信息安全管理4

信息安全管理（二）一、容灾与数据备份容灾就是减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为。容灾的目的和实质就是保持信息系统的业务持续性，将灾难损失降到可容忍的范围。容灾方案需要考虑的要点：灾难的类型恢复时间恢复程度实用技术成本容灾等级第0级——本地冗余备份，投资少，技术简单，但原始数据和备份数据可能一起被毁第1级——数据介质转移，数据异地存放，安全保管，但无备用系统，会丢失部分数据第2级——应用系统冷备，数据异地存放，有备用系统，系统硬件冷备份，会丢失部分数据第3级——数据电子传送，使用网络传输技术，自动异地备份，提高备份频率第4级——应用系统温备，备份系统处于活动状态，数据恢复达到小时级第5级——应用系统热备，系统镜像，同步更新，灾难发生时需要人工切换，数据恢复达到分钟级第6级——数据零丢失，在线实时镜像，作业动态分配，自动切换数据备份数据备份是指为了防止出现因自然灾害、硬件故障、软件错误、认为误操作等造成的数据丢失，而将全部或部分原数据集合复制到其他的存储介质中的过程。当数据丢失或被破坏时，结合其他恢复工具，原数据可以从备份数据中恢复出来。数据备份策略完全备份：每隔一段时间对系统进行一次全面备份增量备份：先对系统进行一次完全备份，然后每隔一段时间进行一次备份，仅仅备份在这个期间更改的内容累计备份：备份从上次进行完全备份后更改的全部数据文件混合应用：设立备份周期，结合不同备份方式的特点，制定策略。备份策略设计周一：完全备份周二：增量备份周三：增量备份周四：增量备份周五：累计备份周六：增量备份周日：增量备份常用的数据备份技术1、NAS，作为以太网文件服务器，提供文件级数据访问2、远程镜像技术，又叫远程复制，产生同一个数据的镜像视图3、快照技术，在远程存储系统中产生多个逻辑备份4、IPSAN，建立高速子网提供高性能存储环境，可实现动态数据块存储。1、批处理命令实现备份固定路径的备份：@mdc:\"%date%"@xcopyd:\1c:\"%date%"/e/y/c说明：Md新建文件夹Data当前日期XCOPYsource[destination][参数/y/e…]source指定要复制的文件。

destination指定新文件的位置和/或名称。

/e复制目录和子目录，包括空的。

/y禁止提示以确认改写一个现存目标文件。

/c即使有错误，也继续复制。2、利用SuperFlexible软件备份数据同步文件备份工具。用于在不同位置PC、笔记本电脑和服务器之间备份数据或同步文件支持定时自动备份。可同步文件、支持多配置文件、检测删除的文件、支持计划运行、可用邮件通知、支持完全镜像模式备份、可安全备份数据库文件、支持备份一个文件的多个版本、支持日志、支持备份超过64GB的文件。练习：1、d:\a与e:\b之间测试各种备份方式，如完全备份、增量备份、累计备份、删除文件同步等。2、d:\a与9(io)之间测试网络备份3、根据需要制定一个合适需求的7天的混合备份策略，并用SuperFlexible实现。数据灾难恢复数据的灾难恢复是在计算机发生意外故障时，使硬盘上的文件信息丢失的故障降到最低，为了提高灾难恢复的成功率，我们在平时使用电脑时应注意一下几点：1、重要的资料归档分类2、数据存储在硬盘分区的后面几个分区，系统盘读写频繁，容易损坏，恢复困难3、定期备份，最好能做到异地网络备份数据存储原理及硬盘分区硬盘是计算机中最重要的数据存储设备，计算机的操作系统、应用软件、驱动程序、数据资料都保存在硬盘中。硬盘的外部结构包括接口、控制电路板和外壳。硬盘接口分为IDE、SATA、SCSI和光纤通道四种。1、硬盘的内内部结构2、硬盘工作作原理：硬盘读写期期间，硬盘盘磁头通常常在硬盘盘盘面上进行行读写数据据的操作，，磁头本身身悬浮于盘盘片上方，，与盘片的的距离在0.3微米以内，，当运行期期间驱动器器发生物理理震动时，，驱动器磁磁头和驱动动器盘面可可能会直接接发生接触触，从而造造成数据丢丢失，甚至至形成物理理坏道，造造成硬盘损损坏。所以硬盘的的损坏通常常来自于硬硬盘的物理理震动，发发生在硬盘盘进行读写写操作时。。对于用户来来说个人数数据安全非非常重要，，很多数据据是不能丢丢失的，毫毫不夸张地地说，硬盘盘上存储的的数据的价价值甚至要要超过电脑脑本身。因因此，“安全性”理所当然地地成为电脑脑的重点。。3、硬盘分区区分区后将硬盘分成主主引导扇区区、操作系系统引导扇扇区、FAT表、DIR目录区和Data数据区五部部分。其中主引导导扇区MBR在一个硬盘盘中是是唯唯一的，MBR区的内容只只有在硬盘盘启动时才才读取其内内容，然后后驻留内存存。其它4部分则根据据硬盘分区区的多少而而异。主引导扇区区MBR位于整个硬盘盘的0磁道0柱面1扇区，包括括硬盘主引导记录录MBR（MainBootRecord）和分区表DPT（DiskPartitionTable）。