信息安全管理2资料

1、 信息安全管理(gunl)（二）共六十六页一、容灾与数据备份容灾就是减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为。容灾的目的和实质就是保持信息系统的业务(yw)持续性，将灾难损失降到可容忍的范围。容灾方案需要考虑的要点：灾难的类型(lixng)恢复时间恢复程度实用技术成本共六十六页容灾等级(dngj)第0级本地冗余备份，投资少，技术简单，但原始数据和备份数据可能一起被毁第1级数据介质转移，数据异地存放，安全保管，但无备用系统，会丢失部分数据第2级应用系统冷备，数据异地存放，有备用系统，系统硬件冷备份，会丢失部分数据第3级数据电子传送，使用网络传输技术，自动异地备份

2、，提高备份频率第4级应用系统温备，备份系统处于活动状态，数据恢复达到小时级第5级应用系统热备，系统镜像，同步更新，灾难(zinn)发生时需要人工切换，数据恢复达到分钟级第6级数据零丢失，在线实时镜像，作业动态分配，自动切换共六十六页共六十六页数据备份数据备份是指为了防止出现因自然灾害、硬件故障、软件错误(cuw)、认为误操作等造成的数据丢失，而将全部或部分原数据集合复制到其他的存储介质中的过程。当数据丢失或被破坏时，结合其他恢复工具，原数据可以从备份数据中恢复出来。数据备份策略完全备份：每隔一段时间对系统进行一次全面备份增量备份：先对系统进行一次完全备份，然后每隔一段时间进行一次备份，仅仅(j

3、njn)备份在这个期间更改的内容累计备份：备份从上次进行完全备份后更改的全部数据文件混合应用：设立备份周期，结合不同备份方式的特点，制定策略。备份策略设计周一：完全备份周二：增量备份周三：增量备份周四：增量备份周五：累计备份周六：增量备份周日：增量备份共六十六页常用的数据备份技术1、NAS，作为以太网文件服务器，提供文件级数据访问2、远程镜像技术，又叫远程复制(fzh)，产生同一个数据的镜像视图3、快照技术，在远程存储系统中产生多个逻辑备份4、IP SAN，建立高速子网提供高性能存储环境，可实现动态数据块存储。共六十六页1、批处理命令实现备份固定路径的备份：md c:%date%xcopy d

4、:1 c:%date% /e/y/c说明：Md 新建文件夹Data 当前日期XCOPY source destination 参数/y /e source 指定要复制的文件。 destination 指定新文件的位置和/或名称(mngchng)。 /e 复制目录和子目录，包括空的。 /y 禁止提示以确认改写一个现存目标文件。 /c 即使有错误，也继续复制。共六十六页2、利用SuperFlexible软件备份数据同步文件备份工具。用于在不同位置PC、笔记本电脑和服务器之间备份数据或同步文件支持定时自动备份。可同步文件、支持多配置文件、检测删除的文件、支持计划运行、可用邮件通知、支持完全镜像模式备

5、份、可安全备份数据库文件、支持备份一个文件的多个版本、支持日志、支持备份超过64GB的文件。练习：1、d:a与e:b之间测试各种( zhn)备份方式，如完全备份、增量备份、累计备份、删除文件同步等。2、 d:a与9(io)之间测试网络备份3、根据需要制定一个合适需求的7天的混合备份策略，并用SuperFlexible实现。共六十六页数据灾难(zinn)恢复数据的灾难恢复(huf)是在计算机发生意外故障时，使硬盘上的文件信息丢失的故障降到最低，为了提高灾难恢复(huf)的成功率，我们在平时使用电脑时应注意一下几点：1、重要的资料归档分类2、数据存储在硬盘分区的后面几个分区，系统盘读写频繁，容易损

