1.基本概念
1.网站核心组成:
操作系统 (核心) 数据库 web中间件 web应用程序
2.服务器
是提供计算机服务的设备
具备承担服务并且保障服务的能力
根据服务对象不同,定制的服务不同
3.dos命令
方法一:win+R 调出 运行 ,执行cmd
方法二:在资源管理器中,文件目录下输入 cmd.exe
-
ipconfig
配置并查看网络配置的基本命令
/all显示网络配置的详细信息
/release 释放动态地址(dhcp分配的)
/renew本地计算机请求dhcp服务器
/flushdns 刷新dns解析缓存
-
ping
英特网包探索器,用于测试网络连接量的程序,也可以用于检测网络联通性
-t 不停地ping对方主机
-a将地址解析成计算机名
-l发送数据包大小 默认32字节 上限65535
-i设置TTL的值 ttl值最大值为255
作用是限制ip数据包在计算机网络中的存在的时间
-n发送包的数量
-
dir
是dos操作系统用来查看磁盘中文件的
/A 显示具有指定属性的文件
/B 只显示文件和文件夹的名称和扩展名
/C 显示文件大小中显示千位数分隔符 用/-C来禁用分隔符
/D 按栏分类列出文件和文件夹的名称和扩展名
/P 在每个信息屏幕后暂停,分段显示
/Q 显示文件所有者
/S显示指定目录和所有子目录中的文件
/T 控制显示或用来分类的时间字符域
字母 意义 C 创建时间 A 上次访问时间 W 上次写入时间 -
cd
切换目录
不能用来切换驱动器
驱动器切换 E:
-
net user
对用户进行操作
net user 查看系统下用户 net user 用户名 查看用户的信息 添加xx用户 net user xx /add 删除xx用户 net user xx /delete 停用账户 net user xx /active:no 启用账户 net user xx /active:yes -
systeminfo
获取设备运行情况,了解主机兼容性
-d 不将地址解析成主机名 -h maximum_hops 可以限制搜索目标的最大跃点数,上限是maximum_hops -w timeout参数规定了等待每个回复的超时时间--timeout,单位是毫秒arp
对arp表进行创建,查询和删除
-a: 查询,显示当前arp项 -d: 删除inet_addr指定的主机的ARP表项 -s: 添加主机并且将internet地址inet_addr与物理地址eth_addr相关联 -v: 详细模式下显示当前ARP项 -
netstat
获取包括使用端口在内的网络连接信息
-a: 显示所有连接和侦听端口 -b: 显示每个连接或侦听端口关联的可执行程序 -n: 以数字形式显示地址和端口号,若没有则以域名和服务显示 -o: 显示拥有的与每个连接关联的进程ID,查找占用端口的时候会用到这一参数 -
trace
探查网络结构,检查网络故障点
-d: 指定不将地址解析为计算机名 -h maximum_hops: 指定搜索目标的最大跃点数 -w timeout: 等待每个回复的超时时间(以毫秒为单位) -
telnet
测试映射端口或远程访问主机
2.文件系统基础
1.按用途分
系统文件 用户文件 库文件
2.按数据形式分
源文件 目标文件 可执行文件
3.按存取控制属性分类
只执行文件(该类文件只允许被核准的用户调用执行,既不允许读,更不允许写)
只读文件(该类文件只允许文件主及被核准的用户去读)
读写文件(该类文件允许文件主和被核准的用户去读或写的文件)
4按组织和处理类分类
普通文件 目录文件 特殊文件
3.常见文件系统
FAT文件系统 用 簇 作为数据单元
一个 簇 由一连串的扇区组成,簇所包含的扇区数必须是2的整数次幂。 簇的最大值是64扇区,即32kb。
所有簇从2开始进行编号,每个族都有一个自己的编号
用户文件和目录都存储在簇中
文件系统分配磁盘按照簇进行分配
支持32GB大小磁盘,不支持小于512MB的分区
采用更小的分区 不易崩溃(重新定位根目录和使用FAT的备份副本)
exFAT
扩展FAT,即扩展文件分配表。
目的:为了解决fat32等不支持4G及其更大的文件而推出。是微软专门为闪存设备设计的文件系统,windows xp sp2、windows Vista sp1及其以上系统都支持
分区最大容量64ZB,文件体积最大16EB。簇尺寸可以大到16MB。