其中主主引导记录录的作用就就是检查分分区表是否否正确以及及判别哪个个分区为可可引导分区区，并在程程序结束时时把该分区区的启动程程序（也就就是操作系系统引导扇扇区）调入入内存加以以执行。操作系统引引导扇区OBR（OSBootRecord），通常位位于硬盘的的0磁道1柱面1扇区（对于于多重引导导方式启动动的系统则则位于相应应的主分区区/扩展分区的的第一个扇扇区），是是操作系统统可直接访访问的第一一个扇区，，它也包括括一个引导导程序和一一个被称为为BPB（BIOSParameterBlock）的本分区区参数记录录表。文件分配表表FAT(FileAllocationTable)，是DOS/Win9x系统的文件件寻址系统统。目录区DIR是Directory即根目录区区的简写，，DIR记录着每个个文件（目目录）的文文件名，扩扩展名，起起始单元（（这是最重重要的）、、文件的属属性，大小小，创建日日期，修改改日期等住住处内容。。操作系统统在读写文文件时，根根据DIR中的起始单单元，结合合FAT表就可以知知道文件在在磁盘的具具体位置，，然后顺序序读取每个个簇的内容容就可以了了。数据区DATA是真正意义义上的数据据存储区，，DATA虽然占据了了硬盘的绝绝大部分空空间，但没没有了前面面的各部分分，它对于于我们来说说只能是一一些没有任任何意义的的二进制代代码。我们们通常所说说的格式化程序序Format，并没有把把DATA区的数据清清除，只是是重写了FAT表而已，至至于硬盘分分区，也只只是修改了了MBR和OBR，绝大部分分的DATA区的数据并并没有被改改变，这也也是许多硬硬盘数据能能够得以修修复的原因因。如果你经常常整理磁盘盘，那么你你的数据区区的数据可可能是连续续的，这样样即使MBR/FAT/DIR全部坏了，，我们也可可以使用数数据恢复软软件如Finaldata，只要找到到一个文件件的起始保保存位置，，就可以恢恢复了。硬盘分区表表损毁如果电脑在在进行磁盘盘整理或者者其他需要要大量磁盘盘读写过程程的操作的的时候，突突如其来的的断电有很很大可能会会产生分区区表损坏，，造成硬盘盘所有分区区信息丢失失，无法进进入操作系系统，更严严重的是由由于FAT表被破坏，，文件起始始地址无法法查找，所所有数据都都不能访问问。如果硬硬盘数据不不重要的话话，只要重重新分区并并格式化，，硬盘就可可以重新使使用了；但但是，如果果里面有比比较重要的的数据，怎怎样在保存存系统和数数据的情况况下解决这这个问题呢呢？我们可以用用DiskMan这个软件去去自动修复复分区表。该软件采采用图形界界面，以图图表的形式式揭示了分分区表的详详细结构。。具有分区区表重建功功能，能自自动恢复被被破坏的分分区表；还可以备份份包括逻辑辑分区表及及各分区引引导记录在在内的所有有硬盘分区区信息。常见Raid故障及可恢恢复性分析析1、软件故障障：a．突然断电电造成RAID磁盘阵列卡卡信息的丢丢失的数据据恢复。b．重新配置置RAID阵列信息，，导致的数数据丢失恢恢复。c．如果磁盘盘顺序出错错，将会导导致系统不不能识别数数据。d．误删除、、误格式化化、误分区区、误克隆隆、文件解解密、命毒毒损坏等数数据恢复工工作。2、硬件损坏坏：a．raid一般都会有有几块硬盘盘，其中某某一块硬盘盘出现损坏坏，数据将将无法读取取。b．raid出现坏道，，导致数据据丢失，这这种恢复成成功率比较较大。c．如果硬盘盘同时出现现两块以上上的损坏，，恢复工作作非常复杂杂，成功率率比较低。。RAID故障注意事事项1、数据丢失失后，用户户千万不要要对硬盘进进行任何操操作，将硬硬盘按顺序序卸下来，，用镜像软软件将每块块硬盘做成成镜像文件件，留下备备份盘。2、不要对Raid卡进行Rebuild操作，否则则会加大恢恢复数据的的难度。3、标记好硬硬盘在Raid卡上面的顺顺序。4、一旦出现现问题，可可以拨打专专业数据恢恢复中心的的咨询电话话找专业工工程师进行行咨询，切切忌自己试试图进行修修复，除非非你确信自自己有足够够的技术和和经验来处处理数据风风险。上海数据恢恢复中心联系电话：：800-819916613818281066FinalDataV2.0超级数据恢恢复工具,其特性功能能包括：支支持FAT16/32和NTFS，恢复完全全删除的数数据和目录录，恢复主主引导扇区区和FAT表损坏丢失失的数据，，恢复快速速格式化的的硬盘和软软盘中的数数据，恢复复CIH破坏的数据据，恢复硬硬盘损坏丢丢失的数据据，通过网网络远程控控制数据恢恢复等等。。在Windows环境下删除除一个文件件，只有目目录信息从从FAT或者MFT（NTFS）删除。这这意味着文文件数据仍仍然留在你你的磁盘上上。所以，，从技术角角度来讲，，这个文件件是可以恢恢复的。FinalData就是通过这这个机制来来恢复丢失失的数据的的，在清空空回收站以以后也不例例外。另外外，FinalData可以很容易易地从格式式化后的文文件和被病病毒破坏的的文件恢复复。甚至在在极端的情情况下，如如果目录结结构被部分分破坏也可可以恢复，，只要数据据仍然保存存在硬盘上上。