6、坏，恢复困难3、定期备份 ，最好能做到异地网络备份共六十六页数据(shj)存储原理及硬盘分区硬盘是计算机中最重要的数据存储设备，计算机的操作系统、应用软件、驱动程序、数据资料都保存在硬盘中。硬盘的外部结构包括接口、控制(kngzh)电路板和外壳。硬盘接口分为IDE、SATA、SCSI和光纤通道四种。共六十六页1、硬盘的内部结构共六十六页2、硬盘工作原理： 硬盘读写期间，硬盘磁头通常在硬盘盘面上进行读写数据的操作，磁头本身悬浮于盘片上方，与盘片的距离在0.3微米以内，当运行(ynxng)期间驱动器发生物理震动时，驱动器磁头和驱动器盘面可能会直接发生接触，从而造成数据丢失，甚至形成物理坏道，造成硬

7、盘损坏。所以硬盘的损坏通常来自于硬盘的物理震动，发生在硬盘进行读写操作时。 对于用户来说个人数据安全非常重要，很多数据是不能丢失的，毫不夸张地说，硬盘上存储的数据的价值甚至要超过电脑本身。因此，“安全性”理所当然地成为电脑的重点。共六十六页3、硬盘分区分区后将硬盘分成主引导扇区、操作系统引导扇区、FAT表、DIR目录区和Data数据区五部分。 其中主引导扇区MBR在一个硬盘中是是唯一的，MBR区的内容只有在硬盘启动时才读取其内容，然后驻留内存。其它4部分则根据(gnj)硬盘分区的多少而异。 主引导扇区MBR位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR（Main Boot Reco

8、rd）和分区表DPT（Disk Partition Table）。其中主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导分区，并在程序结束时把该分区的启动程序（也就是操作系统引导扇区）调入内存加以执行。 共六十六页操作系统引导扇区OBR（OS Boot Record），通常位于(wiy)硬盘的0磁道1柱面1扇区（对于多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区），是操作系统可直接访问的第一个扇区，它也包括一个引导程序和一个被称为BPB（BIOS Parameter Block）的本分区参数记录表。文件分配(fnpi)表FAT(File Allocation Tab

9、le) ，是DOS/Win9x系统的文件寻址系统。共六十六页 目录区DIR是Directory即根目录区的简写，DIR记录着每个文件（目录）的文件名，扩展名，起始单元（这是最重要的）、文件的属性，大小，创建日期，修改日期等住处内容。操作系统在读写文件时，根据DIR中的起始单元，结合FAT表就可以知道文件在磁盘的具体位置，然后顺序读取每个簇的内容就可以了。 数据区DATA是真正意义上的数据存储区，DATA虽然占据了硬盘的绝大部分空间，但没有了前面的各部分，它对于我们来说只能是一些没有任何意义的二进制代码。我们通常所说的格式化程序Format，并没有把DATA区的数据清除，只是重写了FAT表而已，

10、至于硬盘分区，也只是修改了MBR和OBR，绝大部分的DATA区的数据并没有被改变，这也是许多硬盘数据能够得以修复的原因。 如果(rgu)你经常整理磁盘，那么你的数据区的数据可能是连续的，这样即使MBR/FAT/DIR全部坏了，我们也可以使用数据恢复软件如Finaldata，只要找到一个文件的起始保存位置，就可以恢复了。共六十六页硬盘分区表损毁 如果电脑在进行磁盘整理或者其他需要大量磁盘读写过程的操作的时候，突如其来的断电有很大可能(knng)会产生分区表损坏，造成硬盘所有分区信息丢失，无法进入操作系统，更严重的是由于FAT表被破坏，文件起始地址无法查找，所有数据都不能访问。如果硬盘数据不重要的

11、话，只要重新分区并格式化，硬盘就可以重新使用了；但是，如果里面有比较重要的数据，怎样在保存系统和数据的情况下解决这个问题呢？ 我们可以用DiskMan这个软件去自动修复分区表。该软件采用图形界面，以图表的形式揭示了分区表的详细结构。具有分区表重建功能，能自动恢复被破坏的分区表； 还可以备份包括逻辑分区表及各分区引导记录在内的所有硬盘分区信息。共六十六页共六十六页常见Raid 故障及可恢复性分析 1、软件故障： a突然断电造成RAID磁盘阵列卡信息的丢失的数据恢复。 b重新配置RAID阵列信息，导致的数据丢失恢复。 c如果磁盘顺序出错，将会导致系统不能识别数据。 d误删除、误格式化、误分区、误克

