Window系统相关机制.docx
- 文档编号:30559827
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:19
- 大小:111.52KB
Window系统相关机制.docx
《Window系统相关机制.docx》由会员分享,可在线阅读,更多相关《Window系统相关机制.docx(19页珍藏版)》请在冰豆网上搜索。
Window系统相关机制
Window系统相关机制
任务:
1实验课后,每个人总结自己感兴趣的或经历的内容作出一个书面小节,一页纸即可,作为平时成绩考察。
2实验课上查看下面内容,属性操作系统的相关机制。
1系统信息的获取
控制面板中的管理工具中的各项内容;
sysedit/regedit/msconfig/msinfo32
2系统服务和注册表
在管理工具中的服务管理器中观察系统服务的设置及了解各项服务的意义。
在管理工具中的事件管理器中观察各种事件报告。
运行regedit,到注册表编辑器中观察注册表。
Win2k/xp注册表的主要特性之一是将以前分散在计算机硬盘上的配置信息汇总,其以系统文件的方式存储在硬盘中。
Win2k/xp注册表放在%systemroot%\system32\config文件夹下
3安全设置
(1)利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。
(2)关闭不必要的服务
windows2000的TerminalServices(终端服务),IIS,和RAS都可能给你的系统带来安全漏洞。
为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。
有些恶意的程序也能以服务方式悄悄的运行。
要留意服务器上面开启的所有服务,中期性(每天)的检查他们。
(3)关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。
如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。
用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。
\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。
具体方法为:
网上邻居>属性>本地连接>属性>internet协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
(4)打开审核策略
开启安全审核是win2000最基本的入侵检测方法。
当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。
很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。
下面的这些审核是必须开启的,其他的可以根据需要增加:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
(5)开启密码密码策略
策略设置
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
强制密码历史42天
(5)不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。
这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。
修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1.
(6)禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。
我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。
(7)到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。
谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的servicepack和漏洞补丁,是保障服务器长久安全的唯一方法。
(8)关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打netshare查看他们。
打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录路径和功能C$D$E$每个分区的根目录。
Win2000Pro版中,只有Administrator和BackupOperators组成员才可连接,Win2000Server版本ServerOperatros组也可以连接到这些共享目录ADMIN$%SYSTEMROOT%远程管理用的共享目录。
它的路径永远都指向Win2000的安装路径,比如c:
\winntFAX$在Win2000Server中,FAX$在fax客户端发传真的时候会到。
IPC$空连接。
IPC$共享提供了登录到系统的能力。
(9)使用文件加密系统EFS
Windows2000强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。
这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。
记住要给文件夹也使用EFS,而不仅仅是单个的文件。
有关EFS的具体信息可以查看
(10)锁住注册表
在windows2000中,只有administrators和BackupOperators才有从网络上访问注册表的权限。