数据恢复工工具RecoverMyFiles可根据文件件类型快速速恢复数据据恢复步骤：：1）、选择分分区，扫描描分区目录录表，检测测出已删除除的文件2）、定义恢恢复文件的的簇大小，，1Mb＝256个簇3）、将文件件保存到其其他分区数据恢复练练习：1、在d:\新建一个word文件，输入入一些字符符后保存。。将这个文件件删除，并并清空回收收站。利用finaldata恢复这个文文件到c:\。利用RecoverMyFiles恢复。2、对d:\进行格式化化利用finaldata恢复原来d盘的文件到到c:\。利用RecoverMyFiles恢复数据库创建建、备份、、恢复和调调用以SQl2000为例一、1、建立一个个数据库abc，创建一个个含有id和name字段的数据据表123，添加几条条记录2、制作备份份abc.bak，然后删除除数据库abc3、新建数据据库abc，将备份还还原到数据据库上，查查看数据表表中的记录录4、建立一个个定时备份份的维护计计划，每天天23点定时备份份。二、新建一一个数据库库，名字任任意，将一一个外部备备份文件还还原到这个个数据库上上。查看数据表表字段，观观察SQL注入攻击型型态。Sqlserver数据库备份份数据库自动动备份必须须要启动TaskScheduler服务二、操作系系统安全设设置操作系统主主要负责处处理器管理理、存储管管理、文件件管理、设设备管理和和作业管理理。一般分为为内核（（Kernel）和壳（（Shell）操作系统统安全要要素：用户认证证存储器保保护文件和I/o设备的访访问控制制共享的实实现内部进程程通信同同步硬件硬件抽象象层（HAL）I/O管理器微内核核对象管理器安全引用用监视器本地过程程调用程序序进程管理器虚拟内存存管理器图形设备备管理器即插即用用管理器电源管理器配置管理器缓存管理器安全子系系统（LSA）Win32子系统其他子系系统（Posix，RAS）登录过程程（Winlogon）DOS客户Win32客户其他客户户（Posix，RAS）Win16客户WOWVDM内核模式式（0GB|2GB）用户模式式（2GB|4GB）Windows2000系统结构构基本功能能调度线程程执行在线程之之间切换换设备环环境捕获并处处理中断断和异常常对内核对对象的管管理在处理器器之间负负责同步步（在多多处理器器系统中中）内核进程程的特性性内核的执执行除了了中断服服务例程程(ISR)外，不会会被其他他线程所所抢先内核的大大部分代代码和数数据不会会被调页页到物理理RAM之外内核和执执行体（（对象管理理器、内内存管理理器等统统称为执执行体）的关系系：两者都在在文件C:\WINNT\SYSTEM32\NTOSKRNL.EXE中实现执行体具具有相对对较高的的级别内核不能能从用户户模式调调用，其其功能是是通过执执行体来来从用户户模式下下访问的的操作系统统微内核核名称模块所实现的位置模式何时被启动/被加载由谁启动HAL.DLL硬件抽象层N/A系统启动时SYSTEMNTOSKRNL.EXE内核和执行体内核系统启动时SYSTEMKERNEL32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMGDI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMUSER32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMADVAPI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMSMSS.EXE会话管理器用户系统启动时SYSTEMWIN32K.SYSWIN32的内核模式部分内核系统启动时SMSS.EXECSRSS.EXE用户模式进程用户系统启动时SMSS.EXEWINLOGON.EXEWindows登录进程用户系统启动时SMSS.EXELSASS.EXE本地安全性鉴别子系统用户系统启动时WINLOGON.EXEMSGINA.DLL缺省GINAN/A系统启动时WINLOGON.EXESERVICES.EXE服务控制器用户系统启动时WINLOGON.EXENTDLL.DLL支持函数和到执行体的接口N\A系统启动时SMSS.EXEOS2SS.EXEOS/2子系统进程用户根据需要SMSS.EXEPSXDLL.DLLPOSIX子系统.DLLN\A根据需要SMSS.EXEPSXSS.DLLPOSIX子系统进程用户根据需要SMSS.EXEWindows重要的系系统文件件硬件硬件抽象象层（HAL）I/O管理器微内核核对象管理器安全引用用监视器本地过程程调用程序序进程管理器虚拟内存存管理器图形设备备管理器即插即用用管理器电源管理器配置管理器缓存管理器安全子系系统（LSA）Win32子系统其他子系系统（Posix，RAS）登录过程程（Winlogon）DOS客户Win32客户其他客户户（Posix，RAS）Win16客户WOWVDMWindows子系统与与文件的的对应关关系对应文件件NTOSKRNL.EXE对应文件件HAL.DLLKERNEL32.DLLGDI32.DLLUSER32.DLLADVAPI32.DLLWIN32K.SYSPSXSS.DLLPSXDLL.DLLLSASS.EXENT/Win2000启动所需需文件：：Ntldr这是一个个隐藏的的，只读读的系统统文件，，用来装装载操作作系统Boot.ini这是一个个只读的的系统文文件，用用来在基基于Intelx86的计算机机上建立立启动装装载操作作系统选选择菜单单的文件件Bootsect.dos这是个隐隐藏的系系统文件件，如果果另外的的操作系系统被选选择，则则被Ntldr装载到内内存。