Windows 操作系统常见安全问题解决方法(1)
作者:未知文章来源:未知点击数:199 更新时间:2006-6-21
使用Windows的人非常多,而Windows系统的安全问题也越来越被人们关注。虽然Windows 的漏洞众多,安全隐患也很多,不过经过适当的设置和调整,你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整,希望对你有用。
这篇文章将针对一些常见的安全问题给你一些解决方法,其中大部分的操作都是针对Windows 2000/XP的,不保证在Windows 98/Me上可行。
准备活动
给系统安装补丁程序的重要性是不言而喻的,尤其是一些重要的安全补丁和针对IE,OE漏洞的补丁(即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序,这些东西一般都可以通过Windows Update来安装。你需要做的只是经常性的访问Windows Update网站。或者直接点击开始菜单中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加进步了,可以自动检查更新,在后台下载,完成后通知你下载完成并询问是否开始安装。对于Windows 2000/XP的用户,微软还提供了一个检查安全性的实用工具:基准安全分析器(Microsoft Baseline Security Analyzer),这个程序可以自动对你的系统进行安全性检测,并且对于出现的问题,都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。
在你安装了所有的补丁程序后,下面开始我们的调整设置。
重命名和禁用默认的帐户
安装好Windows后,系统会自动建立两个账户:Administrator和Guest,其中Administrator 拥有最高的权限,Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题,他将轻易的得知你的超级用户的名称,剩下的就是寻找密码了。因此,安全的做法是把Administrator 账户的名称改掉,然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是:
在运行中输入secpol.msc然后回车,打开“Local Security Settings(本地安全设置)”对话框,依次展开Local Policies(本地策略)-Security Options(安全选项),在右侧窗口有一个“Accounts:Rename administrator (guest)account(账户:重命名Administrator/Guest 账户)”的策略,双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户,以迷惑闯入者。
安全选项的设置
同样是在Local Security Settings中,展开Local Policies-Security Options,这里还有很多其它的设置,经过合理的配置,可以使你的系统更加安全。一下列举的选项最好全部禁止:Interactive logon:Do not require CTRL+ALT+DEL,交互式登录:不需要按Ctrl+Alt+Del。Network access:Allow anonymous SID/name translation,网络访问:允许匿名SID/名称转换。
Network access:Let Everyone permissions apply to anonymous users,网络访问:让Everyone 权限应用到匿名用户。
Recovery console:Allow automatic administrative logon,故障恢复控制台:允许自动系统管理级登录。
而以下的选项最好启用:
Devices:Restrict CD-ROM access to locally logged-on user only,设备:只有本地登录的用户才能访问CD-ROM。
Devices:Restrict floppy access to locally logged-on user only,设备:只有本地登录的用户才能访问软驱。
Interactive logon:Do not display last user name,交互式登录:不显示上一次使用的用户名。Network access:Do not allow anonymous enumeration of SAM accounts,网络访问:不允许匿名SAM帐户的匿名枚举。
Network access:Do not allow anonymous enumeration of SAM accounts & shares,网络访问:不允许SAM账户和共享的匿名枚举。
Network security:Do not store LAN Manager hash value on next password change,网络安全:不要在下次更改密码时存储LAN Manager的Hash值。
System objects:Strengthen default permissions of internal system objects (e.g.,Symbolic Links),系统对象:增强内部系统对象的默认权限(例如Symbolic Links)。
可靠的密码
尽管绝对安全的密码时不存在的,但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local Security Settings。展开到Account Policies-Password Policy,经过这里的配置,你就可以建立一个完备密码策略,并且你的密码也可以得到最大限度的保护。Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码,可是换来换去就是有限的几个在轮换,配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age 这个策略,就能保证密码安全了。默认情况下,这个策略不保存用户的密码,你可以自己设置,建议保存5个以上,而最多可以保存24个。
Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久,之后就会过期,并要求用户更换密码。如果设置为0,则密码永不过期。一般情况下设置为30到60天左右就可以了,具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。
Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce password history结合起来就可以得知新的密码是否是以前使用过的,如果是,则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用,而最大值为999。
Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度,有效值在0到14之间。如果设置为0,则表示不需要密码。建议的密码长度不能小于6位。Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略,则在设置和更改一个密码的时候,系统将会按照下面的规则检查密码是否有效:密码不能包含全部或者部分的用户名。最少包括6个字符。并且在字符的使用上还要遵循以下的规则,密码必须是:
英文字母,A-Z,大小写敏感。
基本的10个数字,0-9。
不能包含特殊字符,例如!,$,#,%等等。
如果启用了这个策略,相信你的密码就会比较安全了。
Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显,这个策略最好不要启用
Windows 操作系统常见安全问题解决方法(1)
作者:未知文章来源:未知点击数:200 更新时间:2006-6-21
安全使用Internet Explorer
Internet Explorer是当今最流行的浏览器软件。因为使用的人多,因此IE被发现的安全性问题也就最多,不过没关系,看过本节,你完全可以使你的IE更加安全。需要注意的是,以下的叙述全部以IE 6.0版为准,如果你使用了较低的版本,有些细节方面可能会不一样。打开Internet Explorer,依次点击工具-Internet选项,然后打开安全选项卡。
在安全选项卡中选择“Internet”,就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置,不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别)。会出现图三的窗口,这里显示了所有的IE安全设置。Download signed ActiveX controls(下载已签名的ActiveX控件)。经过第三方的认证机构签名证明该ActiveX控件是安全的,并且你可以设置为允许下载这种控件,除非你不想安装任何ActiveX控件,或者你想自己从一些网站下载,例如Windows Update,还有播放Flash的插件等。
Download unsigned ActiveX controls(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX控件相比,未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用,或禁用,或者设置为询问,这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。
Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX控件进行初始化和脚本运行)。跟前面的设置类似的,如果你之前都设置为禁用,那么这个选项同样禁用就可以,否则可以设置为询问(建议的设置)或者允许(不建议)来禁止那些为经签名的控件运行。
Run ActiveX controls & plug-ins(运行ActiveX控件和插件)。假设你已经禁止了所有ActiveX 控件和插件的运行,那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。Script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。
Active scripting(活动脚本)。现在各种的脚本程序非常流行,通过脚本程序可以建立很多实用的网页,例如Windows Update网页,就是通过脚本程序来判断你需要下载的补丁的。因此如果禁用掉脚本程序,一些网页将不能正常浏览。这里建议你设置为禁用,至于少数重要的但是不能正常浏览的网页,我们将在后面看到解决办法。