exfat别名fat64,适用大于32GB的U盘、SD卡。设计目的是在fat32与NTFS之间取的一个折中,有fat32的轻便、不需要损耗太多效能及记忆体来处理文件运作,又有NTFS的ACL存取控制机制。
三大主流操作系统(linux、Mac、windows)都支持exfat格式。
NTFS
基于安全性的文件系统,建立在保护文件和目录数据基础上,同时照顾节省存储资源、减少磁盘占用量的一种windows NT所采用的独特的文件系统格式。
windows NT 4.0采用NTFS 4.0文件系统
windows 2000采用了更新版本的NTFS文件系统NTFS 5.0
特点:
1.支持大分区
NTS可以支持的MBR分区(如果采用动态磁盘则称为卷)最大可以达到2T8,GPT分区则无限制。而wn 2000中的FA32支持单个分区的大小最大为32G8
2.可恢复的文件系统
NTFS通过使用标准的事物处理日志和恢复技术来保证分区的一致性。发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。
3.支持对分区、文件夹和文件的压缩
支持对分区、文件夹和文件的压缩。任何基于Wncov.的应用程序对NTFS分区上的压缩文件进行读写时不需要事先由其他程序进行解压缩,当对文件进行读取时,文件将自动进行解压缩;文件关闭或保存时会自动对文件进行压缩。
4.采用更小的簇
当分区的大小在2GE以下时,簇的大小都比相应的FF37簇小;当分区的大小在2GE以上时(2G3~2TB),簇的大小都为4KB。相比之下,NFS可以比FF32更有效地管理磁盘空间,最大限度地避免了磁盘空间的浪费。
5.可以为共享资源、文件夹以及文件设置访问许可权限
许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。另外,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作。
6.可以进行磁盘配额管理
磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限割,每一用户只能使用最大配额范围内的磁盘空间.设置磁盘配额后,可以对每一个用户的磁盘使用情况进行跟踪和控制,通过监测可以标识出超过配额报譬阈值和配额限制的用户,从而采取相应的措施。
7.变更日志
NTFS使用一个变更"日志来职踪记录文件所发生的变更.
NTFS与exFAT的区别
exfat NTFS
适用范围 适合于闪存盘(U盘) 适合于闪存盘(机械硬盘、固态硬盘)
支持最大空间 最大支持16EB(目前256GB) 最大支持256TB(MBR)
安全性 微软专为闪存设备设计的文件系统兼容性好 安全性和易用性、稳定性好
使用范围 U盘等移动设备首选,使用寿命长 U盘不建议使用NTFS,会大幅度缩短寿命
使用系统 windows、Linux、Mac均可适用 除windows不可直接使用,需借助第三方软件才可写入ntfs文件系统
访问控制的基本原理
通过访问控制列表,控制用户访问
NTFS安全权限的基本特性
权限继承 权限累加 拒绝优先
权限设置:
选定文件夹,鼠标单击属性,在安全里设置
UDF 通用光盘
4.本地用户和组及其设置
1.本地账户
SERVER系统安装后存在两个默认账户 administrator和guest
administrator 属于该用户本地组内的用户,都具备系统管理员权限,有对这台计算机最大控制权限
默认下,administrator中的用户对计算机/域有不受限制的完全访问权
guests 该组内是没有用户信息,但需要访问本地计算机内资源的用户使用,无法改变永久改变其桌面环境等
默认禁用Guest账户。但可以启用,建议将其保持禁用状态
可以像任何用户账户一样设置Guest账户的权限
Guest账户默认是默认的Guest组成员,该组允许用户登陆计算机,其他权利及任何权限都必须由管理员组中的成员授予Guest组
Guest用户是在这台计算机上没有实际账户的人使用。如果某个用户的账户已被禁用,但还未删除,那该用户也可以使用Guest账户
Guest账户不需要密码
User
该组员只拥有一些基本权利
所有添加的本地用户自动属于该组
Remote Desktop User
该组的成员可以通过远程计算机登陆,例如,利用终端服务器从远端计算机登陆
Event log readers
该组成员可以从本地计算机中读取事件日志
Administrator用户