12、隆、文件解密、命毒损坏等数据恢复工作。 2、硬件损坏： araid一般都会有几块硬盘，其中某一块(y kui)硬盘出现损坏，数据将无法读取。 braid出现坏道，导致数据丢失，这种恢复成功率比较大。 c如果硬盘同时出现两块以上的损坏，恢复工作非常复杂，成功率比较低。RAID故障注意事项 1、数据丢失(dis)后，用户千万不要对硬盘进行任何操作，将硬盘按顺序卸下来，用镜像软件将每块硬盘做成镜像文件，留下备份盘。 2、不要对Raid卡进行Rebuild操作，否则会加大恢复数据的难度。 3、标记好硬盘在Raid卡上面的顺序。 4、一旦出现问题，可以拨打专业数据恢复中心的咨询电话找专业工程师进行咨询，

13、切忌自己试图进行修复，除非你确信自己有足够的技术和经验来处理数据风险。上海数据恢复中心联系电话：800-8199166六十六页FinalData V2.0 超级数据恢复工具,其特性功能包括：支持(zhch)FAT16/32和NTFS，恢复完全删除的数据和目录，恢复主引导扇区和FAT表损坏丢失的数据，恢复快速格式化的硬盘和软盘中的数据，恢复CIH破坏的数据，恢复硬盘损坏丢失的数据，通过网络远程控制数据恢复等等。在Windows环境下删除一个文件，只有目录信息从FAT或者MFT（NTFS）删除。这意味着文件数据仍然留在你的磁盘上。所以，从技术角度来讲，这个文件是可以恢复的

14、。FinalData就是通过这个机制来恢复丢失的数据的，在清空回收站以后也不例外。另外，FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下，如果目录结构(jigu)被部分破坏也可以恢复，只要数据仍然保存在硬盘上。数据恢复工具RecoverMyFiles可根据文件类型快速恢复数据共六十六页恢复步骤：1）、选择分区，扫描分区目录表，检测出已删除的文件2）、定义恢复文件的簇大小(dxio)，1Mb256个簇3）、将文件保存到其他分区共六十六页数据恢复练习：1、在d:新建一个(y )word文件，输入一些字符后保存。将这个文件删除，并清空回收站。利用finalda

15、ta 恢复这个文件到c:。利用RecoverMyFiles恢复。2、对d:进行格式化利用finaldata 恢复原来d盘的文件到c: 。利用RecoverMyFiles恢复共六十六页数据库创建、备份、恢复和调用以SQl2000为例一、1、建立一个数据库abc，创建一个含有(hn yu)id和name字段的数据表123，添加几条记录 2、制作备份abc.bak，然后删除数据库abc 3、新建数据库abc，将备份还原到数据库上，查看数据表中的记录 4、建立一个定时备份的维护计划，每天23点定时备份。二、新建一个数据库，名字任意，将一个外部备份文件还原到这个数据库上。查看数据表字段，观察SQL注入攻

16、击型态。共六十六页Sqlserver数据库备份(bi fn)共六十六页数据库自动(zdng)备份必须要启动Task Scheduler服务共六十六页二、操作系统(co zu x tn)安全设置操作系统主要负责处理器管理、存储管理、文件管理、设备管理和作业管理。一般分为(fn wi)内核（Kernel）和壳（Shell）操作系统安全要素：用户认证存储器保护文件和I/o设备的访问控制共享的实现内部进程通信同步共六十六页硬件(yn jin)硬件(yn jin)抽象层（HAL）I/O管理器微 内 核对象管理器安全引用监视器本地过程调用程序进程管理器虚拟内存管理器图形设备管理器即插即用管理器电源管理器配

