这部分是Windows安全的学习内容,只学了Linux而对Windows的安全机制了解不深入是不行的
这部分也会不定时更新
操作系统账户安全:
使用正版windows缺省安装时,会禁用administrator用户,登录时必须新建一个用户。
使用非正版windows安装的系统,很多地方都是无人值守的安装,缺省的管理员口令都是空。此外,很多使用弱口令的电脑都容易被攻击。
Windows文件安全:
传统的Windows和现在的一些U盘上使用的是FAT文件管理系统,安全性不高。
NTFS在WinXP以后的版本中才有,安全性高
EXT是linux的文件系统
·NTFS文件系统:
文件权限:读取、写入(文件内容、属性、权限和所有者)、读取及运行、修改(包括前边和删除文件)、完全控制
文件夹权限:多一个列出文件夹目录权限(可以查看其下的文件夹和文件名)
文件权限设置:
cacls 文件ACL设置
cacls 文件/目录名称 /T /E /C /G USER:R/W/C/F 将对应用户的对该文件或目录的权限赋予RWCF
cacls 文件/目录名称 /T /E /C /P USER:N/R/W/C/F 将对应用户的对该文件或目录的权限转换为NRWCF
cacls 文件/目录名称 /T /E /C /P USER 将对应用户的对该文件或目录的访问权限= cacls /T /E /C /P USER:N
windows日志分析
事件类型:错误、警告、信息、审核成功/失败(用户权限成功/失败)
时间策略审核(6类审核事件)
事件ID:
1102 清理审计日志
1074 计算机开关机重启时间和原因注释
4624 账户登录成功
4625 账户登录失败
4634 账户注销成功
4647 用户发起注销
4672 使用超级用户(如管理员)进行登录,授予特殊权限
4720 创建用户
4726 删除用户
4719 系统审计策略改变
4628 计划任务已创建
4657 注册表值被修改
打开方式:运行:eventvwr.msc
在“安全”中使用筛选日志可以输入上述ID进行定向事件筛选
Windows注册表:
根键HKEY是最底层的
其下有多个子项
项中有任意数量的项值,项值包括名称、数据类型(reg_sz(字符串)、reg_binary、reg_dword)、数据
1.HKEY_CLASSES_ROOT:包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,OLE和DLE信息,类ID编号和应用程序与文档的图标等
2.HKEY_CURRENT_USER:包括当前登录用户的配置信息,包括环境变量,个人程序及桌面设置等
3.HKEY_LOCAL_MACHINE:包括本地计算机的系统信息,包括硬件信息和操作系统信息,安全数据和计算机及专用的和类软件的设置信息。
4.HKEY_USERS:包括计算机的所有用户使用的配置数据,只有在用户登录时才可以访问
5.HKEY_CURRENT_CONFIG:包括当前硬件的配置信息,是从HKEY_LOCAL_MACHINE中映射过来的
REG命令来CRUD注册表:
reg query 注册表项:可以列出此下的所有的项值
reg add 注册表项 /v 项值名 /t 数据类型 /d 数据内容
reg add “hklm\system\currentcontrolset\control\terminal server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
上述指令可以更改注册表项值,由1改为0,从而允许远程终端连接到这台计算机(开启远程桌面)(需要关闭目标防火墙或者改变其过滤规则)
reg add “hkcu\software\microsoft\windows\currentversion\run” /v cmd /t reg_sz /d C:\windows\system32\cmd.exe
可以让计算机在运行时自动运行指定的木马程序
ssh生成密钥对:(最好是先来到~/.ssh目录下)
ssh-keygen -t rsa/dsa
直接生成私钥公钥到本目录
服务器端也在.ssh生成authorized_keys,并将公钥内容拷进去
改为权限600即可