Allow paste operations via script(允许通过脚本进行粘贴操作)。这个选项允许网页通过脚本把文件复制进你的剪贴板,为了安全考虑最好禁用。
Scripting of Java applets(JA V A小程序脚本)。javascript是一种公开的,多平台,面向对象的脚本语言。很多网页中都使用了JA V A脚本,但是安全起见最好禁用它。
如果以上的设置会影响到少数你必须要访问的站点(例如Windows Update网站),但是安全起见你又不想把Internet区域的安全级别设置的太低,那么你可以把一些你信任的站点添加到Trusted sites(信任站点)中去。方法是:
在Internet选项的安全选项卡下,点击Trusted sites(信任站点),然后点击Sites(站点)按钮,会出现图四的窗口,在新窗口中输入我们希望添加的网络地址(例如https://https://www.doczj.com/doc/fb7344675.html,)然后点击右侧的Add(添加),这样就可以了。
现在,打开Internet选项中的Content(内容)选项卡,点击AutoComplete(自动完成),在
这里也有一些东西需要调整。
对于所列出来的每一项,自动完成功能都会保存特定的内容,其中Web address(Web地址)会保存你在IE地址栏中输入过的内容; Forms(表单)会保存你在网页中填写的资料,例如论坛上的发言(除用户名和密码),搜索引擎中使用过的关键字;User names and passwords on forms(表单上的用户名和密码)会保存你登陆论坛或其它网页时输入的用户名和密码。自动完成可以帮助你节省很多时间,但是同时也带来了很大的安全隐患。一旦有人使用你的账号登陆,你登陆网站的用户名和密码等资料就有可能全部被别人看到。因此你可以根据你的电脑的使用情况适当的调整,决定哪些内容可以自动保存,哪些不行。
现在我们转到Internet选项的高级选项卡。这里有一下几点需要注意:
Use Passive FTP(for firewall & DSL modem compatibility)(使用被动FTP,为防火墙和DSL 调制解调器兼容性),这个设置将会允许在使用IE浏览FTP服务器时使用被动模式,这种模式更加安全,因为服务器方无法获得你的IP地址,如果某些FTP服务器你不能正常访问,就可以试试启用或者禁用这个设置。
Check for publisher’s certificate revocation(检查发行商的证书吊销),如果选择了这个选项,当你访问某些需要认证的站点时,IE会首先检查给站点提供的证书是否依然有效。一般情况下,建议你启用这个设置。
Check for server certificate revocation(检查服务器的证书吊销),这个选项将会使IE检查站点服务器的证书是否仍然有效,一般也应该启用这个设置。
Check for signatures on downloaded programs(检查下载的程序的签名),如果启用了这个设置,在你下载了程序后IE会通过签名自动检查程序是否被非法改动过。一般应当启用这个设置。
Do not save encrypted page to disk(不将加密的页面存入硬盘),启用了这个选项后,对于加密页面(主要是URL以https打头的)将不会保存到Internet临时文件夹中。如果多人共用同一台电脑,这个选项是很有必要的,这样别人就无法通过Internet临时文件窥探到你访问过的加密网页了(例如某些电子商务网站的信用卡付费页面)。
接下来的三个设置:Use SSL 2.0,Use SSL 3.0 & Use TLS 1.0(使用SSL 2.0,使用SSL 3.0和使用TLS 1.0)都跟在Internet上通过协议加密数据有关。例如一些网站的身分认证和重要数据的传输,在这过程中都会使用到SSL加密。因此最佳建议是这三个选项全部启用。但是如果启用后你访问某些加密站点时出现错误,那么可以禁用除SSL 2.0之外的其它两个协议,因为不同版本之间可能会有冲突,而SSL 2.0是被采用的最广泛的,一般的加密站点都会支持。
Warn about invalid site certificates(对无效站点证书发出警告),启用这个设置之后,在遇到无效的站点证书时IE就会发出警告,提醒你注意。一般情况下可以启用这个。
Warn about changing between secure & not secure mode(在安全和非安全模式之间转换时发出警告),当启用这个设置之后,如果你要从一个安全的网页(可能是经过SSL加密的)进入到一个不安全的网页的时候,IE会发出警告提醒你,以避免你在不知情的情况下泄漏一些私人的信息。
Warn if forms submittal is being redirected(重定向提交的表单时发出警告),启用这个设置后,你在某些论坛或类似的地方提交的一些信息如果被发送到了其它的服务器上,IE就会发出警报提醒你。所以安全起见这个也应当启用。
安全使用Outlook Express
Outlook Express是Windows自带的一个电子邮件程序,通过OE不仅可以收发电子邮件,还可以浏览新闻组,十分方便。不过很多人并不喜欢这个程序,还想千方百计的把它从自己的系统中卸载掉,主要是因为使用OE容易传染病毒。菜刀也容易伤人呢,但是每个家庭都
得有个菜刀吧,所以,与其考虑怎么卸载OE还不如考虑一下怎么设置才能让OE更安全。本节全部以OE 6为主,如果你使用得是较低的版本,某些细节方面可能会不同。
OE的主要设置都可以在工具-选项下看到,在这里我们主要关注的是安全选项卡。
Select the Internet Explorer security zone to use(选择要使用的Internet Explorer安全区域),这个设置可以让你决定把电子邮件(尤其是使用HTML语言的电子邮件)当作什么安全区域对待(也就是我们在Internet Explorer的Internet选项中设置的不同安全级别的区域).把它设置为Restricted sites zone(受限制的区域)是比较明智和安全的做法。这样,如果你收到的HTML邮件中含有一些有害的代码就不会危害到你的系统了。
Warn me when other applications try to send mail as me(当其他程序以我的名义发送电子邮件时提醒我),这也是一个很有效的安全策略,曾经有很多病毒都是通过OE的地址簿中的联系人地址来发送含病毒的右键来扩散的,而启用这个设置就可以有效的解决这个问题。一旦有其他程序通过OE发送电子邮件,OE会首先询问你是否发送,对于那些可疑的右键,只要取消发送就可以了。
Do not allow attachments to be saved or opened that could potentially be a virus(不允许可能包含病毒的附件被保存或者被打开),当启用这个设置后,电子邮件中某些格式的附件就不能被保存和打开了,这时如果你收到了含有附件的右键,保存和打开附件的选项将为不可用,进一步增强了安全性。
Windows 操作系统常见安全问题解决方法(1)
作者:未知文章来源:未知点击数:201 更新时间:2006-6-21
加固你的Internet连接
默认情况下,为了建立网络连接,Windows会安装很多协议和运行很多服务其中一些协议和服务都不是必须的,例如NetBIOS、文件和打印机共享等,而“最小的服务+最小的权限=最大的安全”这个等式是永远成立的,因此我们有必要关掉不需要的服务,卸载不需要的协议,来增强我们的系统安全。
对于Windows 9x/Me的系统
1.在控制面板中双击网络图标
2.选择Microsoft网络客户端,然后点击卸载
3.禁用文件和打印机共享,如果你确实需要共享,可以给它们设置一个密码
4.选择TCP/IP,然后点击属性按钮,打开NetBIOS选项卡,取消对“我要在TCP/IP上使用NetBIOS的选择。然后选择DNS设置选项卡,并选择禁用DNS(如果你确实不需要的话)。在WINS设置选项卡下,选中禁用WINS解析
5.确定,然后重启动电脑
对于Windows 2000/XP的系统
1.打开控制面板中的网络连接,右键点击Internet连接,选择属性
2.如果你不需要共享文件和打印机,那么选中并卸载(可以不卸载,但是至少不要再使用)Windows网络的文件和打印机共享
3.双击Internet 协议(TCP/IP),然后点击高级按钮
4.打开WINS选项卡,取消对启用LMHOSTS查询的选择,然后选择禁用TCP/IP上的NetBIOS
5.在运行中输入Services.msc然后回车
6.找到TCP/IP NetBIOS Helper这个服务,把这个服务停止掉,并且设置启动类型为手动或者禁止
7. 重启动电脑
防火墙和杀毒软件
不管你做了怎样的设置,只要你连接在Internet上,防火墙都是必要的。防火墙可以完全保护你的系统,把网络上有害的东西挡在门外。推荐你使用的防火墙主要有两种,一是Symantec公司的Norton Internet Security,这个软件不仅包含网络防火墙,还包含Norton Antivirus,一个著名的杀毒软件。Norton Internet Security的功能非常强大,不仅可以防病毒,防黑客,还可以帮助你过滤浏览网页时看到的广告,过滤收到的电子邮件,过滤网络中的一些色情和其它非法内容。不过Norton Internet Security对系统的要求比较高老的电脑运行起来可能会慢一些。这样的话你可以试试Zone Alarm或者国产的天网,他们对系统的要求都不错,功能也够强大,还有一点,他们两者都可以从互联网上免费下载到。
对于使用Windows XP的用户也可以用系统自带的防火墙,虽然没有那么多花哨的功能,不过最基本的防护还是可以胜任的。启用的方法是:打开控制面板-网络和Internet连接,双击网络连接打开属性对话框,在高级选项卡下,选中在我的电脑上使用Internet连接防火墙,之后还可以点击设置进行更进一步的配置。
总结:
经过以上的设置,你的系统安全应该提高不少了,不过需要注意的是,不管在系统和软件上做怎样的防护,正确的使用习惯才是最重要的,因此从现在就开始养成良好的使用习惯的,否则在怎么防护也是白搭。希望你能有一个安全的系统
Windows Internet 服务器安全配置
作者:未知文章来源:天天安全网点击数:71 更新时间:2006-6-22
原理篇
我们将从入侵者入侵的各个环节来作出对应措施
一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计
我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.
