信息安全管理（二）一、容災與數據備份容災就是減少災難事件發生的可能性以及限制災難對關鍵業務流程所造成的影響的一整套行為。容災的目的和實質就是保持信息系統的業務持續性，將災難損失降到可容忍的范圍。容災方案需要考慮的要點：災難的類型恢復時間恢復程度實用技術成本容災等級第0級——本地冗余備份，投資少，技術簡單，但原始數據和備份數據可能一起被毀第1級——數據介質轉移，數據異地存放，安全保管，但無備用系統，會丟失部分數據第2級——應用系統冷備，數據異地存放，有備用系統，系統硬件冷備份，會丟失部分數據第3級——數據電子傳送，使用網絡傳輸技術，自動異地備份，提高備份頻率第4級——應用系統溫備，備份系統處于活動狀態，數據恢復達到小時級第5級——應用系統熱備，系統鏡像，同步更新，災難發生時需要人工切換，數據恢復達到分鐘級第6級——數據零丟失，在線實時鏡像，作業動態分配，自動切換數據備份數據備份是指為了防止出現因自然災害、硬件故障、軟件錯誤、認為誤操作等造成的數據丟失，而將全部或部分原數據集合復制到其他的存儲介質中的過程。當數據丟失或被破壞時，結合其他恢復工具，原數據可以從備份數據中恢復出來。數據備份策略完全備份：每隔一段時間對系統進行一次全面備份增量備份：先對系統進行一次完全備份，然后每隔一段時間進行一次備份，僅僅備份在這個期間更改的內容累計備份：備份從上次進行完全備份后更改的全部數據文件混合應用：設立備份周期，結合不同備份方式的特點，制定策略。備份策略設計周一：完全備份周二：增量備份周三：增量備份周四：增量備份周五：累計備份周六：增量備份周日：增量備份常用的數據備份技術1、NAS，作為以太網文件服務器，提供文件級數據訪問2、遠程鏡像技術，又叫遠程復制，產生同一個數據的鏡像視圖3、快照技術，在遠程存儲系統中產生多個邏輯備份4、IPSAN，建立高速子網提供高性能存儲環境，可實現動態數據塊存儲。1、批處理命令實現備份固定路徑的備份：@mdc:\"%date%"@xcopyd:\1c:\"%date%"/e/y/c說明：Md新建文件夾Data當前日期XCOPYsource[destination][參數/y/e…]source指定要復制的文件。

destination指定新文件的位置和/或名稱。

/e復制目錄和子目錄，包括空的。

/y禁止提示以確認改寫一個現存目標文件。

/c即使有錯誤，也繼續復制。2、利用SuperFlexible軟件備份數據同步文件備份工具。用于在不同位置PC、筆記本電腦和服務器之間備份數據或同步文件支持定時自動備份。可同步文件、支持多配置文件、檢測刪除的文件、支持計劃運行、可用郵件通知、支持完全鏡像模式備份、可安全備份數據庫文件、支持備份一個文件的多個版本、支持日志、支持備份超過64GB的文件。練習：1、d:\a與e:\b之間測試各種備份方式，如完全備份、增量備份、累計備份、刪除文件同步等。2、d:\a與9(io)之間測試網絡備份3、根據需要制定一個合適需求的7天的混合備份策略，并用SuperFlexible實現。數據災難恢復數據的災難恢復是在計算機發生意外故障時，使硬盤上的文件信息丟失的故障降到最低，為了提高災難恢復的成功率，我們在平時使用電腦時應注意一下幾點：1、重要的資料歸檔分類2、數據存儲在硬盤分區的后面幾個分區，系統盤讀寫頻繁，容易損壞，恢復困難3、定期備份，最好能做到異地網絡備份數據存儲原理及硬盤分區硬盤是計算機中最重要的數據存儲設備，計算機的操作系統、應用軟件、驅動程序、數據資料都保存在硬盤中。硬盤的外部結構包括接口、控制電路板和外殼。硬盤接口分為IDE、SATA、SCSI和光纖通道四種。1、硬盤的內內部結構2、硬盤工作作原理：硬盤讀寫期期間，硬盤盤磁頭通常常在硬盤盤盤面上進行行讀寫數據據的操作，，磁頭本身身懸浮于盤盤片上方，，與盤片的的距離在0.3微米以內，，當運行期期間驅動器器發生物理理震動時，，驅動器磁磁頭和驅動動器盤面可可能會直接接發生接觸觸，從而造造成數據丟丟失，甚至至形成物理理壞道，造造成硬盤損損壞。所以硬盤的的損壞通常常來自于硬硬盤的物理理震動，發發生在硬盤盤進行讀寫寫操作時。。對于用戶來來說個人數數據安全非非常重要，，很多數據據是不能丟丟失的，毫毫不夸張地地說，硬盤盤上存儲的的數據的價價值甚至要要超過電腦腦本身。因因此，“安全性”理所當然地地成為電腦腦的重點。。3、硬盤分區區分區后將硬盤分成主主引導扇區區、操作系系統引導扇扇區、FAT表、DIR目錄區和Data數據區五部部分。其中主引導導扇區MBR在一個硬盤盤中是是唯唯一的，MBR區的內容只只有在硬盤盤啟動時才才讀取其內內容，然后后駐留內存存。其它4部分則根據據硬盤分區區的多少而而異。主引導扇區區MBR位于整個硬盤盤的0磁道0柱面1扇區，包括括硬盤主引導記錄錄MBR（MainBootRecord）和分區表DPT（DiskPartitionTable）。