windows系统基本操作
windows常见目录
| 路径 | 作用 |
|---|---|
| C:\Windows\System32 | 存放系统配置文件 |
| C:\Windows\SysWOW64 | Windows操作系统的子系统 |
| C:\Windows\System32\config\SAM | 存放windows帐号和密码 |
| C:\Windows\System32\drivers\etc\hosts | DNS解析文件 |
| C:\Program Files、C:\Program Files (x86) | 64位系统安装在Windows操作系统的子系统,32位下会安装在x86下 |
| C:\Windows\System32\winevt\Logs | 日志目录 |
windows常用系统命令
| 命令 | 说明 |
|---|---|
| ver | 查看系统版本 |
| hostname | 查看主机名 |
| ipconfig /all | 查看网络配置 |
| net user/localgroup/share/config | 查看用户/用户组/共享/当前运行可配置服务 |
| at | 建立或查看系统作业 |
| netstat | 查看开放端口 |
| secpol.msc | 查看和修改本地安全设置 |
| services.msc | 查看和修改服务 |
| eventvwr.msc | 查看日志 |
| regedit | 打开注册表 |
| whoami | 查看当前操作用户的用户名 |
windows常见端口
| 端口 | 说明 |
|---|---|
| 80/8080/8081 | HTTP协议代理服务器常用端口号 |
| 443 | HTTPS协议代理服务器常用端口号 |
| 21 | FTP(文件传输协议)协议代理服务器常用端口号 |
| 23 | Telnet(远程登录)协议代理服务器常用端口号 |
| 22 | SSH(安全登录)、SCP(文件传输) |
| 1521 | Oracle 数据库 |
| 1433 | MS SQL SERVER数据库 |
| 1080 | |
| 3306 | Mysql数据库 |
| 25 | SMTP(简单邮件传输协议) |
net命令的使用
| 命令 | 说明 |
|---|---|
| net user abc /add | 创建(空密码)账户abc |
| net user abc | 查看账户abc的详细信息 |
| net user abc /del | 删除账户abc |
| net user abc 123/add | 创建普通账户abc,密码为123 |
| net localgroup administrators abc /add | 把abc用户加入管理员组 |
| net localgroup administrators abc /del | 把abc用户退出管理员组 |
| net user abc /active:yes[no] | 启用[停用]abc账户 |
| net localgroup admin /add[del] | 新建[删除]组admin |
| net share | 查看本地开启的共享 |
| netstat | 查看开启哪些端口 |
windows系统加固
账号安全是计算机系统安全的第一关,如果计算机系统账号被盗用,那
么计算机将非常危险,入侵者可以任意控制计算机系统,如果计算机中存在
着重要的机密文件,或者银行卡号和密码,那么损失会非常严重。
账号及安全策略
账号安全设置方法:
“开始”—“运行”输入secpol.msc(控制面板——系统和安全——管理工具)
账号锁定策略:
账号密码策略:
禁用Guest账户权限
我的电脑—右击—管理—计算机管理—本地用户和组—用户—Guest—右键—属性—
常规—选择“账户已禁用”。
或使用命令net user guest /active:no(cmd管理员模式执行)
Administartor账号、组重命名
Administartor账号、组重命名,可增加账号安全性
日志及审核策略
“开始”—“运行”输入secpol.msc(控制面板——系统和安全——管理工具)
对重要事件进行审核记录,方便日后出现问题时查找问题根源。
调整事件日志的大小及覆盖策略
设置方法:“开始”—“运行”输入eventvwr.msc
增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏
| 日志类型 | 日志大小 | 覆盖策略 |
|---|---|---|
| 应用程序 | 80000KB | 覆盖早于30天的日志 |
| 安全日志 | 80000KB | 覆盖早于30天的日志 |
| 系统日志 | 80000KB | 覆盖早于30天的日志 |
在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。
它可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以
使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这
些信息调整系统的行为。在安全领域,日志系统的重要地位尤甚,可以说是
安全审计方面最主要的工具之一。
安全选项策略设置
本地安全策略->本地策略->安全选项
Microsoft 网络服务器
Microsoft 网络服务器:登录时间过期后断开与客户端的连接(启用)
目的:可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录
Microsoft 网络服务器:暂停会话前所需的空闲时间数量(小于30分钟)
目的:设置挂起会话之前所需的空闲时间为30分钟
Microsoft 网络客户端:将未加密的密码发送到第三方SMB服务期(禁用)
目的:禁止发送未加密的密码到第三方SMB服务器
恢复控制台
恢复控制台:允许软盘复制并访问所有驱动器和所有文件夹(禁用)