1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽
2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行
3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.
4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
https://www.doczj.com/doc/fb7344675.html,work
https://www.doczj.com/doc/fb7344675.html,work.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除
5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.
6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL
7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的. 所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马. 所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.
8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://https://www.doczj.com/doc/fb7344675.html,/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.
我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.
额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.
本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.
实践篇
下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL] 描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减
1.WINDOWS本地安全策略端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地80
外->本地20
外->本地21
外->本地PASV所用到的一些端口
外->本地25
外->本地110
外->本地3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地1433
外->本地3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外53 TCP,UDP
本地->外25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地所有协议阻止
2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等
3.目录权限
将所有盘符的权限,全部改为只有
administrators组全部权限
system 全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone默认的读取及运行列出文件目录读取三个权限
C:\WINDOWS\ 开放Everyone默认的读取及运行列出文件目录读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.
4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的
5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators 全部权限
system 全部权限
单独建立的用户(或者IUSER) 选择高级->打开除完全控制,遍历文件夹/运行程序,取得所有权3个外的其他权限.
如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.
6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展.
7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe root用户所有权限
net.exe root用户所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令
8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC
9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的. 而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation
11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
https://www.doczj.com/doc/fb7344675.html,work
https://www.doczj.com/doc/fb7344675.html,work.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除
12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改成功,失败
审核系统事件成功,失败
审核帐户登陆事件成功,失败
审核帐户管理成功,失败
训练课题:_《网络操作系统》复习题第__10_周 一、填空题 1、Windows Server2003有两种授权模式:(每服务器)和(每客户)。 2、在Active Directory中有两种类型的组:(本地用户账户)和(域用户账户)。 3、在安装Windows NT Server后, 系统会自动创建两个全局帐号, 一个是(administrator) , 另一个是(Guest)。 4、Windows 2000动态磁盘可支持多种特殊的动态卷,包括(简单卷)、(跨区卷)(RAID-5卷)、带区卷、镜像卷等。 5、NTFS权限有6个基本的权限:完全控制、(修改)、读取及运行、列出文件夹目录、(读取)、(写入)。 6、使用C类IP地址的网络可支持的主机数为(254 )台。 7、IP地址共占用(32)个二进制位,一般是以4个(十进制)进制数来表示。 8、在OSI参考模型中,TCP是(传输)层上的协议,IP是(网络)层上的协议。 9、DNS域名解析的方法主要有(递归查询法) , (迭代查询法) 10、DNS是一个分布式数据库系统,它提供将域名转换成对应的( IP 地址)信息。 11、FTP服务器默认使用TCP协议的(21)号端口。
12、Web服务使用的默认TCP端口号为(80) 13、通过对打印机设置优先级,可以让重要的文档优先打印。 14、Windows网络的管理方式有:工作组和域。 15、在一个TCP/IP网络中,实现为计算机自动分配IP地址的服务,叫做 DHCP服务。 16、为了向用户提供完全合格域名(FQDN)的解析功能,需要在网络中安装并配置DNS 服务器。 17、针对不同的用户和环境,Windows Server2003产品的版本有:标准版、 Web版、标准版、数据中心版。 18、在Windows Server 2003中安装活动目录的命令是____dcpromo_____,活动目录存放在____活动目录数据库__________中。 19、Windows Server 2003服务器的3种角色是__域控制器____、_成员服务器__、_独立服务器__。 20、一个基本磁盘最多可分为_4__个区,即__4__个主分区或___3___个主分区和一个扩展分区。 21、DNS顶级域名中表示商业组织的是___com___。 二、单项选择题 1、在Windows Server 2003支持的文件系统格式中,能够支持
