Windows基础安全知识

目录

常用DOS命令

ipconfig  

ping  

 dir

 cd 

 net user 

常用DOS命令

内置账户访问控制

 Windows访问控制

 安全标识符

 访问控制项

用户账户控制

UAC令牌

其他安全配置

本地安全策略

 用户密码策略复杂性要求

 强制密码历史: 禁止密码重复使用

密码最短使用期限

 密码最长使用期限

 强制密码历史

 密码策略--用户可还原的加密来储存密码

 账户锁定策略

账户锁定阈值 

 重置账户锁定计数器

 本地策略

 本地策略--审核策略

 Windows服务端口

Wed服务 (HTTP、HTTPS)

 DNS

 DNS请求过程

DNS的安全性

DNS常见攻击方式

 DHCP服务

 DHCP获取IP地址过程

 DHCP 欺骗

邮件服务

SMTP

基于web界面发送邮件  

 基于邮件客户端发送邮件   ​编辑

 POP3

 POP3认证过程

 IMAP

IMAP与POP3不同 ​编辑

 SSL

FTP(File Transfer Protocol,文件传输协议)

 FTP使用过程

 FTP 主动方式

FTP被动方式

​编辑

 主动与被动的不同

 TELNET

 远程桌面

远程过程调用

系统日志安全

Windows日志简介

 Windows系统日志

Windows安全日志 

 事件日志分析方式

日志分析工具  ​编辑

 WSUS 

​编辑

 注册表安全 

​编辑

 注册表组成

 Windows中的域

为什么需要域?

 活动目录

 工作组域AD域的区别

AD域的功能

AD域的对象

AD的逻辑结构

域的性能

域的层次结构

组织单元

组织单元划分原则

组织单元(Organizational Unit,OU)在Active Directory(AD)中具有以下特性:

域树(Domain Tree)

域控制器(Domain Controller)

信任关系

DNS与AD域

DNS对AD域的作用

AD域对DNS有一些特定的要求

SRV记录(Service Records)

组策略

基线配置


常用DOS命令

ipconfig  

在 Windows 系统下,ipconfig 命令用于显示当前的网络配置信息。下面是一些常用的 ipconfig 命令参数及其说明:

  1. /all:显示详细的 IP 配置信息,包括IP 地址、子网掩码、默认网关、DNS 服务器、物理地址等。
  2. /renew:向 DHCP 服务器发送请求,更新当前网络连接的 IP 地址。
  3. /release:释放当前网络连接所分配的 IP 地址。
  4. /flushdns:清除本地 DNS 缓存。
  5. /displaydns:显示本地 DNS 缓存中的内容。
  6. /registerdns:强制客户端向 DNS 服务器注册其名称和 IP 地址。
  7. /showclassid:显示所有网络适配器的 DHCP 类别标识符(Class ID)。
  8. /setclassid:更改或设置网络适配器的 DHCP 类别标识符。

这些参数可以通过在命令提示符下输入 ipconfig /? 查看更详细的帮助信息和参数说明。请注意,具体的参数选项可能因操作系统版本和网络配置而略有不同。

ping  

在 Windows 系统下,ping 命令用于测试与目标主机之间的网络连接,并测量网络延迟(即往返时间)。下面是一些常用的 ping 命令参数及其说明:

  1. -t:持续 ping 目标主机,直到手动停止。按 Ctrl + C 组合键停止。
  2. -n <次数>:指定要发送的 ping 请求次数。默认为 4 次。
  3. -l <大小>:设置要发送的数据包大小(字节)。默认为 32 字节。
  4. -f:在数据包中设置“不分段”标志。适用于本地网络或高速网络。
  5. -i <秒数>:指定发送 ping 请求之间的时间间隔(秒)。默认为 1 秒。
  6. -v :设置生存时间(TTL)值,即数据包在网络中的最大跃点数。默认为 128。
  7. -r <次数>:在每个数据包上请求记录路由详细信息。显示每个跃点的 IP 地址、主机名和往返时间。
  8. -a:尝试将 IP 地址解析为主机名。
  9. -6:使用 IPv6 地址进行 ping 测试。

这些参数可以根据需要组合使用。

例如,要发送 10 个数据包并以 1 秒的间隔进行 ping 测试,可以使用命令

ping -n 10 -i 1 目标主机

注意,具体的参数选项和命令行语法可能因操作系统版本和配置而有所不同。你可以在命令提示符下输入 ping /? 命令来获取更详细的帮助信息和参数说明。

 dir

dir 是一个常用的命令行工具,用于列出目录中的文件和子目录。它在不同的操作系统上可能有些许差异,下面是一些常见的 dir 命令参数及其说明:

  1. /W:以宽度固定的方式显示文件和目录列表,每行显示多个文件名。
  2. /P:当屏幕空间不足时,暂停在每个屏幕页底部并等待用户按下任意键继续显示剩余的文件和目录。
  3. /S:搜索指定目录及其子目录中的文件。
  4. /B:在简洁模式下显示文件和目录列表,只显示文件和目录的名称而不显示其详细信息。
  5. /A:控制要显示的文件和目录的属性。
    • /A:D:仅显示目录。
    • /A:-D:仅显示文件。
    • /A:H:显示隐藏文件和目录。
    • /A:-H:不显示隐藏文件和目录。
  6. /O:根据指定的属性对文件和目录进行排序。
    • /O:N:按名称排序。
    • /O:S:按大小排序。
    • /O:D:按日期和时间排序。
  7. /T:控制如何显示文件和目录的日期和时间。
    • /T:W:根据最后写入时间排序并显示。
    • /T:C:根据创建时间排序并显示。
  8. /?:显示帮助信息,列出 dir 命令的可用参数和说明。

这些参数可能在不同的操作系统和命令行环境中有所不同,具体使用时使用  dir /? 命令获取更准确的参数说明。

 cd 

在 Windows 系统下,cd 命令用于更改当前工作目录。下面是一些常用的 cd 命令参数及其说明:

  1. <目录路径>:指定要切换到的目标目录路径。例如,cd C:\Users 将切换到 "C:\Users" 目录。

另外,cd 命令还支持以下一些特殊的参数和符号:

  1. .:表示当前目录。例如,cd . 将保持在当前目录不变。
  2. ..:表示上级目录。例如,cd .. 将切换到当前目录的上级目录。
  3. \:表示根目录。例如,cd \ 将切换到当前驱动器的根目录。
  4. %HOMEPATH%:表示当前用户的主目录。例如,cd %HOMEPATH% 将切换到当前用户的主目录。

这些参数和符号可以根据需要进行组合使用。例如,要切换到当前用户的主目录下的某个子目录,可以使用命令 cd %HOMEPATH%\子目录名

请注意,Windows 下的 cd 命令在不同的操作系统版本中可能会有一些微小的差异。你可以在命令提示符下输入 cd /? 命令来获取更详细的帮助信息和参数说明。

 net user 

在 Windows 系统下,net user 命令用于管理用户账户。下面是一些常用的 net user 命令参数及其说明:

  1. <用户名>:指定要操作的用户账户名称。
  2. <密码>:设置或更改用户账户的密码。
  3. /add:创建新的用户账户。例如,net user username password /add 将创建一个名为 "username" 的用户账户并设置密码为 "password"。
  4. /delete:删除指定的用户账户。例如,net user username /delete 将删除名为 "username" 的用户账户。
  5. /active:yes 或 /active:no:启用或禁用指定的用户账户。例如,net user username /active:no 将禁用名为 "username" 的用户账户。
  6. /fullname:"<全名>":设置或更改用户账户的全名(显示名称)。例如,net user username /fullname:"John Smith" 将设置名为 "username" 的用户账户的全名为 "John Smith"。
  7. /comment:"<注释>":为用户账户添加描述性的注释。例如,net user username /comment:"This is a user account" 将为名为 "username" 的用户账户添加注释 "This is a user account"。
  8. /passwordchg:yes 或 /passwordchg:no:允许或禁止指定的用户账户更改自己的密码。例如,net user username /passwordchg:no 将禁止名为 "username" 的用户账户更改密码。
  9. /passwordreq:yes 或 /passwordreq:no:设置或取消指定的用户账户需要密码来进行身份验证。例如,net user username /passwordreq:no 将取消名为 "username" 的用户账户需要密码进行身份验证。
  10. /expires:<日期>:设置指定的用户账户的过期日期。例如,net user username /expires:2024-01-01 将设置名为 "username" 的用户账户的过期日期为 2024 年 1 月 1 日。
  11. /times:{times}:设置用户账户的登录时段。其中 times 是用逗号分隔的一周中的每天的时间范围(格式为 HH:MM-HH:MM)。例如,net user username /times:M-F,08:00-17:00 将设置名为 "username" 的用户账户在周一至周五的上午 8 点到下午 5 点之间可以登录。

这些是一些常用的 net user 命令参数,可以根据需要进行组合使用。请注意,具体的参数选项和命令行语法可能因操作系统版本而有所不同。你可以在命令提示符下输入 net user /? 命令来获取更详细的帮助信息和参数说明。

Windows基础安全知识_第1张图片

 Windows基础安全知识_第2张图片

 

Windows基础安全知识_第3张图片

 

创建隐藏账户并加入到管理员组

 如图创建隐藏用户

Windows基础安全知识_第4张图片

可以查看对应的用户组发现隐藏用户

Windows基础安全知识_第5张图片

 将隐藏用户添加到 超级管理员组

Windows基础安全知识_第6张图片

 可以看到创建的隐藏用户同时属于Users 与administrator 中

Windows基础安全知识_第7张图片

 在 Windows 系统中,一个用户可以同时属于多个用户组。用户组是一种将用户进行逻辑分组的方法,可以为其分配不同的权限和访问控制。

当一个用户属于多个组时,其权限将由所有组的权限叠加而成。Windows 使用了一种叫做权限累积(privilege accumulation)的机制来处理这种情况。

具体地说,当用户同时属于多个组时,系统会将用户在每个组中所拥有的权限合并,并赋予用户最终的权限。

例如,假设用户A属于"Administrators"组和"Users"组,而"Administrators"组具有管理员权限,"Users"组具有普通用户权限。那么用户A将同时具有管理员权限和普通用户权限。