17、置管理器缓存管理器安全子系统（LSA）Win32子系统其他子系统（Posix，RAS）登录过程（Winlogon）DOS 客户Win32 客户其他客户（Posix，RAS）Win16 客户WOWVDM内核模式（0GB |2GB）用户模式（2GB |4GB）Windows 2000系统结构共六十六页基本功能调度线程执行在线程之间切换设备环境捕获并处理中断和异常对内核对象的管理在处理器之间负责同步（在多处理器系统中）内核进程的特性内核的执行除了中断服务例程(ISR)外，不会被其他线程所抢先内核的大部分代码和数据不会被调页到物理RAM之外内核和执行体（对象管理器、内存管理器等统称为执行体）的关系：两

18、者都在文件(wnjin)C:WINNTSYSTEM32NTOSKRNL.EXE中实现执行体具有相对较高的级别内核不能从用户模式调用，其功能是通过执行体来从用户模式下访问的操作系统(co zu x tn)微内核共六十六页名称模块所实现的位置模式何时被启动/被加载由谁启动HAL.DLL硬件抽象层N/A系统启动时SYSTEMNTOSKRNL.EXE内核和执行体内核系统启动时SYSTEMKERNEL32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMGDI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMUSER32.DLLWIN32子系统.DLLN/A系统启动时SYSTEM

19、ADVAPI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMSMSS.EXE会话管理器用户系统启动时SYSTEMWIN32K.SYSWIN32的内核模式部分内核系统启动时SMSS.EXECSRSS.EXE用户模式进程用户系统启动时SMSS.EXEWINLOGON.EXEWindows登录进程用户系统启动时SMSS.EXELSASS.EXE本地安全性鉴别子系统用户系统启动时WINLOGON.EXEMSGINA.DLL缺省GINAN/A系统启动时WINLOGON.EXESERVICES.EXE服务控制器用户系统启动时WINLOGON.EXENTDLL.DLL支持函数和到执行体的接口

20、NA系统启动时SMSS.EXEOS2SS.EXEOS/2子系统进程用户根据需要SMSS.EXEPSXDLL.DLLPOSIX子系统.DLLNA根据需要SMSS.EXEPSXSS.DLLPOSIX子系统进程用户根据需要SMSS.EXEWindows重要(zhngyo)的系统文件共六十六页硬件(yn jin)硬件(yn jin)抽象层（HAL）I/O管理器微 内 核对象管理器安全引用监视器本地过程调用程序进程管理器虚拟内存管理器图形设备管理器即插即用管理器电源管理器配置管理器缓存管理器安全子系统（LSA）Win32子系统其他子系统（Posix，RAS）登录过程（Winlogon）DOS 客户Win

21、32 客户其他客户（Posix，RAS）Win16 客户WOWVDMWindows 子系统与文件的对应关系对应文件 NTOSKRNL.EXE对应文件HAL.DLLKERNEL32.DLLGDI32.DLLUSER32.DLLADVAPI32.DLLWIN32K.SYSPSXSS.DLLPSXDLL.DLLLSASS.EXE共六十六页NT/Win2000启动(qdng)所需文件： Ntldr这是一个隐藏的，只读的系统文件，用来装载操作系统Boot.ini这是一个只读的系统文件，用来在基于Intelx86的计算机上建立启动装载操作系统选择菜单的文件Bootsect.dos这是个隐藏的系统文件，如果

22、另外的操作系统被选择，则被Ntldr装载到内存。 N这是个隐藏的，只读系统文件，用于检测可用的硬件并建立一个硬件列表Ntbootddd.sys这个文件仅被从SCSI磁盘启动的系统使用。NT/Win2000共同的启动序列文件是： Ntoskrnl.exeWindowsNT的内核System这个文件是系统配置设置的集合。Devicedrivers这些是支持各种设备驱动器的文件 Hal.dll硬件抽象层软件 WINDOWS 系统启动所需的文件(wnjin)共六十六页NT/Win2000启动序列如下： 电源自检程序开始运行 主引导记录被装入内存，并且程序开始执行 活动分区的引导扇区被装入内存 Ntld

