中哪个文
15、件夹存放SAM文件%Syste mroot%System root%sy stem32s am%Syste mroot% system3 2confi g%Systemroot%configc21Windows 2000分布式安全模型中,客户端不可能 直接访问网络资源:网络服务创建客户端O并 使用客户端的凭据来执行请求的操作以模拟客户信任域 控制器 标识符安全性标 识符访问令 牌访问控制列表(ACL)c22从Windows2000安全系统架构中,可以发现, Windows 20000实现了一个(),它在具有最高权 限的核模式中运行,并对运行在用户模式中的应 用程序代码发岀的资源请求进行检查SRMLSASAMWinlogonA23关于Windows 2000的IIS服务器HTTP状态码定 义描述正确的是200:接受202: 完成300:多重 选择404:错误请求C24Windows F黑客经常使用eventcreate这个命令行 工具来伪造日志,而其无法伪造的日志是安全应用系统A25以卜属Windows shellcode特点的是可以直 接用系 统调用 编写各版本Windows 的系统调 用号相同PEB定位函数地址C26Windows下加载ISAPI过滤器失败,欲对英失败原 因进行分析,应在()日志中查找相关信息系统日 志安全日志应用日 志C