如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
(11)关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。
一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。
要在关机的时候清楚页面文件,可以编辑注册表HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值设置成1。
(12)禁止从软盘和CDRom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。
如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。
把机箱锁起来扔不失为一个好方法。
(13)考虑使用IPSec
正如其名字的含义,IPSec提供IP数据包的安全性。
IPSec提供身份验证、完整性和可选择的机密性。
发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。
利用IPSec可以使得系统的安全性能大大增强。
有关IPSes的详细信息可以参考:
http//
4常用命令操作
(1)使用ipconfig、Ping和netview命令测试TCP/IP
1.要使用Ping命令测试TCP/IP的连接性,请使用ipconfig命令的显示,以确保网卡不处于“媒体已断开”状态。
2.打开
命令提示符,然后使用IP地址对所需主机进行Ping命令测试。
如果Ping命令失败,出现“Requesttimedout”消息,请验证主机IP地址是否正确,主机是否运行,以及该计算机和主机之间的所有网关(路由器)是否运行。
3.要使用Ping命令测试主机名称解析功能,请使用主机名称ping所需的主机。
如果Ping命令失败,出现“Unabletoresolvetargetsystemname”消息,请验证主机名称是否正确,以及主机名称是否能被DNS服务器解析。
4.要使用netview命令测试TCP/IP连接,请打开
命令提示符,然后键入netview\\计算机名称。
netview命令将通过建立临时连接,列出使用WindowsXP的计算机上的文件和打印共享。
如果在指定的计算机上没有文件或打印共享,netview命令将显示“Therearenoentriesinthelist”消息。
如果netview命令失败,出现“Systemerror53hasoccurred”消息,请验证计算机名称是否正确,使用WindowsXP的计算机是否运行,以及该计算机和使用WindowsXP的计算机之间的所有网关(路由器)是否运行。
如果netview命令失败,出现“Systemerror5hasoccurred.Accessisdenied.”消息,请验证您登录所用的帐户是否具有查看远程计算机上共享的权限。
注意
∙要打开命令提示符,请单击“开始”,依次指向“程序”和“附件”,然后单击“命令提示符”。
∙如果找不到Ping命令或者命令执行失败,可以使用事件查看器检查系统日志,并寻找安装程序或网际协议(TCP/IP)服务所报告的问题。
∙Ping命令使用Internet控制消息协议(ICMP)回响请求和回响答复消息。
路由器、防火墙或其他类型安全性网关上的数据包筛选策略可能会阻止该通信的转发。
∙该过程假定您仅使用TCP/IP协议。
如果您在使用其他协议,如NWLinkIPX/SPX/NetBIOS兼容传输协议,netview命令可以正常工作,即使遇到解析名称和连接TCP/IP的问题时也如此。
netview连接对所有安装的协议都进行尝试。
如果netview与TCP/IP的连接失败,就会尝试使用NWLinkIPX/SPX/NetBIOS兼容传输协议进行netview连接。
∙ipconfig命令与winipcfg命令等价,后者在WindowsMillenniumEdition、Windows98和Windows95中可用。
WindowsXP中不包含与winipcfg命令等价的图形界面元素,不过,在查看和恢复IP地址方面可以具有等价功能,方法是打开
网络连接,右键单击一个网络连接,单击“状态”,然后单击“支持”选项卡。
在不使用任何参数时,ipconfig显示所有网卡的IP地址、子网掩码和默认网关。
∙要运行ipconfig,必须打开命令提示符,然后键入ipconfig。
∙要打开“网络连接”,请单击“开始”,指向“设置”,然后双击“网络连接”。
(2)Netstat/IPConfig/Tracert/nbtstat/Route命令
●Netstat
用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
·netstat–s
本选项能够按照各个协议分别显示其统计数据。
如果我们的应用程序(如Web浏览器)运行速度比较慢,或者不能显示Web页之类的数据,那么我们就可以用本选项来查看一下所显示的信息。
我们需要仔细查看统计数据的各行,找到出错的关键字,进而确定问题所在。
·netstat–e
本选项用于显示关于以太网的统计数据。
它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。
这些统计数据既有发送的数据报数量,也有接收的数据报数量。
这个选项可以用来统计一些基本的网络流量)。
·netstat–r
本选项可以显示关于路由表的信息,类似于后面所讲使用routeprint命令时看到的信息。
除了显示有效路由外,还显示当前有效的连接。
·netstat–a
本选项显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接。
