操作系统(windows)--知识点

? 安全日志文件：%systemroot%\\system32\\config\\SecEvent.EVT ? 系统日志文件：%systemroot%\\system32\\config\\SysEvent.EVT ? 应用程序日志文件：%systemroot%\\system32\\config\\AppEvent.EVT ? FTP连接日志和HTTPD事务日志：%systemroot%\\system32\\LogFiles\\ 可通过事件查看器（eventvwr.msc）查看日志

可通过本地安全策略设置记录哪些日志

1.8. Windows登录类型及安全日志解析

? 登录类型2：交互式登录（Interactive）在本地键盘上进行的登录，但不要忘记通过KVM

登录仍然属于交互式登录，虽然它是基于网络的。

? 登录类型3：网络（Network）当你从网络的上访问一台计算机时在大多数情况下

Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。

? 登录类型5：服务（Service）与计划任务类似，每种服务都被配置在某个特定的用户账

户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5

? 登录类型7：解锁（Unlock）你可能希望当一个用户离开他的计算机时相应的工作站自

动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

? 登录类型8：网络明文（NetworkCleartext）当从一个使用Advapi的ASP脚本登录或者

一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。

? 登录类型10：远程交互（RemoteInteractive）当你通过终端服务、远程桌面或远程协助

访问计算机时，Windows将记为类型10。

1.9. 防火墙

Windows都自带有防火墙功能，应根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围。

1.10. SYN保护

SYN攻击为常见拒绝服务攻击，windows可通过修改注册表参数启用SYN攻击保护，建议参数如下：

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5； 指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。 配置方法：

在“开始->运行->键入regedit”

启用 SYN 攻击保护的命名值位于注册表项

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。值名称：SynAttackProtect。推荐值：2。

以下部分中的所有项和值均位于注册表项

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称：TcpMaxPortsExhausted。推荐值：5。

启用 SynAttackProtect 后，该值指定 SYN_RCVD 状态中的 TCP 连接阈值，超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpen。推荐值数据：500。

启用 SynAttackProtect 后，指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时，触发 SYN flood 保护。值名称：TcpMaxHalfOpenRetried。推荐值数据：400。

1.11. 屏幕保护

应设置带密码的屏幕保护，建议将时间设定为5分钟。

1.12. 补丁管理

应安装最新的Service Pack补丁集，windows每月发布新增漏洞的安全补丁，应每月及时安装安全补丁。

1.13. 防病毒软件

安装一款防病毒软件，并及时更新病毒库。