操作系统(windows)知识点

学问要点Windwos账号体系分为用户与组，用户的权限通过参加不同的组来授权用户：组：SID安全标识符是用户帐户的内部名用于识别用户身份它在用户帐户创立时由系统自动产生。在Windows系统中默认用户中，其 SID的最终一项标志位都是固定的，比方administrator的SID最终一段标志位是500，又比方最终一段是501的话则是代表GUEST的帐号。账号安全设置通过本地安全策略可设置账号的策略，包括密码简单度、长度、有效期、锁定策略等：”e账号数据库SAM文件sam文件是windows的用户帐户数据库,全部用户的登录名及口令等相关信息都会保存在这个文件中。可通过工具提取数据，密码是加密存放，可通过工具进展破解。文件系统NTFS(NewTechnologyFileSystem，是WindowsNT环境的文件系统。技术文件系统WindowsNT家族(如，Windows2023WindowsXPWindowsVistaWindows7和windows8.1)等的限制级专用的文件系统(NTFS的文件系统，4096簇环境下)。NTFSFAT文件系统。在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进展访问;二是获得访问许可的组或用户可以进展什么级别的访问,FAT32文件系统下对文NTFSWin2023中,应用过安全日志就可以查看哪些组或用户对文件夹、文件或活动名目对象进展了什么级别的操作，从而觉察系统可能面临的非法访问，通过实行相应的措施，将这种安全隐患减到最低。FAT32文件系统下,是不能实现的。通过文件的属性安全标签，可设置文本的权限：效劳用户供给一些功能，例如客户端/效劳器应用程序、Web效劳器、数据库效劳器以及其他基于效劳器的应用程序。AutomaticUpdates〔不使用自动更可以关闭〕BackgroundIntelligentTransferService〔不使用自动更可以关闭〕DHCPClientMessengerRemoteRegistryPrintSpoolerServer〔不使用文件共享可以关闭〕SimpleTCP/IPServiceSimpleMailTransportProtocol(SMTP)SNMPServiceTaskScheduleTCP/IPNetBIOSHelper日志Windows统日志、Scheduler效劳日志、FTP日志、WWW日志、DNS效劳器日志等等，这些依据你的进展了IPC探测，系统就会在安全日志里快速地登记探测者探测时所用的IP、时间、用户名FTPFTPIP、时间、探测所用的用户名等。Windows日志文件默认位置是“%systemroot%\system32\config安全日志文件：%systemroot%\system32\config\SecEvent.EVT系统日志文件：%systemroot%\system32\config\SysEvent.EVT应用程序日志文件：%systemrooFTPD事务日志：%systemroot%\system32\LogFiles\可通过大事查看器〔〕查看日志可通过本地安全策略设置记录哪些日志Windows登录类型及安全日志解析2InteractiveKVM登录仍旧属于交互式登录，虽然它是基于网络的。登录类型3〕当你从网络的问一台电脑时在大多数状况下记为类型3，最常见的状况就是连接到共享文件夹或者共享打印机时。5ServiceWindows57Unlock〕你可能期望当一个用户离开他的电脑时相应的工作站自动Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录说明有人输入了错误的密码或者有人在尝试解锁电脑。8NetworkCleartextAdvapiASP脚本登录或者一个用户使用根本验证方式登录IISAdvapi。10RemoteInteractive访问电脑时，Windows10。防火墙WindowsIP地址范围。SYN保护SYN攻击为常见拒绝效劳攻击，windowsSYN攻击保护，建议参数如下：SYNTCP5；指定处于SYN_RCVD状态的TCP500；指定处于至少已发送一次重传的SYN_RCVD状态中的TCP400。配置方法：在“开头->运行->regedit”启用SYN攻击保护的命名值位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。值名称：SynAttackProtect。推举值：2。以下局部中的全部项和值均位于注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。指定必需在触发SYNflood保护之前超过的TCP连接恳求阈值。值名称：TcpMaxPortsExhausted。推举值：5。启用SynAttackProtect后，该值指定SYN_RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYNflood保护。值名称：TcpMaxHalfOpen。推举值数据：500。启用SynAttackProtectSYN_RCVD状态中的TCP连接tNd。推举值数据：400。屏幕保护应设置带密码的屏幕保护，建议将时间设定为5分钟。补丁治理ServicePack补丁集，windows每月公布增漏洞的安全补丁，应每月准时安装安全补丁。防病毒软件安装一款防病毒软件，并准时更病毒库。启动项及自动播放列出系统启动时自动加载的进程和效劳列表，不在此列表的需关闭。开头 ->运行->MSconfig”启动菜单中，取消不必要的启动项。关闭Windows→运行→→治理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择全部驱动器，确定即可。练习题序号题目 A B C D 答案Windows20231查看系统开放端口和进程关联性的工具或命令是Windows上，想要查看进程在翻开那些文件，可以