N这是个隐隐藏的，，只读系系统文件件，用于于检测可可用的硬硬件并建建立一个个硬件列列表Ntbootddd.sys这个文件件仅被从从SCSI磁盘启动动的系统统使用。。NT/Win2000共同的启启动序列列文件是是：Ntoskrnl.exeWindows

NT的内核System这个文件件是系统统配置设设置的集集合。Devicedrivers这些是支支持各种种设备驱驱动器的的文件Hal.dll硬件抽象象层软件件WINDOWS系统启动动所需的的文件NT/Win2000启动序列如如下：电源自检程程序开始运运行主引导记录录被装入内内存，并且且程序开始始执行活动分区的的引导扇区区被装入内内存Ntldr从引导扇区区被装入并并初始化将处理器的的实模式改改为32位平滑内存存模式Ntldr开始运行适适当的小文文件系统驱驱动程序。。小文件系系统驱动程程序是建立立在NTLDR内部的，它它能读FAT或NTFS。Ntldr读boot.ini文件Ntldr装载所选操操作系统*如果WindowsNT被选择，Ntldr运行N*对于其他的的操作系统统,Ntldr装载并运行行Bootsect.dos然后向它传传递控制.

windows

NT过程结束.N搜索计算机机硬件并将将列表传送送给Ntldr,以便将这些些信息写进进HKEY_LOCAL_MACHINE\HARDWARE中.然后Ntldr装载Ntoskrnl.exe,Hal.dll和系统信息息集合Ntldr搜索系统信信息集合,并装载设备备驱动配置置以便设备备在启动时时开始工作作Ntldr把控制权交交给Ntoskrnl.exe,这时,启动程序结结束,装载阶段开开始WINDOWS系统启动的的过程基本的系统统进程smss.exe会话管理器器csrss.exe子系统服务务器进程winlogon.exe管理用户登登录services.exe包含很多系系统服务lsass.exe本地安全性性鉴别子系系统。(系统服务)svchost.exe包含很多系系统服务spoolsv.exe将文件加载载到内存中中以便迟后后打印。(系统服务)explorer.exe资源管理器器internat.exe输入法Windows基本的系统统进程操作系统术术语：句柄：用来来惟一标识识资源(例例如文件中中注册表项项)的值，以便程序序可以访问问它。线程Threads：被系统独独立调度和和分派资源源的基本单单位。线程允许在在进程中进进行并发操操作，并使使一个进程程能够在不不同处理器器上同时运运行其程序序的不同部部分。进程Processes：一个可执执行程序或或者一种服服务在计算算机上的一一次执行活活动。当你运行一一个程序，，你就启动动了一个进进程，系统统首先为该该程序进程程建立一个个默认线程程，然后程程序可以根根据需要自自行添加或或删除相关关的线程。。一个进程可可以包含若若干线程，这些线程可可以帮助应应用程序同同时做几件件事，提高高运行效率率。基本系统进进程：（其中System和*SS.EXE运行在纯内内核态，无无法结束））Csrss.exe：子系统服务务器进程，负责控制制Windows创建或删除除线程以及及16位的的虚拟DOS环境。Smss.exe：：会话管理子子系统，负责启动动用户会话话。Lsass.exe：本地的安全全授权服务务，管理IP安全策略以以及启动IKE和IP安全驱动程程序。Services.exe：：系统服务的的管理工具具。Explorer.exe：：资源管理器器。Svchost.exe：系统启动的的时检查注注册表中的的位置来创创建需要加加载的服务列表，如果多个个Svchost.exe同时运行，，则表明当当前有多组组服务处于于活动状态态；多个DLL文件正在调调用它。winlogon.exe管理用户登登录SystemIdleProcess：空闲进程，，作为单线程程运行在每每个处理器器上并在系系统不处理理其它线程程的时候分分派处理器器的时间。。Spoolsv.exe：管理缓冲区区中的打印印和传真作作业。