网络安全入门学习第七课——windows操作系统基础
文章目录
- 一、windows操作系统的基本功能
-
- 1、处理器管理
- 2、设备管理
- 3、文件管理
- 4、存储管理
- 5、作业管理
- 6、主要特征
- 二、window系统架构
- 三、window用户账号(secpol.msc)
-
- 1、用户权限分配
- 2、用户账户拥有唯一的安全标识符
- 3、最高级别的用户:system
- 4、默认系统管理员用户:Administrator
- 5、来宾用户:Guest
- 四、window用户组(compmgmt.msc 查看计算机管理)
-
- 1、组是一些用户的集合
- 2、组内的用户自动具备为组所设置的权限
- 3、需要人为添加成员的内置组
- 4、动态包含成员的内置组
- 5、动态包含成员的内置组的特点
- 6、常见常用组
- 五、系统目录
-
- 1、All Users目录
- 2、Command目录
- 3、Config目录
- 4、Desktop目录
- 5、Downloaded Program Files目录
- 6、System32目录
- 7、Web目录
- 8、注意
- 六、重要存放文件
-
- 1、存放windows账号密码的文件
- 2、存放windows文件,解析域名的
- 3、日志文件:perlog目录
- 4、Program Files目录
- 七、Windows 服务
-
- 1、服务 :(端口区分服务)
- 2、快捷打开方式:Win+R打开运行,输入services.msc回车打开
- 3、服务的作用:
- 八、Windows 进程
-
- 1、conime.exe
- 2、csrss.exe
- 3、ctfmon.exe
- 4、explorer.exe
- 5、lsass.exe
- 6、services.exe
- 7、smss.exe
- 8、svchost.exe
- 9、system
- 10、system idle process
- 11、winlogon.exe
- 九、Windows 注册表
-
- 1、打开方式:win+r:-->regedit
- 2、注册表结构:
- 十、系统优化
-
- 1、修改启动项
- 2、加快系统启动速度
- 3、提高窗口切换速度
- 4、使用工具优化
- 十一、Windows 日志与审计
-
- 1、windows有3种类型的事件日志:
-
- a) 系统日志
- b) 应用程序日志
- c) 安全日志
- 2、Windows事件日志简介
- 3、日志审计的基本规则:
- 4、HTTP日志分析
一、windows操作系统的基本功能
1、处理器管理
计算机系统中处理器是最宝贵的系统资源,处理器管理的目的是要合理地安排时间,以保证多个作业能顺利完成并且尽量提高CPU的效率,使用户等待的时间最少。操作系统对处理器管理策略不同,提供作业处理方式也就不同,例如,批处理方式、分时处理方式和实时处理方式。
2、设备管理
当用户程序要使用外部设备时,设备管理控制(或调用)驱动程序使外部设备工作,并随时对该设备进行监控,处理外部设备的中断请求等。(管理硬件)
3、文件管理
文件系统管理则是对软件资源的管理。为了管理庞大的系统软件资源及用户提供的程序和数据,操作系统将它们组织成文件的形式,操作系统对软件的管理实际上是对文件系统的管理。(管理软件)
4、存储管理
存储管理的主要工作是对内存储器进行合理分配、有效保护和扩充。
5、作业管理
作业是用户在一次计算过程中,或者一次事务处理过程中,要求计算机系统所做工作的总称。作业管理与调度的主要功能是审查系统能否满足用户作业的资源要求。
6、主要特征
并发、共享、虚拟、异步
二、window系统架构
三、window用户账号(secpol.msc)
1、用户权限分配
打开本地安全策略,进行策略配置。
2、用户账户拥有唯一的安全标识符
标识符是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。(whoami /user)
3、最高级别的用户:system
4、默认系统管理员用户:Administrator
5、来宾用户:Guest
只拥有相对较少的权限,默认被禁用
四、window用户组(compmgmt.msc 查看计算机管理)
1、组是一些用户的集合
2、组内的用户自动具备为组所设置的权限
3、需要人为添加成员的内置组
Administrator,Guests,Power Users,Users
4、动态包含成员的内置组
- 4.1、Interactive:动态包含在本地登录的账户。
- 4.2、Authenticated Users:动态包含了通过验证的用户,不包含来宾用户。
- 4.3、Everyone:包含任何用户,设置开放的权限时经常使用。
5、动态包含成员的内置组的特点
- 5.1、其成员由Windows程序自动添加。
- 5.2、Windows会根据用户的状态来决定用户所属的组。
- 5.3、组内成员也随之动态变化,无法修改。
6、常见常用组
- 6.1、Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。
- 6.2、Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。
- 6.3、Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
- 6.4、Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
- 6.5、Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
五、系统目录
1、All Users目录
此子目录下是电脑的所有用户及这些用户个人设定的开始菜单及桌面等信息;
2、Command目录
这个目录下放置了微软的DOS下的常用命令,如chkdsk,format, fdisk等常用的命令;
