一账户安全

（一）账户：

在操作系统中系统中，账户是操作系统进行权限管理的基本单元

（二）用户：

在Windows系统中，用户可以分为本地用户和域用户。本地用户和域用户不同就是本地用户只能对本地有效，而域账户对整个安全域都是可以使用的。

（域用户：使用多台Windows服务器构成小型局域网情况下，为了方便登录多台域内服务器的用户）

（三）用户组：

用户组时多个用户组成的一个群体，这个群体对某个资源拥有相同的权限

二本地用户组介绍

Linux中组的分类没有Windows中明确，Windows中想赋予权限，仅能通过组来获取，而Linux中可以主动进行权限分配（chmod）

用户组账户	描述
Administrators	该组用户具有对服务器的完全控制权限，并且可以根据需要向用户指派用户权限
Backup Operators	可以备份和还原服务器上的文件，无需考虑文件的权限，并且不能更改安全设置
guests	该组成员拥有一个在登录时创建的临时配置文件，在注销时，该配置文件也被删除
Enent log readers	可以从本地计算机中读取事件日志
Power users	该组成员可以创建、修改和删除用户。可以创建本地组，然后在他们已创建本地用户组中添加或删除用户，也可以在power users、users和guests组中添加和删除用户。可以创建共享资源并管理所创建的共享资源，不能取得文件的所有权、备份和还原目录、加载和卸载设备驱动程序，或者管理安全性以及日志（小于admin权限）
s users	该组成员可以执行一些常见任务，如运行应用程序、使用本地和网络打印机以及锁定服务器，用户不能共享目录或者创建本地打印机。默认情况下，domain users、Authenticated users、inteeractive 是该组的成员，所以在域中创建任何用户账户都能成为该组的成员
Remote desktop users	可以远程登录服务器（只有登录时账户在这个组中，才能远程登录，一般Admin组中都在此组，而users则不一定，故不一定能远程登录）

我们创建的所有基础账户都在users组中

三账户安全

（一）用户账户管理

计算机管理——本地用户和组——用户——新用户

在本地计算机中，用户账户和用户时相互对应的，当传进用户账户时，应当赋予适当的操作权限

注：从用户安全方面考虑，新疆用户时勾选了“用户下次登录时更改密码”，用户需要在下次登录时须改密码，在设置密码时，密码必须符合复杂性和长度要求

cmd中输入net user 可以将系统中存在的用户在命令行中输出

（二）用户账户启用、禁用和删除

账户和用户本身是相互对应的，如果新用户加入，需要创建新的账户，

如果有些用户暂时用不到，应该将账户禁用，防止被其他用户滥用，

如果用户完全脱离计算机或控制域，应删除对应账户

（三）用户组管理

为了事件对用户账户的统一管理，应该为其创建相应的本地用户组

（四）Windows用户安全策略

1.空口令风险：

用户账户如果设置了空口令，其他用户可以不需要任何技术手段进入计算机，访问浏览空口令用户下的任何数据

2.弱口令或常用口令风险：

非授权用户借助辅助工具根据密码库或社工库尝试撞库，获取用户口令，进入系统访问获取任何数据

（五）windows用户安全策略

本地组策略编辑器（cmd——gpedit.msc）

为防止用户使用空口令，弱口令或常用口令，应当设置相应的安全策略防护

1.启用密码必须符合复杂性要求

2.设置最短密码长度最小值

3.设置密码最短使用期限

4.设置密码最长使用期限

5.启用强制密码历史

（六）Windows审核策略

审核策略时windows本地安全策略的一部分，当用户执行某一项操作时，审核日志都会逐一记录。

只要发生登录等行为都会记录下来。

通过配置审核策略，系统可以自动记录所有登录到本地计算机的时间，通过记录的时间日志，就能快速判断系统被外来者入侵或试图入侵。

（七）Windows审核策略开启建议

1.审核登录事件

2.审核对象访问

3.审核过程跟踪

4.审核目录服务访问

5.审核特权使用

6.审核系统事件

7.审核账号登录事件

8.审核账户管理

（八）Windows用户权限策略配置

将部分安全功能设置权限，分配给特定的用户账户，可以做到重要权限的分散，减轻系统管理员的工作量，避免了个别用户权限过高给系统带来的威胁

（九）用户权限指派到组

开始——管理工具——本地安全策略——双击相应权限

为避免权限管理混乱，应尽量将用户权利指派到组，将需要获得此权限的用户添加到该组中

考试中可能不能使用界面化操作，所以可以使用以下步骤创建和删除账户：
①添加账户pte1到user组中，密码为admin:

net user pte1 admin /add

②提权，加入本地管理员组中

net loaclgroup administrators pte1 /add

③删除账户

net user pte1 /del

二文件系统安全

（一）NTFS权限概述

NTFS是计算机上使用最多的文件系统，其主要特点是安全性高，便于对文件安全统一管理，允许管理员为文件配置详细的访问控制权限

权限是指计算机的文件或文件夹对象关联的访问规则，用于确定用户是否可以访问对象，可以执行哪些操作。使用NTFS文件系统，用户可以实现对文件或文件夹的授权访问，从而保证计算器存储的安全。

默认情况下，只有授权的用户才能访问

对于NTFS分区上的文件和文件夹，管理员可以通过NTFS权限限制不同用户账户的访问权限。

NTFS文件权限：读取，写入，读取和运行，修改，完全控制

NTFS文件夹权限：读取，写入，读取和运行，修改，完全控制，列出文件夹目录

（二）NTFS权限类型

1.显示权限：

系统创建对象时，默认赋予用户账户的访问和操作权限

2.继承权限：

从父对象传播到当前对象的权限，继承权限可以减轻管理权限的任务，并且确保给定容器内所有对象之间的权限的一致性。默认情况下，文件自动继承来自其父文件夹的NTFS权限设置。

3.文件系统特性（重点）

1.权限积累

用户对文件的最终权限是用户指定全部NTFS权限和所属组指定全部NTFS权限的总和

2.文件权限优于文件夹权限

某可写入文件夹下A文件对用户仅可读取，那么即使用户对该文件夹下的其他文件都可读写，但对此文件A仅仅可读取，不可写。“具体权限”高于“一切权限”。

3.拒绝权限优于其它权限

用户A属于组A，也属于组B，组A禁止对file1写入，组B不禁止，但是该用户仍然不能对file1写入。一旦用户被设置了拒绝访问权限，则最终将剥夺该用户可能拥有的任何其它权限。

4.权限继承

文件夹中文件权限会从文件夹处继承。

禁止权限继承：可以禁止一个父文件夹的权限被这个文件夹中所包含的子文件夹的文件继承。只单独对dir1文件夹设置“读取写入”，并禁止权限继承，则dir1文件夹内部的其他文件无法继承dir1文件夹的“读取写入”。