23、r从引导扇区被装入并初始化 将处理器的实模式改为32位平滑内存模式Ntldr开始运行适当的小文件系统驱动程序。小文件系统驱动程序是建立在NTLDR内部的，它能读FAT或NTFS。Ntldr读boot.ini文件 Ntldr装载所选操作系统*如果WindowsNT被选择，Ntldr运行N *对于其他的操作系统,Ntldr装载并运行Bootsect.dos然后向它传递控制. windowsNT过程结束. N搜索计算机硬件并将列表传送给Ntldr,以便将这些信息(xnx)写进HKE Y_LOCAL_MACHINEHARDWARE中.然后Ntldr装载Ntoskrnl.exe,Hal.dll和系统信息

24、集合Ntldr搜索系统信息集合,并装载设备驱动配置以便设备在启动时开始工作 Ntldr把控制权交给Ntoskrnl.exe,这时,启动程序结束,装载阶段开始 WINDOWS 系统启动的过程(guchng)共六十六页基本的系统进程smss.exe 会话管理器csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe本地安全性鉴别子系统。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便(ybin)迟后打印。(系统服务) explorer.exe 资源管理器 int

25、ernat.exe 输入法 Windows 基本(jbn)的系统进程共六十六页操作系统术语：句柄：用来惟一标识资源(例如文件中注册表项)的值，以便程序可以访问它。 线程Threads ：被系统独立调度和分派资源的基本单位。线程允许在进程中进行并发操作，并使一个进程能够在不同处理器上同时运行其程序的不同部分。进程Processes ：一个可执行程序或者一种服务在计算机上的一次执行活动。 当你运行一个程序，你就启动了一个进程，系统首先(shuxin)为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。 一个进程可以包含若干线程，这些线程可以帮助应用程序同时做几件事，提高运行

26、效率。共六十六页基本系统进程：（其中System和*SS.EXE运行在纯内核态，无法结束）Csrss.exe：子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。Smss.exe：会话管理子系统，负责启动用户会话。Lsass.exe：本地的安全授权服务，管理 IP 安全策略以及启动IKE和 IP 安全驱动程序。Services.exe：系统服务的管理工具。Explorer.exe：资源管理器。Svchost.exe：系统启动的时检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个DLL文件正在调

27、用它。winlogon.exe 管理用户登录 System Idle Process：空闲(kngxin)进程，作为单线程运行在每个处理器上并在系统不处理其它线程的时候分派处理器的时间。Spoolsv.exe：管理缓冲区中的打印和传真作业。共六十六页常见(chn jin)病毒进程Avserve.exe 震荡波病毒Diagcfg.exe 广外女生木马lexpl0re.exe 恶邮差病毒Rundll32.exe 狩猎者病毒 Runouce.exe 中国黑客病毒Kernel32.exe 冰河木马Krn132.exe 求职信病毒Load.exe 尼姆达病毒Msblast.exe 冲击波病毒wgavm.

28、exe魔鬼(mgu)波Fujacks.B熊猫烧香病毒共六十六页组策略 gpedit.msc组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具(gngj)。通过使用组策略可以设置各种软件、计算机和用户策略。组策略对本地计算机可以进行两个(lin )方面的设置：本地计算机配置和本地用户配置。所有策略的设置都将保存到注册表的相关项目中。对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。这里的“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都

29、起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。共六十六页组策略的应用(yngyng)1、禁止访问“控制面板”如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开“本地计算机策略用户配置管理模板控制面板”分支，然后将右侧窗口的“禁止访问控制面板”策略启用即可。查看注册表，找到键值与组策略的关系HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer下的NoControlPanel2、 禁止访问注册表编辑器 防止他人修改你的注册表，可以在组策略中禁