·netstat–n
显示所有已建立的有效连接。
●IPConfig
实用程序和它的等价图形用户界面----Windows95/98中的WinIPCfg可用于显示当前的TCP/IP配置的设置值。
这些信息一般用来检验人工配置的TCP/IP设置是否正确。
但是,如果我们的计算机和所在的局域网使用了动态主机配置协议(DHCP),这个程序所显示的信息也许更加实用。
这时,IPConfig可以让我们了解自己的计算机是否成功的租用到一个IP地址,如果租用到则可以了解它目前分配到的是什么地址。
了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。
·ipconfig
当使用IPConfig时不带任何参数选项,那么它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。
·ipconfig/all
当使用all选项时,IPConfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息(如IP地址等),并且显示内置于本地网卡中的物理地址(MAC)。
如果IP地址是从DHCP服务器租用的,IPConfig将显示DHCP服务器的IP地址和租用地址预计失效的日期。
·ipconfig/release和ipconfig/renew
这是两个附加选项,只能在向DHCP服务器租用其IP地址的计算机上起作用。
如果我们输入ipconfig/release,那么所有接口的租用IP地址便重新交付给DHCP服务器(归还IP地址)。
如果我们输入ipconfig/renew,那么本地计算机便设法与DHCP服务器取得联系,并租用一个IP地址。
请注意,大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。
●Tracert
如果有网络连通性问题,可以使用tracert命令来检查到达的目标IP地址的路径并记录结果。
tracert命令显示用于将数据包从计算机传递到目标位置的一组IP路由器,以及每个跃点所需的时间。
如果数据包不能传递到目标,tracert命令将显示成功转发数据包的最后一个路由器。
当数据报从我们的计算机经过多个网关传送到目的地时,Tracert命令可以用来跟踪数据报使用的路由(路径)。
该实用程序跟踪的路径是源计算机到目的地的一条路径,不能保证或认为数据报总遵循这个路径。
如果我们的配置使用DNS,那么我们常常会从所产生的应答中得到城市、地址和常见通信公司的名字。
Tracert是一个运行得比较慢的命令(如果我们指定的目标地址比较远),每个路由器我们大约需要给它15秒钟。
Tracert的使用很简单,只需要在tracert后面跟一个IP地址或URL,Tracert会进行相应的域名转换的。
tracert最常见的用法:
tracertIPaddress[-d]该命令返回到达IP地址所经过的路由器列表。
通过使用-d选项,将更快地显示路由器路径,因为tracert不会尝试解析路径中路由器的名称。
Tracert一般用来检测故障的位置,我们可以用tracertIP在哪个环节上出了问题,虽然还是没有确定是什么问题,但它已经告诉了我们问题所在的地方,我们也就可以很有把握的告诉别人----某某地方出了问题。
●Route
大多数主机一般都是驻留在只连接一台路由器的网段上。
由于只有一台路由器,因此不存在使用哪一台路由器将数据报发表到远程计算机上去的问题,该路由器的IP地址可作为该网段上所有计算机的缺省网关来输入。
但是,当网络上拥有两个或多个路由器时,我们就不一定想只依赖缺省网关了。
实际上我们可能想让我们的某些远程IP地址通过某个特定的路由器来传递,而其他的远程IP则通过另一个路由器来传递。
在这种情况下,我们需要相应的路由信息,这些信息储存在路由表中,每个主机和每个路由器都配有自己独一无二的路由表。
大多数路由器使用专门的路由协议来交换和动态更新路由器之间的路由表。
但在有些情况下,必须人工将项目添加到路由器和主机上的路由表中。
Route就是用来显示、人工添加和修改路由表项目的。
一般使用选项:
·routeprint
本命令用于显示路由表中的当前项目,在单路由器网段上的输出;由于用IP地址配置了网卡,因此所有的这些项目都是自动添加的。
·routeadd
使用本命令,可以将信路由项目添加给路由表。
例如,如果要设定一个到目的网络209.98.32.33的路由,其间要经过5个路由器网段,首先要经过本地网络上的一个路由器,器IP为202.96.123.5,子网掩码为255.255.255.224,那么我们应该输入以下命令:
routeadd209.98.32.33mask255.255.255.224202.96.123.5metric5
·routechange
我们可以使用本命令来修改数据的传输路由,不过,我们不能使用本命令来改变数据的目的地。
下面这个例子可以将数据的路由改到另一个路由器,它采用一条包含3个网段的更直的路径:
routeadd209.98.32.33mask255.255.255.224202.96.123.250metric3
·routedelete
使用本命令可以从路由表中删除路由。
例如:
routedelete209.98.32.33
●NBTStat
使用nbtstat命令释放和刷新NetBIOS名称。
NBTStat(TCP/IP上的NetBIOS统计数据)实用程序用于提供关于关于NetBIOS的统计数据。
运用NetBIOS,我们可以查看本地计算机或远程计算机上的NetBIOS名字表格。
常用选项:
·nbtstat–n
显示寄存在本地的名字和服务程序。
·nbtstat–c
本命令用于显示NetBIOS名字高速缓存的内容。