（三）访问控制列表

1.任意访问控制列表：

包含用户的组合名称列表以及其相应的权限

2.系统访问控制列表：

审核服务，包含对象被访问的时间

（四）访问控制项

访问控制项包含允许访问和拒绝访问两种，访问控制条目中的权限是永远不会冲突的，其中拒绝访问的优先级高于允许访问

访问控制条目包含用户或组的SID以及对象的权限

当使用管理工具列出对象的访问权限时，列表的排序时以文字为顺序的，并不像防火墙的规则那样从上往下顺次执行。

（五）复制和移动对文件夹权限的影响

1.在NTFS分区内和NTFS分区之间复制或者移动文件、文件夹时

Windows系统会将其作为新文件或文件夹，因此，会对源文件或文件夹的NTFS权限产生影响。

在复制文件和文件夹时，必须拥有源文件夹得读取权限，并对目标文件具有“写入”权限

在移动文件或文件夹时，必须对目标文件夹拥有“写入”权限，并对源文件夹有“修改”权限

2.当从一个文件夹向另一个文件夹复制文件或文件夹时，或者从一个磁盘分区向另一个磁盘分区复制文件或文件夹时，

复制文件或文件夹会对NTFS权限产生下述影响：

1.在单个NTFS分区内复制文件夹或文件时，文件夹或文件的复制将继承目的文件夹的权限

2.当在NTFS分区回见复制文件夹或文件时，文件夹或者文件的复件将继承目的文件夹的权限

3.当将文件或文件夹复制到非NTFS分区（如FAT32分区或FAT分区）时，因为非NTFS分区不支持NTFS权限，所以这些文件夹或文件丢失NTFS权限

3.移动对NTFS权限的影响如下

1.当在单个NTFS分区内移动文件夹或文件时，该文件夹或者文件保留其原来的权限

2.当在NTFS分区之间移动文件夹或文件时，该文件夹或文件将继承目的文件夹权限。实际上是将文件或文件夹复制到新位置，然后将其从原来的位置删除

3.当文件或文件夹移动到非NTFS分区时，因为非NTFS分区不支持NTFS权限，所以NTFS权限丢失

三文件权限审核

审核功能可以追踪用户对指定对象的详细操作，并生成可供管理员查阅的事件日志，提供查看日志中安全事件的方法。

这对见识非法用户入侵以及危及系统数据安全性的尝试非常必要。

应该被审核的最普通的事件包括：

1.访问对象，例如文件和文件夹

2.用户和组账户的管理员

3.用户登录以及从系统注销

审核事件	潜在风险
登录/注销失败审核	黑客暴力破解密码
登录/注销成功审核	破解密码登录
对特权的使用、用户和管理、安全的更改策略、重新启动、关机和系统时间的成功审核	特权滥用
对文件访问和对象访问事件的成功和失败的审核文件管理员对可疑用户或组对敏感性文件读写访问进行成功和失败的审核	对敏感文件的不适当访问
对文件访问打印机和对象访问事件的成功和失败的审核。打印管理器对那些可以用户或组访问进行成功和失败的审核。	打印机的不适当访问
为程序文件（exe和dll）的写入访问进行的成功和失败的审核成功和失败的审核追踪过程，执行可疑程序，检查意外修改程序文件和意外进程创建的安全日志	病毒

以上这个表格容易出场景题，如：XXXX可能存在什么安全风险？

四文件权限审核对象

每个对象都带有一组安全信息或安全描述符。

五共享文件夹权限

特点：

1.共享文件夹权限只适用于文件夹，而不适用于单独的文件。并且只能为整个共享文件夹设置共享权限，而不能对该共享文件夹中的文件或子文件夹进行设置。

2.共享文件夹权限不并不对直接登录到计算机上的用户起作用。其他所有登录到主机的用户都可以对共享文件夹访问并拥有权限

3.在FAT/FAT32系统卷上，共享文件夹权限是保证网络资源被安全访问的唯一方法。NTFS权限不适用于FAT/FAT32卷

4.默认的共享文件夹权限是读取，并被指定给Everyone组

在NTFS卷上为共享文件夹授予权限时，应当遵守下列规则：

1.可以对共享文件夹中的文件和子文件夹应用不同的NTFS权限。

2.除共享文件夹权限外，用户必须要有该共享文件夹包含的文件和子文件夹的NTFS权限，才能访问那些文件和子文件夹。

在FAT卷上，共享文件夹权限时保护该共享文件夹中的文件和子文件夹的唯一权限。

3.在NTFS卷上必须要有NTFS权限。默认情况下，Everyone组具有“完全控制”权限

六文件系统安全（重点）

使用cacls命令更改文件或文件夹权限

# 查看目录test和ACL
cacls test#修改目录和ACL##完全控制权
cacls test /t /e /c /g user:f##只读权限
cacls test /t /e /c/ p user:f##撤销权限
cacls tset /t /e /c /r user:f##拒绝用户访问
cacls test /t /e /c /d user:f

