操作系统(windows)--知识点

1. 知识要点

1.1. Windwos账号体系

分为用户与组，用户的权限通过加入不同的组来授权 用户：

组：

1.2. 账号SID

安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。

1.3. 账号安全设置

通过本地安全策略可设置账号的策略，包括密码复杂度、长度、有效期、锁定策略等： 设置方法：“开始”->“运行”输入secpol.msc，立即启用：gpupdate /force

1.4. 账号数据库SAM文件

sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据，密码是加密存放，可通过工具进行破解。

1.5. 文件系统

NTFS (New Technology File System)，是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如，Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统，4096簇环境下)。NTFS取代了老式的FAT文件系统。

在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。与FAT32文件系统下对文件夹或文件进行访问相比，安全性要高得多。另外，在采用NTFS格式的Win 2000中,应用

审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访问，通过采取相应的措施，将这种安全隐患减到最低。这些在FAT32文件系统下,是不能实现的。

通过文件的属性安全标签，可设置文本的权限：

1.6. 服务

服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。

每项服务对应着一个或多个程序，不同的程序通过都存在自身的一些漏洞，所以服务必须最小化，关闭不必要的服务，减少风险。建议将以下服务停止，并将启动方式修改为手动：

? Automatic Updates（不使用自动更新可以关闭）

? Background Intelligent Transfer Service（不使用自动更新可以关闭） ? DHCP Client ? Messenger

? Remote Registry ? Print Spooler

? ? ? ? ? ?

Server（不使用文件共享可以关闭） Simple TCP/IP Service

Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule

TCP/IP NetBIOS Helper

1.7. 日志

Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。

Windows日志文件默认位置是“%systemroot%\\system32\\config