3、Config目录
它是用来存放Windows中的硬件配置文件;
4、Desktop目录
系统图标以及由应用程序和文档建立的桌面快捷方式都存放在这里,这里的图标文件与桌面上的图标动态关联着;
5、Downloaded Program Files目录
如果你经常上网下载东西,此目录成为你下载软件的默认目录;
6、System32目录
与sytem目录都是系统文件夹,存放着Windows的系统文件和硬件驱动程序等重要信息;
7、Web目录
存放一些与web相关的图片文件等。
8、注意
System和System32 这是两个是很重要的系统文件夹,存放Windows的系统文件和硬件驱动程序等重要信息
六、重要存放文件
1、存放windows账号密码的文件
windows\System32\config\SAM
- 可以使用PE清除密码,渗透思路:
- PE进去,拷贝SAM文件,清除,再进系统就不需要密码了,开始渗透;最后再替换出来。
2、存放windows文件,解析域名的
windows\System32\drivers\etc\hosts
3、日志文件:perlog目录
查看方式:计算机管理->事件查看器->windows日志
4、Program Files目录
这个里面存放着一些软件的配置信息。比如数据库连接的信息,下载的软件的信息。
七、Windows 服务
服务其实就是定义了计算机的一些功能。
1、服务 :(端口区分服务)
- 服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。
2、快捷打开方式:Win+R打开运行,输入services.msc回车打开
3、服务的作用:
- 3.1、服务决定了计算机一些功能是否被启用
- 3.2、不同的服务对应的功能不同
- 3.3、通过计算机提供的服务可以有效实现资源共享
八、Windows 进程
常见进程:
1、conime.exe
与输入法编辑器有关的系统进程,能够确保正常调整和编辑系统中的输入法
2、csrss.exe
该进程是微软客户端/服务端运行时子系统,该进行管理windows图形相关任务
3、ctfmon.exe
该进程与输入法有关,该进程的正常运行能够确保语言栏能正常显示在任务栏中
4、explorer.exe
该进程是windows资源管理器,可以说是windows图形界面外壳程序,该进程的正常运行能够确保在桌面上显示桌面图标和任务栏
5、lsass.exe
该进行用于windows操作系统的安全机制、本地安全和登录策略
6、services.exe
该进程用于启动和停止系统中的服务,如果用户手动终止该进程,系统也会重新启动该进程
7、smss.exe
该进程用于调用对话管理子系统,负责用户与操作系统的对话
8、svchost.exe
该进程是从动态链接库(DLL)中运行的服务的通用主机进程名称,如果用户手动终止该进程,系统也会重新启动该进程
9、system
该进程是windows页面内存管理进程,它能够确保系统的正常启动
10、system idle process
该进行的功能是在CPU空闲时发出一个命令,使CPU挂起,从而有效降低CPU内核的温度
11、winlogon.exe
该进程是Windows NT用户登录程序,主要用于管理用户登录和退出。
九、Windows 注册表
1、打开方式:win+r:–>regedit
2、注册表结构:
- HKEY_CLASSES_ROOT:管理文件系统。
- HKEY_CURRENT_USER:管理系统
当前用户信息。 - HKEY_LOCAL_MACHINE:
常用。管理当前系统硬件配置。 - HKEY_USERS:管理系统的
用户信息。 - HKEY_CURRENT_CONFIG:管理当前
用户的系统配置。
十、系统优化
1、修改启动项
- 开始菜单在搜素程序框中输入”msconfig“命令,打开系统配置窗口后找到”启动“选项
2、加快系统启动速度
- 开始菜单在搜素程序框中输入”msconfig“命令,打开系统配置窗口后找到”引导“选项(英文系统是Boot)
- 点击”高级选项“此时就可以看到我们将要修改的设置项了
3、提高窗口切换速度
- 右击计算机属性—性能信息和工具—调整视觉效果
- 先点击让windows选择计算机的最佳设置—再点击自定义—把最后一个选项的勾去掉—确定
4、使用工具优化
十一、Windows 日志与审计
1、windows有3种类型的事件日志:
a) 系统日志
- 用于跟踪系统时间,跟踪系统的启动过程中的事件或控制器的故障
b) 应用程序日志
- 跟踪用户程序关联的事件,比如应用程序加载的dll,或失败的信息
c) 安全日志
- 安全日志的默认状态是关闭的,用于记录登录上网和下网,改变访问权限以及系统的启动和关闭,
日志的默认存储路径在%systemroot%\system32\config中,位于注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog后,下面的Application,Security,System三个子文件分别对应了应用程序,安全,系统三个日志
2、Windows事件日志简介
打开控制面板->系统与安全->事件查看器
- 本质上是数据库:发生什么–什么时间–与谁有关–是否系统相关–访问什么资源
- 共有五种事件级别:所有的事件必须只能拥有其中的一种事件级别
- 成功的审核安全访问尝试,主要指安全性日志,所有的成功登录系统都会被记录为成功审核事件
3、日志审计的基本规则:
- FTP日志分析,在#DATE后面显示的为日期,然后在下面显示的信息依次是:
- 时间,IP地址,USER,用户名, 331(试图登录)
- 时间,IP地址,PASS – 530(登录失败)
- 时间,IP地址,PASS – 230(登录成功)
- 时间,IP地址,PASS – 530(登录失败)
4、HTTP日志分析
- 基本内容为:日期,时间,访客IP,访问的IP,端口,后面可能是GET 然后一个文件(或网页),后面的信息是浏览器和操作系统