该账户是计算机管理员组的成员
默认下,该账户处于禁用状态
当它在启用状态下,该账户具有对计算机完全控制权限,并根据需要向用户分配权利和访问控制权限。该账户必须仅用于需要管理凭据的任务。
强烈建议将此账户设置为强密码
永远**不可以**从管理员组删除administrator账户,但可以重命名或禁用该账户
Remote Desktop Users组
连接:其他计算机可使用remote desktop users组账户进行远程桌面连接
大小:权限小于users组账户,但高于guests组账户
属性:可以访问“网络和共享中心”,但无法查看并修改连接属性
防火墙:无法关闭防火墙或修改防火墙策略
登录:组内账户如果没有加入其他组或在用户权限分配中改变权限,则无法在本地登录
Remote Desktop Users应用
作用:保障远程桌面服务的安全运行
一旦赋予administrator组远程桌面的权限,就像是为入侵者省略了提权的步骤
相对于改变用户组权限,将需要连接远程桌面的用户分到该组,是一种更加安全的方式
2.域账户
可以利用域账户登陆域,并利用它访问网络资源
当用户利用域用户账号登陆时,由域控制器来检查用户所输入的账号和密码是否正确
6.本地安全策略
密码策略 账户锁定策略
决定事项 决定密码的设置,如强制性和期限 决定系统锁定账户的时间,以及锁定谁的账户
密码必须符合复杂性要求 账户锁定阀值
密码长度最小值 账户锁定时间
子集 密码最短使用期限 复位账户锁定计数器
强制密码历史
用可还原的加密来储存密码
密码策略:
操作系统进行身份验证最常用的方法为:机器密码
密码复杂度:
不能包含用户的账户名,不能包含用户姓名中超过两个连续的部分
至少有六个字符
包含四类中的三类字符:大小写、符号、数字
密码最短使用期限
1~998天 0 -》立即修改密码
大于密码最长使用期限=》密码永不过期
密码最长使用期限
这一策略决定在系统要求用户更改某个密码之前可以使用原密码的最长天数
若密码最长使用期限介于1~999天之间,密码最短使用期限必须 小于 密码最长使用期限
将密码设置在1~999天后到期,或将天数设置为0,指定密码 永不过期
若密码最长期限设置为0,则可以将密码最短期限设置为介于0~998天之间的任何值
账户锁定时间 范围0~99999分 0=》一直被锁,知道管理员解锁
重置账户锁定计数器
该策略,决定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间
可用范围是1~99999分钟
若定义账户锁定阈值,此重置时间必须 小于或登录 账户锁定时间
用户权限分配
两种类型的用户权限: 登录权限和特权
登录权限
特权
允许本地登录
关闭系统
从网络访问此计算机
安全选项
设置示例交互式登录
交互式登录
网络访问
7.系统日志安全
日志分类
日志路径system32\winevtLogs\下
应用程序日志(Application.evtx) 系统日志(system.evtx) 安全日志(security.evtx)
故障排查 攻击分析
系统日志
驱动程序 系统组建 应用崩溃 数据丢失错误
应用日志
记录程序错误 开发人员自定义 处理程序调试
安全日志
登陆日志 对象访问日志 进程追踪日志 特权使用 账号管理 策略变更
日志策略启用
开始-》管理工具-》本地安全策略-》本地策略-》策略审核,参考配置操作:
日志查看方式
方法一:开始-》所有程序-》管理工具-》事件查看器
方法二:window+R 输入eventvwr.msc
常见的事件分析
事件ID 说明
4624 登录成功
4625 登录失败
4634 注销成功
4647 用户启动的注销
4672 使用超级用户(如管理员)进行登录
4720 创建用户
登录类型 描述 说明
2 c (lnteractive) 用户在本地进行登录。
3 网络(Network) 最常见的情况就是连接到共享文件夹或共享打印机时。
4 批处理(Batch) 通常表明某计划任务启动。
5 服务(Sorvice) 每种服务都被配置在某个特定的用户账号下运行。
7 解锁(Unlock) 屏保解锁。
8 网络明文(NetworkCleartext) 登录的密码在网络上是通过明文传输的,如FTP。
9 新凭证(NewCredential 使用带/Netonly参数的RUNAS命令运行一个程序
10 远程交互,(Remotelnter activo)通过终端服务、远程桌面或远程协助访问计算机。