常见病毒进进程Avserve.exe→→震荡波病毒毒Diagcfg.exe→→广外女生木木马lexpl0re.exe→→恶邮差病毒毒Rundll32.exe→→狩猎者病毒毒Runouce.exe→→中国黑客病病毒Kernel32.exe→→冰河木马Krn132.exe→求职信病毒毒Load.exe→→尼姆达病毒毒Msblast.exe→→冲击波病毒毒wgavm.exe→魔鬼波Fujacks.B→熊猫烧香病病毒组策略gpedit.msc组策略是管管理员为用用户和计算算机定义并并控制程序序、网络资资源及操作作系统行为为的主要工工具。通过使用用组策略可可以设置各各种软件、、计算机和和用户策略略。组策略对本本地计算机机可以进行行两个方面面的设置：：本地计算机机配置和本本地用户配配置。所有策略略的设置都都将保存到到注册表的的相关项目目中。对计计算机策略略的设置保保存到注册册表的HKEY_LOCAL_MACHINE的相关项中中，对用户户的策略设设置将保存存到HKEY_CURRENT_USER相关项中。。这里的“计计算机配置置”是对整整个计算机机中的系统统配置进行行设置的，，它对当前前计算机中中所有用户户的运行环环境都起作作用；而““用户配置置”则是对对当前用户户的系统配配置进行设设置的，它它仅对当前前用户起作作用。组策略的应应用1、禁止访问““控制面板板”如果你不希希望其他用用户访问计计算机的控控制面板，，你只要运运行组策略略编辑器，，并在左侧侧窗口中展展开“本地计算算机策略→→用户配置置→管理模模板→控制制面板”分支，然后后将右侧窗窗口的“禁禁止访问控控制面板””策略启用用即可。查查看注册表表，找到键键值与组策策略的关系系[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下的NoControlPanel2、禁止访问注注册表编辑辑器防止他人修修改你的注注册表，可可以在组策策略中禁止止访问注册册表编辑器器，展开“用户配置置”→“管管理模板””→“系统统”，然后找到到并双击““阻止访问问注册表编编辑器”项项，并将其其设置为““已启用””，这样用用户在试图图启动注册册表编辑器器时，系统统将提示：：注册编辑辑已被管理理员停用。。3、安全日志审核Windows的默认安装装是不开任任何安全审审核的，我我们可以审审核登录尝尝试、系统统关闭或重重新启动以以及类似的的事件，展展开“计算机配配置→Windows设置→安全全设置→本本地策略→→审核策略略”，设置相应应的审核,如登陆失失败。下面的这些些审核是必必须开启的的，其他的的可以根据据需要增加加：策略设设置审核系统登登陆事件成成功，，失败审核帐户管管理成成功功，失败审核对象访访问成成功功审核策略更更改成成功功，失败审核特权使使用成成功功，失败审核系统事事件成成功功，失败Windows的日志系统统类型Windows有三种类型型的事件日日志：系统日志跟踪各种各各样的系统统事件，比比如跟踪系系统启动过过程中的事事件或者硬硬件和控制制器的故障障。应用程序日日志跟踪应用程程序关联的的事件，比比如应用程程序产生的的象装载DLL（动态链接接库）失败败的信息将将出现在日日志中。安全日志跟踪事件如如登录上网网、下网、、改变访问问权限以及及系统启动动和关闭。。注意：安安全日志的的默认状态态是关闭的的。日志在系统统的位置是是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.EvtLOG文件件在注册表表的位置是是：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventlogWindows日日志系统统的存放位位置微软管理控控制台MMCMMC是一个集成成管理的工工作平台，，通过它可可以创建、、保存或打打开系统管管理工具，，从而管理理计算机的的、软件和和系统的的网络组件件，以及进进行系统的的维护。MMC本身并不执执行管理功功能，它只只是集成众众多的管理理工具MMC控制台的界面由两个窗格组成，左边是控制台的目录树，在此显示控制台目前可用的项目，右边的窗格是详细资料窗格，当在树目录下选择某选项时，此窗格将显示相应详细信息，改变左边的选项，右边的详细资料发生相应的改变向控制台树树添加项目目要向控制台台树添加项项目，可以以使用MMC主工具栏上上“文件”菜菜单中的““添加/删删除管理单单元”命令。在“添加/删除管理理单元”对对话框中，，“管理单单元添加可以单击“管理单元添加到”中的项目来定位控制台树之外的对象。

在桌面建立控制台mmc1，要求包含本地用户和组、服务、事件查看器、本地计算机策略等单元系统帐户管管理一、Windows用户帐户类类型