其中主主引導記錄錄的作用就就是檢查分分區表是否否正確以及及判別哪個個分區為可可引導分區區，并在程程序結束時時把該分區區的啟動程程序（也就就是操作系系統引導扇扇區）調入入內存加以以執行。操作系統引引導扇區OBR（OSBootRecord），通常位位于硬盤的的0磁道1柱面1扇區（對于于多重引導導方式啟動動的系統則則位于相應應的主分區區/擴展分區的的第一個扇扇區），是是操作系統統可直接訪訪問的第一一個扇區，，它也包括括一個引導導程序和一一個被稱為為BPB（BIOSParameterBlock）的本分區區參數記錄錄表。文件分配表表FAT(FileAllocationTable)，是DOS/Win9x系統的文件件尋址系統統。目錄區DIR是Directory即根目錄區區的簡寫，，DIR記錄著每個個文件（目目錄）的文文件名，擴擴展名，起起始單元（（這是最重重要的）、、文件的屬屬性，大小小，創建日日期，修改改日期等住住處內容。。操作系統統在讀寫文文件時，根根據DIR中的起始單單元，結合合FAT表就可以知知道文件在在磁盤的具具體位置，，然后順序序讀取每個個簇的內容容就可以了了。數據區DATA是真正意義義上的數據據存儲區，，DATA雖然占據了了硬盤的絕絕大部分空空間，但沒沒有了前面面的各部分分，它對于于我們來說說只能是一一些沒有任任何意義的的二進制代代碼。我們們通常所說說的格式化程序序Format，并沒有把把DATA區的數據清清除，只是是重寫了FAT表而已，至至于硬盤分分區，也只只是修改了了MBR和OBR，絕大部分分的DATA區的數據并并沒有被改改變，這也也是許多硬硬盤數據能能夠得以修修復的原因因。如果你經常常整理磁盤盤，那么你你的數據區區的數據可可能是連續續的，這樣樣即使MBR/FAT/DIR全部壞了，，我們也可可以使用數數據恢復軟軟件如Finaldata，只要找到到一個文件件的起始保保存位置，，就可以恢恢復了。硬盤分區表表損毀如果電腦在在進行磁盤盤整理或者者其他需要要大量磁盤盤讀寫過程程的操作的的時候，突突如其來的的斷電有很很大可能會會產生分區區表損壞，，造成硬盤盤所有分區區信息丟失失，無法進進入操作系系統，更嚴嚴重的是由由于FAT表被破壞，，文件起始始地址無法法查找，所所有數據都都不能訪問問。如果硬硬盤數據不不重要的話話，只要重重新分區并并格式化，，硬盤就可可以重新使使用了；但但是，如果果里面有比比較重要的的數據，怎怎樣在保存存系統和數數據的情況況下解決這這個問題呢呢？我們可以用用DiskMan這個軟件去去自動修復復分區表。該軟件采采用圖形界界面，以圖圖表的形式式揭示了分分區表的詳詳細結構。。具有分區區表重建功功能，能自自動恢復被被破壞的分分區表；還可以備份份包括邏輯輯分區表及及各分區引引導記錄在在內的所有有硬盤分區區信息。常見Raid故障及可恢恢復性分析析1、軟件故障障：a．突然斷電電造成RAID磁盤陣列卡卡信息的丟丟失的數據據恢復。b．重新配置置RAID陣列信息，，導致的數數據丟失恢恢復。c．如果磁盤盤順序出錯錯，將會導導致系統不不能識別數數據。d．誤刪除、、誤格式化化、誤分區區、誤克隆隆、文件解解密、命毒毒損壞等數數據恢復工工作。2、硬件損壞壞：a．raid一般都會有有幾塊硬盤盤，其中某某一塊硬盤盤出現損壞壞，數據將將無法讀取取。b．raid出現壞道，，導致數據據丟失，這這種恢復成成功率比較較大。c．如果硬盤盤同時出現現兩塊以上上的損壞，，恢復工作作非常復雜雜，成功率率比較低。。RAID故障注意事事項1、數據丟失失后，用戶戶千萬不要要對硬盤進進行任何操操作，將硬硬盤按順序序卸下來，，用鏡像軟軟件將每塊塊硬盤做成成鏡像文件件，留下備備份盤。2、不要對Raid卡進行Rebuild操作，否則則會加大恢恢復數據的的難度。3、標記好硬硬盤在Raid卡上面的順順序。4、一旦出現現問題，可可以撥打專專業數據恢恢復中心的的咨詢電話話找專業工工程師進行行咨詢，切切忌自己試試圖進行修修復，除非非你確信自自己有足夠夠的技術和和經驗來處處理數據風風險。上海數據恢恢復中心聯系電話：：800-819916613818281066FinalDataV2.0超級數據恢恢復工具,其特性功能能包括：支支持FAT16/32和NTFS，恢復完全全刪除的數數據和目錄錄，恢復主主引導扇區區和FAT表損壞丟失失的數據，，恢復快速速格式化的的硬盤和軟軟盤中的數數據，恢復復CIH破壞的數據據，恢復硬硬盤損壞丟丟失的數據據，通過網網絡遠程控控制數據恢恢復等等。。在Windows環境下刪除除一個文件件，只有目目錄信息從從FAT或者MFT（NTFS）刪除。這這意味著文文件數據仍仍然留在你你的磁盤上上。所以，，從技術角角度來講，，這個文件件是可以恢恢復的。FinalData就是通過這這個機制來來恢復丟失失的數據的的，在清空空回收站以以后也不例例外。另外外，FinalData可以很容易易地從格式式化后的文文件和被病病毒破壞的的文件恢復復。甚至在在極端的情情況下，如如果目錄結結構被部分分破壞也可可以恢復，，只要數據據仍然保存存在硬盤上上。