需要注意的是,有些权限是互斥的,即某个组赋予了特定权限,而其他组又取消了该权限。在这种情况下,取消权限的组将具有更高的优先级。例如,如果用户A属于一个组,该组赋予了禁止访问某个资源的权限,而另一个组赋予了允许访问该资源的权限,那么用户A将无法访问该资源。

对于权限问题,需要综合考虑用户所属的所有组和组之间的权限设置。在配置用户组时,应根据需求、安全性和权限管理的最佳实践原则,合理分配用户组和权限。

常用DOS命令
  1. dir - 显示当前目录下的文件和子目录列表。
  2. cd - 更改当前目录。例如,使用 cd C:\Windows 进入 Windows 目录。
  3. mkdir - 创建新目录。例如,使用 mkdir MyFolder 创建名为 "MyFolder" 的新目录。
  4. del - 删除文件。例如,使用 del filename.txt 删除名为 "filename.txt" 的文件。
  5. rmdir - 删除目录。例如,使用 rmdir MyFolder 删除名为 "MyFolder" 的目录。
  6. copy - 复制文件。例如,使用 copy source.txt destination.txt 将 "source.txt" 复制到 "destination.txt"。
  7. xcopy - 复制目录及其内容(包括子目录)。例如,使用 xcopy C:\sourcefolder D:\destinationfolder /E 将 "C:\sourcefolder" 复制到 "D:\destinationfolder"。
  8. ren - 重命名文件或目录。例如,使用 ren oldname.txt newname.txt 将 "oldname.txt" 重命名为 "newname.txt"。
  9. type - 显示文本文件的内容。例如,使用 type myfile.txt 显示名为 "myfile.txt" 的文本文件的内容。
  10. ping - 测试与远程主机的连接。例如,使用 ping google.com 确认你能够与 Google.com 进行通信。
  11. ipconfig - 显示当前网络配置信息,如 IP 地址、子网掩码等。
  12. tasklist - 显示当前正在运行的进程列表。
  13. taskkill - 终止正在运行的进程。例如,使用 taskkill /IM process.exe 终止名为 "process.exe" 的进程。
  14. systeminfo - 显示系统的详细信息,包括操作系统版本、计算机名称等。
  15. shutdown - 关闭或重启计算机。例如,使用 shutdown /s 关闭计算机。

以上仅是一些常用的 Windows 命令示例,Windows 提供了丰富的命令行工具和命令,可以根据具体需求进行更多操作。在命令提示符下输入 help 或者加上命令名称后面加上 /? 以获取关于命令的更多信息和选项。

内置账户访问控制

 Windows访问控制

Windows访问控制是指在Windows操作系统中对资源、文件和目录等进行权限管理和控制的机制。通过访问控制,可以限制用户或用户组对系统资源的访问和操作,保护敏感数据和系统的安全。

Windows访问控制基于以下几个核心概念:

  1. 用户账户:每个使用Windows系统的用户都有一个唯一的用户账户,用于登录和识别用户身份。

  2. 用户组:用户可以被分组到不同的用户组中,通过用户组来管理和分配权限,简化权限管理工作。

  3. 访问权限:每个资源(例如文件、文件夹、注册表键等)都有相关的访问权限,包括读取、写入、执行等操作。

  4. 安全标识符(SID):每个用户和用户组都有一个唯一的安全标识符(SID),用于唯一标识用户或用户组。

在Windows中,访问控制可以通过以下方式实现:

  1. 文件和文件夹权限:Windows提供了细粒度的文件和文件夹访问权限控制,可以设置单个用户或用户组对特定文件和文件夹的读取、写入、执行等权限。

  2. 用户账户控制:可以通过用户账户控制,限制用户对系统设置和敏感操作的访问。管理员账户具有更高的权限,普通用户则受限于访问权限的设置。

  3. 安全策略:通过安全策略可以对整个系统的访问控制进行配置,包括账户密码策略、用户登录策略、账户锁定策略等。

  4. 用户组管理:将用户分组到不同的用户组中,可以更方便地应用权限和管理用户访问控制。

  5. 审计日志:Windows提供了审计功能,可以记录系统中发生的安全事件和操作,帮助监控和追踪用户的访问行为。

为了保障系统安全,建议在Windows系统中采取以下安全措施:

  1. 原则上使用最小权限原则,给予用户访问资源的最低权限,避免不必要的权限泄漏。

  2. 定期审核和更新权限设置,确保权限与实际需求保持一致。

  3. 使用强密码,并定期更新密码策略,限制密码长度、复杂度和有效期。

  4. 定期备份重要数据,以防止数据丢失或被损坏。

  5. 定期审计和监控系统的安全事件和日志,及时检测和应对潜在的威胁。

对于NTFS文件系统 访问权限决定了哪些用户 可以访问那些文件目录  

 

 安全标识符

安全标识符(Security Identifier,简称SID)是在Windows操作系统中用于唯一标识用户、用户组和安全对象的一种标识符。每个用户账户、用户组或者安全对象都有一个对应的SID。

SID是一个包含数字和字母的字符串,形式为"S-1-5-21-3623811015-3361044348-30300820-1013"。其中,前面的"S-1-5-21"是固定的标识符开头,后面的数字序列代表了特定的信息:

  • 第一个子段(Revision)表示SID的版本号,目前固定为1。
  • 第二个子段(Identifier Authority)表示SID的授权机构。常见的值包括:
    • "0":表示空SID。
    • "1":表示Windows内置的授权机构。
    • "5":表示安全标识符的权威机构为NTAuthority。
  • 后续的子段(Subauthority)包含了更具体的标识符信息,例如用户或用户组的唯一ID。

SID的作用是唯一标识系统中的安全主体,例如用户账户或用户组。它在Windows操作系统中广泛应用于访问控制、权限管理、文件共享等场景。通过SID,系统可以快速识别和验证用户、用户组以及其他安全对象的身份。

在Windows中,SID通常与用户账户和用户组关联。每个用户账户都有一个唯一的SID,用于在系统中唯一标识该用户。用户组也有对应的SID,用于标识和管理一组用户。

总之,安全标识符(SID)是Windows操作系统中用于唯一标识用户、用户组和安全对象的一种标识符。它在访问控制和权限管理方面起到重要的作用,帮助系统识别和验证身份,确保安全性与可控性。

 

 访问控制项

访问控制项(Access Control Entry,简称ACE)是在Windows操作系统中用于定义资源(如文件、文件夹、注册表项等)的访问权限的一种数据结构。ACE包含了一个安全标识符(SID)和相关的权限信息,用于确定哪些用户或用户组可以对资源进行何种操作。

ACE通常包含以下几个重要的属性:

  1. 安全标识符(SID):ACE中包含了一个唯一的安全标识符,用于标识用户账户、用户组或其他安全对象。

  2. 权限(Permissions):ACE定义了被授权的操作或权限,比如读取、写入、执行等。权限以二进制标志位的形式表示,可以进行组合和设置。

  3. 访问掩码(Access Mask):访问掩码是一个整数值,代表了权限的具体设置。不同的位标志位对应不同的权限。

  4. 访问控制类型(Access Control Type):ACE还包含了访问控制类型信息,指示该ACE是允许或拒绝访问。常见的访问控制类型包括允许(Allow)和拒绝(Deny)。

ACE通过将安全标识符与相应的权限和访问控制类型关联起来,实现了对资源的细粒度访问控制。例如,可以创建一个ACE,将某个用户的安全标识符与读取权限关联起来,从而允许该用户对指定资源进行读取操作。

在Windows中,ACE通常与访问控制列表(Access Control List,简称ACL)一起使用。ACL是一个包含多个ACE的集合,用于描述资源的完整访问控制策略。根据需要,可以向ACL中添加、修改或删除ACE来调整资源的访问权限。

用户账户控制

UAC(User Account Control,用户账户控制)是 Windows 操作系统中的一项安全功能。它旨在帮助防止未经授权的更改和提高系统的安全性。

UAC 的主要作用是限制标准用户在没有管理员权限时对系统所做的更改。具体来说,当一个标准用户尝试执行需要管理员权限的任务时,UAC 会弹出一个提示框,要求输入管理员凭据才能继续操作。这种机制可以确保用户在进行敏感操作之前经过授权,并避免恶意软件或未经授权的程序对系统造成损害。

通过 UAC,管理员可以以标准用户的身份登录操作系统,只有在需要进行管理员级别的任务时才会被要求提供管理员凭据。这有助于减少意外的系统变更和恶意软件的影响。

你可以根据个人需求对 UAC 进行一些自定义设置。例如,你可以调整 UAC 的提示级别,从而控制何时以及如何提示需要管理员权限的操作。可以通过以下步骤访问 UAC 设置:

  1. 点击开始菜单,搜索并打开"控制面板"。
  2. 在控制面板窗口中,选择"用户账户"。
  3. 在用户账户页面中,点击"更改用户账户控制设置"。
  4. 在 UAC 设置页面,你可以通过移动滑块来调整提示级别。四个级别分别是:
    • 从不通知:禁用 UAC。
    • 在程序安装时通知:仅在安装程序时要求管理员权限。
    • 每次都通知:每次需要管理员权限的操作时都会弹出提示框。
    • 总是通知:在进行任何需要管理员权限的操作之前都会弹出提示框。

请注意,在修改 UAC 设置时需要管理员权限。建议根据实际需求和安全性考虑来调整 UAC 的设置。

UAC令牌

UAC 令牌(UAC Token)是指在 Windows 操作系统中用于标识用户权限的一种数据结构。每个经过身份验证的用户都会分配一个 UAC 令牌,它包含了用户的安全性标识和所属的用户组信息。

UAC 令牌的主要作用是对用户进行身份验证,并为系统提供基于权限的访问控制。具体来说,UAC 令牌中包含了用户的安全凭据、用户的身份标识、分配给用户的权限以及用户所属的用户组(包括内置的用户组和自定义的用户组)。

当用户尝试执行需要管理员权限的任务时,UAC 令牌起到了关键的作用。如果用户是管理员账户或具有管理员权限的账户,UAC 令牌会将其权限提升至管理员级别,从而允许用户执行受限制的操作。如果用户是标准用户,则 UAC 令牌会触发 UAC 提示框,要求用户提供管理员凭据以获取临时的管理员权限。