域用用户帐户：：存储在域控控制器的ActiveDirectory数据库内。。用户可以以利用域用用户帐户登登录域，并并利用强访访问网络上上的资源。。如：访问问域中其他他计算机内内的文件、、打印机等等资源。本地用户帐帐户：是创建在非非域控制器器的“本地地安全帐户户数据库””内。用户户可以利用用本地用户户由帐户登登录该帐户户所在的计计算机，只只能够访问问这台计算算机内的资资源，无法法访问网络络上的资源二、添加用户帐帐户，设置置权限利用控制面面板—用户户帐户—创创建一个受受限帐户abc，利用组策略略设置用户户权限：一个系统中中存在多个个用户的话话可设置不不同的用户户权限，在在编辑器窗窗口的左侧侧窗口中逐逐级展开“计计算算机机配配置置→→Windows设置置→→安安全全设设置置→→本本地地策策略略→→用用户户权权限限指指派派””分支支。。双双击击改改变变装装载载和和卸卸载载驱驱动动程程序序的的用用户户权权限限，，单单击击““添添加加用用户户或或组组””按按钮钮，，指指派派给给abc账号号，，最最后后单单击击““确确定定””按按钮钮退退出出。。三、、用用户户配配置置文文件件或或登登录录脚脚本本设设置置用用户户的的计算机管理－本地用户和组－用户，某个用户属性中选择配置文件系统统服服务务是是通通过过在在后后台台运运行行特特定定的的程程序序来来提提供供控控制制硬硬件件、、实实现现计计算算机机管管理理、、网网络络连连接接和和维维护护、、保保证证系系统统安安全全等等功功能能。这些些功功能能我我们们可可以以人人为为进进行行控控制制，，以以达达到到优优化化系系统统和和网网络络、、保保证证安安全全的的目目的的。。这这些些““服服务务””有有些些是是必必须须要要运运行行的的，，而而很很多多““服服务务””对对于于我我们们一一般般用用户户来来说说是是没没有有价价值值的的，，可可以以关关闭闭。。在在xp系统统中中，，有有近近90个个服服务务，，默默认认安安装装完完XP后，，系系统统会会开启启30多多个个服服务务，其其中中不不少少对对于于普普通通用用户户根根本本用用不不到到或或暂暂时时用用不不到到，，反反而而浪浪费费了了相相当当多多的的内内存存和和系系统统资资源源，，影影响响了了系系统统启启动动和和运运行行的的速速度度。。我我们们只只需需要要其其中中几几个个就就够够用用了了。。禁禁止止所所有有不不必必要要的的服服务务可可以以节节省省很很多多内内存存和和大大量量系系统统资资源源。。系统统服服务务services.mscWindows系统统服服务务单击击““开开始始””指向向““设设置置””然后后单单击击““控控制制面面板板””双击击““管管理理工工具具””然后后双双击击““服服务务””：：在在列列表表框框中中显显示示的的是是系系统统可可以以使使用用的的服服务务Windows下可可以以在在命命令令行行中中输输入入services.msc打开开服服务务列列表表。。服务务包包括括三三种种启启动动类类型型：：自自动动、、手手动动、、已已禁禁用用。。自自动动-Windows2000启动的时时候自动动加载服服务手手动-Windows2000启动的时时候不自自动加载载服务，，在需要要的时候候手动开开启已已禁用用-Windows2000启动的时时候不自自动加载载服务，，在需要要的时候候选择手手动或者者自动方方式开启启服务，，并重新新启动电电脑完成成服务的的配置双双击需需要进行行配置的的服务，，出现下下图所示示的属性性对话框框：Windows系统服务务的启动动类型必须的系系统服务务：DHCPclient－客户端自自动获取取IP地址时需需要EventLog-系统日志志纪录服服务NetworkConnections–网络连接接PlugandPlay-自动查测测新装硬硬件，即即插即用用PrintSpooler-打印机用用ProtectedStorage－储存本地地密码和和网上服服务密码码Remoteaccessautoconnectionmanager－宽带／网网络共享享RemoteProcedureCall(RPC)-远程过程程调用，系统核心心服务server-局域网文文件／打打印共享享需要Telephony-拨号服服务WindowsAudio-控制音音频，，关闭闭就没没有声声音WindowsManagementInstrumentation––对象管管理程程序建议禁禁用的的系统统服务务：DistributedLinkTrackingClient－－分布式式连结结追踪踪客户户端,4MbDNSClient－－DNS客户端端服务务IMAPICD-BurningCOMService－－XP刻牒服服务,1.6MbIndexingService－－索引服服务,严重重影响响速度度Messenger－－信使，，可中中妖刺刺病毒毒MSSoftwareShadowCopyProvider－－磁盘区区阴影影复制制QoSRSVP－－网络质质量服服务，，保留留20％带带宽Remotedesktophelpsessionmanager－远程帮帮助服服务,4Mbremoteregistry－－远程注注册表表运行行修改改，大大漏洞洞removablestorage－磁带备备份systemrestoreservice－－系统还还原服服务，，占有有大量量内存存taskscheduler－－windows计划服服务telnet––远程登登陆服服务，，大漏漏洞terminalservices－远程终终端服服务，，漏洞洞Webclient－提供.net服务帐户策策略所有安安全策策略都都是基基于计计算机机的策策略。。