Windows网络操作系统管理期末练习 一、填空题 1.Windows Server 2003的标准版本适用于中、小型企业,主要用作服务器,提供 各种常见的网络功能,如:文件服务、打印服务、通信服务、Web服务等。 2.通过查看硬件兼容性列表文件,可以确认Windows Server 2003操作系统是否 与一台计算机的硬件设备兼容。 3.在检测软件兼容性时,需要在winnt32.exe命令后附加的参数为 checkupgradeonly。 4.Windows Server 2003支持的文件系统格式有:FA T、FA T32和ntfs。 5.在Windows Server 2003中,ntfs文件系统格式支持文件加密。 6.为了能够实现网络通信,管理员需要为计算机上的网卡等网络设备设置TCP/IP参数, 包括:ip地址、子网掩码和默认网关等。 7.在安装硬件设备时,一般需要同时安装这个设备的驱动程序,该程序一般由 硬件设备的开发厂商提供。 8.对于即插即用的硬件设备,Windows Server 2003能够自动检测并进行 安装。 9.对于非即插即用的硬件设备,只能由用户手工安装。 10.如果希望重新使用一个被禁用的设备,应该对该设备的执行启用的操作。 11.在工作组中,每台计算机均把自己的资源信息和安全信息存放在本地的SAM或安 全账户管理数据库中。 12.在工作组中的一台计算机上所创建的用户账户,被称为本地或本机用户账 户。 13.在网络中工作、使用网络资源的人被称为用户。 14.如果一个员工长时间不工作,那么为安全起见,管理员应该将他的用户帐户禁 用。 15.在一个工作组中,每台Windows计算机的内置管理员帐户能够在本地计算机的 SAM数据库中创建并管理本地用户帐户。 16.在Windows计算机上不能对文件实施共享,而只能对文件夹实施共享。 17.管理员在对文件夹实施共享之后,必须设置权限,这样才能保证用户访问 共享文件夹的安全。 18.当创建共享文件夹时,如果在它的共享名的后面附加一个$符号,那么当用 户通过网络访问这台计算机时将看不到这个共享文件夹。
WINDOWS 网络操作系统的发展史 2009-05-21 18:16 网络操作系统的发展史 Microsoft开发的Windows是目前世界上用户最多、并且兼容性最强的操作系统。最早的Windows操作系统从1985年就推出了。改进了微软以往的命令、代码系统Microsoft Dos。Microsoft Windows是彩色界面的操作系统。支持键鼠功能。默认的平台是由任务栏和桌面图标组成的。任务栏是显示正在运行的程序、“开始”菜单、时间、快速启动栏、输入法以及右下角的托盘图标组成。而桌面图标是进入程序的途径。默认的系统图标有“我的电脑”、“我的文档”、“回收站”,另外,还会显示出系统的自带的“IE浏览器”图标。运行Windows的程序主要操作都是由鼠标和键盘控制的。鼠标的左键单击默认是是选定命令,鼠标左键双击是运行命令。鼠标右键单击是弹出菜单。WIndows系统是“有声有色”的操作系统。《连线》杂志日前发表分析文章称,在过去的23年中,Windows操作系统经历了一个从无到有,从低级到高级的发展过程。总体趋势是功能越来越强大了,用户使用起来越来越方便了,但其发展进程并非是一帆风顺的,中间也曾多次出现曲折。应用最广泛的Windows操作系统在不断地发展,其发展进程充满了不确定性。Windows的成功与处理器速度的提高和内存容量的增加可谓“休戚与共”。微软依靠大量第三方软件让用户喜欢上了Windows。 1、Windows 1.0 Windows 1.0 微软第一款图形用户界面Windows 1.0的发布时间是1985年11月,比苹果Mac晚了近两年。由于微软与苹果间存在一些法律纠纷,Windows 1.0缺乏一些关键功能,例如重叠式窗口和回收站。用现在的眼光看,它的失败并不令人感到意外。Windows 1.0只是对MS-DOS的一个扩展,它本身并不是一款操作系统,但确实提供了有限的多任务能力,并支持鼠标。Microsoft Windows 1.0操作系统是微软公司在个人电脑
一、单项选择题每小题2分 2.操作系统中采用多道程序设计技术来提高CPU和外部设备的() A.利用率 B.可靠性 C.稳定性 D.兼容性 答案:A 解析:多道程序设计的主要目的是充分利用系统的所有资源且尽可能地让它们并行操作。 3.允许在一台主机上同时连接多台终端,多个用户可以通过各自的终端同时交互地使用计算 机的操作系统是() A.网络操作系统 B.分布式操作系统 C.分时操作系统 D.实时操作系统 答案:C 解析:在一个系统中,如果多个用户分时地使用同一个计算机,那么这样的系统就称为分时系统。由此可知本题选C。 4.可以使系统并行操作更有效的是() A.采用进程 B.采用线程 C.采用分页存贮 D.采用批处理 答案:B 解析:采用线程提高系统的并行性比采用进程实现并行性更有效。 5.在下面对进程的描述中,不正确的是() A.进程是动态的概念
答案:D 解析:程序是指令的有序集合,是静态的概念;而程序和数据集合是进程存在的物质基础,即进程的实体。 6.在请求分页存储管理中,若采用FIFO页面淘汰算法,当分配的页面数增加时,缺页中断的 次数() A.减少 B.增加 C.无影响 D.可能增加也可能减少 答案:D 解析:缺页中断的次数与分配的页面数无关,因此在采用FIFO页面淘汰算法时中所产生的缺页中断的次数可能增加,也可能减少。 7.在下列文件的物理结构中,不利于文件长度动态增长的是() A.连续结构 B.串联结构 C.索引结构 D.Hash结构 答案:A 解析:连续结构是指一个逻辑文件的信息存放在文件存储器上的相邻物理块中,因此这种方法不利于文件长度动态增长。 8.位示图方法用于() A.进程的调度 B.盘空间的管理 C.文件的共享 D.进程间的通讯 答案:B 解析:位示图法为文件存储器存储空间建立一张位示图,用以反映整个存储空间的分配情况。
任务1: (1)将“Internet Explorer”图标锁定到任务栏。 (2)将“”程序从任务栏解锁。 解题步骤: (1)双击打开桌面图标“Internet Explorer”→右击任务栏“Internet Explorer”图标→将此程序锁定到任务栏。 (2)右击任务栏中“”图标→将此程序从任务栏解锁 任务2: (1)把考生文件夹根目录下的所有扩展名为“jpg”的文件移动到“图片”文件夹下。 (2)把“简历”文件夹移动到“我的资料”文件夹下。 (3)把“考试”文件夹更名为“测试”。 解题步骤: (1)打开考生文件夹→在搜索栏中输入“*.jpg”后点击搜索按钮→Ctrl+A→Ctrl+X →回到考生文件夹中找到“图片”文件夹→Ctrl+V。 (2)单击选中“简历”文件夹→Ctrl+X→找到“我的资料”文件夹→Ctrl+V。 (3)右击“考试”文件夹→重命名→输入“测试”后按Enter。 任务3: (1)将考生文件夹下wintest文件夹下的位图文件“图像1”设为隐藏属性。 (2)在考生文件夹下新建文件夹“学生”并用记事本建立一个名为的文件保存到“学生”文件夹中,文件内容为:科技为本。将所建立的文件设为只读和隐藏属性。 (3)设置文件夹选项,设置为不显示隐藏的文件、文件夹或驱动器。 解题步骤: (1)双击打开wintest文件夹→右击“图像1”→勾选“隐藏”→应用→确定。 (2)打开考生文件夹→点击工具栏中的新建文夹→在新文件夹图标的名称栏输入“学生”→按回车键→开始→程序→附件→记事本→输入“科技为本”→点击“文件”中的“保存”→在名称栏输入SOWER,在地址栏找到“学生”文件夹→保存→右击→勾选“只读”和“隐藏”→应用→确定。 (3)打开考生文件夹→选择菜单栏中的“工具”菜单→文件夹选项→点击查看选项卡→在高级设置中,勾选“不显示隐藏的文件、文件夹或驱动器”→应用→确定。 任务4: (1)在考生文件夹下建立“我的练习”文件夹,在此文件下建立“文字”、“图片”、“多媒体”三个子文件夹。 (2)查找考生文件夹下文件,并将它复制到“多媒体”文件夹中。 (3)将“文本.rtf”文件设置为隐藏和存档属性。 (4)将“电器”文件夹中“电视”文件夹下的文件移动到“你好”文件夹中。 (5)在考生文件夹下创建“你好”文件夹的快捷方式,名称为“你好”。 解题步骤: (1)打开考生文件夹→点击工具栏中的新建文夹→在新文件夹图标的名称栏输入“我的练习”→按回车键→在“我的练习”文件夹中,点击工具栏中的新建文夹→在新文件夹图标的名称栏输入“文字”→点击工具栏中的新建文夹→在新文件夹图标的名称栏输入“图片”应用→点击工具栏中的新建文夹→在新文件夹图标的名称栏输入“多媒体”。 (2)打开考生文件夹→在搜索栏输入“”,点击搜索按钮→在右窗中选中搜索结果