UAC 令牌还与权限累积(privilege accumulation)相关联。当用户同时属于多个用户组时,UAC 令牌会根据所有用户组的权限合并成最终的权限集。

需要注意的是,UAC 令牌是一种临时的令牌,它仅在用户登录时生成,并根据用户的权限和所属用户组进行设置。如果用户修改了自己的权限或管理员对用户进行了更改,那么 UAC 令牌也会相应更新。

总结来说,UAC 令牌是用于标识用户身份和权限的数据结构,在 UAC 功能中起到了重要作用,用于验证用户并控制访问权限。

其他安全配置

本地安全策略

 用户密码策略复杂性要求

 强制密码历史: 禁止密码重复使用

密码最短使用期限

 密码最长使用期限

 强制密码历史

 密码策略--用户可还原的加密来储存密码

(如无必要,请勿设置)

 账户锁定策略

账户锁定阈值 

 重置账户锁定计数器

 本地策略

 本地策略--审核策略

 

 Windows服务端口

Wed服务 (HTTP、HTTPS)

Windows基础安全知识_第8张图片

 

 

 

 

 DNS

 

 DNS请求过程

进行DNS查询请求的过程通常遵循以下步骤:

  1. 应用程序发送DNS请求:当应用程序需要解析域名时(例如浏览器打开网页),它会向操作系统发出DNS请求。请求中包含要解析的域名。

  2. 本地DNS缓存查询:操作系统首先查询本地DNS缓存,看是否已经缓存了该域名的IP地址。如果存在,则直接返回缓存中的结果,无需向外部DNS服务器发送请求。

  3. 查询本地主机文件:如果在本地DNS缓存中未找到对应的IP地址,操作系统会查找本地主机文件(hosts文件),看是否有手动配置的域名和IP映射关系。如果找到匹配项,操作系统将使用该IP地址,并且不再继续向下执行。

  4. DNS解析器向首选DNS服务器发送请求:如果以上步骤未能找到IP地址,则操作系统将向预先配置的首选DNS服务器发送DNS请求。这个首选DNS服务器通常由互联网服务提供商(ISP)或网络管理员提供。

  5. 首选DNS服务器进行递归查询:首选DNS服务器接收到请求后,如果它本身不具备所请求的域名的IP地址,它会进行递归查询。递归查询意味着首选DNS服务器会从根域名服务器开始一步步向下查询,直至找到最终的域名解析结果。首选DNS服务器可能会查询多个中间DNS服务器,包括顶级域名服务器、权威域名服务器等。

  6. DNS解析器获得IP地址:一旦首选DNS服务器找到了域名对应的IP地址,它将把解析结果返回给操作系统的DNS解析器。

  7. 操作系统将解析结果返回给应用程序:操作系统接收到解析结果后,将其返回给发起DNS请求的应用程序。应用程序可以使用该IP地址与远程服务器建立连接,进行数据传输等操作。

值得注意的是,以上步骤中的DNS缓存和本地主机文件是可以配置和修改的,可能会影响DNS解析的结果。另外,Windows操作系统也支持配置备用DNS服务器,在首选DNS服务器无法响应时会自动转向备用DNS服务器进行查询。

总结起来,Windows操作系统进行DNS请求的过程包括:

1.应用程序发送DNS请求,

2.本地DNS缓存查询,

3.查询本地主机文件,

4.向首选DNS服务器发送请求,

5.递归查询过程以及最终将解析结果返回给应用程序。

这个过程可以帮助实现域名解析,将域名转换为对应的IP地址,从而建立网络连接。

 

DNS的安全性

DNS协议在传输过程中使用UDP(用户数据报协议),而不是TCP(传输控制协议)。与TCP相比,UDP是一种无连接、不可靠的传输协议,缺乏内置的数据完整性校验和加密机制。因此,基于UDP的DNS传输本身存在一些安全风险。

下面是DNS采用UDP传输的主要安全风险:

  1. 窃听:由于UDP数据包没有加密,可能被攻击者截获并窃听。这使得攻击者可以获取传输的DNS查询和响应信息,包括访问的域名和对应的IP地址。

  2. 被篡改:UDP传输的数据包容易被篡改。攻击者可能会修改DNS查询或响应的内容,将用户重定向到恶意网站或劫持用户的网络流量。

  3. 重放攻击:攻击者可以使用传输的DNS响应作为重放攻击的载体。他们可以捕获合法的DNS响应并在不同的时间点重新发送,以欺骗用户或绕过某些安全防护措施。

为了提高DNS传输的安全性,可以采取以下措施:

  1. 使用DNS over TLS(DoT)或DNS over HTTPS(DoH):这些是通过加密和隧道技术保护DNS传输的方法。它们使用TLS或HTTPS协议来加密DNS查询和响应,防止窃听和篡改。

  2. 实施DNSSEC:DNS安全扩展(DNSSEC)是一种用于验证DNS数据完整性和认证来源的安全机制。它通过数字签名在 DNS 层次结构中引入了公钥基础设施(PKI),提供了一种有效防止DNS劫持和欺骗的方法。

  3. 使用VPN:通过使用虚拟私人网络(VPN),可以在本地计算机和远程DNS服务器之间建立加密隧道,确保DNS传输的安全性和隐私性。

注意,以上措施需要服务器端和客户端同时支持,并且需要网络管理员或服务提供商的支持和配置。通过这些措施的组合,可以增强DNS传输的安全性,保护用户的隐私和数据完整性。

DNS常见攻击方式

DNS污染DNS劫持是一些常见的网络攻击方式,它们旨在篡改DNS解析结果以实现恶意目的。下面是对这两种攻击的简要说明以及应对措施:

DNS污染:DNS污染也被称为DNS缓存投毒或DNS欺骗,它是指在DNS缓存服务器中插入虚假的解析信息,使用户访问到错误的IP地址。这种攻击通常发生在ISP或本地网络内的DNS服务器上。

防范措施:

  • 及时清空本地DNS缓存。
  • 使用可靠的DNS服务器,如公共DNS服务器(例如Google Public DNS、OpenDNS等)或者企业内部的安全DNS服务器。
  • 配置DNSSEC以对抗DNS污染攻击,确保接收到的DNS响应的完整性和真实性。

DNS劫持:DNS劫持是指攻击者通过篡改或伪造DNS响应,将用户的请求重定向到恶意网站,从而窃取用户的敏感信息或进行恶意活动。这种攻击通常发生在用户终端设备或本地网络中。

防范措施:

  • 使用可信任的防火墙和安全软件来检测和阻止恶意的DNS劫持行为。
  • 更新和使用受信任的操作系统和应用程序,以减少已知漏洞的存在。
  • 避免点击来自未知来源的链接或下载不可信的软件。
  • 配置DNSSEC以提供DNS响应的验证和认证,防止被篡改。

 此外,还应保持操作系统和应用程序的及时更新。提醒用户注意避免不必要的点击和下载,以减少暴露于潜在的威胁之下。

 DHCP服务

DHCP(Dynamic Host Configuration Protocol)是一种网络协议,用于自动分配IP地址和其他网络配置参数给连接到网络的设备。以下是关于DHCP的一些重要信息:

  1. IP地址分配:DHCP服务器能够动态分配可用的IP地址给连接到网络的设备。当设备加入网络时,它会发送DHCP请求,DHCP服务器会回复一个包含分配给该设备的IP地址、子网掩码、默认网关和DNS服务器等配置信息的DHCP响应。

  2. 自动配置:通过DHCP,网络中的设备可以自动获取所需的网络配置信息,而无需手动配置。这使得网络的管理和维护更加方便,并且减少了人工配置的错误。

  3. IP地址续约:DHCP服务器分配给设备的IP地址是有限的,因此设备在租期过期之前需要与DHCP服务器进行续约。设备会发送DHCP请求来延长租期,如果DHCP服务器确认设备仍然在线,则会为设备更新租期。

  4. 动态分配:DHCP允许在特定的IP地址池中动态分配可用的IP地址。当设备不再连接到网络或租期过期后,DHCP服务器可以将该IP地址重新提供给其他设备使用,以最大程度地利用可用的IP地址资源。

  5. 其他配置参数:除了IP地址,DHCP还可以提供其他网络配置参数,例如子网掩码、默认网关、域名服务器、NTP服务器和选项设置等。

总体而言,DHCP简化了网络设备的配置和管理过程,提供了一种自动化和集中化的方式来分配和管理IP地址及其他网络配置信息。它在局域网和广域网中广泛应用,以提高网络的可用性和灵活性。

 

Windows基础安全知识_第9张图片

 DHCP获取IP地址过程

DHCP获取IP地址的过程可概括为以下几个步骤:

  1. DHCP发现:当设备加入网络时,它会发送一个特殊的DHCP发现消息(DHCP Discover),使用目标IP地址为广播地址(例如255.255.255.255)来寻找可用的DHCP服务器。

  2. DHCP提供:在收到DHCP发现消息的网络上的DHCP服务器接收到请求后,它们将以DHCP提供消息(DHCP Offer)的形式回复。该消息中包含了可用的IP地址、租期时间和其他配置信息。

  3. DHCP请求:设备接收到一个或多个DHCP提供消息后,会选择其中一条提供消息,并向提供该消息的DHCP服务器发送DHCP请求消息(DHCP Request)。该消息表明设备接受提供的IP地址和配置信息。

  4. DHCP确认:DHCP服务器在收到DHCP请求消息后,会向设备发送DHCP确认消息(DHCP Acknowledge)。该消息确认设备已成功分配了IP地址和其他配置信息。此时,设备完成了IP地址分配过程。

在这个过程中,可能会存在多个DHCP服务器提供IP地址的情况。设备通常会选择第一个回复的DHCP提供消息,并向其发送DHCP请求。其他DHCP服务器在收到设备的DHCP请求后,会将对应的提供消息取消。

值得注意的是,DHCP客户端和DHCP服务器之间的通信基于UDP协议。为了避免DHCP请求和提供消息在局域网中的广播,通常会使用DHCP中继代理来转发消息,以实现跨子网的DHCP功能。

通过DHCP获取IP地址可以自动配置设备,简化了网络管理和维护的工作,并确保设备都有唯一的有效IP地址,有助于网络的可扩展性和可靠性。

 DHCP 欺骗

DHCP欺骗(DHCP spoofing)是一种恶意行为,旨在干扰或劫持DHCP协议的正常运行,以获取未经授权的IP地址或篡改网络配置。以下是关于DHCP欺骗的一些重要信息:

  1. 工作原理:正常情况下,DHCP服务器负责分配IP地址和其他网络配置参数给连接到网络的设备。然而,恶意主机可以发送虚假的DHCP提供消息(DHCP Offer)或DHCP确认消息(DHCP Acknowledge),通过欺骗的方式将自己伪装成有效的DHCP服务器。

  2. IP地址冲突:当两个或多个设备同时请求相同的IP地址时,可能会导致IP地址冲突。DHCP欺骗者可以发送虚假的DHCP提供消息,将自己的MAC地址与被欺骗设备请求的IP地址相匹配,从而使被欺骗设备无法正确获取有效的IP地址。

  3. 网络中断:DHCP欺骗者可以发送虚假的DHCP确认消息,将设备的IP地址设置为无效的地址或空值,从而导致设备无法正常连接到网络。这可能会导致网络中断或无法访问网络资源。

  4. 中间人攻击:DHCP欺骗可以被用作中间人攻击的一部分。欺骗者可以劫持设备与其默认网关之间的通信,以窃取敏感信息、监视网络流量或进行其他恶意行为。

  5. 防范措施:为了防止DHCP欺骗,可以采取以下措施:

    • 使用DHCP Snooping:在网络交换机上启用DHCP Snooping功能,它可以检测并过滤掉未经授权的DHCP消息。

    • 使用静态IP地址:对于某些重要设备,可以手动配置静态IP地址,而不是依赖动态分配的方式。

    • 使用DHCP认证:通过在DHCP服务器上启用认证,只有经过身份验证的设备才能获取有效的IP地址。

    • 网络安全策略:实施网络安全策略,如防火墙、入侵检测和网络监控,以监视和检测潜在的恶意DHCP活动。

总的来说,DHCP欺骗是一种潜在的网络安全威胁,可以导致网络中断、IP地址冲突和中间人攻击等问题。通过采取适当的安全措施,可以减少DHCP欺骗的风险,并确保网络的正常运行和安全性。

邮件服务

SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)

POP3(Post Office Protocol Version 3,邮局协议版本3)

IMAP(Internet Message Access Protocol,互联网邮件访问协议)

以上是用于电子邮件的三种常见协议。它们在不同的功能和用途上有所区别。

SMTP(简单邮件传输协议): SMTP是用于发送电子邮件的协议。当你发送一封电子邮件时,你的电子邮件客户端(如Outlook、Gmail等)使用SMTP协议将邮件从你的计算机发送到邮件服务器。SMTP负责将邮件从发件人的客户端传输到邮件服务器,并通过指定服务器的地址和端口(通常是25号端口)来正确地传递邮件。

POP3(邮局协议版本3): POP3是用于接收电子邮件的协议。当你想要读取你的电子邮件时,你的电子邮件客户端使用POP3协议连接到邮件服务器,并下载存储在服务器上的邮件。POP3需要提供用户名和密码以进行身份验证,并从服务器上获取收件箱中的邮件。POP3通常使用110号端口。

IMAP(互联网邮件访问协议): IMAP也是用于接收电子邮件的协议,但相比于POP3,它提供了更多的功能。IMAP允许用户在多个设备上同步邮件,可以在服务器上管理邮件的文件夹结构,还可以在客户端上进行搜索、筛选和排序等。IMAP通常使用143号端口。

主要区别:

  • 功能:SMTP负责发送电子邮件,POP3和IMAP负责接收电子邮件。
  • 端口:SMTP使用25号端口,POP3使用110号端口,IMAP使用143号端口。
  • 存储:POP3将邮件下载到本地设备并从服务器删除,而IMAP在服务器上保留邮件的副本,可以在多个设备间同步查看。
  • 文件夹管理:IMAP允许在服务器上创建、重命名和删除邮件文件夹,而POP3没有此功能。
SMTP

 

基于web界面发送邮件  

Windows基础安全知识_第10张图片

 基于邮件客户端发送邮件   

 SMTP常见故障

 POP3

 POP3认证过程

Windows基础安全知识_第11张图片

 IMAP

IMAP与POP3不同 
 SSL

使用SSL加密后的邮件服务的端口 

FTP(File Transfer Protocol,文件传输协议)

FTP是一种用于在计算机之间传输文件的标准协议。它允许用户通过网络连接到远程计算机,并在本地计算机和远程计算机之间进行文件传输。

FTP由两个主要组件组成:FTP服务器和FTP客户端。

FTP服务器: FTP服务器是一个在远程计算机上运行的软件程序,负责存储和管理文件库以供其他计算机下载或上传。FTP服务器通常具有一个IP地址和一个端口号。

FTP客户端: FTP客户端是用于从本地计算机连接到FTP服务器的软件程序。用户可以使用FTP客户端来浏览远程服务器上的文件、上传文件到服务器或从服务器下载文件。

FTP协议支持以下基本操作:

  1. 登录认证:用户需要提供用户名和密码来登录到FTP服务器。
  2. 文件浏览:用户可以在FTP客户端中浏览远程服务器上的文件和目录。
  3. 文件上传:用户可以将本地计算机上的文件上传到远程服务器。
  4. 文件下载:用户可以从远程服务器下载文件到本地计算机。
  5. 文件删除:用户可以删除远程服务器上的文件。
  6. 文件重命名:用户可以重命名远程服务器上的文件。
  7. 目录创建和删除:用户可以在远程服务器上创建和删除目录。

值得注意的是,FTP是一种不加密的协议,因此它在数据传输过程中可能存在安全风险。为了提供更安全的文件传输,可以使用加密协议如SFTP(SSH文件传输协议)或FTPS(FTP安全)。这些协议在传输过程中对数据进行加密,提供了更高的安全性。

 FTP使用过程

FTP进行文件传输通常涉及以下步骤:

  1. 客户端连接到服务器:在FTP客户端中,输入远程FTP服务器的地址(IP地址或域名)和端口号,点击连接按钮或使用命令行连接到FTP服务器。一般情况下,FTP服务器使用默认的端口21。

  2. 登录认证:一旦与FTP服务器建立连接,客户端会要求用户提供用户名和密码进行登录认证。这些凭据通常由FTP服务器管理员提供。

  3. 导航浏览:成功登录后,客户端将显示连接到的远程服务器上的文件目录。用户可以使用客户端提供的命令或图形界面浏览文件目录,并选择需要传输的文件或目录。

  4. 上传文件:要将本地计算机上的文件上传到远程服务器,用户可以执行以下操作:

    • 选择要上传的文件并右键点击,然后选择“上传”选项;
    • 在命令行中使用put命令,后面加上本地文件路径和远程服务器的目标路径。
  5. 下载文件:要从远程服务器下载文件到本地计算机,用户可以执行以下操作:

    • 选择要下载的远程文件并右键点击,然后选择“下载”选项;
    • 在命令行中使用get命令,后面加上远程文件路径和本地计算机的目标路径。
  6. 文件删除和重命名:用户可以使用客户端提供的命令或图形界面对远程服务器上的文件进行删除和重命名操作。

  7. 断开连接:在完成文件传输后,用户可以选择断开与FTP服务器的连接。通常,在客户端界面中有类似“断开连接”、“退出”或“关闭”等选项。

Windows基础安全知识_第12张图片

 FTP 主动方式

FTP被动方式
 主动与被动的不同

FTP的主动和被动模式在数据连接的建立方式、端口使用和安全性方面有所不同:

主动模式 (Active Mode):

  1. 客户端通过控制连接(默认端口21)与服务器建立连接。
  2. 客户端发送PORT命令,指定自己的IP地址和一个随机的端口号,告诉服务器可以通过这个端口与客户端建立数据连接。
  3. 服务器使用客户端提供的IP地址和端口号主动连接客户端的数据端口,开始数据传输。
  4. 主动模式中,服务器主动连接客户端,因此在客户端防火墙上需要打开一个范围的端口以接受服务器连接请求。

被动模式 (Passive Mode):

  1. 客户端通过控制连接(默认端口21)与服务器建立连接。
  2. 客户端发送PASV命令告知服务器要使用被动模式。
  3. 服务器在一个大于1024的端口范围内选择一个空闲端口,并将自己的IP地址和这个端口号发送给客户端。
  4. 客户端根据服务器提供的IP地址和端口号发起数据连接,服务器接受连接并进行数据传输。
  5. 被动模式中,由于服务器被动地等待客户端连接请求,因此在服务器防火墙上需要打开一个范围的端口以接受客户端连接请求。

需要注意的是,FTP的主动模式和被动模式在防火墙和网络设备配置上有一些差异。主动模式可能会遇到客户端或服务器防火墙的限制,需要在防火墙中正确配置来允许数据连接的建立。被动模式相对来说更容易适应不同的网络环境,因为大多数防火墙会允许客户端发出对服务器的连接请求,然后服务器通过已经建立的控制连接来返回数据端口的信息,从而避免了防火墙限制的问题。

 TELNET

Telnet是一种用于远程登录到远程计算机或设备的网络协议。通过Telnet,用户可以在本地计算机上使用命令行界面来远程连接到目标计算机,并执行各种操作和命令。

需要注意的是,由于Telnet是明文传输数据的,因此不建议在不受信任的网络上使用Telnet,因为攻击者可以拦截和查看传输的数据,包括用户名、密码和其他敏感信息。为了安全起见,建议使用更安全的远程登录协议,如SSH(Secure Shell)。

Windows基础安全知识_第13张图片

 

 远程桌面

远程桌面是一种技术,允许您从本地计算机通过网络连接到远程计算机,并在本地计算机上使用和控制远程计算机的桌面界面。

远程过程调用

远程过程调用(Remote Procedure Call,RPC)是一种通信机制,允许程序在不同的计算机或网络节点之间进行通信和交互。通过RPC,程序可以像调用本地函数一样调用远程计算机上的函数或过程,无需了解底层的网络细节。

系统日志安全

Windows日志简介

Windows日志是操作系统中用于记录和存储系统活动和事件的重要组成部分。它可以提供有关计算机运行状况、故障排查、安全事件追踪和性能分析等方面的信息。下面是Windows日志的几种常见类型:

  1. 应用程序日志(Application log):该日志记录与应用程序相关的事件和错误,如应用程序崩溃、错误消息和警告。

  2. 安全日志(Security log):安全日志记录与计算机安全相关的事件,如登录和注销、访问权限更改、安全漏洞扫描等。

  3. 系统日志(System log):系统日志记录与操作系统相关的事件和错误,如启动和关闭事件、驱动程序问题、硬件错误等。

  4. 设置日志(Setup log):设置日志记录系统安装和更新的相关信息,包括软件安装、驱动程序安装和升级等。

  5. 服务日志(Service log):服务日志记录有关系统服务的事件和错误,如服务启动、停止、失败等。

  6. Internet Information Services(IIS)日志:用于记录 IIS 服务器上的活动和事务,如访问日志、错误日志和安全日志。

除了上述常见的日志类型,Windows还支持其他类型的日志,例如DNS日志、远程桌面服务日志等,这些日志可以根据特定的需求进行配置和记录。

Windows基础安全知识_第14张图片

 Windows基础安全知识_第15张图片

 Windows系统日志

Windows系统日志是Windows操作系统中的一种记录工具,用于记录与操作系统和系统组件相关的事件和错误。它包含了多个子类别的日志,常见的包括:

  1. Application Log(应用程序日志):记录与应用程序相关的事件和错误。例如,应用程序崩溃、警告信息等。

  2. System Log(系统日志):记录与操作系统本身相关的事件和错误。例如,启动/关闭事件、设备驱动程序问题、系统错误等。

  3. Security Log(安全日志):记录与计算机安全相关的事件。例如,登录和注销记录、对象访问、安全漏洞扫描等。

  4. Setup Log(设置日志):记录系统安装和更新的相关信息。例如,软件安装、驱动程序安装和升级等。

  5. Forwarded Events Log(转发事件日志):该日志记录由远程计算机发送的事件日志,可用于集中管理和监控多台计算机的事件。

这些日志记录了计算机运行过程中的重要事件和错误,对于系统管理员和技术支持人员来说是非常有用的工具。通过查看和分析系统日志,可以帮助诊断和解决操作系统和应用程序的问题,及时处理安全事件,以及进行性能监控和优化。

要查看Windows系统日志,可以打开“事件查看器”工具。

 

Windows安全日志 

Windows安全日志(Security Log)是Windows操作系统中的一个重要组成部分,用于记录与计算机安全相关的事件和活动。它是Windows事件日志的一种类型,它记录了用户登录、对象访问、安全权限更改、安全漏洞扫描等与计算机的安全性相关的信息。

安全日志是基于Windows安全审计功能而创建的,它可以提供对系统安全性的监控和审计,帮助管理员及时检测和应对安全事件。以下是安全日志中常见的事件类型:

  1. 登录事件:记录用户登录和注销的活动。包括登录成功、登录失败、注销等。

  2. 对象访问事件:记录对文件、文件夹、注册表等对象的访问操作。如果有未授权的访问尝试,会生成相应的事件记录。

  3. 安全权限更改事件:记录安全组、用户或对象的权限更改。例如,添加或删除用户的权限、更改组策略等。

  4. 安全漏洞扫描事件:记录系统中发生的安全漏洞扫描活动。这些活动可能来自外部威胁,如恶意软件或非授权的渗透测试。

  5. 安全审计配置更改事件:记录安全审计策略或其它与安全审计相关的配置更改。例如,启用或禁用安全审计、更改事件保留期限等。

 Windows基础安全知识_第16张图片

 

 

 事件日志分析方式

事件日志分析是通过对事件日志中的数据进行处理和解释,以发现潜在的问题、异常行为或安全事件。以下是事件日志分析的一般步骤和方法:

  1. 收集事件日志:首先需要收集需要分析的事件日志。这可以通过使用操作系统自带的事件查看器工具导出日志文件,或使用专业的日志管理工具来自动收集和存储事件日志。

  2. 数据清理和预处理:分析之前,对事件日志数据进行清理和预处理是必要的。这包括去除重复的、无关的或不规范的数据,确保数据的准确性和一致性。

  3. 筛选和过滤日志数据:根据分析目的,筛选和过滤日志数据以获得特定时间段、特定类型的事件或相关对象的日志条目。这可以通过使用日志管理工具提供的查询语言或筛选条件来实现。

  4. 检测模式和异常行为:基于预定义的模式、规则或行为特征,对日志数据进行分析,以检测异常行为或潜在的问题。例如,可以建立规则来检测登录失败次数过多、异常的访问模式、非授权的操作等。

  5. 关联数据和事件:将不同时间点、不同来源的事件数据进行关联与分析,以了解事件之间的关系,并获取更全面的上下文信息。这有助于发现隐藏的攻击路径或复杂的攻击行为。

  6. 可视化和报告:通过数据可视化技术,将分析结果以图表、图形或报告的形式展示出来,以便更直观地理解和传达分析结果。这可以提供给决策者、安全团队或其他相关人员作为参考和行动依据。

  7. 基于反馈进行优化:根据实际的分析结果和经验,不断调整和优化事件日志分析的方法和规则,以提高分析的准确性和效率。

 Windows基础安全知识_第17张图片

 

 

 

日志分析工具  

 

 WSUS 

WSUS(Windows Server Update Services)是微软推出的一种用于管理和分发Windows操作系统和其他微软产品的安全更新和补丁的服务。WSUS允许管理员集中管理组织内计算机的更新,并确保系统及时获得最新的安全补丁。

以下是WSUS的主要功能:

  1. 更新管理:WSUS可以从微软更新服务器下载、存储和管理各种类型的更新,包括操作系统补丁、安全更新、驱动程序、应用程序等。

  2. 部署控制:WSUS允许管理员对更新进行筛选、自定义发布规则,并根据组织的需要选择性地将更新部署到不同的计算机或计算机组。

  3. 自动更新:WSUS可以根据管理员配置的规则和计划,自动将更新部署到客户端计算机。客户端计算机将定期检查WSUS服务器上的更新,并自动下载和安装符合要求的更新。

  4. 报告和状态监控:WSUS提供了丰富的报告和状态监控功能,管理员可以查看已部署更新的情况、计算机的更新状态、错误和失败的更新等信息。

  5. 带宽管理:WSUS可以通过配置带宽限制,控制更新在网络上的传输速度和时间,以避免对网络性能产生太大影响。

使用WSUS可以帮助组织简化更新管理流程,提高系统的安全性和稳定性。通过集中管理和分发更新,管理员可以确保所有计算机都及时获得关键的安全补丁,从而减少系统易受攻击的风险。此外,WSUS还提供了灵活的策略和报告功能,有助于监控更新状况和及时解决问题。

 

Windows基础安全知识_第18张图片

 Windows基础安全知识_第19张图片

 

 Windows基础安全知识_第20张图片

 注册表安全 

注册表是Windows操作系统中用于存储配置信息和系统设置的一个层次化数据库。在注册表中,包含了许多关键的系统配置项、用户设置和应用程序相关的数据。

注册表的安全性是保护注册表数据免受未经授权的访问、修改或破坏的重要问题。以下是一些增强注册表安全性的建议:

  1. 控制访问权限:使用适当的访问控制列表(ACL)来限制对注册表中敏感数据和关键配置项的访问。通过为每个用户和用户组分配适当的权限,可以确保只有授权的用户能够读取或修改注册表项。

  2. 最小化特权:为了限制恶意软件或非授权用户对注册表的访问权力,应该将用户的权限控制在最低限度。仅授予用户所需的最低特权,以防止他们对注册表进行不必要的更改。

  3. 定期备份:定期备份注册表是一种重要的预防措施,以防止数据丢失或损坏。在进行重要的更改之前,先备份注册表,以便在出现问题时可以还原到先前的状态。

  4. 检测和防范恶意软件:定期扫描系统以检测恶意软件的存在,因为恶意软件可能会使用注册表来隐藏并启动自己。使用可靠的反恶意软件工具,并及时更新其病毒定义库。

  5. 警惕注册表编辑器的使用:注册表编辑器是用于修改注册表的工具,但它也可以导致系统损坏如果不正确操作。确保在编辑注册表之前了解相关的操作步骤和风险,并小心谨慎地进行更改。

  6. 更新操作系统和应用程序:通过及时更新操作系统和应用程序,可以修复已知的安全漏洞并提供更好的保护。许多安全更新会直接涉及到注册表项的修改,因此保持系统更新对注册表的安全性至关重要。

Windows基础安全知识_第21张图片

 

Windows基础安全知识_第22张图片

 注册表组成

注册表由以下几个主要组成部分构成:

  1. 键(Keys):注册表是一个层次化的数据库,键是其层级结构的最上层元素。键类似于文件夹,在注册表中用于组织和存储其他键和值。

  2. 子键(Subkeys):每个键可以包含一个或多个子键,从而形成键的层次结构。子键可以具有自己的子键,以此类推,形成了注册表的树状结构。

  3. 值(Values):键可以包含与之关联的值。值可以存储各种类型的数据,如字符串、整数、二进制数据等。值被用于存储配置信息、系统设置和应用程序相关的数据。

  4. 数据类型(Data Types):注册表中的值具有预定义的数据类型,用于指示值所存储数据的类型。常见的数据类型包括字符串(REG_SZ)、二进制(REG_BINARY)、整数(REG_DWORD)、多字符串(REG_MULTI_SZ)等。

  5. 根键(Root Keys):注册表根键是注册表层次结构的起点,它们提供了访问注册表中不同部分的入口点。Windows操作系统中有五个根键,包括HKEY_CLASSES_ROOT(文件关联及类信息)、HKEY_CURRENT_USER(当前用户)、HKEY_LOCAL_MACHINE(本地计算机)、HKEY_USERS(所有用户配置)、HKEY_CURRENT_CONFIG(当前硬件配置)。

Windows基础安全知识_第23张图片

 

 

 

 Windows中的域

在 Windows 操作系统中,域(Domain)是一种网络环境,用于集中管理和组织计算机、用户账户、安全策略以及资源等。域提供了一种集中式的管理方式,使得管理员可以更方便地管理大量计算机和用户,并提供了安全的身份验证和访问控制机制。

以下是一些与 Windows 域相关的概念和功能:

  1. 域控制器(Domain Controller):域控制器是域中的主要服务器,负责存储和管理域中的用户账户、安全策略和其他相关信息。域控制器通过使用 Active Directory 数据库来存储这些信息,并提供身份验证和授权服务。

  2. Active Directory(AD):Active Directory 是 Windows 环境中的目录服务,用于存储和组织域中的用户、计算机和其他对象的信息。它还提供了对这些对象进行认证和授权的功能,以及访问控制和策略管理。

  3. 域名(Domain Name):域名是标识域的名称,通常采用 DNS(Domain Name System)命名规则。域名用于在网络中唯一标识域,并为域中的计算机和用户提供方便的身份识别。

  4. 域用户账户(Domain User Account):域用户账户是在域中创建的用户账户,它允许用户在多台计算机上登录,并在域中共享资源。域用户账户还可以通过域控制器进行身份验证和授权。

  5. 集中管理和策略:域环境中,管理员可以使用域控制器集中管理用户账户、计算机、权限和安全策略。这使得管理员可以更轻松地分配权限、应用安全策略,并对域中的资源和对象进行更细粒度的控制。

  6. 单点登录:域环境中,当用户登录到域中的一个计算机时,他们可以访问域中的其他计算机和资源而无需重新提供凭据。这被称为单点登录,这种方式为用户提供了方便和统一的登录体验。

通过域环境,组织可以更好地管理和保护其计算机和资源。域提供了集中化的控制和管理机制,提高了安全性、可伸缩性和便利性,特别适用于大型组织和企业网络。

为什么需要域?