11 缓存交互(Cachedilnteractive) 以一个域用户登录而又没有域控制器可用
日志分析工具
LogParser Lizard 图形化界面 简单
Event Log Explorer 查看,监视,分析跟踪事件记录 过滤(强大)
8.注册表安全
注册表作用:
存储系统重要信息:外设 驱动程序 软件 用户记录
修改注册表改变系统配置:系统进行限制,优化 禁止用开始菜单 、控制面板
在system32/config下
主键:用户定义主键和系统定义主键
主键和子健都不带数据
类似目录结构存在
子键:用户定义子健和系统定义子健
作为别的定义项的子目录
主键(父键)和子键是一个相对的概念,不是绝对概念
值:包含配置体系实际数据键值有多个种类
注册表键值
二进制:没有长度限制的以十六进制的方式显示
DWORD值:32位长度的数值以十六进制的方式显示
字符串值:通常它是由字母和数字组成文件的描述、硬件的标识等
值由名称、数据类型和分配的组组成
一个值的名称为空,则该值为该键的默认值
注册表的五个一级分支:
HKEY_CLASSES_ROOT 存储windows可识别的文件类型的详细列表,及相关联的程序
HKEY_CURRENT_USER 存储当前用户设置的信息
HKEY_LOCAL_MACHINE 包括安装在计算机上的硬件和软件的信息
HKEY_USERS 包含使用计算机的用户信息
HKEY_CURRENT_CONFIG 这个分支包含计算机当前的硬件配置信息
使用reg命令,恢复注册表
9.身份鉴别
SID 是用户的唯一标识
更改缺省账户
对于管理员账号,要求更改缺省administrator账户名称
配置方法:进入控制面板-》管理工具-》计算机管理-》系统管理-》本地用户和组-》用户-》重命名administrator
检查guest用户是否禁用
禁用guest(来宾)账号
配置方法:进入控制面板-》管理工具-》计算机管理-》系统工具-》本地用户和组-》用户-》guest账号-》属性-》设置已停用
账户相关命令
net user xx 查看账户xx的详细信息
net user xx xxx /add[del] 创建[删除]账号xx,密码xxx
net localgroup administrators xx /add[del] 把xx加入[退出]管理员
net localgroup xx /add[del] 新建[删除]组admin
net user xxx /active:yes[no] 启用[停用]账户xxx
密码复杂性要求
启用密码必须符合复杂性要求
配置方法:进入控制面板->管理工具>本地安全策略>帐户策略->密码策略>密码必须符合复杂性要求>属性:启用启用密码必须符合复杂性要求
账号锁定时间
设置账号锁定时间不小于1分钟
配置方法:进入控制面板>管理工具>本地安全策略->帐户策略->账号锁定策略>账号锁定时间->属性>设置账号锁定时间为大于等于1分钟,设置为0表示永远不会被锁定
10.访问控制(授权&共享)
配置方法
进入控制面板-》管理工具-》服务器管理-》配置-》本地用户和组
远程关机授权
配置方法
进入控制面板-》管理工具-》本地安全策略-》本地策略-》用户权限分配:从远程系统强制关机-》设置为"只指派给administrator组"【2008默认开启】
本地关机
进入“控制面板-》管理工具-》本地安全策略”,在“本地策略-》用户权利分配”:查看“关闭系统”设置
windows文件权限特性
权限的优先顺序:
每种权限都有"允许"和"拒绝"两种设置方法。权限的来源有"直接设置"和"继承"两种。
如果权限的设置出现矛盾,系统按下面的优先顺序确定权限:直接设置的拒绝→直接设置的允许→继承的拒绝→继承的允许
移动、复制对权限继承性的影响:
1.在同一分区内移动文件或文件夹,权限保持不变。在不同分区间移动文件
或文件夹,权限继承新位置的权限。
2.复制文件或文件夹,权限会继承新位置的权限。
3.把文件或文件夹移动或复制到FAT分区中时权限会丢失。
文件权限指定
配置方法:
进入“控制面板~>管理工具·>本地安全策略”,在"本地策略->用户权利指派"∵查看"取得文件或其它对象的所有权"设置为只指派给"Administrators""组。
授权账户登陆
配置方法:
进入“控制面板~>管理工具->本地安全策略",在"本地策略->用户权利指派"∵从本地登陆此计算机"设置为"指定授权用户”.