30、止访问注册表编辑器，展开“用户配置”“管理模板”“系统”，然后找到并双击“阻止访问注册表编辑器”项，并将其设置为“已启用”，这样(zhyng)用户在试图启动注册表编辑器时，系统将提示：注册编辑已被管理员停用。 共六十六页3、安全日志审核 Windows的默认(mrn)安装是不开任何安全审核的，我们可以审核登录尝试、系统关闭或重新启动以及类似的事件，展开 “计算机配置Windows设置安全设置本地策略审核策略”，设置相应的审核,如登陆失败。下面的这些审核是必须开启的，其他的可以根据需要增加： 策略 设置 审核系统登陆事件 成功(chnggng)，失败 审核帐户管理 成功，失败 审核对象访问 成功

31、 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 共六十六页Windows 的日志(rzh)系统类型Windows有三种类型的事件日志：系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认(mrn)状态是关闭的。共六十六页日志在系统(xtng)的位置是：%SYSTEMROOT%system32configSysEvent.Evt%SYST

32、EMROOT%system32configSecEvent.Evt%SYSTEMROOT%system32configAppEvent.EvtLOG文件在注册表的位置是：HKEY_LOCAL_MACHINESystemCurrent Control SetServicesEventlog Windows 日志系统的存放(cnfng)位置共六十六页微软管理(gunl)控制台MMCMMC是一个集成管理的工作平台，通过它可以创建、保存或打开系统管理工具，从而管理计算机的、软件和 系统的网络组件，以及进行系统的维护。MMC 本身并不执行管理功能，它只是集成众多的管理工具，接纳并管理执行各种系统功能的工

33、具。通过选择(xunz)GPE插件来打开各种工具。MMC 控制台的界面由两个窗格组成，左边是控制台的目录树，在此显示控制台目前可用的项目，右边的窗格是详细资料窗格，当在树目录下选择某选项时，此窗格将显示相应详细信息，改变左边的选项，右边的详细资料发生相应的改变共六十六页向控制台树添加项目 要向控制台树添加项目，可以使用 MMC 主工具栏上“文件”菜单中的“添加/删除管理单元”命令。 在“添加/删除管理单元”对话框中，“管理单元添加到”决定要添加的新项目位于控制台树上的哪个项目下面，默认值是“控制台根节点”。 可以单击“管理单元添加到”中的项目来定位控制台树之外的对象。 在桌面建立控制台mmc1

34、，要求包含本地用户和组、服务、事件(shjin)查看器、本地计算机策略等单元共六十六页系统帐户(zhn h)管理一、Windows用户帐户类型域用户帐户：存储在域控制器的Active Directory数据库内。用户可以利用(lyng)域用户帐户登录域，并利用(lyng)强访问网络上的资源。如：访问域中其他计算机内的文件、打印机等资源。本地用户帐户：是创建在非域控制器的“本地安全帐户数据库”内。用户可以利用本地用户由帐户登录该帐户所在的计算机，只能够访问这台计算机内的资源，无法访问网络上的资源。如果要访问其他计算机内的资源，则必须输入该计算机内的帐户名称与密码。 共六十六页二、 添加用户帐户，

35、设置权限利用控制面板用户帐户创建一个受限帐户abc，利用组策略设置用户权限： 一个系统中存在多个用户的话可设置不同(b tn)的用户权限，在编辑器窗口的左侧窗口中逐级展开“计算机配置Windows设置安全设置本地策略用户权限指派”分支。双击改变装载和卸载驱动程序的用户权限，单击“添加用户或组”按钮，指派给abc账号，最后单击“确定”按钮退出。三、用户配置文件或登录脚本设置用户的工作环境计算机管理本地用户和组用户，某个用户属性中选择配置文件共六十六页系统服务是通过在后台运行特定的程序来提供控制硬件、实现计算机管理、网络连接和维护、保证系统安全等功能。这些功能我们(w men)可以人为进行控制，以