  能实现文件的共享 ,集中统一,便于管理

域的存在有以下几个重要原因和优势:

  1. 集中管理:域环境提供了集中管理的能力,使得管理员可以在一个中心位置管理大量计算机、用户账户和安全策略等。这样,管理员可以更高效地进行用户管理、权限分配和策略应用,减少了管理工作的复杂性和工作量。

  2. 安全性:域环境提供了强大的身份验证和访问控制机制,通过域控制器对用户进行身份验证并验证其访问权限。管理员可以通过安全策略和组策略对用户和计算机进行精细的访问控制,提供更高级别的安全性保护。

  3. 单点登录:在域环境中,用户只需要一次登录即可访问域中的所有计算机和资源,无需每次都提供凭据。这样可以提高用户的便利性和生产力,并减少了密码管理的负担。

  4. 资源共享:在域环境中,用户可以方便地共享文件、打印机和其他网络资源。管理员可以轻松地设置共享权限,同时确保只有获得授权的用户可以访问共享资源。

  5. 统一身份管理:通过域环境,用户可以在不同的计算机上使用相同的身份验证信息登录。这对于跨多台计算机工作的用户来说非常方便,同时也简化了密码和账户管理。

  6. 简化维护:域环境允许管理员集中管理和维护域中的计算机和资源。管理员可以通过远程管理工具轻松地进行软件更新、补丁管理和故障排除,减少了维护成本和工作时间。

 活动目录

"活动目录","Active Directory"(AD),是由 Microsoft 开发的一种目录服务。Active Directory 是 Windows 环境中的集中式目录服务,用于存储和组织网络中的对象,如计算机、用户账户、安全策略等信息。

Active Directory 提供了以下功能和特点:

  1. 目录服务:Active Directory 可以作为一个中央数据库,存储和组织网络中的对象的层次结构。这些对象可以包括用户账户、计算机、群组、共享文件夹等。

  2. 身份验证和授权:Active Directory 提供了身份验证和授权机制,确保只有授权的用户可以访问网络中的资源。管理员可以定义权限策略,控制用户对特定对象的访问权限。

  3. 集中管理:通过 Active Directory,管理员可以集中管理网络中的对象。例如,他们可以创建、删除和修改用户账户、分配组成员资格以及设置安全策略等。

  4. 单点登录:Active Directory 支持单点登录功能,使得用户只需要在域中登录一次,即可访问所有连接到该域的计算机和资源。

  5. 分布式架构:Active Directory 支持分布式架构,可以在多个服务器上复制和存储目录数据。这提高了可靠性和容错性,并允许更大规模的部署。

  6. 群组策略:管理员可以使用群组策略(Group Policy)向域中的计算机应用配置和设置。群组策略可以统一管理计算机的行为,比如限制软件安装、禁用 USB 端口等。

总结来说,Active Directory 是一种功能强大的目录服务,用于存储、组织和管理网络中的对象和资源。它提供了集中管理、身份验证、授权和单点登录等功能,帮助管理员更好地管理和保护网络环境。

 工作组域AD域的区别

工作组(Workgroup)和 Active Directory 域(Active Directory Domain)是用于管理计算机网络的两种不同模型,它们有以下区别:

  1. 管理方法:工作组是一种简单的网络组织形式,其中的计算机独立地管理自己的用户账户和安全策略。每台计算机都有自己的本地帐户数据库,并且用户需要在每台计算机上分别设置和管理帐户。而 AD 域是一种集中管理的模型,所有的用户账户和安全策略都存储在域控制器中,管理员可以通过域控制器来集中管理整个网络中的用户并应用统一的安全策略。

  2. 身份验证:在工作组中,每台计算机都有自己的用户账户数据库,因此用户需要在每台计算机上分别提供身份验证信息来访问资源。而在 AD 域中,用户只需要在域控制器上进行身份验证,然后就可以访问域中的所有资源,无需每次都提供身份验证信息。

  3. 安全性和授权:AD 域提供了更强大的安全性和授权机制。管理员可以使用域控制器上的安全策略和权限设置来限制用户对资源的访问权限。在工作组中,每台计算机都有自己的安全策略,管理员需要在每台计算机上进行单独设置,管理起来更加繁琐。

  4. 管理规模:工作组适用于较小的网络环境,例如家庭网络或小型企业。而 AD 域适用于中大型组织,可以管理数百甚至数千台计算机和用户账户,并提供更高级别的管理和安全性。

  5. 资源共享:在工作组中,共享资源配置和访问权限是在每台计算机上独立设置的。而在 AD 域中,共享资源可以在域控制器上统一设置,并且可以通过域策略来控制对资源的访问。

总结来说,工作组是一种简单的、分散的网络组织形式,适用于较小的网络环境,而 AD 域是一种集中管理的网络模型,适用于中大型组织。AD 域提供了集中管理、身份验证、统一安全策略和资源共享等功能,相比之下更具有扩展性和安全性。具体使用哪种模型应根据网络规模、安全需求和管理复杂性来决定。

AD域的功能

Active Directory(AD)域是一种集中化的目录服务,提供了许多功能来管理网络中的对象和资源。

以下是 AD 域的主要功能:

  1. 身份验证和授权:AD 域提供了身份验证机制,确保只有授权的用户可以访问域中的资源。用户可以使用自己的帐户登录到域,并根据其帐户的权限进行授权访问。

  2. 用户和计算机管理:AD 域允许管理员创建、修改和删除用户账户和计算机账户。管理员可以设置属性、分配组成员资格、重置密码等。

  3. 集中化的访问控制:通过 AD 域,管理员可以在域控制器上定义和管理安全策略,如密码策略、帐户锁定策略、访问控制列表等。这些安全策略可以应用于域中的所有对象和资源。

  4. 组织结构和层次结构:AD 域提供了一个层次结构来组织和管理网络中的对象。管理员可以创建组织单位(OU)和容器来组织用户、计算机和其他对象。这样可以更好地管理和分配权限。

  5. 多域和信任关系:AD 域支持多个域之间的信任关系,使得不同域之间的用户和资源可以进行安全的交互和访问。管理员可以配置单向或双向的信任关系。

  6. 单点登录(SSO):通过 AD 域,用户只需登录一次即可访问连接到域的所有资源。这简化了用户登录过程,提高了用户体验。

  7. 分布式架构:AD 域支持分布式架构,在多个域控制器之间复制和同步目录数据。这提高了可靠性和容错性,并允许在大型网络中分布式部署。

  8. 群组策略:管理员可以使用群组策略(Group Policy)在 AD 域中应用和管理计算机配置和设置。群组策略可以集中管理计算机的行为,如安装软件、禁用 USB 端口等。

总的来说,AD 域提供了集中化的身份验证、用户和计算机管理、访问控制、组织结构、信任关系、单点登录等功能。这些功能使得管理员能够更好地管理和保护网络中的对象和资源,提高了网络的安全性和效率。

AD域的对象

在 Active Directory(AD)域中,有多种类型的对象用于存储和管理组织中的信息。以下是 AD 域中常见的对象类型:

  1. 用户账户(User Accounts):用户账户用于标识和管理域中的用户。每个用户账户都有唯一的用户名和密码,可以用于身份验证和访问域中的资源。

  2. 计算机账户(Computer Accounts):计算机账户用于标识和管理连接到域的计算机。每台计算机都会被分配一个唯一的计算机账户,该账户用于计算机的身份验证和授权访问域中的资源。

  3. 组(Groups):组用于组织和管理用户和计算机账户。通过将用户和计算机账户添加到组中,管理员可以更方便地分配权限和应用策略。有两种类型的组:安全组(Security Groups)和分发组(Distribution Groups)。

  4. 组织单位(Organizational Units,OU):OU 是 AD 域中的容器对象,用于组织和管理其他对象。它们提供了一个层次结构,允许管理员根据组织结构和管理需求来组织和管理用户、计算机和其他对象。

  5. 域控制器(Domain Controllers):域控制器是承载 AD 域服务的服务器。它们存储和复制域中的目录数据,并提供身份验证、授权和其他 AD 域服务。一个 AD 域可以有一个或多个域控制器。

  6. 安全标识(Security Principles):安全标识是用户账户、计算机账户和组的安全表示。每个安全标识都有一个唯一的安全标识符(SID),用于在域中唯一标识该对象。

  7. 共享资源(Shared Resources):共享资源是在 AD 域中共享和管理的网络资源,如文件共享、打印机共享等。管理员可以配置访问控制和权限,使特定用户或组能够访问这些共享资源。

除了上述对象类型,还有其他对象类型,如打印机、策略对象(Policy Objects)、服务账户(Service Accounts)等,用于更细粒度地管理和控制域中的资源和服务。