帐户户策略略定义义在计计算机机上，，然而而却可可影响响用户户帐户户与计计算机机或域域交互互作用用的方方式。。帐户户策略略包含含三个个子集集：1、密码策策略。。用于于域或或本地地用户户帐户户。确确定密密码设设置（（如强强制执执行和和有效效期限限）。。2、帐户锁锁定策策略。。用于于域或或本地地用户户帐户户。确确定某某个帐帐户被被锁定定在系系统之之外的的情况况和时时间长长短。。3、Kerberos策策略略。用用于域域用户户帐户户。确确定与与Kerberos相相关关的设设置（（如票票的有有限期期限和和强制制执行行）。。本地地计算算机策策略中中没有有Kerberos策策略略。与帐户户策略略具有有类似似行为为的““安全全选项项”有有两个个策略略。它它们是是：网络访访问：：允许许匿名名SID/NAME转转换换网络安安全登登录时时间超超时时时强制制注销销Windows应用服服务器器安全全IIS服务安安全配配置IIS的配置置可以以分为为以下下几方方面：：1.删除目录录映射默认安装装的IIS默认的根根目录是是C:\inetpub，我们建建议你更更改到其其他分区区的目录录里面，，比如：：D:\inetpub目录。默认在IIS里面有Scripts，IISAdmin，IISSamples，MSADC，IISHelp，Printers这些目录录映射，，建议你你完全删删除掉安安装IIS默认映射射的目录录，包括括在服务务器上真真实的路路径（%systemroot%是一个环环境变量量，在具具体每台台服务器器上可能能不一样样，默认认值由安安装时候候选择目目录决定定）：Scripts对应c:\inetpub\scripts目录IISAdmin对应%systemroot%\System32\inetsrv\iisadmin目录IISSamples对应c:\inetpub\iissamples目录。MSADC对应c:\programfiles\commonfiles\system\msadc目录。IISHelp对应%systemroot%\help\iishelp目录。Printers对应%systemroot%web\printers目录。还有一些些IIS管理员页页面目录录：IISADMPWD对应%systemroot%\system32\inetsrv\iisadmpwd目录IISADMIN对应%systemroot%\system32\inetsrv\iisadmin目录Frontpage扩展服务务从控制面面板里面面打开““添加或或删除程程序”选择““添加/删除windows组件”选择“Internet信息服务务（IIS）”，点点“详细细信息””，请确确认FrontPage2000服务器扩扩展没有有被勾上上。如果果有，则则取消掉掉，点确确定就可可以了。。提示：微微软公公司提供供了一个个叫iislockd的程序，，它可以以用来帮帮助你更更安全的的配置IIS。禁用或删删除所有有的示例例应用程程序示例只是是示例；；在默认认情况下下，并不不安装它它们，且且从不在在生产服服务器上上安装。。请注意意一些示示例安装装，它们们只可从从http://localhost或访问；但但是，它它们仍应应被删除除。下面列列出一些些示例的的默认位位置。示例虚虚拟拟目录位位置置IIS示例\IISSamplesc:\inetpub\iissamples

IIS文档\IISHelpc:\winnt\help\iishelp数据访问问\MSADCc:\programfiles\commonfiles\system\msadc启用或删删除不需需要的COM组件某些COM组件不是是多数应应用程序序所必需需的，应应加以删删除。特特别是，，应考虑虑禁用文文件系统统对象组组件，但但是要注注意这也也会删除除Dictionary对象。切切记某些些程序可可能需要要您禁用用的组件件。例如如，SiteServer3.0使用FileSystemObject。以下命命令将禁禁用FileSystemObject：regsvr32scrrun.dll/u禁用父路路径“父路径””选项允允许在对对诸如MapPath函数调用用中使用用“..”。在默认认情况下下，该选选项处于于启用状状态，应应该禁用用它。禁禁用该选选项的步步骤如下下：右键单击击该Web站点的根根，然后后从上下下文菜单单中选择择“属性性”。单击“主主目录””选项卡卡。单击“配配置”。。单击“应应用程序序选项””选项卡卡。取消选择择“启用用父路径径”复选选框。禁用-内容位置置中的IP地址“内容-位置”标标头可暴暴露通常常在网络络地址转转换(NAT)防火墙或或代理服服务器后后面隐藏藏或屏蔽蔽的内部部IP地址。Windows的注册表表一、什么么是注册册表注册表是是Windows系统的一一个巨大大的树状状分层的的内部核核心数据据库。