36、达到优化系统和网络、保证安全的目的。这些“服务”有些是必须要运行的，而很多“服务”对于我们(w men)一般用户来说是没有价值的，可以关闭。在xp系统中，有近90个服务，默认安装完XP后，系统会开启30多个服务，其中不少对于普通用户根本用不到或暂时用不到，反而浪费了相当多的内存和系统资源，影响了系统启动和运行的速度。我们只需要其中几个就够用了。禁止所有不必要的服务可以节省很多内存和大量系统资源。系统(xtng)服务 services.msc 共六十六页Windows系统(xtng)服务单击“开始” 指向“设置” 然后(rnhu)单击“控制面板” 双击“管理工具” 然后双击“服务”：在列表框中显

37、示的是系统可以使用的服务 Windows 下可以在命令行中输入services.msc打开服务列表。共六十六页服务(fw)包括三种启动类型：自动、手动、已禁用。自动 - Windows 2000启动的时候自动加载服务 手动 - Windows 2000启动的时候不自动加载服务，在需要的时候手动开启 已禁用 - Windows 2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置双击需要进行配置的服务，出现下图所示的属性对话框：Windows 系统服务的启动(qdng)类型共六十六页必须的系统服务：DHCP client客户端自动获取IP地址时

38、需要(xyo)Event Log- 系统日志纪录服务Network Connections 网络连接Plug and Play- 自动查测新装硬件，即插即用Print Spooler -打印机用Protected Storage储存本地密码和网上服务密码Remote access auto connection manager宽带网络共享Remote Procedure Call (RPC) -远程过程调用，系统核心服务server -局域网文件打印共享需要Telephony - 拨号服务Windows Audio -控制音频，关闭就没有声音Windows Management Instrum

39、entation 对象管理程序共六十六页建议禁用的系统服务：Distributed Link Tracking Client分布式连结(lin ji)追踪客户端,4MbDNS Client DNS 客户端服务 IMAPI CD-Burning COM ServiceXP刻牒服务,1.6MbIndexing Service 索引服务,严重影响速度Messenger 信使，可中妖刺病毒MS Software Shadow Copy Provider 磁盘区阴影复制QoS RSVP网络质量服务，保留20带宽Remote desktop help session manager远程帮助服务,4Mbre

40、mote registry 远程注册表运行修改，大漏洞removable storage磁带备份system restore service系统还原服务，占有大量内存task schedulerwindows 计划服务telnet 远程登陆服务，大漏洞terminal services远程终端服务，漏洞Webclient提供.net服务共六十六页帐户策略所有安全策略都是基于计算机的策略。帐户策略定义在计算机上，然而却可影响用户帐户与计算机或域交互作用的方式。帐户策略包含三个子集：1、密码策略。用于域或本地用户帐户。确定密码设置（如强制执行和有效期限）。2、帐户锁定策略。用于域或本地用户帐户。确

41、定某个帐户被锁定在系统之外的情况和时间长短。3、Kerberos 策略。用于域用户帐户。确定与 Kerberos 相关(xinggun)的设置（如票的有限期限和强制执行）。本地计算机策略中没有 Kerberos 策略。与帐户策略具有类似行为的“安全选项”有两个策略。它们是： 网络访问：允许匿名 SID/NAME 转换 网络安全登录时间超时时强制注销 共六十六页Windows系统近几年的攻击都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播(chunb)的。由于NT/2000系统上使用IIS作为WWW服务程序居多，再加

42、上IIS的脆弱性以及与操作系统相关性，整个NT/2000系统的安全性也受到了很大的影响。通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经安全配置的机器来说是轻而易举的事情，所以，配置和管理好你的IIS在整个系统配置里面显得举足轻重了。 Windows 应用服务器安全(nqun) IIS 服务安全配置共六十六页IIS的配置可以分为以下几方面： 1. 删除目录映射默认安装的IIS默认的根目录是C:inetpub，我们建议(jiny)你更改到其他分区的目录里面，比如：D:inetpub目录。默认在IIS里面有Scripts，IISAdmin，IISSamples，MSADC，IISHe