一、单项选择题(请将所选答案的代码填入括号中)1.对网络用户来说,操作系统是指()。 A.能够运行自己应用软件的平台 B.提供一系列的功能、接口等工具来编写和调试程序的裸机C.一个资源管理者 D.实现数据传输和安全保证的计算机环境 2.网络操作系统主要解决的问题是()。 A.网络用户使用界面 B.网络资源共享与网络资源安全访问限制C.网络资源共享D.网络安全防范 3.以下属于网络操作系统的工作模式是()。 A.TCP/IP B.ISO/OSI模型C.Client/Server D.对等实体模式4.目录数据库是指()。 A.操作系统中外存文件信息的目录文件 B.用来存放用户账号、密码、组账号等系统安全策略信息的数据文件 C.网络用户为网络资源建立的一个数据库 D.为分布在网络中的信息而建立的索引目录数据库 5.关于组的叙述以下哪种正确()。 A.组中的所有成员一定具有相同的网络访问权限 B.组只是为了简化系统管理员的管理,与访问权限没有任何关系 C.创建组后才可以创建该组中的用户 D.组账号的权限自动应用于组内的每个用户账号 6.计算机之间可以通过以下哪种协议实现对等通信()。 A.DHCP B.DNS C.WINS D.NETBIOS 7.要实现动态IP地址分配,网络中至少要求有一台计算机的网络操作系统中安装()。 A.DNS服务器B.DHCP服务器C.IIS服务器D.PDC主域控制器 8.UNIX系统中用户的有效用户组()。 A.任意时刻可以有多个B.运行时是不可变 C.被设置为用户在passwd文件中的gid项规定的用户组D.以上这些说法都不对 9.在UNIX操作系统中与通信无关的文件是()。 A./etc/ethersB./etc/hostsC./etc/servicesD./etc/shadow 10.不是NDS中的对象为()。 A.根B.容器C.叶D.枝 二、多项选择题: 1.Windows NT具有如下特点()。 A.支持对等式和客户机/服务器网络B.增加网络的软件和硬件变得简便C.与现有网络较强的交互操作能力D.支持分布式应用程序 2.Windows NT系统中的NTDS包含了()等系统的安全策略设置信息。 A.用户账号B.密码C.访问权限D.组账号3.域中安装Windows NT Server 的计算机有(),它们是一种不平等的关系。 A.主域控制器(PDC)B.备份域控制器(BDC) C.成员控制器 D.成员服务器 4.下列说法正确的是()。 A.网络中某台主机的IP地址是唯一的 B.网络中某台主机的IP地址每位不能全部为1,这个地址是TCP/IP的广播地址
判断题 1.一个工作组中可以包含域。() 2.可以把一个工作组加入到域中。() 3.与域相比,工作组具有更高的安全级别。() 4.域属于分散的管理模式,每台计算机的管理员分别管理各自的计算机,安全级别不高, 适用于小型的网络。() 5.一台计算机不能同时属于多个域。() 6.在一个物理网络中,可以同时建立多个域。() 7.在安装即插即用设备时,操作系统往往检测不到这个设备,因此需要手工配置它的驱动 程序与资源信息。() 8.虚拟内存可以代替物理内存。若经常发生内存不够使用的情况时,建议安装更多的虚拟 内存。() 操作题 1.请使用U盘制作Windows Server 2008 R2的操作系统安装盘。 操作步骤: 步骤1:①。 步骤2:下载并安装名为“UltraISO”的软件。 步骤3:②。 步骤4:在弹出的对话框中,选中Windows Server 2008 R2的映像文件。 步骤5:将U盘通过USB接口连接到计算机上。 步骤6:③。 步骤7:④。 步骤8:在弹出的警告数据丢失窗口中单击【是】按钮,确定继续操作。 步骤9:当单击【写入】按钮后,UltraISO软件开始在选定的U盘或移动硬盘中写入Windows Server 2008 R2的映像文件。 至此,便制作完成可安装Windows Server 2008 R2的U盘了。 【答案选项】 A.在“写入磁盘映像”窗口中的“磁盘驱动器”处选择希望写入的U盘;在“写入方式”中选中“USB-HDD+”,然后单击【写入】按钮。 B. 准备Windows Server 2008 R2的映像文件。 C.运行UltraISO软件,在程序窗口中单击“文件”→“打开”。 D.在UltraISO软件窗口中,单击“启动”→“写入硬盘映像”。 请填写:①:②:③:④:
(10)运行Windows Server 2003的计算机的磁盘分区可以使用三种: FAT16 、FAT32 、 NTFS 类型的文件系统。 (11)Windows Server 2003将磁盘存储类型分为两种:基本磁盘存储和动态磁盘存储。 (12)系统管理员可以为访问服务器资源的客户机设置磁盘配额,也就是限制它们一次性访问服务器资源的卷空间数量。 (13)带区卷又称为 RAID-0 技术,RAID-1又称为镜像卷,RAID-5又称为具有奇偶校验的带区卷。 (14)WINS工作过程有名称注册、名称刷新、名称解析、名称释放四个阶段。 (15)DHCP是采用客户端/服务器模式。 (16)工作组模式的特点是采用分布式的管理方式,资源和用户账号分散在各个计算机上,每个计算机上都有一套目录数据库,用以验证在该计算机上创 建的本地用户。 二、单项选择题:(每小题二分,共四十分) (1)有一台服务器的操作系统是Windows 2000 Server,文件系统是NTFS,无任何分区,现要求对该服务进行Windows Server 2003的安装,保留原数据,但不保留操作系统,应使用下列( B )种方法进行安装才能满足需求。 A、在安装过程中进行全新安装并格式化磁盘 B、对原操作系统进行升级安装,不格式化磁盘 C、做成双引导,不格式化磁盘 D、重新分区并进行全新安装 (2)在设置域账户属性时( C )项目不能被设置。 A、账户登录时间 B、账户的个人信息 C、账户的权限 D、指定账户登录域的计算机 (3)下列( C )账户名不是合法的账户名。 A、abc_123 B、windows book C、dictionar* D、abdkeofFHEKLLOP (4)Windows Server 2003组策略无法完成下列( A )设置。 A、操作系统安装 B、应用程序安装 C、控制面板 D、操作系统版本更新