七日志分析

在事件查看器中看日志（win键——搜索事件查看器）

（一）Windows日志分类

1.Windows系统日志（包括应用程序、安全、安装程序、系统和转发的事件）

2.服务器角色日志

3.应用程序日志

4.服务日志

（二）事件日志基本信息

日志主要记录行为当前的日期、事件、用户、计算机、信息来源、事件、类型、分类等信息

（三）事件类型以及描述

错误：出现问题可能会影响出发事件的引用程序或组件外部的功能

警告：出现问题可能会影响服务器或导致更严重的问题

信息：应用程序或组件发生了改变

关键：出现故障导致触发事件的应用程序或组件无法自动恢复

审核成功：用户权限成功

审核失败：用户权限失败

（四）安全性日志

通过日志审核功能，可以快速检测黑客的渗透和攻击，防止非法用户的再次入侵

主要是通过以下事件策略审核：

1.对策略的审核

2.对登录成功或失败的审核

3.对访问对象的审核

4.对进程跟踪的审核

5.对账户管理的审核

6.对特权使用的审核

7.对目录服务访问的审核

（五）实战命令（重点）

#打开防火墙
netsh advfirewall set allprofiles state on#关闭防火墙
netsh advfirewall set allprofiles state off#展示防火墙状态
netsh advfirewall show allprofiles

【PTE】Windows操作系统安全相关推荐

Windows操作系统内存管理
线性地址管理 Windows x86 进程空间地址划分空指针赋值区:0x00000000~0x0000FFFF 用户模式区:0x00010000~0x7FFEFFFF 64KB禁入区:0x7FFF0 ...
深入解析Windows操作系统笔记——CH1概念和术语
1.概念和工具本章主要介绍Windows操作系统的关键概念和术语 1.概念和工具... 1 1.1操作系统版本... 1 1.2基础概念和术语... 2 1.2.1Windows API2 1.2. ...
利用Linux或者Windows操作系统做路由器进行网络互连
利用Linux或者Windows操作系统做路由器进行网络互连实验地点:4楼2机房实验环境:PC27(装有Linux操作系统) ,PC12(装用windows server 2003 和Linux操 ...
userAgent，JS用户代理检测——判断浏览器内核、浏览器、浏览器平台、windows操作系统版本、移动设备、游戏系统
1.识别浏览器呈现引擎为了不在全局作用域中添加多余变量,这里使用单例模式(什么是单例模式?)来封装检测脚本.检测脚本的基本代码如下所示: 1 var client = function() { 2 ...
在Windows操作系统下，由操作系统分配的内存就叫做堆
堆(Heap) 上面的工作是编译器做的,即程序员并不参与堆栈的维护.但上面已经说了,堆栈相当于在编译时期分配内存,因此一旦计算好某块内存的偏移,则这块内存就只能那么大,不能变化了(如果变化会导致其他内 ...
《Excel 职场手册：260招菜鸟变达人》一第 1 招　快捷键的妙用（基于Windows操作系统）...
本节书摘来异步社区<Excel 职场手册:260招菜鸟变达人>一书中的第1章,第1节,作者: 聂春霞 , 佛山小老鼠责编: 王峰松,更多章节内容可以访问云栖社区"异步社区&qu ...
各版本windows操作系统获取地址，sqlserver全版本数据库工具下载网站分享
给大家分享个网站,里面有很多好的资源可供免费下载网站地址: I Tell You 官网下面是各版本的 sqlserver 数据库下面是各版本的 windows 操作系统喜欢的点个赞❤吧!
windows 操作系统里 git bash 和 git cmd 的区别
我们在 Windows10 安装 git 客户端之后,注意到安装文件夹下有 git-bash.exe 和 git-cmd.exe 两个执行文件.有什么区别吗? 参考这个 StackOverflow 讨 ...
网络安全08-虚拟机运行架构（寄居架构+原生架构）、虚拟机产品简单介绍、windows操作系统--屏蔽系统自动更新
网络安全08_ 一.虚拟机运行架构 (1)寄居架构-便宜,自主学习使用(实验环境,测试环境) 虚拟机作为应用软件安装在操作系统上可以在此应用软件上安装多个操作系统直接安装在硬件上的系统为宿主虚拟 ...
鸿蒙操作系统如何打通 Windows 操作系统？
华为:我们选择拥抱 Windows 华为给出的解决方案是在微软 Windows 操作系统中部署 HarmonyOS 分布式插件.运行 Windows 操作系统的电脑和运行鸿蒙操作系统的华为手机将形成超 ...

【PTE】Windows操作系统安全

一 账户安全