网安基础题-错题总结

Windows操作系统

1. users目录应包含的有桌面、开始菜单、收藏夹、我的文档。

在 Windows 中，存放软件运行后产生的数据主要有两个地方:
①C:\ProgramData 文件夹
一般来讲，ProgramData 存储一些公共文件，以供所有用户使用。（ProgramData文件夹是默认不可见的）
②C:\Users\Administrator\AppData 文件夹。
如果应用程序要为每个用户建立单独的文件夹，就应该使用 AppData 文件夹。
AppData 文件夹下有三个子文件夹：
1.AppData/Local
用作当前非漫游用户使用的应用程序特定数据的公共储存库的目录。非漫游是指这些文件由于特定于 PC 或者太大等，
不应随用户配置文件进行同步或者移动。其中 AppData\Local\Temp\ 存储了一些临时文件，可以删除。
要获取 Temp 的路径，有两种方法：
System.IO.Path.GetTempPath();
Environment.GetEnvironmentVariable("TEMP");
2.AppData/LocalLow
LocalLow 也是包含了无法同步的数据，不够这些数据具有较低的访问级别。如果用户以安全模式运行程序，该程序
将只能访问 LocalLow 文件夹的数据。
3.AppData/Roaming
Roaming 就是“漫游”的意思，这个文件夹是用作当前漫游用户的应用程序特定数据的公共储存库的目录。既可以存
储配置文件等可以进行同步或移动的数据。
Environment.SpecialFolder.ApplicationData

2. HKEY_CLASS_ROOT(HKCR):
   列出当前计算机的所有COM服务和与应用相关联的所有文件扩展名。
3. 常见注册表启动项键的位置：

用户级
\HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
系统级
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\Current Version\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\Current Version\RunOnce

4. Windows服务状态：

服务是持续运行的不可见的应用
生命周期状态：
暂停（paused）、停止（stopped）、正在运行（running）
挂起命令的状态（状但还未执行态指令命令已发出）：
ContinuePending（延长等候）、PausePending（等候开始）、StartPending（等候开始）、StopPending（等候停止）

服务生命周期不包括休眠（sleep）状态

5. 线程不享有资源或只占用很少的资源，同一个进程中的线程共同享有资源。
6. 删除命令

Windows删除命令：
Rd	命令用于删除目录
Dol	命令用于删除文件
Linux删除命令
Rm	命令用于删除当前目录下的所有文件
-r开关		递归的删除子目录和子目录中的文件
-f开关		强制删除
rm -rf		强制删除当前目录下的所有文件

7. 组策略常用的配置策略：
   在安全设置中配置账户策略和Windows防火墙策略–>在管理模板中配置配置文件、注册表、桌面等策略。
   （企业中通常通过“域”一次性配置管理众多电脑）

8. 配置域控：

域控制器中必须安装Windows 2000 Server以上的服务器；
域包括域控和域成员；
域控制器（Domain Controller，简称DC）	“域”模式下，至少有一台服务器负责每一台连入网络的电脑和用户的验证工作；
域成员中不仅仅是个人电脑，也可以是其他服务器、防火墙、打印机等；
域树有多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间；
域树中域层次越深级别越低，一个“.”代表一个层次，如：域child.Microsoft.com 比 域Microsoft.com级别低；
多个域树可以组成一个域林；
林的名字一般会写成xxx.cn或者xxx.com。com指商业、cn指中文、org指业务组织、edu指教育、gov指政府
域控服务器为保证流畅可用，通常不会在域控制器上运行大型的服务，如：SQL  Server、Echange等。
同时也并不会让外网直接访问域控制器；
域功能级别：限制的是整个域中域控制器操作系统版本。域控制器的操作系统为域功能级别操作系统的上级版本。（向上兼容）

9. 网络安全法：

网络运营者应该网络安全等级制度的要求，当采取监测、记录网络运行状态、网络安全事件的技术设施时，按照规定留存相关的网络日志不应少于6个月。
10. 数据的保护层面：
物理层面、系统层面、应用/软件层面、网络层面
CIA：安全三元性；