《Windows Server 2003网络操作系统》模拟试卷一 一、填空题(20空,每空1分) 1、一个基本磁盘上最多能有_____个主分区。 2、在加密技术中,作为算法输入的原始信息称为_______。 3、在Internet中计算机之间直接利用IP地址进行寻址,因而需要将用户提 供的主机名转换成IP地址,我们把这个过程称为___________________。 4、V PN使用的2种隧道协议是________________________、 _______________________。 5、共享文件夹的权限有___________、 _________和________。 6、Windows Server 2003有两种不同的客户访问许可证(CAL):_________ 和_____________。 7、数字签名通常利用公钥加密方法实现,其中发送者签名使用的密钥为发送 者的_________。 8、可以用来检测DNS资源创建的是否正确的两个命令是___________、 ____________。 9、User1是Group1、Group2和Group3的成员。Group1拥有Folder A的“读” 权限;Group3拥有Folder A的完全控制的权限;Group2没有Folder A的 权限。那么,User1对Folder A的有效权限是_____________。 10、集群的主要优点有_________、__________和_________。 11、W indows Server 2003在“事件查看器”中默认显示的三个日志是 ______________、______________、_______________。 二、选择题(30题,每题1.5分) 1、Windows Server 2003标准版支持的CPU数量为( ) A.4 B.6 C.8 D.12
第一章Windows网络操作系统的安装与配置 思考题 (1)Windows Server 2008 R2操作系统有哪几个版本,各有什么特点? 答:Windows Server 2008 R2操作系统有4个版本:1、标准版,它的特点是具有服务器操作系统所具备的基本功能,2、企业版,它的特点是提供了更强的扩展性与可用性,3、数据中心版,它是Windows Server 2008 R2的最高级版本,4、Web版,该版本功能单一且价格低廉。 (2)Windows网络的管理架构主要有哪两种?各有什么特点? 答:Windows网络的管理架构主要有:1、工作组,属于分散式管理模式,2、域,属于集中式的管理模式。 (3)在安装操作系统时,全新安装与升级安装有什么不同? 答:1、全新安装,用户将得到一个全新的操作系统环境,2、升级安装,原有的大部分系统设置和应用程序会被保留在新的Windows Server 2008 R2内。 (4)即插即用设备与非即插即用设备的安装时有什么不同? 答:1、即插即用设备,操作系统能够检测到这个设备并自动安装和配置它的驱动程度与资源信息。2、非即插即用设备,操作系统往往检测不到这个设备,因此需手动配置它的驱动程序与资源信息 (5)如何判断IP地址冲突? 答:使用Ping命令访问本地计算机的IP地址,以检查该IP地址是否与其他计算机的IP地址发生冲突 (6)如何设置Windows防火墙,从而使QQ软件可以在公用网络位置上使用? 答:方法为:单击【开始】→【控制面板】→【系统安全】→【Windows防火墙】→【打开或关闭Windows防火墙】→【公用网络】→【确定】 (7)如何使用设备管理器查看计算机上安装的硬件设备? 答:在桌面上右击【计算机】→【属性】→【设备管理器】 (8)在什么情况下需要更新设备的驱动程序? 答:当一个设备的驱动程度出现了新的版本后 (9)在什么情况下需要执行“回滚驱动程序”的操作? 答:当设备的驱动程序升级为最新版本后出现了工作不正常时 (10)如何更改默认启动的操作系统? 答:在桌面上右击【计算机】→【属性】→【高级系统设置】→“高级”选项卡→【启动和故障恢复】→【设置】→在“默认操作系统”处选择一个希望默认启动的操作系统 (11)如何使用任务管理器来关闭一个已经停止响应的应用程序? 答:在任务管理器的“应用程序”选项卡中,选中要关闭的应用程序后单击【结束任务】按
网络操作系统最主要的作用是处理 B 资源的最大共享及资源共享的局限性之间的矛盾 下面关于Windowns NT描述正确的是 D 如果BDC出现故障,PDC可以转换为BDC UNIX系统中具有最高权限的用户名是 B.root Netware的核心协议(NCP)提供了一系列的 D 控制协议 网络通信软件的任务是根据协议来控制和管理 D 程序间通信 Netware采用的通信协议是 D SPX/IPX ====================================================================== 1.Windows NT是一种(). 多用户多进程系统 2.网络操作系统是一种()。 系统软件 3.网络操作系统为网络用户提供了两级接口:网络编程接口和()。 操作命令接口 4.构成网络操作系统信息机制的是()。 B.通信原语 5.网络操作系统主要解决的问题是()。 网络资源共享与网络资源安全访问限制 6.以下属于网络操作系统的工作模式为()。 Client/Server ===================================================================== 1, 下面的操作系统中,不属于网络操作系统的是() DOS
2. 对网络用户来说,操作系统是指() 一个资源管理者 3. UNIX是一种() 多用户多进程系统 4. 允许一台主机同时连接多台客户端,同时为多个客户端提供服务的计算机的操作系统是() 网络操作系统 5. 下列不属于网络操作系统的安全性的是() 用户能管理和中止系统运行 6.在客户/服务器模式下的网络操作系统主要是指() 服务器操作系统
认识操作系统 系统简介 定义 :操作系统(英语:Operating System,简称OS)是管理和控制计算机硬件与软件资源的计算机程序,是直接运行在“裸机”上的最基本的系统软件,任何其他软件都必须在操作系统的支持下才能运行。操 操作系统所处位置 作系统是用户和计算机的接口,同时也是计算机硬件和其他软件的接口。 操作系统的功能:包括管理计算机系统的硬件、软件及数据资源,控制程序运行,改善人机界面,为其它应用软件提供支持等,使计算机系统所有资源最大限度地发挥作用,提供了各种形式的用户界面,使用户有一个好
的工作环境,为其它软件的开发提供必要的服务和相应的接口。 操作系统的种类:各种设备安装的操作系统可从简单到复杂,可分为智能卡操作系统、实时操作系统、传感器节点操作系统、嵌入式操作系统、个人计算机操作系统、多处理器操作系统、网络操作系统和大型机操作系统。 按应用领域划分主要有三种: 桌面操作系统、 服务器操作系统 嵌入式操作系统。 ○1桌面操作系统 桌面操作系统主要用于个人计算机上。个人计算机市场从硬件架构上来说主要分为两大阵营,PC机与Mac 机,从软件上可主要分为两大类,分别为类Unix操作系统和Windows操作系统: 1、Unix和类Unix操作系统:Mac OS X,Linux发行
版(如Debian,Ubuntu,Linux Mint,openSUSE,Fedora等); 一个流行Linux发行版——Ubuntu桌面 Mac OS X桌面 2、微软公司Windows操作系统:Windows XP,Windows Vista,Windows 7,Windows 8等。 Windows 8 Metro Windows 8桌面 ○2服务器操作系统 服务器操作系统一般指的是安装在大型计算机上的操作系统,比如Web服务器、应用服务器和数据库服务器等。服务器操作系统主要集中在三大类: 1、Unix系列:SUN Solaris,IBM-AIX,HP-UX,
