系统安全笔记（安全相关）

这部分是Windows安全的学习内容，只学了Linux而对Windows的安全机制了解不深入是不行的

这部分也会不定时更新

操作系统账户安全：
使用正版windows缺省安装时，会禁用administrator用户，登录时必须新建一个用户。
使用非正版windows安装的系统，很多地方都是无人值守的安装，缺省的管理员口令都是空。此外，很多使用弱口令的电脑都容易被攻击。

Windows文件安全：
传统的Windows和现在的一些U盘上使用的是FAT文件管理系统，安全性不高。
NTFS在WinXP以后的版本中才有，安全性高
EXT是linux的文件系统
·NTFS文件系统：
文件权限：读取、写入（文件内容、属性、权限和所有者）、读取及运行、修改（包括前边和删除文件）、完全控制
文件夹权限：多一个列出文件夹目录权限（可以查看其下的文件夹和文件名）

文件权限设置：
cacls 文件ACL设置
cacls 文件/目录名称 /T /E /C /G USER:R/W/C/F 将对应用户的对该文件或目录的权限赋予RWCF
cacls 文件/目录名称 /T /E /C /P USER:N/R/W/C/F 将对应用户的对该文件或目录的权限转换为NRWCF
cacls 文件/目录名称 /T /E /C /P USER 将对应用户的对该文件或目录的访问权限= cacls /T /E /C /P USER:N

windows日志分析
事件类型：错误、警告、信息、审核成功/失败（用户权限成功/失败）
时间策略审核（6类审核事件）
事件ID：
1102 清理审计日志
1074 计算机开关机重启时间和原因注释
4624 账户登录成功
4625 账户登录失败
4634 账户注销成功
4647 用户发起注销
4672 使用超级用户（如管理员）进行登录，授予特殊权限
4720 创建用户
4726 删除用户
4719 系统审计策略改变
4628 计划任务已创建
4657 注册表值被修改

打开方式：运行：eventvwr.msc
在“安全”中使用筛选日志可以输入上述ID进行定向事件筛选

Windows注册表：
根键HKEY是最底层的
其下有多个子项
项中有任意数量的项值，项值包括名称、数据类型(reg_sz(字符串)、reg_binary、reg_dword)、数据
1.HKEY_CLASSES_ROOT:包括启动应用程序所需的全部信息，包括扩展名，应用程序与文档之间的关系，驱动程序名，OLE和DLE信息,类ID编号和应用程序与文档的图标等
2.HKEY_CURRENT_USER:包括当前登录用户的配置信息，包括环境变量，个人程序及桌面设置等
3.HKEY_LOCAL_MACHINE：包括本地计算机的系统信息，包括硬件信息和操作系统信息，安全数据和计算机及专用的和类软件的设置信息。
4.HKEY_USERS:包括计算机的所有用户使用的配置数据，只有在用户登录时才可以访问
5.HKEY_CURRENT_CONFIG:包括当前硬件的配置信息，是从HKEY_LOCAL_MACHINE中映射过来的

REG命令来CRUD注册表：
reg query 注册表项：可以列出此下的所有的项值
reg add 注册表项 /v 项值名 /t 数据类型 /d 数据内容
reg add “hklm\system\currentcontrolset\control\terminal server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
上述指令可以更改注册表项值，由1改为0，从而允许远程终端连接到这台计算机（开启远程桌面）（需要关闭目标防火墙或者改变其过滤规则）
reg add “hkcu\software\microsoft\windows\currentversion\run” /v cmd /t reg_sz /d C:\windows\system32\cmd.exe
可以让计算机在运行时自动运行指定的木马程序

ssh生成密钥对：(最好是先来到~/.ssh目录下)
ssh-keygen -t rsa/dsa
直接生成私钥公钥到本目录
服务器端也在.ssh生成authorized_keys，并将公钥内容拷进去
改为权限600即可