Windows系統安全綜述

• Windows系統安全綜述
  • 賬戶分類及概述
    • 使用者賬戶
      • 在伺服器管理器中管理使用者
      • 通過程序與服務區分各內建使用者賬戶的作用
    • 組賬戶
      • 在伺服器管理其中管理組
      • 需要人為新增成員的內建組
      • 動態包含成員的內建組
    • 克隆賬戶以及賬戶超級隱藏
  • NTFS檔案系統及許可權應用
  • EFS加密
  • 服務
  • 病毒及防範
    • 計算機病毒
      • 定義
      • 特點
      • 分類
    • 指令碼病毒
      • 特點
    • 計算機木馬
      • 定義
      • 特徵
      • 危害

賬戶分類及概述

使用者賬戶

• 不同的使用者身份擁有不同的許可權
• 每個使用者包含一個名稱和一個密碼
• 使用者賬戶擁有唯一的安全識別符號

在伺服器管理器中管理使用者

• 建立使用者
• 為使用者重置密碼
• 重新命名使用者名稱
• 啟用，禁用，刪除使用者賬戶
• 為使用者設定許可權

通過程序與服務區分各內建使用者賬戶的作用

• 與使用者關聯的使用者賬戶
  • Administrator（管理員使用者）
  • Guest（來賓使用者）
• 與Windows元件關聯的使用者賬戶
  • SYSTEM（本地系統）
  • SYSTEM SERVICE（本地服務）
  • NETWORK SERVICE（網路服務）

組賬戶

• 組是一些使用者的集合
• 組內的使用者自動具備組所設定的許可權

在伺服器管理其中管理組

• 新建組
• 向組內新增成員
• 重新命名組
• 刪除組

需要人為新增成員的內建組

• Administrator
• Guests
• Power User
• Users（標準使用者）

動態包含成員的內建組

• Interactive（動態包含在本地登陸的使用者）
• Authenticated Users（動態包含通過驗證的使用者，不包含來賓使用者）
• Everyone（包含任何使用者，設定開放的許可權是經常使用）

克隆賬戶以及賬戶超級隱藏

1. 在新增使用者時在要新增的使用者名稱後邊多加一個 $ 符號(表示隱藏)

   net user test$ /add

   通過這種方式建立的使用者直接使用命令列的net user命令是無法檢視到的，但是可以通過計算機管理介面檢視到存在該賬戶

2. 通過修改登錄檔中的資訊來達到完全隱藏賬戶的

   1. 新建一個常規的隱藏賬戶（test$）
   2. 開啟登錄檔，找到HKEY_LOCAL_MACHINE下的SAM，右鍵為其賦予許可權之後展開
   3. 將Administrator的許可權匯出，同時將test$賬戶的許可權和使用者資訊登錄檔匯出
   4. 開啟匯出的Administrator和test $的許可權登錄檔，用Administrator中的F的值代替test$中的F的值
   5. 刪除之前建立的test$使用者
   6. 執行之前匯出的test $的登錄檔和test$許可權的登錄檔
   7. 完成完全隱藏使用者的建立（只能通過登錄檔來查詢到）

NTFS檔案系統及許可權應用

NTFS (New Technology File System)，是 WindowsNT 環境的檔案系統。新技術檔案系統是Windows NT家族（如，Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1）等的限制級專用的檔案系統（作業系統所在的碟符的檔案系統必須格式化為NTFS的檔案系統，4096簇環境下）。NTFS取代了老式的FAT檔案系統。
NTFS對FAT和HPFS作了若干改進，例如，支援元資料，並且使用了高階資料結構，以便於改善效能、可靠性和磁碟空間利用率，並提供了若干附加擴充套件功能。

• 提高磁碟讀寫效能
• 可靠性
  • 加密檔案系統
  • 訪問控制列表
• 磁碟利用率
  • 壓縮

EFS加密

為了提高檔案的安全性，微軟在Windows中針對NTFS引入了EFS加密技術。EFS加密操作簡單，對加密檔案的使用者也是透明的，檔案加密後不必再試用期手動解密，只有加密則才能開啟加密檔案。

EFS加密是基於公鑰策略的。然後將利用FEK和資料擴充套件標準X演算法建立加密後的檔案，。如果你登入到了域環境中，金鑰的生成依賴於域控制器，否則它就依賴於本地機器

EFS加密最簡單的辦法就是在目標物件上點選滑鼠右鍵，選擇“屬性”，開啟屬性對話方塊,然後在常規選項卡上點選“高階”按鈕，開啟高階屬性對話方塊，選中“加密內容以便保護資料”這個選項，反之解密。

服務

service可以分為兩個大類，服務應用程式和驅動服務。

• 服務應用程式指遵照Service Control Manager 2介面要求的，能在系統啟動時自動啟動的使用者能夠通過服務控制面板控制的那些沒有使用者登入也能夠執行的程式。

• 驅動服務一般指裝置驅動程式協議等應用於底層裝置驅動的服務

病毒及防範

計算機病毒

定義

編制或者在計算機程式中插入的，破壞技術啊你功能或者破壞資料，影響計算機使用並且能夠自我複製的一組計算機指令或者程式程式碼

特點

• 非授權執行
• 隱蔽性
• 傳染性
• 潛伏性
• 破壞性
• 可觸發性

分類

• 檔案型
• 引導扇區型
• 巨集病毒
• VBS指令碼病毒
• 蠕蟲

指令碼病毒

• 通常與網頁相結合，將惡意的破壞性程式碼內嵌在網頁中
• 利用asp，htm，html，vbs，js型別的檔案進行傳播
• 基於VB Script和Java Script指令碼語言
• 由Windows指令碼宿主解釋執行（也具有跨平臺的特性）

特點

• 隱蔽性強

  瀏覽網頁，電子郵件中的病毒可以具有雙拓展名

• 傳播性廣

  可以自我複製，不依賴於其他檔案就可以直接解釋執行

• 病毒變種多

  只需要對原始碼稍加修改，就可以製造出新的變種病毒

計算機木馬

定義

一個包含在合法程式中的非法程式

特徵

• 未經許可即獲得計算機的使用權
• 程式容量小，執行時不會佔用太多資源
• 執行後很難停止
• 執行時不會在系統中顯示出來
• 執行一次後會駐留在系統中，可以自動載入執行
• 自動變更檔名
• 作為駐留程式隱藏在系統內部
• 分為客戶端和服務端

危害

檔案操作，修改登錄檔，竊取密碼，系統操控