數據恢復工工具RecoverMyFiles可根據文件件類型快速速恢復數據據恢復步驟：：1）、選擇分分區，掃描描分區目錄錄表，檢測測出已刪除除的文件2）、定義恢恢復文件的的簇大小，，1Mb＝256個簇3）、將文件件保存到其其他分區數據恢復練練習：1、在d:\新建一個word文件，輸入入一些字符符后保存。。將這個文件件刪除，并并清空回收收站。利用finaldata恢復這個文文件到c:\。利用RecoverMyFiles恢復。2、對d:\進行格式化化利用finaldata恢復原來d盤的文件到到c:\。利用RecoverMyFiles恢復數據庫創建建、備份、、恢復和調調用以SQl2000為例一、1、建立一個個數據庫abc，創建一個個含有id和name字段的數據據表123，添加幾條條記錄2、制作備份份abc.bak，然后刪除除數據庫abc3、新建數據據庫abc，將備份還還原到數據據庫上，查查看數據表表中的記錄錄4、建立一個個定時備份份的維護計計劃，每天天23點定時備份份。二、新建一一個數據庫庫，名字任任意，將一一個外部備備份文件還還原到這個個數據庫上上。查看數據表表字段，觀觀察SQL注入攻擊型型態。Sqlserver數據庫備份份數據庫自動動備份必須須要啟動TaskScheduler服務二、操作系系統安全設設置操作系統主主要負責處處理器管理理、存儲管管理、文件件管理、設設備管理和和作業管理理。一般分為為內核（（Kernel）和殼（（Shell）操作系統統安全要要素：用戶認證證存儲器保保護文件和I/o設備的訪訪問控制制共享的實實現內部進程程通信同同步硬件硬件抽象象層（HAL）I/O管理器微內核核對象管理器安全引用用監視器本地過程程調用程序序進程管理器虛擬內存存管理器圖形設備備管理器即插即用用管理器電源管理器配置管理器緩存管理器安全子系系統（LSA）Win32子系統其他子系系統（Posix，RAS）登錄過程程（Winlogon）DOS客戶Win32客戶其他客戶戶（Posix，RAS）Win16客戶WOWVDM內核模式式（0GB|2GB）用戶模式式（2GB|4GB）Windows2000系統結構構基本功能能調度線程程執行在線程之之間切換換設備環環境捕獲并處處理中斷斷和異常常對內核對對象的管管理在處理器器之間負負責同步步（在多多處理器器系統中中）內核進程程的特性性內核的執執行除了了中斷服服務例程程(ISR)外，不會會被其他他線程所所搶先內核的大大部分代代碼和數數據不會會被調頁頁到物理理RAM之外內核和執執行體（（對象管理理器、內內存管理理器等統統稱為執執行體）的關系系：兩者都在在文件C:\WINNT\SYSTEM32\NTOSKRNL.EXE中實現執行體具具有相對對較高的的級別內核不能能從用戶戶模式調調用，其其功能是是通過執執行體來來從用戶戶模式下下訪問的的操作系統統微內核核名稱模塊所實現的位置模式何時被啟動/被加載由誰啟動HAL.DLL硬件抽象層N/A系統啟動時SYSTEMNTOSKRNL.EXE內核和執行體內核系統啟動時SYSTEMKERNEL32.DLLWIN32子系統.DLLN/A系統啟動時SYSTEMGDI32.DLLWIN32子系統.DLLN/A系統啟動時SYSTEMUSER32.DLLWIN32子系統.DLLN/A系統啟動時SYSTEMADVAPI32.DLLWIN32子系統.DLLN/A系統啟動時SYSTEMSMSS.EXE會話管理器用戶系統啟動時SYSTEMWIN32K.SYSWIN32的內核模式部分內核系統啟動時SMSS.EXECSRSS.EXE用戶模式進程用戶系統啟動時SMSS.EXEWINLOGON.EXEWindows登錄進程用戶系統啟動時SMSS.EXELSASS.EXE本地安全性鑒別子系統用戶系統啟動時WINLOGON.EXEMSGINA.DLL缺省GINAN/A系統啟動時WINLOGON.EXESERVICES.EXE服務控制器用戶系統啟動時WINLOGON.EXENTDLL.DLL支持函數和到執行體的接口N\A系統啟動時SMSS.EXEOS2SS.EXEOS/2子系統進程用戶根據需要SMSS.EXEPSXDLL.DLLPOSIX子系統.DLLN\A根據需要SMSS.EXEPSXSS.DLLPOSIX子系統進程用戶根據需要SMSS.EXEWindows重要的系系統文件件硬件硬件抽象象層（HAL）I/O管理器微內核核對象管理器安全引用用監視器本地過程程調用程序序進程管理器虛擬內存存管理器圖形設備備管理器即插即用用管理器電源管理器配置管理器緩存管理器安全子系系統（LSA）Win32子系統其他子系系統（Posix，RAS）登錄過程程（Winlogon）DOS客戶Win32客戶其他客戶戶（Posix，RAS）Win16客戶WOWVDMWindows子系統與與文件的的對應關關系對應文件件NTOSKRNL.EXE對應文件件HAL.DLLKERNEL32.DLLGDI32.DLLUSER32.DLLADVAPI32.DLLWIN32K.SYSPSXSS.DLLPSXDLL.DLLLSASS.EXENT/Win2000啟動所需需文件：：Ntldr這是一個個隱藏的的，只讀讀的系統統文件，，用來裝裝載操作作系統Boot.ini這是一個個只讀的的系統文文件，用用來在基基于Intelx86的計算機機上建立立啟動裝裝載操作作系統選選擇菜單單的文件件Bootsect.dos這是個隱隱藏的系系統文件件，如果果另外的的操作系系統被選選擇，則則被Ntldr裝載到內內存。