netstat tcpviewopenfil

fport

tcpvcon A2 dir list filelist A使用哪个命令或工具 esWindowsXP3程中主持的效劳的命令，该命令是Windows

tlist

tasklist taskmgrprocessmgr B4 曾经使用IE扫瞄站点并下载恶意程序到本地，这时，应当检查在微软操作平台系统Windows9x/NT/20235持的验证机制是以下工具可以用于检测Windows系统中文件签名6的是以下可以用于本地破解Windows密码的工具是

IE藏夹LMIceswordJohn

IE记录NTLMSrvinstwL0pht

IE容选项KerberosBlacklight

IE的安全选项 BNTLMV2 Asigverif Dthe〔〕Ripper

Crack5

TscrackHydra B不属于windowsrootkitWindows

LKM Inlinerootkit hook系统日安全日志志

IAThook应用日志基于角

Ssdthook 失败登录恳求D日志WINDOWS2023

强制访问掌握

自主访问掌握

色的访 B问掌握从Windows2023安全系统架构中，可以觉察，Windows2023实现了一个 ，它在具有最高11权限的内核模式中运行，并对运行在用户模式中的应用程序代码发出的资源恳求进展检查。Windows2023中，其符合C2

SRM LSA SAM Winlogon 敏捷的强制登12括WindowsNT/2023

访问控制

审计录用户所属

以上均是 D13些组件组成要实现WindowsNT/202314下哪种文件系统Windows2023某公司的Windows网络预备承受严格的验证方

SIDFAT32NTLM

SIDNTFSKerberos

用户名CDFSLanManagers安装个人防火墙，在s安装个人防火墙，在将电脑参加个人防火墙中作相应配置域，而不是工作组AS-1-2-23-5677654567-66732145654-S-1-2-23-5677654567-66732145654-100C1002处理当前用户模式线程所花PING间CCPU的时间\%Systemroot%\system32\confi\%Systemroot%\configCg

以上均是 DExt2 B以上均是 D式，根本的要求是支持双向身份认证，应当建议该公司承受哪一种认证方式

NTLM NTLMv2 LanManager C某公司职工期望在他的WindowsNT17件级权限掌握，作为安全治理员应当如何建议下面哪个答案可能是Windows系统中Dennis18SIDWindowsNTSID〕串是由当前时间、电脑名称和另外一个电脑变量共同产生的，这个变量是什么

将文件系统设置为NTFSDennis击键速度

将文件系统设置为FAT32SID-1-1-34-5664557893-2345873657-1002用户网络地址WindowsNTSAM

\%Systemroot%

\%Systemroot%\system32\samWindows2023分布式安全模型中，客户端不行能直接访问网络资源；网络效劳创立客户端〔〕并21使用客户端的凭据来执行恳求的操作以模拟客户端

信任域掌握器标识符

安全性标识符

访问令牌

访问掌握列表C(ACL)Windows2023Windows2023022 SRM LSA SAM Winlogon 限的内核模式中运行，并对运行在用户模式中的应用程序代码发出的资源恳求进展检查Windows2023IIS效劳器