目的:禁止它访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录%systemroot%目录及子目录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上
恢复控制台:允许自动系统管理级登录(禁用)
目的:恢复控制台是Windows 2003的一个新特性,它在一个不能启动的系统上给出一个受限的命令行访问界面。可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统
关机
关机:清除虚拟内存页面文件(启用)
目的:某些第三方的程序可能把一些没有加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。关机的时候清除页面文件,防止造成意外的信息泄漏
关机:允许系统在未登录的情况下关机(禁用)
目的:防止连接远程桌面后恶意关机计算机
交互式登录
交互式登录:登陆时不显示用户名(启用)
目的:登录时不显示上次登录的用户名,防止暴露用户名。
交互式登录:无需按Ctrl+Alt+Del(禁用)
目的:登录时需要按CTRL+ALT+DEL
交互式登录:之前登录到缓存的次数(域控制器不可用时),设置为0
目的:登陆时不显示上次的用户名,防止暴露用户名
审核
审核:如果无法记录安全审核则立即关闭系统
审核:对全局系统对象的访问进行审核(启用)
网络访问
网络访问:不允许SAM帐户和共享的匿名枚举(启用)
目的:禁止使用匿名用户空连接枚举系统敏感信息
网络访问:不允许存储网络身份验证和密码和凭据(启用)
网络访问:本地账户的共享和安全模型(仅来宾–本地账户以来宾用户身份验证)
网络访问:可匿名访问的共享(全部删除)
网络访问:可匿名访问的命名管道 (全部删除)
网络访问:可远程访问的注册表路径(全部删除)
网络访问:可远程访问的注册表路径和子路径 (全部删除)
文件权限设置
文件系统又被称作文件管理系统,它是指操作系统中负责管理和存储文件信息的软件机构。文件系统由与文件管理有关的软件、被管理的文件以及实施文件管理所需的数据结构这三部分构成。
从系统角度来看,文件系统是对文件存储器空间进行组织和分配,负责文件的存储并对存入的文件进行保护和检索的系统。具体地说,它负责为用户建立文件,存入、读出、修改、转储文件,控制文件的存取,当用户不再使用时撤销文件等。
| 路径 | 权限 |
|---|---|
| 系统分区C盘 | administrator、system完全控制 |
| C:\Documents and Settings\ | administrator、system完全控制 |
| C:\windows\system32\ | administrator读写 |
| C:\progran files | 为Common File目录之外的所有目录赋予Administrators 和SYSTEM 完全控制 |
| C:\windows | 系统管理员完全控制、system拒绝(继承) |
| C:\windows\system32 | 其关键程序只允许administrator完全控制 |
| C:\Inetpub\ | administrator、system完全控制,必要时可以删除该目录 |
| 网站目录所在磁盘 | administrator、system完全控制 |
| 设置权限方法: |
注册表安全设置
通过注册表,用户可以轻易地添加、删除、修改windows系统内的软件
配置信息或硬件驱动程序,这不仅方便了用户对系统软硬件的工作状态进行
适时的调整,于此同时注册表也是入侵者攻击的目标,通过注册表也可称为入侵者攻击的目标,通过注册表种植木马、修改软件信息,甚至删除、停用
或改变硬件的工作状态。
| 注册表 | 说明 |
|---|---|
| HKEY_LOCAL_MACHINE | 包含关于本地计算机系统的信息,包括硬件和操作系统数据 |
| HKEY_LOCAL_ROOT | 包含各种OLE技术使用的信息技术和文件类别关联数据 |
| HKEY_LOCAL_USER | 包含环境变量、桌面设置、网络连接、打印机和程序首选项 |
| HKEY_LOCAL_USERS | 包含关于动态加载的用户配置文件和默认的配置文件的信息。有 些信息和HKEY_CURRENT_USER交叉出现 |
| HKEY_CURRENT_CONFIG | 包含在启动时由本地计算机系统使用的硬件配置文件的相关信息 |
注册表权限
利用文件管理器对regedit.exe文件设置成只允许管理员能使用命令访问修改注册表,其他用户只能读取,但不是修改这样就可以防止非法用户恶意修改注册表。
禁止空链接
禁用IPC连接,编辑注册表
1 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值为1 |
删除系统默认共享
删除服务器上的管理员共享
1 | HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer设置为0 |
使用net share命令查看默认共享
使用net share <共享名> /del删除默认共享(管理员身份运行)
修改默认3389远程端口
修改注册表
1 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber |
关闭135 139 445隐患端口
关闭135端口
”开始“–“运行”,输入”dcomcnfg”,单击“确定”,打开组件服务
右键我的电脑,单击”属性”,在默认属性中 去掉 在此计算机上启用分布式COM 前打勾
选择”默认协议”选项卡,移除“面向连接的TCP/IP”,单击”确定”按钮,设置完成,重新启动后即可关闭135端口
关闭139端口
右键我的”网上邻居“,单击”属性“,再打开本地连接的”属性
选中Internet协议(TCP/IP),常规选项卡-高级
设置WINS选项卡”禁用TCP/IP上的NETBIOS”
关闭445端口
修改注册表,添加一个键值
1 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters在右面的窗口 |