N這是個隱隱藏的，，只讀系系統文件件，用于于檢測可可用的硬硬件并建建立一個個硬件列列表Ntbootddd.sys這個文件件僅被從從SCSI磁盤啟動動的系統統使用。。NT/Win2000共同的啟啟動序列列文件是是：Ntoskrnl.exeWindows

NT的內核System這個文件件是系統統配置設設置的集集合。Devicedrivers這些是支支持各種種設備驅驅動器的的文件Hal.dll硬件抽象象層軟件件WINDOWS系統啟動動所需的的文件NT/Win2000啟動序列如如下：電源自檢程程序開始運運行主引導記錄錄被裝入內內存，并且且程序開始始執行活動分區的的引導扇區區被裝入內內存Ntldr從引導扇區區被裝入并并初始化將處理器的的實模式改改為32位平滑內存存模式Ntldr開始運行適適當的小文文件系統驅驅動程序。。小文件系系統驅動程程序是建立立在NTLDR內部的，它它能讀FAT或NTFS。Ntldr讀boot.ini文件Ntldr裝載所選操操作系統*如果WindowsNT被選擇，Ntldr運行N*對于其他的的操作系統統,Ntldr裝載并運行行Bootsect.dos然后向它傳傳遞控制.

windows

NT過程結束.N搜索計算機機硬件并將將列表傳送送給Ntldr,以便將這些些信息寫進進HKEY_LOCAL_MACHINE\HARDWARE中.然后Ntldr裝載Ntoskrnl.exe,Hal.dll和系統信息息集合Ntldr搜索系統信信息集合,并裝載設備備驅動配置置以便設備備在啟動時時開始工作作Ntldr把控制權交交給Ntoskrnl.exe,這時,啟動程序結結束,裝載階段開開始WINDOWS系統啟動的的過程基本的系統統進程smss.exe會話管理器器csrss.exe子系統服務務器進程winlogon.exe管理用戶登登錄services.exe包含很多系系統服務lsass.exe本地安全性性鑒別子系系統。(系統服務)svchost.exe包含很多系系統服務spoolsv.exe將文件加載載到內存中中以便遲后后打印。(系統服務)explorer.exe資源管理器器internat.exe輸入法Windows基本的系統統進程操作系統術術語：句柄：用來來惟一標識識資源(例例如文件中中注冊表項項)的值，以便程序序可以訪問問它。線程Threads：被系統獨獨立調度和和分派資源源的基本單單位。線程允許在在進程中進進行并發操操作，并使使一個進程程能夠在不不同處理器器上同時運運行其程序序的不同部部分。進程Processes：一個可執執行程序或或者一種服服務在計算算機上的一一次執行活活動。當你運行一一個程序，，你就啟動動了一個進進程，系統統首先為該該程序進程程建立一個個默認線程程，然后程程序可以根根據需要自自行添加或或刪除相關關的線程。。一個進程可可以包含若若干線程，這些線程可可以幫助應應用程序同同時做幾件件事，提高高運行效率率。基本系統進進程：（其中System和*SS.EXE運行在純內內核態，無無法結束））Csrss.exe：子系統服務務器進程，負責控制制Windows創建或刪除除線程以及及16位的的虛擬DOS環境。Smss.exe：：會話管理子子系統，負責啟動動用戶會話話。Lsass.exe：本地的安全全授權服務務，管理IP安全策略以以及啟動IKE和IP安全驅動程程序。Services.exe：：系統服務的的管理工具具。Explorer.exe：：資源管理器器。Svchost.exe：系統啟動的的時檢查注注冊表中的的位置來創創建需要加加載的服務列表，如果多個個Svchost.exe同時運行，，則表明當當前有多組組服務處于于活動狀態態；多個DLL文件正在調調用它。winlogon.exe管理用戶登登錄SystemIdleProcess：空閑進程，，作為單線程程運行在每每個處理器器上并在系系統不處理理其它線程程的時候分分派處理器器的時間。。Spoolsv.exe：管理緩沖區區中的打印印和傳真作作業。常見病毒進進程Avserve.exe→→震蕩波病毒毒Diagcfg.exe→→廣外女生木木馬lexpl0re.exe→→惡郵差病毒毒Rundll32.exe→→狩獵者病毒毒Runouce.exe→→中國黑客病病毒Kernel32.exe→→冰河木馬Krn132.exe→求職信病毒毒Load.exe→→尼姆達病毒毒Msblast.exe→→沖擊波病毒毒wgavm.exe→魔鬼波Fujacks.B→熊貓燒香病病毒組策略gpedit.msc組策略是管管理員為用用戶和計算算機定義并并控制程序序、網絡資資源及操作作系統行為為的主要工工具。