NetBIOS名字高速缓存用于寸放与本计算机最近进行通信的其他计算机的NetBIOS名字和IP地址对。
·nbtstat–r
本命令用于清除和重新加载NetBIOS名字高速缓存。
·nbtstat-aIP
通过IP显示另一台计算机的物理地址和名字列表,我们所显示的内容就像对方计算机自己运行nbtstat-n一样。
·nbtstat-sIP
显示实用其IP地址的另一台计算机的NetBIOS连接表。
例如我们在命令提示符下,键入:
nbtstat–RR释放和刷新过程的进度以命令行输出的形式显示。
该信息表明当前注册在该计算机的WINS中的所有本地NetBIOS名称是否已经使用WINS服务器释放和续订了注册。
(3)Windows2000部分CMD命令
accwiz.exe>AccessibilityWizardforwalkingyouthroughsettingupyour
machineforyourmobilityneeds.辅助工具向导
acsetups.exe>ACSsetupDCOMserverexecutable
actmovie.exe>DirectShowsetuptool直接显示安装工具
append.exe>Allowsprogramstoopendatainspecifieddirectoriesasiftheywereinthecurrentdirectory.允许程序打开制定目录中的数据
arp.exe>NETWORKDisplayandmodifyIP-Hardwareaddresses显示和更改计算机的IP与硬件物理地址的对应列表
at.exe>ATisaschedulingutilityalsoincludedwithUNIX计划运行任务
atmadm.exe>DisplaysstatisticsforATMcallmanager.ATM调用管理器统计
attrib.exe>Displayandmodifyattributesforfilesandfolders显示和更改文件和文件夹属性
autochk.exe>UsedtocheckandrepairWindowsFileSystems检测修复文件系统
autoconv.exe>Automatesthefilesystemconversionduringreboots在启动过程中自动转化系统
autofmt.exe>Automatesthefileformatprocessduringreboots在启动过程中格式化进程
autolfn.exe>Usedforformattinglongfilenames使用长文件名格式
bootok.exe>Bootacceptanceapplicationforregistry
bootvrfy.exe>Bootvrfy.exe,aprogramincludedinWindows2000that
notifiesthesystemthatstartupwassuccessful.Bootvrfy.execanberunonalocalorremotecomputer.通报启动成功
cacls.exe>Displaysormodifiesaccesscontrollists(ACLs)offiles.显示和编辑ACL
calc.exe>WindowsCalculators计算器
cdplayer.exe>WindowsCDPlayerCD播放器
change.exe>Change{User|Port|Logon}与终端服务器相关的查询
charmap.exe>CharacterMap字符映射表
chglogon.exe>Sameasusing"ChangeLogon"启动或停用会话记录
chgport.exe>Sameasusing"ChangePort"改变端口(终端服务)
chgusr.exe>Sameasusing"ChangeUser"改变用户(终端服务)
chkdsk.exe>ChecktheharddiskforerrorssimilartoScandisk3Stages
mustspecifyaDriveLetter磁盘检测程序
chkntfs.exe>SameasusingchkdskbutforNTFSNTFS磁盘检测程序
cidaemon.exe>ComponentofCiFilerService组成Ci文档服务
cipher.exe>Displaysoralterstheencryptionofdirectories[files]onNTFSpartitions.在NTFS上显示或改变加密的文件或目录
cisvc.exe>ContentIndex--It'sthecontentindexingserviceforI索引内容
ckcnv.exe>CookieConvertor变换Cookie
cleanmgr.exe>DiskCleanup,popularwithWindows98磁盘清理
cliconfg.exe>SQLServerClientNetworkUtilitySQL客户网络工具
clipbrd.exe>ClipboardviewerforLocalwillallowyoutoconnecttootherclipboards剪贴簿查看器
clipsrv.exe>StarttheclipboardServer运行Clipboard服务
clspack.exe>CLSPACKusedtocreateafilelistingofsystempackages建立系统文件列表清单
cluster.exe>Displayaclusterinadomain显示域的集群
_cmd_.exe>Famouscommandprompt没什么好说的!
cmdl32.exe>C
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Window 系统 相关 机制