43、lp，Printers这些目录映射，建议你完全删除掉安装IIS默认映射的目录，包括在服务器上真实的路径（%systemroot%是一个环境变量，在具体每台服务器上可能不一样，默认值由安装时候选择目录决定）：Scripts 对应c:inetpubscripts目录IISAdmin 对应%systemroot%System32inetsrviisadmin目录IISSamples 对应c:inetpubiissamples目录。MSADC 对应c:program filescommon filessystemmsadc目录。IISHelp 对应%systemroot%helpiishelp目录。P

44、rinters 对应%systemroot%webprinters目录。还有一些IIS管理员页面目录： IISADMPWD 对应%systemroot%system32inetsrviisadmpwd目录IISADMIN 对应 %systemroot%system32inetsrviisadmin目录共六十六页Frontpage扩展服务从控制面板里面(lmin)打开“添加或删除程序”选择“添加/删除windows组件”选择“Internet信息服务（IIS）”，点“详细信息”，请确认FrontPage 2000服务器扩展没有被勾上。如果有，则取消掉，点确定就可以了。提示： 微软公司提供了一个叫

45、iislockd的程序，它可以用来帮助你更安全的配置IIS。 共六十六页禁用或删除所有的示例应用程序 示例只是示例；在默认情况(qngkung)下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 http:/localhost 或 访问；但是，它们仍应被删除。 下面 列出一些示例的默认位置。 示例 虚拟目录 位置 IIS 示例 IISSamples c :inetpubiissamplesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadc启用或删除不需要的

46、COM 组件 某些 COM 组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但是要注意这也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。例如，Site Server 3.0 使用 File System Object。以下命令将禁用 File System Object： regsvr32 scrrun.dll /u 共六十六页删除无用的脚本映射 IIS 被预先配置(pizh)为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射

47、，步骤如下： 打开 Internet 服务管理器。 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 主属性 选择 WWW 服务 | 编辑 | 主目录 | 配置 基于 Web 的密码重设 .htrInternet 数据库连接器（所有的 IIS 5 Web 站点应使用 ADO 或类似的技术） .idc服务器端包括 .stm、.shtm 和 .shtmlInternet 打印 .printer索引服务器 .htw、.ida 和 .idq 共六十六页禁用父路径(ljng) “父路径”选项允许在对诸如 MapPath 函数调用中使用“.”。在默认情况下，该选项处于启用状态，应该禁用它。禁用该

48、选项的步骤如下： 右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。 单击“配置”。 单击“应用程序选项”选项卡。 取消选择“启用父路径”复选框。 禁用-内容位置中的 IP 地址 “内容-位置”标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址。共六十六页Windows的注册表一、什么是注册表 注册表是 Windows 系统的一个巨大的树状分层的内部核心数据库。 它容纳了应用程序和计算机系统的全部配置信息、系统和应用程序的初始化信息、应用程序和文档文件的关联关系、硬件设备的说明、状态和属性以及各种状态信息和数据。 注

49、册表中存放着各种参数，直接控制(kngzh)着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行，从而在整个Windows系统中起着核心作用。共六十六页 注册表在Windows 中起到中介的作用，负责系统同软件、硬件、用户之间的沟通。 在Windows 中运行一个应用程序的时候，系统会从注册表取得相关信息，如数据文件的类型、保存文件的位置(wi zhi)、菜单的样式、工具栏的内容、相应软件的安装日期、用户名、版本号、序列号等。用户可以定制应用软件的菜单、工具栏和外观，相关信息即存储在注册表中，注册表会记录应用的设置，并把这些设置反映给系统。 注册表会自动记录用户操作的

50、结果。二、注册表的作用(zuyng)共六十六页 注册表的外部(wib)形式是Windows目录下的两个二进制文件System.dat和User.dat，内部组织结构是一个类似于目录管理的树状分层的结构。三、 注册表的结构(jigu)共六十六页注册表子目录树 ，5个主键HKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG共六十六页(1)HKEY_LOCAL_MACHINE：包含本地计算机系统的信息，包括硬件和操作系统数据，如总线类型、系统内存、设备驱动程序和启动控制数据。 (2)HKEY_CLASSES_ROOT：包含由各种OLE技术(jsh)使用的信