信息安全三元组

保密性（Confidentiality）

• 保密性也称机密性，指的是对信息资开放范围的控制，确保信息段有非授权的泄漏，不被非授权的个人、组织和计算机程序使用。需要保密的信息范畴于分广泛，它可以是国家秘密、可以是企或研究机构的核心知识产权，也可以是银行账号等个人信息，因此，信息的保密回题是人人都需要面对的。
• 保护机密性取决于为信息定义和实施适当的访问级别。这种做法常常涉及将信息分离为由谁应该访问它以及它是多么敏感的离散集合。在系統上管理保密性的一些最常用的手段包括传統的文件权限、访回控制列表以及文件和卷加密等。

完整性（Integrity）

• CIA中的I代表完整性，特别是数据完整性。这个属性的关键过是保护数据不被未授权方修改或删除。并确保当授权人进行不恰当的更改时。可以降低害。
• 某些数据不应被不适当地修改，例如用户的账户控制，因为即使瞬间的更改也可能导致严重的服务中断和违反密性行为。但是，在合理的情况下，修改应该是可逆的，用户文件可能在一些不期望的情况下（例如操作失误，意外删除，本不应该被删除的文件）尽可能合理地可逆。
• 版本控制和多进行备份是确像完整性最常用的措施之一。这些措施使得授衩人员能方便的修改数据并且有能很容易的撤销修改。通常使用的操作系统文件权限，例如MS-Windows中的只读文件标识等，也是系统保护数据完整性的重要措施。

可用性（Availability）

• 为了确保数据和系统随时可用，系统、访问通道和身份验证机制等都必须正常的工作，这就是可用性。也就是说，无论什么时候，只要得到授衩的实体需要，信息系统必须是可用的，不能拒绝服务。增强的可用性要求还包括时效性及避免因各自自然灾害（火灾、洪水、雷击、地震等）和人为破坏导致的系统失效。

模型的局限性

• CIA三元組关注的重心在信息，虽然这是大多数信息安全的核心因素，但仅仅考虑CIA是不够的，因为信息安全的复杂性决定了还存在其他的重要因素。CIA给出了一个整体安全模型的框架，可能有助于在开始制定安全政策形成思路，但不是需要考虑的安全略要求的总和，也不应该是安全事项的清单。因此，我们需要了解CIA三元组可作为计划、实施良好的安全策略的基本原则，同时还应该认识到它的局限性。

其他信息安全属性

真实性

• 实体是他所声称的属性，可以理解为能对信息的来源进行判断，能对伪造来源的信息予以鉴别。

不可否认性

• 证明要求保护的事件或动作及其发起实体的行为。在法律上，不可否认意味着交易的一方不能拒绝已经接收到交易，另一方也不能拒绝己经发送的交易。这也被视为完整性的一部分。
• 重要是，尽管者如密码系统的技术可以辅助不可否认，但这个概念的核心是超越技术领域的法律概念。例如，发送者在发送息时利用私钥进行数字签名，理论上在传输过程中是不可被更改的。但是，如果发送者可以证明数字签名算法存在漏洞或者缺陷，或者证明他自己的签名密钥已经被破坏时，发送者即使存在抵赖，也很难证明与其关联的信息的真实性和完整性是否有效。

可问责性

• 作为治理的一个方面，同责是承认和承担行动、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政、治理和实施以及报告,解释并对所造成的后果负责。

可控性

• 对信息的传播及内容具有控制能力，任何信息在一定范围内是可控的。

12. 威胁建模6大基本类型（STRIDE）：S:身份欺骗、T:数据篡改、R:否认性、I:信息泄露、D:拒绝服务、E:提权

13. 为了保证系统安全性、应该优化和关注注册表哪些问题？
    服务中的自启动项目、影子用户、消除DLL文件、映像劫持、屏幕保护程序、用户登录初始化

14. 高危命令有哪些？

copy  复制文件
del  删除文件
diskcopy 复制磁盘
format  格式化磁盘

信息安全三元组及其它安全属性原文：https://blog.csdn.net/qq_39053791/article/details/90349503