这些对象相互关联和交互,构成了 Active Directory 域的结构和功能,提供了集中化的身份验证、访问控制和资源管理。

AD的逻辑结构

Active Directory(AD)是一种层次结构化的目录服务,它使用树状结构来组织和管理域中的对象。AD 域的结构由以下几个部分组成:

  1. 域(Domain):域是 AD 域结构的最顶层,它是一个逻辑上的边界,用于管理用户、计算机、组和其他对象。域有一个唯一的名称,并且可以包含多个域控制器。

  2. 树(Tree):树是由一个或多个域构成的层次结构。在树中,每个域都有一个父域和一个或多个子域。父域和子域之间通过隐式的信任关系连接在一起,共享单点登录和资源访问。

  3. 林(Forest):林是由一个或多个树构成的集合。林是 AD 域结构的最高级别,它定义了一个安全边界,并共享全局目录架构、全局目录副本和全局策略设置。

  4. 域控制器(Domain Controller):域控制器是承载 AD 域服务的服务器。每个域至少有一个域控制器,它存储域中的目录数据,并提供身份验证、授权和其他 AD 域服务。

  5. 信任关系(Trust Relationship):信任关系定义了不同域之间的信任和安全性。通过信任关系,用户可以跨域访问资源,并实现单点登录。信任关系可以是单向的或双向的。

  6. 组织单位(Organizational Unit,OU):OU 是 AD 域结构中的容器对象,用于组织和管理其他对象。OU 提供了一个逻辑的组织结构,允许管理员根据组织需要对用户、计算机和组进行分组。

多个组织单元组成域,

多个域组成树,

多个树组成森林,

活动目录是域的基础,活动目录是网络资源的索引,相当于活动目录存储的是网络中所有资源的快捷方式,用户通过寻找快捷方式定位资源,

通过这样的层次结构,AD 域提供了灵活的管理能力和安全性。管理员可以根据组织结构、管理需求和安全要求来设计和配置 AD 域结构,以实现高效的资源管理和访问控制。

域的性能

域的性能可以受到多种因素的影响,包括以下几个方面:

  1. 域控制器的硬件和配置:域控制器作为承载 AD 域服务的服务器,其硬件性能和配置会直接影响域的性能。较强的处理能力、足够的内存和高速的磁盘读写能力可以提升域控制器的响应速度和处理能力。

  2. 网络带宽和延迟:AD 域是基于网络的分布式服务,域控制器之间的通信在一定程度上受到网络带宽和延迟的限制。较高的网络带宽和较低的延迟可以加快域控制器之间的数据同步和通信速度。

  3. 目录大小和复杂度:域中的目录大小和复杂度也会对性能产生影响。如果域中包含大量的对象(如用户、计算机和组)或者有复杂的目录结构,域控制器可能需要更多的时间来处理请求和搜索操作。

  4. 服务负载和资源利用率:如果域的服务负载过高,域控制器可能无法及时响应请求,导致性能下降。管理员可以通过适当地分配服务负载和监控资源利用率,来优化域的性能。

  5. 缓存和索引策略:域控制器使用缓存和索引来加速对目录数据的访问。优化缓存和索引策略可以提高域控制器的查询性能。

  6. 定期维护和优化:定期对域进行维护和优化操作,如清理过期对象、重新索引目录等,可以保持域的良好性能状态。

 

总之,域的性能是一个综合性的问题,需要综合考虑硬件、网络、目录结构以及管理和优化策略等多个因素。通过合理的配置和优化,可以提升域的性能,提供更好的服务和用户体验。

域的层次结构

组织单元

组织单位(Organizational Unit,OU)是在Active Directory(AD)中用于组织和管理对象的容 器。OU是AD域架构中的一种层次化组织结构,它可以包含用户、计算机、组和其他对象,使管理员可以更好地组织和管理这些对象。

以下是有关组织单位的一些重要信息:

  1. 逻辑组织:OU提供了逻辑上的组织单元,可以根据组织的需求和结构来创建不同的OU。例如,一个公司可以创建不同的OU来表示部门、办公地点或项目组等。

  2. 层次结构:OU可以形成一个层次结构,使管理员可以以树状结构组织OU。这种层次结构反映了组织的逻辑结构,并且可以根据需要进行灵活调整。

  3. 管理权限:OU可以被授予特定管理员或小组的管理权限,这样他们就可以管理该OU下的对象。这种细粒度的权限控制提供了更好的安全性和管理灵活性。

  4. 策略应用:通过将策略(如组策略)应用于OU,可以对OU中的对象施加特定的配置设置。这样做可以实现对不同部门或用户组的差异化管理。

  5. 继承关系:OU之间可以建立继承关系,这意味着子OU可以继承父OU的一些设置和策略。这种继承关系简化了管理过程,并确保一致性和可管理性。

  6. 移动和重组:OU允许管理员将对象从一个OU移动到另一个OU,以适应组织结构的变化。通过移动和重组对象,可以更好地反映组织的变化和需求。

 

 

组织单元划分原则

在划分组织单元(Organizational Unit,OU)时,可以根据以下原则进行考虑:

  1. 组织结构:根据组织的业务结构和层次关系,将OU划分为不同的部门、办公室或项目组。这样可以反映组织的实际结构,使管理更加清晰和有效。

  2. 功能区划分:根据不同功能区域的需要,划分相应的OU。例如,可以创建专门的OU用于存放用户账户、计算机对象、分组对象等。

  3. 安全需求:根据安全策略和权限需求,将OU划分为不同的安全边界。例如,可以根据特定的安全要求划分OU,以便对不同OU下的对象实施不同的安全策略和权限控制。

  4. 管理责任:可以根据不同管理员或管理团队的责任划分OU。每个OU可以有一个负责的管理员或小组,负责管理该OU下的对象。

  5. 地理位置:如果组织在不同的地理位置有分支机构或办事处,可以根据地理位置划分OU。这样可以更好地管理和组织分布在不同地点的对象。

  6. 简化管理:尽量避免过度细分OU,以免造成管理困难。可以根据实际情况和管理需求,合理划分OU,使管理过程更加简化和高效。

组织单元(Organizational Unit,OU)在Active Directory(AD)中具有以下特性:

  1. 容器功能:OU是一种容器,可以用于组织和管理对象。它可以包含用户、计算机、组和其他对象,并提供了一个逻辑上的组织结构。

  2. 层次结构:OU可以形成一个层次结构,以树状结构的方式组织。这种层次结构可以根据组织的需要进行灵活调整,反映组织的逻辑结构。

  3. 继承关系:OU之间可以建立继承关系。子OU可以继承父OU的一些设置和策略,例如安全策略和组策略。这种继承关系简化了管理过程,并确保一致性和可管理性。

  4. 拥有独立的权限:OU可以被授予特定管理员或小组的管理权限。这样,管理员可以针对特定OU下的对象执行管理操作,实现对不同部门或用户组的差异化管理。

  5. 策略应用:通过将策略(如组策略)应用于OU,可以对OU中的对象施加特定的配置设置。这些策略可以用于控制对象的访问权限、应用软件设置等。

  6. 可移动和重组:OU允许管理员将对象从一个OU移动到另一个OU,以适应组织结构的变化。这样做可以更好地反映组织的变化和需求。

  7. 简化管理:OU可以帮助管理员实现对AD域中对象的逻辑分组和管理。通过将对象组织在不同的OU中,管理员可以更容易地定位和管理这些对象。

总的来说,OU是在AD中用于组织和管理对象的重要工具。它提供了逻辑组织、层次结构、继承关系、权限控制等特性,有助于实现灵活和有效的对象管理。

域树(Domain Tree)

在Windows Active Directory(AD)环境中,由一个或多个域构成的层次结构。域树使用树状结构的方式组织和管理域,并通过域之间的信任关系实现资源和权限的共享。

在域树中,通常存在一个根域(Root Domain),作为树的顶级域。根域下可以创建一个或多个子域(Child Domain),每个子域都是根域的下级域,形成了树状的结构。每个域都有自己的域控制器(Domain Controller),负责存储和管理该域的目录服务数据库。

域树具有以下特点和优势:

  1. 组织结构:通过域树,可以根据组织的需求和层次关系来划分域,使得整个AD环境更加有序和清晰。

  2. 统一身份验证:域树中的域相互之间建立可靠的信任关系,允许用户在不同域之间进行身份验证和访问控制。这样,用户可以跨域访问资源,实现统一的身份认证和管理。

  3. 资源共享:域树中的域可以共享资源,例如共享文件夹、打印机等。通过域之间的信任关系,用户可以在不同域之间共享和访问资源。

  4. 简化管理:域树结构使得域之间可以进行委派管理,将权限授予特定的管理员,实现分级管理和简化管理过程。

  5. 安全性:域树结构提供了一种细粒度的安全控制,使管理员可以根据需要设置域之间的信任关系和访问权限,确保AD环境的安全性。

 

总的来说,域树是一种用于组织和管理多个域的层次结构,通过信任关系实现跨域资源共享和统一身份验证。它提供了灵活性、安全性和简化管理的优势,适合中大型组织的AD环境。

域控制器(Domain Controller)

在Windows Active Directory环境中扮演关键角色的服务器。它负责存储和管理域中的目录服务数据库,提供用户身份验证、授权和资源管理等功能。

域控制器的主要职责包括:

  1. 用户身份验证:域控制器负责认证用户的身份,验证其用户名和密码的准确性。通过身份验证,用户可以获得对域内资源的访问权限。

  2. 目录服务:域控制器存储和管理域中的目录服务数据库,这个数据库包含了组织中所有用户、组、计算机对象以及其他网络资源的信息。域控制器通过目录服务为用户和管理员提供查找和访问这些对象的能力。

  3. 证书服务:域控制器可以扮演证书颁发机构(Certificate Authority),用于颁发和管理数字证书。数字证书用于加密通信和身份验证,提供网络安全和数据保护的功能。

  4. 组织架构管理:域控制器允许管理员管理和配置域中的组织架构,包括用户和计算机的组织单元(OU)、组别、策略等。管理员可以通过域控制器来管理组织中的用户和资源,实现灵活的权限控制和管理。

  5. 监视和审计:域控制器负责监视域内的活动,并记录日志以进行安全审计。这包括用户的登录和注销事件、资源访问记录等。通过审计功能,管理员可以跟踪和分析域中发生的活动,确保网络的安全性和合规性。