授权账户从网络访问
配置方法:
进入“控制面板~>管理工具->本地安全策略",在"本地策略->用户权利指派"∵从本地登陆此计算机"设置为"指定授权用户”.
共享与cmd命令
net share: 文件或目录相关设置
默认共享:
1. IPC$(Internet Process Connection)可以被理解为一种"专用管道",可以在连接双方建立一条安全的通道,
实现对远程计算机的访问。windows NT/20oO/xP提供了IPCs功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(CS,Ds,E...和系统目录(ADMINS)共享。
2所有这些共享的目的,都是为了方便管理员的管理,只要服务器服务"Server"正在运行当中,就不可能
删除IPC$。试图删除只会出现"拒绝访问”的错误提示。当你停止了Server服务后。IPC$会自动消失。但在有意无意中,导致了系统安全性的隐患。
3.默认共享不是个漏洞。造成安全隐患的并不是默认共享本身。而是系统使用者本身。
关闭默认共享
安全基线项说明
非域环境中,关闭windows硬盘默认共享,例如C$,D$。
配置方法:
进入"开始->运行->Regedit",进入注册表编辑器,查看在HKEY_LOCAL_MACHINE
lSystem\CurrentControlSet\Services\LanmanServer\Parametersl下,增加REG_DwORD类型的AutoShareServer键,值为0。
共享文件夹授权访问
安全基线项说明:
查看每个共享文件夹的共享权限,只允许授权的帐户拥有权限共享此文件夹
配置方法:
进入"控制面板-~管理工具>计算机管理",进入"系统工具->共享文件夹":查看每个共享文件夹的共享权限,只将权限授权于指定帐户。不设置成为"everyone""。
NTP服务
安全基线项说明
Windows Time服务设为已启动
配置方法
控制面板->管理工具->服务->开启时间服务
11.安全审计
windows日志文件默认位置C:\Windows\System32\config
1.安全日志文件 system32\config\secevent.EVT
2.系统日志文件 system32\config\sycevent.EVT
3.应用程序日志文件 system32\config\Appevent.EVT
4.FTP连接和httpd事务日志 system32\logfiles\
用户登录日志记录
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地。
配置方法:
开始>运行->执行^控制面板->管理工具>本地安全策略->审核策略"审核登录事件,双击,查看是否设置为成功和失败都审核
系统日志完备性检查
配置方法
控制面板-~管理工具->本地安全策略->本地策略~>审核策略->每项都设置>"成功"和"失败""审核需要配置的策略
12.资源控制
服务
net
进程
一个进程包含许多服务
端口和进程
netstat -an0 查看端口和对应进程
Tasklist 查看进程列表
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-heVByEEj-1638254251425)(C:\Users\huashuo\AppData\Roaming\Typora\typora-user-images\image-20211112165110529.png)]](https://i-blog.csdnimg.cn/blog_migrate/56dc8e294b273eaa6ca4acf3a146742d.png)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pz2c3skS-1638254251426)(C:\Users\huashuo\AppData\Roaming\Typora\typora-user-images\image-20211112165038121.png)]](https://i-blog.csdnimg.cn/blog_migrate/17e61acd97cb5c6d9a9f5aac1815c88a.png)
13.入侵防范
修复漏洞-WSUS 更新
数据执行保护
对于windows XP SP2及windows 2003 Server对windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)。防止在受保护内存位置运行有害代码。
检测操作步骤
进入控制面板–>系统",在高级"选项卡的“性能下的“设置"。进入“数据执行保护"选项卡。查看”仅为基本windows操作系统程序和服务启用DEP".