通過使用用組策略可可以設置各各種軟件、、計算機和和用戶策略略。組策略對本本地計算機機可以進行行兩個方面面的設置：：本地計算機機配置和本本地用戶配配置。所有策略略的設置都都將保存到到注冊表的的相關項目目中。對計計算機策略略的設置保保存到注冊冊表的HKEY_LOCAL_MACHINE的相關項中中，對用戶戶的策略設設置將保存存到HKEY_CURRENT_USER相關項中。。這里的“計計算機配置置”是對整整個計算機機中的系統統配置進行行設置的，，它對當前前計算機中中所有用戶戶的運行環環境都起作作用；而““用戶配置置”則是對對當前用戶戶的系統配配置進行設設置的，它它僅對當前前用戶起作作用。組策略的應應用1、禁止訪問““控制面板板”如果你不希希望其他用用戶訪問計計算機的控控制面板，，你只要運運行組策略略編輯器，，并在左側側窗口中展展開“本地計算算機策略→→用戶配置置→管理模模板→控制制面板”分支，然后后將右側窗窗口的“禁禁止訪問控控制面板””策略啟用用即可。查查看注冊表表，找到鍵鍵值與組策策略的關系系[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]下的NoControlPanel2、禁止訪問注注冊表編輯輯器防止他人修修改你的注注冊表，可可以在組策策略中禁止止訪問注冊冊表編輯器器，展開“用戶配置置”→“管管理模板””→“系統統”，然后找到到并雙擊““阻止訪問問注冊表編編輯器”項項，并將其其設置為““已啟用””，這樣用用戶在試圖圖啟動注冊冊表編輯器器時，系統統將提示：：注冊編輯輯已被管理理員停用。。3、安全日志審核Windows的默認安裝裝是不開任任何安全審審核的，我我們可以審審核登錄嘗嘗試、系統統關閉或重重新啟動以以及類似的的事件，展展開“計算機配配置→Windows設置→安全全設置→本本地策略→→審核策略略”，設置相應應的審核,如登陸失失敗。下面的這些些審核是必必須開啟的的，其他的的可以根據據需要增加加：策略設設置審核系統登登陸事件成成功，，失敗審核帳戶管管理成成功功，失敗審核對象訪訪問成成功功審核策略更更改成成功功，失敗審核特權使使用成成功功，失敗審核系統事事件成成功功，失敗Windows的日志系統統類型Windows有三種類型型的事件日日志：系統日志跟蹤各種各各樣的系統統事件，比比如跟蹤系系統啟動過過程中的事事件或者硬硬件和控制制器的故障障。應用程序日日志跟蹤應用程程序關聯的的事件，比比如應用程程序產生的的象裝載DLL（動態鏈接接庫）失敗敗的信息將將出現在日日志中。安全日志跟蹤事件如如登錄上網網、下網、、改變訪問問權限以及及系統啟動動和關閉。。注意：安安全日志的的默認狀態態是關閉的的。日志在系統統的位置是是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.EvtLOG文件件在注冊表表的位置是是：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventlogWindows日日志系統統的存放位位置微軟管理控控制臺MMCMMC是一個集成成管理的工工作平臺，，通過它可可以創建、、保存或打打開系統管管理工具，，從而管理理計算機的的、軟件和和系統的的網絡組件件，以及進進行系統的的維護。MMC本身并不執執行管理功功能，它只只是集成眾眾多的管理理工具MMC控制臺的界面由兩個窗格組成，左邊是控制臺的目錄樹，在此顯示控制臺目前可用的項目，右邊的窗格是詳細資料窗格，當在樹目錄下選擇某選項時，此窗格將顯示相應詳細信息，改變左邊的選項，右邊的詳細資料發生相應的改變向控制臺樹樹添加項目目要向控制臺臺樹添加項項目，可以以使用MMC主工具欄上上“文件”菜菜單中的““添加/刪刪除管理單單元”命令。在“添加/刪除管理理單元”對對話框中，，“管理單單元添加可以單擊“管理單元添加到”中的項目來定位控制臺樹之外的對象。

在桌面建立控制臺mmc1，要求包含本地用戶和組、服務、事件查看器、本地計算機策略等單元系統帳戶管管理一、Windows用戶帳戶類類型