需要注意的是,域控制器通常是以多个服务器的形式部署,以提供高可用性和负载均衡。其中一台域控制器被指定为主控制器(Primary Domain Controller,PDC),其他域控制器则扮演备份控制器(Backup Domain Controller,BDC)的角色。主控制器负责处理域中的更改和更新,并将这些信息同步到备份控制器上,以确保域的可靠运行和数据的一致性。

总结而言,域控制器在Windows Active Directory环境中是至关重要的服务器,负责存储和管理域中的目录服务数据库,并提供用户身份验证、资源管理和安全审计等功能。它是实现用户身份认证和访问控制的关键组件。

信任关系

信任关系(Trust Relationship)在计算机网络中是指两个或多个域(或域树、域森林)之间建立的相互信任和合作的关系。通过信任关系,不同域之间可以互相认可和授权,实现资源共享、身份验证和访问控制。

在Windows Active Directory环境中,信任关系有以下几种类型:

  1. 单向信任:单向信任是指一个域信任另一个域,但被信任的域不信任发起信任的域。单向信任允许信任的域中的用户访问被信任的域中的资源,但反之则不成立。

  2. 双向信任:双向信任是指两个域互相信任对方,可以实现双向的资源共享和身份验证。双向信任是最常见的信任关系类型,常用于具有相互合作关系的企业和组织之间。

  3. 外部信任:外部信任是指建立在不同的AD森林(Forest)之间的信任关系。AD森林是由多个域树组成的集合,每个AD森林都有自己的独立命名空间和目录服务。外部信任允许不同森林中的域进行互操作,实现跨森林的资源共享和访问控制。

信任关系的建立需要进行相应的配置和身份验证设置。通过信任关系,域之间的用户可以跨域访问资源,而不需要在每个域中都创建相同的用户账户。这简化了管理和减少了冗余,提高了组织的整体效率和安全性。

Windows基础安全知识_第24张图片

需要注意的是,建立信任关系需要确保安全性,并进行适当的权限配置和监控。信任关系的滥用或配置不当可能导致安全漏洞和信息泄露。因此,在建立和管理信任关系时,组织应该遵循安全最佳实践,并定期审查和更新信任关系的设置。

信任关系是在计算机网络中不同域之间建立的一种合作和互信机制。它允许域之间共享资源、实现身份验证和访问控制。通过配置适当的信任关系,组织可以提高工作效率和安全性。

DNS与AD域

DNS(Domain Name System)和AD域(Active Directory Domain)在Windows环境中密切相关,它们之间存在着紧密的关联。

DNS是互联网上用于将域名转换为IP地址的分布式命名系统。它可以将用户友好的域名
映射到相应的IP地址。DNS起到了在网络中查找和定位资源的作用。

在Windows环境中,AD域使用DNS作为其基础架构的一部分。AD域依赖于DNS来存储和管理域中的目录服务数据库。每个域控制器都会注册自己的DNS记录,以便其他计算机能够通过域名解析来找到它们。

AD域中的域控制器通常也会充当DNS服务器的角色。这些域控制器上运行的DNS服务被称为AD集成的DNS或DNS区域。AD集成的DNS与传统的独立的DNS服务器有所不同,它存储了域中的所有资源记录,包括域控制器、用户、计算机等对象的信息。

通过AD集成的DNS,客户端计算机可以通过域名解析来查找和访问域中的资源。当用户登录到域时,客户端会向域控制器发送DNS查询请求以获取域控制器的IP地址,并使用该IP地址进行身份验证和访问控制。

AD域和DNS之间的关系还体现在以下几个方面:

  1. 动态DNS更新:AD域允许动态DNS更新,当域中的对象发生更改时,它们会自动更新DNS记录。例如,当添加新用户或计算机时,相关的DNS条目将自动创建和更新。

  2. 主机名解析:AD域中的计算机通常具有与其域名对应的主机名。通过DNS的主机名解析,客户端可以根据计算机名解析出相应的IP地址。

  3. SRV记录:AD域使用SRV记录来指示特定服务的位置。例如,域控制器的SRV记录指示客户端如何找到域控制器。

 

总结而言,DNS和AD域在Windows环境中是紧密相关的。AD域依赖于DNS来存储和管理域中的目录服务数据库,实现域控制器、用户和计算机等资源的查找和访问。通过AD集成的DNS,客户端可以通过域名解析来定位和访问域中的资源。

DNS对AD域的作用

DNS(Domain Name System)在AD域(Active Directory Domain)中起着至关重要的作用。它在以下几个方面对AD域发挥作用:

  1. 域名解析:AD域中的计算机和其他网络设备都使用域名来标识自己。DNS负责将这些域名解析为相应的IP地址。当客户端计算机需要访问AD域中的资源时,它们会向DNS服务器发送查询请求以获取相应资源的IP地址。域名解析是实现客户端与AD域之间通信的基础。

  2. 域控制器查找:AD域通过域控制器来管理和维护目录服务数据库。客户端通过DNS解析来查找自己所属的域中的域控制器。利用DNS提供的域名解析功能,客户端可以通过域名找到适当的域控制器,并与之建立连接以进行身份验证和访问控制。

  3. 动态更新:AD域允许动态DNS更新,这意味着当AD域中的对象(如用户、计算机、组等)被创建、修改或删除时,相关的DNS条目也将被自动更新。这确保了AD域和DNS之间的一致性,在AD域对象发生变化时,DNS记录也随之更新。

  4. SRV记录:AD域使用SRV记录(Service Records)指示特定服务的位置。例如,域控制器的SRV记录告诉客户端如何找到域控制器,LDAP服务的SRV记录指示客户端如何找到提供LDAP服务的服务器。SRV记录使得客户端能够在AD域中准确定位和连接到特定的服务。

  5. 安全性:AD域的安全性依赖于DNS的安全功能。通过使用安全扩展DNS协议(DNSSEC)和其他安全机制,可以确保DNS查询的真实性和完整性,防止DNS欺骗和劫持等攻击,从而保护AD域的安全性。

 

总结而言,DNS对AD域的作用非常重要。它负责将域名解析为IP地址,实现客户端与域控制器之间的通信。通过动态更新和SRV记录,它确保了域对象和DNS记录的一致性,并使得客户端能够准确地定位和连接到AD域中的资源和服务。同时,DNS的安全功能也对AD域的安全性起着关键作用。

AD域对DNS有一些特定的要求

为确保其正常运行和有效管理域中的资源。以下是AD域对DNS的要求:

  1. 动态更新:AD域要求DNS支持动态更新,这意味着当AD域中的对象(如用户、计算机、组等)发生变化时,相关的DNS记录能够自动更新。这样可以保持AD域和DNS之间的一致性,并确保客户端能够通过DNS解析准确地找到域中的资源。

  2. 安全性:AD域要求DNS具备一定的安全性。安全扩展DNS协议(DNSSEC)是一种用于增强DNS安全性的机制,可防止DNS欺骗和劫持等攻击。AD域建议启用DNSSEC来确保DNS查询的真实性和完整性。

  3. 支持SRV记录:AD域使用SRV记录来指示特定服务的位置。域控制器的SRV记录告诉客户端如何定位域控制器,LDAP服务的SRV记录告诉客户端如何定位LDAP服务器。因此,DNS服务器必须支持SRV记录,以满足AD域对服务定位的需求。

  4. 支持区域传输:AD域通常会将DNS作为其基础架构的一部分,并在域控制器上运行DNS服务。域控制器之间需要进行区域传输,以确保DNS数据的复制和同步。因此,DNS服务器必须支持区域传输功能,以满足AD域对数据复制的需求。

  5. 支持反向查询:AD域还要求DNS支持反向域名解析,即将IP地址解析为相应的域名。这对于识别和验证网络设备的身份很重要,特别是在进行日志记录和审计时。

AD域对DNS有一些特定的要求。除了支持动态更新、安全性和SRV记录外,DNS服务器还应支持区域传输和反向查询功能,以满足AD域对资源管理和域控制器定位的要求。这些要求有助于确保AD域的正常运行和有效管理。

SRV记录(Service Records)

是一种特殊类型的DNS记录,用于指示特定服务的位置。它提供了一种机制,使客户端能够根据服务类型和协议来定位和连接到相应的服务器。

SRV记录由以下几个部分组成:

  1. 服务名称(Service Name):指定了提供该服务的服务器所对应的服务名称。例如,常见的服务名称包括"ldap"(LDAP服务)、"ftp"(FTP服务)、"_sip"(SIP服务)等。

  2. 协议类型(Protocol Type):指定了该服务使用的网络通信协议,如TCP、UDP等。

  3. 服务权重(Service Weight):在具有相同优先级的服务器中,表示了服务器被选择的相对权重。较高的权重值表示服务器被选择的概率更大。

  4. 服务优先级(Service Priority):用于指定具有不同优先级的服务器。优先级较低的服务器将在优先级较高的服务器不可用时才被选择。

  5. 服务端口(Service Port):指定了提供该服务的服务器所使用的端口号。

  6. 目标主机(Target Host):表示提供该服务的服务器的域名。

通过解析SRV记录,客户端可以根据服务名称、协议类型和优先级来定位目标主机并连接到相应的服务。例如,当客户端需要连接到AD域中的域控制器时,它可以通过解析域控制器的SRV记录获取域控制器的IP地址和端口号,然后与之建立连接进行身份验证和访问控制。

组策略

 

 

 

基线配置

身份鉴别

 SAM文件 类似于 linux下的 /etc/shadow 文件 默认仅 system用户可读写

Windows基础安全知识_第25张图片

SID 用户的唯一标识

 

 

 

Windows基础安全知识_第26张图片 

 

 

 

 

 

 

 

 访问控制  

 

 

 

Windows 文件权限特征  

 

 

 

 

 

 

 

 

安全审计

 

 默认无审核,等保测评 要求 打开事件审核

服务

 

 Windows基础安全知识_第27张图片

 

 

剩余信息保护  

 

清理虚拟内存  

 

入侵防范  

在企业内网中 使用WSUS 服务器更新操作系统

启用DEP

 

 

恶意代码防范

Windows基础安全知识_第28张图片 

 

三线程技术( 主线程, 监视线程,守护线程 )

 Windows基础安全知识_第29张图片

 

 

 

你可能感兴趣的:(安全,windows)