Windows 安全

Windows sec study

$\color{olive}{常见的内置组}$ ：
管理组

$\color{#FC5531}{NFTS 文件系统}$

$\color{olive}{NTFS文件系统优点}$ ：
高读写：提高磁盘读写性能
可靠性：加密，访问控制列表
磁盘利用率：压缩，磁盘配额

$\color{olive}{特殊权限(控制权限的权限)}$ ：
读取权限：允许读取访问控制列表
更改权限：允许更改访问控制列表
取得所有权：用户可以成为其所有者

$\color{olive}{ALP规则}$ ：讲本地用户加入本地组，最后给本地组分配权限的过程
A：账户：(Account)
L：本地组(Localgroup)
P：权限(Permission)

$\color{olive}{NTFS文件系统权限}$ ：
NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表（ACL）中，如果存在则进一步检查访问控制项（ACE），然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组，就拒绝用户访问。

权限组合累加；权限继承父级；权限拒绝(权力最大)；移动或复制权限遵循父级

$\color{olive}{继承}$ ：

可强制继承，在文件的 父级目录 上进行操作（属性–> 安全–>高级）
取消继承，在文件上直接进行操作。（属性–> 安全–>高级）
用户创建属于自己的权限访问，选用删除所有继承(父级继承的权限都是灰色的，不能勾选)，添加用户权限，由用户全权控制
更改所有者权限，并赋予管理员的完全控制权限，保留原有用户的权限

NTFS权限和共享权限的区别详解

$\color{#FC5531}{常用命令}$

右击电脑管理，使用磁盘管理
compmgmt.msc：计算机管理
mstsc 远程桌面连接命令
lusrmgr.msc：本地用户组管理
diskmgmt.msc：打开磁盘管理
secpol.msc：打开安全策略
gpedit.msc：打开本地组策略编辑器
services.msc：服务
msinfo32：查看系统信息(系统摘要) 若运行不了,看’服务’中的帮助服务是否开启
服务-Windows Audio重启，可将电脑麦克风重启重开

$\color{#FC5531}{磁盘管理}$

Windows磁盘分为动态磁盘与基本磁盘
基本磁盘有两种分区形式：MBR(主引导记录分区)与GPT(全局唯一标识分区表)

$\color{olive}{基本磁盘}$ ：
基本磁盘中每个磁盘是独立的，不可以跨磁盘分区，分区时必须是连续的，最多3个主分区，1个扩展分区
$\color{olive}{动态磁盘}$ ：
动态磁盘中可以创建简单卷(可扩展)、跨区卷(之少2快磁盘，可扩展，单一读写)、带区卷(读写速度快，同时向多个磁盘进行读写)、镜像卷(RAID1,容错，读上升，写下降。磁盘利用率50%)，RAID-5(至少3块磁盘，其中向两个写入数据，其中一个写入校验和，读提升，写下降)。通过创建不同卷来实现对数据容错、备份等来提高数据的安全性以及数据管理的便利性。

基本磁盘转动态磁盘
直接在我们的磁盘管理器中转换。右击桌面"此电脑"或“计算机”——管理——计算机管理——磁盘管理——右击需要转换为动态磁盘的基本磁盘——转换到动态磁盘
但是动态分区不能转换到基本分区(可借助其它工具，转换后，动态分区的内容将会全部清空)

Win10系统修改用户名以及C盘下Users用户名实操手册
硬盘的CHS寻址解释：https://www.cnblogs.com/joyzhuang/p/4126325.html

$\color{#FC5531}{文件备份}$

需要下载 Windows server backup服务组件
下载组件后选择备份的选项

备份整个服务器
备份选定的卷，文件夹或文件
用于裸机的备份
可一次性备份或周期性计划备份

$\color{#FC5531}{安全策略管理}$

策略：类似于国家制定的法律，制度，用于规范和约束人们的东西
安全策略：一组用于保护网络的规则。指的是一个组织为保证其信息安全而建立的一套安全需求、控制措施和流程要求

对登陆到计算机上的账户进行一些安全设置。
本地管理员必须为计算机进行设置以确保其安全。
如，设置.用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机等就组成了本地安全策略!
主要是影响本地计算机安全设置