域用用戶帳戶：：存儲在域控控制器的ActiveDirectory數據庫內。。用戶可以以利用域用用戶帳戶登登錄域，并并利用強訪訪問網絡上上的資源。。如：訪問問域中其他他計算機內內的文件、、打印機等等資源。本地用戶帳帳戶：是創建在非非域控制器器的“本地地安全帳戶戶數據庫””內。用戶戶可以利用用本地用戶戶由帳戶登登錄該帳戶戶所在的計計算機，只只能夠訪問問這臺計算算機內的資資源，無法法訪問網絡絡上的資源二、添加用戶帳帳戶，設置置權限利用控制面面板—用戶戶帳戶—創創建一個受受限帳戶abc，利用組策略略設置用戶戶權限：一個系統中中存在多個個用戶的話話可設置不不同的用戶戶權限，在在編輯器窗窗口的左側側窗口中逐逐級展開“計計算算機機配配置置→→Windows設置置→→安安全全設設置置→→本本地地策策略略→→用用戶戶權權限限指指派派””分支支。。雙雙擊擊改改變變裝裝載載和和卸卸載載驅驅動動程程序序的的用用戶戶權權限限，，單單擊擊““添添加加用用戶戶或或組組””按按鈕鈕，，指指派派給給abc賬號號，，最最后后單單擊擊““確確定定””按按鈕鈕退退出出。。三、、用用戶戶配配置置文文件件或或登登錄錄腳腳本本設設置置用用戶戶的的計算機管理－本地用戶和組－用戶，某個用戶屬性中選擇配置文件系統統服服務務是是通通過過在在后后臺臺運運行行特特定定的的程程序序來來提提供供控控制制硬硬件件、、實實現現計計算算機機管管理理、、網網絡絡連連接接和和維維護護、、保保證證系系統統安安全全等等功功能能。這些些功功能能我我們們可可以以人人為為進進行行控控制制，，以以達達到到優優化化系系統統和和網網絡絡、、保保證證安安全全的的目目的的。。這這些些““服服務務””有有些些是是必必須須要要運運行行的的，，而而很很多多““服服務務””對對于于我我們們一一般般用用戶戶來來說說是是沒沒有有價價值值的的，，可可以以關關閉閉。。在在xp系統統中中，，有有近近90個個服服務務，，默默認認安安裝裝完完XP后，，系系統統會會開啟啟30多多個個服服務務，其其中中不不少少對對于于普普通通用用戶戶根根本本用用不不到到或或暫暫時時用用不不到到，，反反而而浪浪費費了了相相當當多多的的內內存存和和系系統統資資源源，，影影響響了了系系統統啟啟動動和和運運行行的的速速度度。。我我們們只只需需要要其其中中幾幾個個就就夠夠用用了了。。禁禁止止所所有有不不必必要要的的服服務務可可以以節節省省很很多多內內存存和和大大量量系系統統資資源源。。系統統服服務務services.mscWindows系統統服服務務單擊擊““開開始始””指向向““設設置置””然后后單單擊擊““控控制制面面板板””雙擊擊““管管理理工工具具””然后后雙雙擊擊““服服務務””：：在在列列表表框框中中顯顯示示的的是是系系統統可可以以使使用用的的服服務務Windows下可可以以在在命命令令行行中中輸輸入入services.msc打開開服服務務列列表表。。服務務包包括括三三種種啟啟動動類類型型：：自自動動、、手手動動、、已已禁禁用用。。自自動動-Windows2000啟動的時時候自動動加載服服務手手動-Windows2000啟動的時時候不自自動加載載服務，，在需要要的時候候手動開開啟已已禁用用-Windows2000啟動的時時候不自自動加載載服務，，在需要要的時候候選擇手手動或者者自動方方式開啟啟服務，，并重新新啟動電電腦完成成服務的的配置雙雙擊需需要進行行配置的的服務，，出現下下圖所示示的屬性性對話框框：Windows系統服務務的啟動動類型必須的系系統服務務：DHCPclient－客戶端自自動獲取取IP地址時需需要EventLog-系統日志志紀錄服服務NetworkConnections–網絡連接接PlugandPlay-自動查測測新裝硬硬件，即即插即用用PrintSpooler-打印機用用ProtectedStorage－儲存本地地密碼和和網上服服務密碼碼Remoteaccessautoconnectionmanager－寬帶／網網絡共享享RemoteProcedureCall(RPC)-遠程過程程調用，系統核心心服務server-局域網文文件／打打印共享享需要Telephony-撥號服服務WindowsAudio-控制音音頻，，關閉閉就沒沒有聲聲音WindowsManagementInstrumentation––對象管管理程程序建議禁禁用的的系統統服務務：DistributedLinkTrackingClient－－分布式式連結結追蹤蹤客戶戶端,4MbDNSClient－－DNS客戶端端服務務IMAPICD-BurningCOMService－－XP刻牒服服務,1.6MbIndexingService－－索引服服務,嚴重重影響響速度度Messenger－－信使，，可中中妖刺刺病毒毒MSSoftwareShadowCopyProvider－－磁盤區區陰影影復制制QoSRSVP－－網絡質質量服服務，，保留留20％帶帶寬Remotedesktophelpsessionmanager－遠程幫幫助服服務,4Mbremoteregistry－－遠程注注冊表表運行行修改改，大大漏洞洞removablestorage－磁帶備備份systemrestoreservice－－系統還還原服服務，，占有有大量量內存存taskscheduler－－windows計劃服服務telnet––遠程登登陸服服務，，大漏漏洞terminalservices－遠程終終端服服務，，漏洞洞Webclient－提供.net服務帳戶策策略所有安安全策策略都都是基基于計計算機機的策策略。。帳戶戶策略略定義義在計計算機機上，，然而而卻可可影響響用戶戶帳戶戶與計計算機機或域域交互互作用用的方方式。。