1.下列哪个命令用来清空DNS客户端缓存?() 2. A. Ipconfig /all /displaydns 3. /flushdns 4.下列哪个命令用来释放DHCP客户端的IP地址?() 5. A. Ipconfig /all /release 6./renew 7.在一个局域网中利用DHCP服务器为网络中的所有主机提供动态IP地址分配,DHCP服 务器的IP地址为,在服务器上创建一个作用域为并激活。在DHCP服务器选项中设置003为,在作用域选项中设置003为,则网络中租用到IP地址的DHCP客户端所获得的默认网关地址应为多少?() 8. A. B. 9. C. D.操作系统下,实现磁盘配额可以在以下哪个文件系统中使用( ) 10. 11.对于NTFS权限描述错误的是() 12. A. 没有文件和文件夹级的安全性 B. 内置文件加密功能 13. C. 拥有磁盘配额功能 D. 内置文件压缩功能 14.虚拟主机技术,不能通过()来架设网站。 15.A、主机名B、TCP端口C、IP地址D、计算机名 16.在因特网域名中,通常表示( ) 17. A.商业组织 B.教育机构 C.政府部门 D.军事部门 18.TCP和UDP的一些端口保留给一些特定的应用使用。为HTTP协议保留的端口号为 () 19.的80端口的8000端口 20.的25端口的25端口 21.用户Boss是Management组和Accounting组中的一个成员。Management组对于共享 为Annual Reports的文件夹具有NTFS 读权限,Accounting组对于同一个文件夹具有NTFS完全控制的权限。为了防止其他所有用户查看这个共享文件夹的内容,您给予了EveryOne组对于该文件夹的拒绝读取权限。Boss用户对Annual Reports这个共享文件夹中的内容具有的访问权限是() A.禁止访问B.读和执行 C.读、写、执行和删除D.完全控制
Windows网络操作系统管理作业1答案 一、填空题(每空2分,共20分) 1.用户帐户 2.PPTP 3.Administrator 4.SAM 5.非即插即用 6.本地域 7.一 8.DHCP 9.辅助 10.WINS 二、单项选择题(每小题2分,共20分) 1.A2.A3.C4.D5.B 6.A7.C8.C9.C10.A 三、判断题(判断下列叙述是否正确,正确的划Ö号,错误的划´号,标记在括号中。每小题2分,共16分) 1.´2.√3.´4.√ 5.√6.´7.´8.´ 四、简答题(每题8分,共24分) 1.答:(共8分) 首先,在一台打印服务器上创建两个(多个)逻辑打印机,这两个打印机映射到同一台打印设备。(2分) 其次,为了保证高级主管的紧急文档优先打印,需要对这两个逻辑打印机设置权限,例如:对第一个逻辑打印机设置只有高级主管才具有打印权限,对第二个逻辑打印机设置普通员工具有打印权限。(3分) 最后,把第一个逻辑打印机的优先级设置得比第二个逻辑打印机的优先级更高。例如:第一个逻辑打印机的优先级为:99,而第二个逻辑打印机的优先级为:1。(3分)2.答:(共8分) “用户”与“用户帐户”具有不同的含义。(2分) 其中,“用户”是指在网络中工作、使用网络资源的人;例如:王约翰是一家公司的员工,他需要在公司的网络中工作,那么他就是该网络中的一个用户。(3分)而“用户帐户”是指用户在网络中工作时所使用的身份标志。例如:王约翰必须使用一个特定的身份(如:user1)才能够访问网络,那么他所使用的这个身份标志(即:user1)就是一个用户帐户。(3分) 3.答:(共8分) 与手工分配IP地址相比,自动分配IP地址主要具有以下优点: (1)由于自动分配IP地址而不是手工分配IP地址,所以大大减轻了管理员的工作负担。(3分)
一、填空题 1.网络操作系统应具有()、存储管理、设备管理、文件管理、 ()和()管理的功能。 2.Windows NT有四个特殊组。包括Network组、()、Everyone组和 Greater Owner组。 3.工作组是以(源)为主要目的的一组计算机和用户。其特点是采用 ()的管理方式。 4.Windows NT可以支持的文件系统是(),但也对() 文件系统兼容。 5.成员服务器可以被提升为()。 6.对用户账号和共享资源实施管理的是()组。 7.UNIX系统中,一个文件的许可权有()、()和其他。 8.UNIX系统中,系统与用户终端之间建立连接和表明身份的过程称为()。 9.网络操作系统需要解决的一对矛盾是()和(性)。 10.在安装了Windows NT Server之后,系统会自动建立两个账号()和 ()。 11.在Windows NT中,组分为全局组、()和特殊组。 12.Microsoft Windows NT server 操作系统被设计用于()服务器。它既是一个 个人计算机操作系统,又是一个()。它将()和基本操作结合,易于使用和管理。 13.在Netware中建立一个用户账号,需要在NDS中创建一个用户对象,然后设置对象的 ()和()。 14.匿名账户的名称是()。 15.在Internet信息服务(IIS)管理器中,设置FTP站点的访问权限有 和。 16.传输层有(_ __)、(_ _)两种协议。 17.TCP/IP参考模型由(_)、(_)、()、 链路层4层组成。 18.一般情况下,核心内存的值越()越好。 19.能够标识一个Web网站的三个方面是()、()、 ()。 20.动态主机配置协议英文是(_ )。 21.电子邮件使用协议和协议完成邮件的收发工作。 22.假设一台客户机是由DHCP分配IP地址,当释放此IP地址时,可输入() 命令。 23.在网络中提供域名与IP地址解析服务的服务器是()。 24.Windows Server 2003有四个版本,分别为:、、、。 25.推荐Windows Server 2003安装在(_ )文件系统分区。 26.某企业规划有2台Windows Server 2003和50台Windows 2000 professional,每台服务 器最多只有15个人会同时访问,最好采用(_ )授权模式。
一、选择题(本大题共20小题,每小题2分,共40分) 1.下列哪个命令用来清空DNS客户端缓存?() A. Ipconfig /all B.Ipconfig /displaydns C.Ipconfig /flushdns D.Ipconfig 2.下列哪个命令用来释放DHCP客户端的IP地址?() A. Ipconfig /all B.Ipconfig /release C.Ipconfig /renew D.Ipconfig 3.在一个局域网中利用DHCP服务器为网络中的所有主机提供动态IP地址分配,DHCP服 务器的IP地址为192.168.8.1/24,在服务器上创建一个作用域为192.168.8.11~200/24并激活。在DHCP服务器选项中设置003为192.168.8.254,在作用域选项中设置003为192.168.8.253,则网络中租用到IP地址192.168.8.20的DHCP客户端所获得的默认网关地址应为多少?() A. 192.168.2.1 B. 192.168.2.254 C. 192.168.2.253 D. 192.168.2.20 4.Windows操作系统下,实现磁盘配额可以在以下哪个文件系统中使用( ) A.FAT16 B.FAT32 C.NTFS D.ext2 5.对于NTFS权限描述错误的是() A. 没有文件和文件夹级的安全性 B. 置文件加密功能 C. 拥有磁盘配额功能 D. 置文件压缩功能 6.虚拟主机技术,不能通过()来架设。 A、主机名 B、TCP端口 C、IP地址 D、计算机名 7.在因特网域名中,.com通常表示( ) A.商业组织 B.教育机构 C.政府部门 D.军事部门 8.TCP和UDP的一些端口保留给一些特定的应用使用。为HTTP协议保留的端口号为 () A.TCP的80端口 B.UDP的8000端口 C.TCP的25端口 D.UDP的25端口 9.用户Boss是Management组和Accounting组中的一个成员。Management组对于共享为 Annual Reports的文件夹具有NTFS 读权限,Accounting组对于同一个文件夹具有NTFS 完全控制的权限。为了防止其他所有用户查看这个共享文件夹的容,您给予了EveryOne 组对于该文件夹的拒绝读取权限。Boss用户对Annual Reports这个共享文件夹中的容具有的访问权限是() A.禁止访问B.读和执行