$\color{olive}{本地安全策略}$ ：

命令secpol.msc
控制面板->查看方式改用图标->管理工具->本地安全策略

$\color{#009620}{账户策略}$

密码策略，规定密码的性质
账户锁定策略，规定账户锁定的性质

$\color{#009620}{本地策略}$

审核策略，用于监控本机服务器的行为，使用 事件查看器¹ 检查日志
用户权限分配策略，给予用户或用户组一定的权限
安全选项，用于提高用户，设备与网络上等的安全控制

$\color{olive}{组策略}$ ：

为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

$\color{#F9D887}{可设置移动硬盘访问}$ (管理模板-系统-可移动存储访问-拒绝写入)
$\color{#F9D887}{关机时强制关闭程序}$ (端粒模板-系统-关机选项-关闭会阻止或取消关机的应用程序的自动终止功能)
$\color{#F9D887}{不让用户恶意ping}$ (Windows设置-安全设置-高级防火墙-新建规则-所有程序阻止连接)
$\color{#F9D887}{不让用户“占位”不干活"}$ (本地-安全选项-网络安全：在超过登录时间后强制注销)
$\color{#F9D887}{禁用手触屏幕模式}$ (管理模板-Windows组件-TablePC触屏输入)
$\color{#F9D887}{桌面图标永久隐藏}$ ，控制面板找不到打开的选项 (管理模板-桌面)
$\color{#F9D887}{阻止安装程序}$ (管理模板-Windows组件-Windows Installer)
$\color{#F9D887}{强制桌面壁纸}$ (管理模板-桌面-activedesktop-桌面壁纸)
$\color{#F9D887}{开机立即启动某一程序}$ (管理模板-系统-登录)

$\color{#FC5531}{U深度PE工具箱}$

U深度管理启动盘工具

Windows用户密码的清除
C:\Windows\system32\config\SAM，使用系统的密码破解工具NTPWedit
分区调整：使用傲梅分区助手
系统备份/系统还原，使用U深度PE装机工具，用备份分区/还原分区，后缀为vim

$\color{#FC5531}{域环境}$

$\color{#6E91F2}{域的概念}$ ：来自于网络的多台计算机以逻辑的方式组织到一起实现集中管理的环境，我们把这种环境称为域环境
$\color{#6E91F2}{域控制器}$ (domain controller)：集中存放整个域的用户账号和安全数据库
$\color{#6E91F2}{活动目录}$ ²(Active Driectory简称AD)：提供存储网络信息及使网络用户使用这些数据的方法，是域控制器的标识。

$\color{#00B3EF}{升级域控条件}$

安装这必须是本地管理员权限
必须是Windows Server
本地磁盘之少有一个NTFS文件系统
配置TCP/IP设置
相应的DNS服务器支持
有足够的磁盘空间

$\color{#00B3EF}{Windows Server服务器域环境搭建与部署}$

2012 Server为例

设置ip地址，并设置服务器
添加角色功能
Active Directory 域服务–>点击添加功能–>下一步(若有DNS服务器也勾选)
安装后点击将此服务器提升为域控制器(点击黄色!)
添加新的林
重启计算机即可

$\color{#00B3EF}{加入域}$

将主机的 DNS 指向服务器ip
高级系统设置的 “计算机名”。更改为域即可

$\color{#00B3EF}{添加域用户}$

在域控上添加的用户都是域用户。
添加用户并设置登录
- 打开Active Directory用户和计算机
- 新建-用户(域中的用户名不能重复)
- 用户右键-属性，可更改用户的权限内容

如果想在其他域成员主机上添加域用户，需要在域成员主机上以域管理员权限登录，执行以下命令添加域用户

net user wp 123456 /add /domain            #添加域用户wp，密码为 123456
net group "domain admins" wp /add /domain  #将域用户wp添加到域管理员组domain admins中

$\color{#009620}{域管理}$

域管理包含，用户账户的管理，组的管理

$\color{#00B3EF}{用户账户管理}$

创建域用户的账户
配置域用户账户属性
验证用户的身份
授权或拒绝对域资源的访问

$\color{#00B3EF}{组管理}$

安全组：安全组有安全表示（SID），能够给其授权访问本地资源或网络资源。即能授权访问资源，也可以利用其群发电子邮件
通讯组：通迅组没有安全标识（SID），不能授权其访问资源，只能用来群发电子邮件

$\color{#00B3EF}{组的作用域}$

组是账户的集合，通过对组分配权限实现对组内用户的权限分配

域本地组，多域用户访问单域资源。可以从任何域添加用户账户、通用组和全局组，只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
全局组，单域用户访问多域资源（必须是同一个域里面的用户）。只能在创建该全局组的域上进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中。
通用组，通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问。

简单理解：

域本地组：来自全林用于本域
全局组：来自本域用于全林
通用组：来自全林用于全林

$\color{#00B3EF}{组的OU管理}$

组策略命令：dsa.msc

OU³是AD中的容器，可在其中存放用户、组、计算机和其他OU，而且可以设置组策略

应用：基于部门，如行政部、人事部；基于地理位置，如北京、上海；基于对象，如用户、计算机

默认的容器

Builtin容器：Builtin容器是Active Driectory默认创建的第一个容器，主要用于保存域中本地安全组。
Computers容器：Computers容器是Active Driectory默认创建的第2个容器，用于存放Windows Server 域内所有成员计算机的计算机账号。
Domain Controllers组织单位：Domain Controllers是一个特殊的容器，主要用于保存当前域控制器下创建的所有子域和辅助域。
Users容器：Users容器主要用于保存安装Active Driectory时系统自动创建的用户和登录到当前域控制器的所有用户账户。