帳戶戶策略略包含含三個個子集集：1、密碼策策略。。用于于域或或本地地用戶戶帳戶戶。確確定密密碼設設置（（如強強制執執行和和有效效期限限）。。2、帳戶鎖鎖定策策略。。用于于域或或本地地用戶戶帳戶戶。確確定某某個帳帳戶被被鎖定定在系系統之之外的的情況況和時時間長長短。。3、Kerberos策策略略。用用于域域用戶戶帳戶戶。確確定與與Kerberos相相關關的設設置（（如票票的有有限期期限和和強制制執行行）。。本地地計算算機策策略中中沒有有Kerberos策策略略。與帳戶戶策略略具有有類似似行為為的““安全全選項項”有有兩個個策略略。它它們是是：網絡訪訪問：：允許許匿名名SID/NAME轉轉換換網絡安安全登登錄時時間超超時時時強制制注銷銷Windows應用服服務器器安全全IIS服務安安全配配置IIS的配置置可以以分為為以下下幾方方面：：1.刪除目錄錄映射默認安裝裝的IIS默認的根根目錄是是C:\inetpub，我們建建議你更更改到其其他分區區的目錄錄里面，，比如：：D:\inetpub目錄。默認在IIS里面有Scripts，IISAdmin，IISSamples，MSADC，IISHelp，Printers這些目錄錄映射，，建議你你完全刪刪除掉安安裝IIS默認映射射的目錄錄，包括括在服務務器上真真實的路路徑（%systemroot%是一個環環境變量量，在具具體每臺臺服務器器上可能能不一樣樣，默認認值由安安裝時候候選擇目目錄決定定）：Scripts對應c:\inetpub\scripts目錄IISAdmin對應%systemroot%\System32\inetsrv\iisadmin目錄IISSamples對應c:\inetpub\iissamples目錄。MSADC對應c:\programfiles\commonfiles\system\msadc目錄。IISHelp對應%systemroot%\help\iishelp目錄。Printers對應%systemroot%web\printers目錄。還有一些些IIS管理員頁頁面目錄錄：IISADMPWD對應%systemroot%\system32\inetsrv\iisadmpwd目錄IISADMIN對應%systemroot%\system32\inetsrv\iisadmin目錄Frontpage擴展服務務從控制面面板里面面打開““添加或或刪除程程序”選擇““添加/刪除windows組件”選擇“Internet信息服務務（IIS）”，點點“詳細細信息””，請確確認FrontPage2000服務器擴擴展沒有有被勾上上。如果果有，則則取消掉掉，點確確定就可可以了。。提示：微微軟公公司提供供了一個個叫iislockd的程序，，它可以以用來幫幫助你更更安全的的配置IIS。禁用或刪刪除所有有的示例例應用程程序示例只是是示例；；在默認認情況下下，并不不安裝它它們，且且從不在在生產服服務器上上安裝。。請注意意一些示示例安裝裝，它們們只可從從http://localhost或訪問；但但是，它它們仍應應被刪除除。下面列列出一些些示例的的默認位位置。示例虛虛擬擬目錄位位置置IIS示例\IISSamplesc:\inetpub\iissamples

IIS文檔\IISHelpc:\winnt\help\iishelp數據訪問問\MSADCc:\programfiles\commonfiles\system\msadc啟用或刪刪除不需需要的COM組件某些COM組件不是是多數應應用程序序所必需需的，應應加以刪刪除。特特別是，，應考慮慮禁用文文件系統統對象組組件，但但是要注注意這也也會刪除除Dictionary對象。切切記某些些程序可可能需要要您禁用用的組件件。例如如，SiteServer3.0使用FileSystemObject。以下命命令將禁禁用FileSystemObject：regsvr32scrrun.dll/u禁用父路路徑“父路徑””選項允允許在對對諸如MapPath函數調用用中使用用“..”。在默認認情況下下，該選選項處于于啟用狀狀態，應應該禁用用它。禁禁用該選選項的步步驟如下下：右鍵單擊擊該Web站點的根根，然后后從上下下文菜單單中選擇擇“屬性性”。單擊“主主目錄””選項卡卡。單擊“配配置”。。單擊“應應用程序序選項””選項卡卡。取消選擇擇“啟用用父路徑徑”復選選框。禁用-內容位置置中的IP地址“內容-位置”標標頭可暴暴露通常常在網絡絡地址轉轉換(NAT)防火墻或或代理服服務器后后面隱藏藏或屏蔽蔽的內部部IP地址。Windows的注冊表表一、什么么是注冊冊表注冊表是是Windows系統的一一個巨大大的樹狀狀分層的的內部核核心數據據庫。它容納了了應用程程序和計計算機系系統的全全部配置置信息、、系統和和應用程程序的初初始化信信息、應應用程序序和文檔檔文件的的關聯關關系、硬硬件設備備的說明明、狀態態和屬性性以及各各種狀態態信息和和數據。。