一名词解释 1 NetBIOS名称 2递归查询 3 DHCPREQUEST 4组织单位 5镜像卷 二单选 1、如果一个主机的IP地址为172.168.2.198,那么这个主机是属于那一类网络() A A类网络 B B类网络 C C类网络 D 无法确定 2 、当安装Windows 2000 Server时, 会询问计算机的名称, 请问下面哪个语句描述了计算机名称的作用.( ) A. 计算机名称就是NetBIOS名称, 通过它可以在网上识别计算机. 只要不在一个网络内, 就允许两台计算机有相同的名字. B. 计算机名称就是NetBIOS名称, 通过它可以在网上识别计算机. 两台计算机绝不能有相同的名字. C. 通过计算机名字可以识别连接到某一个域控制器的计算机. 计算机名称至少由两个字母组成, 且名称中必须含有域名. D. 计算机名称随情况而不同, 并且在用户第一次登录时, 必须输入计算机名称. 3、将一个磁盘分区的所有内容精确的拷贝到另一个磁盘分区的卷是下面哪一种()。 A、RAID-5卷 B、带区卷 C、磁盘镜像 D、简单卷 4、假设某人不想让使用他的工作站的人访问他正在处理的一些文件。他应如何做才能达到目的()。 A、将这些文件的属性设为隐藏 B、将文件存储到桌面上,桌面具有安全性选项实现密码保护 C、用FAT格式化硬盘。FAT具有内置的对基于帐号的访问控制的支持 D、用NTFS格式化硬盘。NTFS具有内置的对基于帐号的访问控制的支持 5、Windows 2000 Sever 中具有最高权限的用户是( ) A、administrator B、root C、supervisor D、guest 6、DNS的功能为() A.将物理地址映射为网络地址 B.将IP地址映射为MAC地址 C.将MAC地址映射为IP地址 D.将主机名映射为IP地址 7、当客户机检测到其所使用的IP地址在网络上存在冲突时,将向DHCP服务器发出( ) A DHCPRELEASE B DHCPDECLINE C DHCPINFORM D DHCP REQUEST 8、关于FTP站点下列说法正确地是( ) A FTP服务是一种实时的联机服务,是基于C/S模式的 B FTP站点也可以创建虚拟目录,其虚拟目录可以分为本地虚拟目录和远程虚拟目录. C在一台服务器上我们可以使用IP地址、端口号和主机头名来维持多个FTP站点。 D FTP服务可以同时使用两个端口号进行传送,这两个端口都可以用于从传送指令消息和数
Windows网络操作系统管理试题 (2011年1月考) 一、填空题(每小题2分,共20分) 1.在工作组中的一台计算机上所创建的用户账户,被称为__________用户账户。 2.如果共享了一个文件夹,那么该文件夹的默认共享权限是:__________组对该文件夹的访问权限为“读”。 3.对于__________的硬件设备,Windows Server 2003能够自动检测并进行安装。 4.为了向用户提供完全合格域名(FQDN)的解析功能,需要在网络中安装并配置__________服务器。 5.一个用户可以使用域用户帐户在域中的计算机上登录到域,他的身份验证由域控制器检查__________数据库来完成。 6.一台安装了__________服务的计算机被称为“远程访问服务器”,由它提供对远程访问客户端的支持,接受用户的远程访问。 7.在一个Windows域树中,第一个域被称为__________域。 8.在网络中工作、使用网络资源的人被称为__________。 9.在网络中,为IP数据包实现寻址和路由功能的设备,称作__________。 10.如果希望一台DHCP客户机总是获取一个固定的IP地址,那么可以在DHCP服务器上为其设置__________。 二、单项选择题(每小题2分,共20分) 1.在同一台DHCP服务器上,针对同一个网络ID号能够建立()个作用域。 A.1B.2C.3D.多 2.如果希望局域网1中的DHCP服务器为局域网2中的DHCP客户机分配IP地址,则需要在局域网2中配置()。 A.远程访问服务B.DHCP中继代理
C.WINS代理D.DNS服务 3.如果一台计算机采用()节点,那么当它需要解析目标计算机的NetBIOS名称时,首先检查自己的NetBIOS名称缓存,如果查询不到,则通过WINS服务器继续进行查询。如果WINS服务器也查询不到,再通过本地广播继续进行查询。 A.B B.H C.P D.M 4.目前常用的服务器端网络操作系统有:()。 A.Windows Server 2003B.DOS C.Windows 3.0D.Windows XP 5.在Internet上,广泛使用()来标识计算机。 A.P节点B.NetBIOS名 C.域名D.完全合格域名 6.在一个域中,用户帐户的最大资源访问范围是:()。 A.成员服务器B.域控制器 C.域D.工作站 7.在域树中,父域和子域之间自动被()向的、可传递的信任关系联系在一起,使得两个域中的用户帐户均具有访问对方域中资源的能力。 A.单B.双C.三D.四 8.最简单的域树中只包含()个域。 A.1B.2C.3D.4 9.当DNS服务器收到DNS客户机查询IP地址的请求后,如果自己无法解析,那么会把这个请求送给(),继续进行查询。 A.Internet上的根DNS服务器 B.DHCP服务器 C.邮件服务器
《Windows 网络操作系统》 教学方案 课程名称Windows网络操作系统 主讲教师: 教研室: 系(部): 使用教材:Windows Server 2012 R2网络组建 项目化教程
教学设计方案 单元标题项目1 Windows Server 2012 R2的安装与基本配置 课程类型理论 + 实践 授 课 时 间 第周月日第节授 课 班 级 授 课 地 点 一体 化教 室第周月日第节 第周月日第节 教学目标知识 目标 1.对本课程有一个充分的了解和认识,提高学习兴趣; 2.了解Windows Server 2012特点、版本等; 3.熟悉Windows Server 2012系统的安装方式 能力 目标 1.会安装Windows Server 2012; 2.能在网络连接属性中设置TCP/IP参数; 3.会在系统添加硬件、安装其驱动程序; 4.会利用远程桌面连接远程登录服务器。 重点掌握Windows Server 2012系统的安装以及网络属性的设置方法。 难点及解决方法 掌握Windows Server 2012系统的安装。 解决办法:通过学生自己安装操作系统,了解其安装步骤及其解决安装过程中遇到的问题。 教学方法 1、宏观上采用“项目引导”,在微观上采用“任务驱动”、“问题牵引”。以实际演示讲解。 2、在课堂上注意讲、学、做相结合,注重与学生的互动,充分调动学生的积极性,培养学习兴趣、分析问题和解决问题的能力以及自学能力。 教学手段与课前准备1.建议在能完成“教、学、做”一体化教室上课,教师机连接投影仪;2.学生一人一机、并将4人左右学生分为一组; 3.操作系统都为Windows Server 2012。 教学过程设计(分教学步骤列出内容、时间安排、教学方法、训练项目、素材等)过程教师活动学生活动 步骤1 本课程的整体介绍(20分钟)1.教师自我介绍 2.引导: 通过翻阅教材,同学们能不能试着说一说这门课学些 什么、学了这些我们能做什么,这门课和其他哪些课 程有联系? 3.讲解: “网络操作系统”是构建计算机网络的核心与基础。 它是计算机网络中其他课程的基础平台,是一门计算 机网络技术专业的必修课及其他相关专业的专业方 向选修课。通过本课程的学习,使学生掌握网络操作 系统的基本应用结构、配置与管理计算机网络的技术 过程和技术方法。学习完这门课程以后,应该掌握安 装Windows Server 2012的方法;掌握Windows Server 2012的桌面配置、硬件管理、工作环境的调 整及TCP/IP配置的方法;掌握创建Windows Server 2012的域、创建和管理域用户以及管理Active Directory组对象和组策略的方法;掌握配置和管理 Windows Server 2012的网络服务:DNS服务、DHCP 服务、路由和Web服务等的方法。在应用上使学生能 够构建和管理网络——网络管理员,相应的考取微软 的MCSE的认证。 这门课和许多课程都有相关的联系,如计算机网络原 理、计算机网络工程等(简单介绍它们的相关性)。 2.由学生简单翻阅的 教材,让他们对课本中 的内容有一个大体的 直观认识。 大家思考,个别回答 (通过解答,使学生了 解本课程在网管员岗 位工作的地位和作用、 重点明确各学习模块 的任务,重点对本模块 的任务要求。)