启用SYN攻击保护
指定触发sYn洪水攻击保护所必须超过的TcP连接请求数阀值为5;指定处于SYN_RCvo状态的TCP连接数的阈值为500;指定处于至少已发送一次重传的SYN_RCvo状态中的TCP连接数的阈值为400.
检测操作步骤:版本: windows 2003 Server、Window XP、Windows 7
在"开始->运行->键入regedit""查看注册表项
14.恶意代码防范
恶意代码种类
计算机病毒、网络蠕虫、特洛伊木马、漏洞利用、流氓软件、下载器
恶意代码攻击技术
进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术、缓冲区溢出技术、网络隐藏技术
及早发现系统异常
系统重新启动:系统日志记录、系统运行时间、网络连接时间
安全产品:入侵检测系统、防火墙、天擎
系统资源减少:进程占用大量CPu时间、进程消耗大量物理内存、磁盘空间减少
网络流量异常:发送或接收大量的SYN数据包、发送或接收大量ICMP数据包、其他流量《BT协议流量、FTP协议流量)
其他途径:管理员询问、残缺日志
系统信息、运行命令
查看系统版本 ver
查看系统信息、补丁数目 systeminfo
查看共享情况 Net share
查看主机名 hostname
查看用户 net user
查看用户组、SID whoami /user
查看开放端口 netstat -ano
桌面 explorer
控制面板 control
本地安全策略 secpol.msc
组策略 gpedit.msc
注册表 regedit
开机启动 msconfig
本地用户和组 lusrmgr.msc
事件查看器 eventvwr
查看共享 fsmgmt.msc
计算机管理 compmgmt.msc
磁盘管理 diskmgmt.msc
服务管理 services.msc
防火墙 firewall.cpl
网络连接 ncpa.cpl
添加删除程序 appwiz.cpl
15.剩余信息保护
不显示上次的用户名
检查是否启用不显示上次的用户名
配置方法:进入控制面板>管理工具->本地安全策略->安全选项->启用不显示上次的用户名
关机前清除虚拟内存页面
关闭服务器前,应清除虚拟内存页面,一保护暂存在在缓存中的数据
检测操作步骤
进入"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":选中"关机前清除虚拟内存页面"
不启用可还原的加密来存储密码
目的:防止能够获取明文密码
检测操作步骤
进入"控制面板~>管理工具·>本地安全策略",在账户策略"∵不启用"用可还原的加密来存储密码"
trol
本地安全策略 secpol.msc
组策略 gpedit.msc
注册表 regedit
开机启动 msconfig
本地用户和组 lusrmgr.msc
事件查看器 eventvwr
查看共享 fsmgmt.msc
计算机管理 compmgmt.msc
磁盘管理 diskmgmt.msc
服务管理 services.msc
防火墙 firewall.cpl
网络连接 ncpa.cpl
添加删除程序 appwiz.cpl
## 15.剩余信息保护
不显示上次的用户名
检查是否启用不显示上次的用户名
配置方法:进入控制面板>管理工具->本地安全策略->安全选项->启用不显示上次的用户名
关机前清除虚拟内存页面
关闭服务器前,应清除虚拟内存页面,一保护暂存在在缓存中的数据
检测操作步骤
进入"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":选中"关机前清除虚拟内存页面"
不启用可还原的加密来存储密码
目的:防止能够获取明文密码
检测操作步骤
进入"控制面板~>管理工具·>本地安全策略",在账户策略"∵不启用"用可还原的加密来存储密码"
965
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