注冊表中中存放著著各種參參數，直直接控制制著Windows的啟動、、硬件驅驅動程序序的裝載載以及一一些Windows應用程序序的運行行，從而而在整個Windows系統中起起著核心心作用。注冊表在在Windows中起到中中介的作作用，負負責系統統同軟件件、硬件件、用戶戶之間的的溝通。。在Windows中運行一一個應用用程序的的時候，，系統會會從注冊冊表取得得相關信信息，如如數據文注冊表會自動記錄用戶操作的結果。二、注冊冊表的作作用注冊表的的外部形形式是Windows目錄下的的兩個二二進制文文件System.dat和User.dat，內部組織織結構是是一個類類似于目目錄管理理的樹狀狀分層的的結構。。三、注注冊表的的結構注冊表子子目錄樹樹，5個主鍵鍵HKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG(1)HKEY_LOCAL_MACHINE：：包含本地計算算機系統統的信息息，包括括硬件和和操作系系統數據據，如總線線類型、、系統內內存、設設備驅動動程序和和啟動控控制數據據。(2)HKEY_CLASSES_ROOT：包含由各各種OLE技術使用用的信息息和文件件類型關關聯數據據。加強強對系統數據據類型的管理(3)HKEY_USERS：用來控制用戶戶配置文文件的，它包包含所有有用戶的的配置文文件的內內容。當當前登錄錄用戶的的安全標標識當當前登登錄者的的用戶配配置文件件會被存存儲在此此處，HKEY_CURRENT_USER內的數據據通信就就是從此此處讀取取的。(4)HKEY_CURRENT_USER：包括當前前以交互互方式登錄用戶戶的用戶戶配置文文件，包括環環境變量量、桌面面設置、、網絡連連接、打打印機和和程序首首選項。。該子目目錄樹是是HKEY_USERS子目錄樹樹的別名名并指向向HKEY_USERS\當前用戶戶的安全全ID。(5)HKEY_CURRENT_CONFIG：包含在啟動時由由本地計計算機使使用的硬硬件配置置文件的相關信信息。該該信息息用于配配置一些些設備，，例如要要加載的的設備驅驅動程序序或顯示示時使用用的分辨辨率。該該子目錄錄樹指向向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current。四、注冊冊表項中中的值項項和注冊冊表編輯輯器每個注冊冊表項或或子項都都可以包包含稱為為值項的的數據。。有些值值項存儲儲每個用用戶的特特殊信息息，而有有些值項項則存儲儲應用于于計算機機所有用用戶的信信息。值項包括括三部分分：值的的名稱、、值的數數據類型型和值本本身。Windows提供兩個個版本的的注冊表表編輯器器：1、Regedit.exe：被自動安安裝在%systemroot%文件夾中中2、Regedt32.exe：被自動安安裝在%systemroot%\system32文件夾中中FTP用戶管理理系統安安裝與調調試1、配置服服務器FSO功能。如如FSO沒有權限限，將無無法遠程程創建或或刪除文文件，開開啟FSO組件的方方法如下下：在安安裝文件件目錄i386中找到scrrun.dl_，用winrar解壓縮，，得scrrun.dll，然后復復制到c:\windows\system32\目錄中。。運行regsvr32scrrun.dll即可。2.安裝Serv-U6.0，將域類類型設置置為存儲儲于ODBC數據庫中中3.在ODBC數據源管理理器中建立立系統數據據源：ftp，指向到serv-U數據庫。4.打開Serv-U安裝目錄下下的ServUDaemon.ini文件，做以以下操作：：(1)用下面的代代碼覆蓋原原來的ODBCSource、ODBCTables、ODBCColumnsODBCSource=ftp||ODBCTables=user_accounts|group_accounts|user_access|group_access|user_IP_access|group_IP_accessODBCColumns=user|password|skey|homedir||access|disable||relpaths|||changepass|quotaenable||||maxusers|||ratioup|ratiodown|ratiocredit|quotacurrent|quotamax|expiration|privilege|passtype|ratiotype|groups|notes|indexno(2)把“ReloadSettings=True”語句拷到每每個節點的的后面，如如[GLOGAL]、[DOMAINS]、[Domain1]、[Domain2]等節后的后后面5.發布網站，，調試程序序9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業業貧貧。。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，