它容纳了了应用程程序和计计算机系系统的全全部配置置信息、、系统和和应用程程序的初初始化信信息、应应用程序序和文档档文件的的关联关关系、硬硬件设备备的说明明、状态态和属性性以及各各种状态态信息和和数据。。注册表中中存放着着各种参参数，直直接控制制着Windows的启动、、硬件驱驱动程序序的装载载以及一一些Windows应用程序序的运行行，从而而在整个Windows系统中起起着核心心作用。注册表在在Windows中起到中中介的作作用，负负责系统统同软件件、硬件件、用户户之间的的沟通。。在Windows中运行一一个应用用程序的的时候，，系统会会从注册册表取得得相关信信息，如如数据文注册表会自动记录用户操作的结果。二、注册册表的作作用注册表的的外部形形式是Windows目录下的的两个二二进制文文件System.dat和User.dat，内部组织织结构是是一个类类似于目目录管理理的树状状分层的的结构。。三、注注册表的的结构注册表子子目录树树，5个主键键HKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG(1)HKEY_LOCAL_MACHINE：：包含本地计算算机系统统的信息息，包括括硬件和和操作系系统数据据，如总线线类型、、系统内内存、设设备驱动动程序和和启动控控制数据据。(2)HKEY_CLASSES_ROOT：包含由各各种OLE技术使用用的信息息和文件件类型关关联数据据。加强强对系统数据据类型的管理(3)HKEY_USERS：用来控制用户户配置文文件的，它包包含所有有用户的的配置文文件的内内容。当当前登录录用户的的安全标标识当当前登登录者的的用户配配置文件件会被存存储在此此处，HKEY_CURRENT_USER内的数据据通信就就是从此此处读取取的。(4)HKEY_CURRENT_USER：包括当前前以交互互方式登录用户户的用户户配置文文件，包括环环境变量量、桌面面设置、、网络连连接、打打印机和和程序首首选项。。该子目目录树是是HKEY_USERS子目录树树的别名名并指向向HKEY_USERS\当前用户户的安全全ID。(5)HKEY_CURRENT_CONFIG：包含在启动时由由本地计计算机使使用的硬硬件配置置文件的相关信信息。该该信息息用于配配置一些些设备，，例如要要加载的的设备驱驱动程序序或显示示时使用用的分辨辨率。该该子目录录树指向向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current。四、注册册表项中中的值项项和注册册表编辑辑器每个注册册表项或或子项都都可以包包含称为为值项的的数据。。有些值值项存储储每个用用户的特特殊信息息，而有有些值项项则存储储应用于于计算机机所有用用户的信信息。值项包括括三部分分：值的的名称、、值的数数据类型型和值本本身。Windows提供两个个版本的的注册表表编辑器器：1、Regedit.exe：被自动安安装在%systemroot%文件夹中中2、Regedt32.exe：被自动安安装在%systemroot%\system32文件夹中中FTP用户管理理系统安安装与调调试1、配置服服务器FSO功能。如如FSO没有权限限，将无无法远程程创建或或删除文文件，开开启FSO组件的方方法如下下：在安安装文件件目录i386中找到scrrun.dl_，用winrar解压缩，，得scrrun.dll，然后复复制到c:\windows\system32\目录中。。运行regsvr32scrrun.dll即可。2.安装Serv-U6.0，将域类类型设置置为存储储于ODBC数据库中中3.在ODBC数据源管理理器中建立立系统数据据源：ftp，指向到serv-U数据库。4.打开Serv-U安装目录下下的ServUDaemon.ini文件，做以以下操作：：(1)用下面的代代码覆盖原原来的ODBCSource、ODBCTables、ODBCColumnsODBCSource=ftp||ODBCTables=user_accounts|group_accounts|user_access|group_access|user_IP_access|group_IP_accessODBCColumns=user|password|skey|homedir||access|disable||relpaths|||changepass|quotaenable||||maxusers|||ratioup|ratiodown|ratiocredit|quotacurrent|quotamax|expiration|privilege|passtype|ratiotype|groups|notes|indexno(2)把“ReloadSettings=True”语句拷到每每个节点的的后面，如如[GLOGAL]、[DOMAINS]、[Domain1]、[Domain2]等节后的后后面5.发布网站，，调试程序序9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，