Cyber_Security_Notes/1. 基础部分/005_Windows系统管理.md

# WinServer系统管理

### 一、本地用户与组管理

> 本地用户：用户本地创建、本地存储、本地登录且只能登录本地一台计算机。

1. #### 认识用户帐户：

   1. Windows帐户有帐户名、有密码、用户安全标识（SID）

      > - SID安全标识符（身份证号），每个用户的SID唯一
      >
      > whoami /user查看用户SID
      >
      > whoami /user查看用户SID

   2. 打开本地用户和组

      - 运行 → lusrmgr.msc
      - 右击此电脑 → 管理 → 工具 → 计算机管理 → 本地用户和组 → 用户

   3. 常见内置用户

      - administrator:管理员，权限最大
      - guest:来宾，权限小，默认禁用

      > 内置用户可以改名、可以禁用、不可以删除

2. #### 本地帐户管理

   1. 创建用户

      - 打开本地用户和组-用户

        右击-新用户

        用户名：

           全名：

           描述：

           密码：

      > 取消勾选下次登录时须更改密码

      右击开始菜单 → 关机或注销 → 注销选择登录

      > 登录后通过whoami /user查看用户SID

   2. 帐户属性

      - 右击用户帐户名 → 属性
      - 用户下次登录时须更改密码（每个员工创建不同帐户）
      - 用户不能更改密码（用于公用帐户）
      - 用户不能更改密码（用于公用帐户）
      - 密码永不过期（默认42天）
      - 帐户已禁用

   3. 更改用户密码

      - 管理员重设置
      - 用户自己改（用户注销登录按ctrl+alt+del）

      > 验证勾选用户不能更改密码，普通用户注销登录更改密码验证提示。

   4. 帐户重命名

      > 适用新老员工的工作交接(右击重命名、选重F2、单击再单击)

   5. 删除用户

      > 删除用户后，创建同名同密用户也不具有以前用户的权限

3. #### 本地组管理

   1. 作用：用来对多个用户批量授权

   2. 创建本地组：

      > 打开本地用户和组 → 组
      >
      > 右击 → 新建组 → 输入组名 → 确定

   3. 用户加入组

      - 双击本地组添加 → 输入用户名 → 确定 → 确定
      - 右击用户名 → 属性 → 隶属于 → 输入组名 → 确定 → 确定

   4. 常见内置组及权限

      - Administrators:管理员组
      - Guests:来宾组
      - Backup Operators：具有备份和还原的权限
      - Remote Desktop Users：此组内用户可以从远程计算机使用远程桌面来连接
      - Print Operators：具有管理打印机的权限
      - NetworkConfiguration Operators：具有管理网络功能，例如更改IP地址
      - Users:新用户默认组
      - Everyone:任何用户都属此组

   5. 内置组实验验证

      > 1. 普通用户注销登录，验证更改IP地址，提示输入administrator密码
      > 2. Administrator注销登录，将普通用户加入``Network Configuration Operators``组
      > 3. 普通用户注销登录，再次验证更改IP地址

### 二、文件权限管理

1. #### NTFS权限

   1. 文件系统：数据在磁盘上的排列方式

   2. NTFS特点

      - 高读写
      - 磁盘空间利用率高
      - 安全性高（支加密、NTFS权限的配置）
      - AD需要NTFS支持

   3. 如何取NTFS文件系统的分区：

      > - 格式化磁盘分区时可以选择文件系统的类型
      >
      > 右击此电脑-管理 → 工具 → 计算机管理 → 磁盘管理 → 右击未分配 → 新建简单卷 → 下一步 → 
      >
      > 输入102400MB → 下一步 → 选择盘符 → 下一步 → 文件系统默认选择NTFS → 下一步 → 完成

2. #### NTFS权限配置

   1. 文件夹的NTFS权限

      - 完全控制：修改文件，给其他用户分配权限
      - 修改：读、写、删、打开程序
      - 读取和执行：读、打开程序
      - 列出文件夹内容：读取文件夹内容
      - 读：读取内容
      - 写入：写入内容
      - 特殊权限

   2. 文件的NTFS权限

      > 文件的NTFS权限与文件夹的NTFS权限对比少了一个列出文件夹内容的权限

   3. 配置文件的NTFS权限

      - Administrator用户创建文件夹E:\NTD，在NTD的文件夹中创建01.txt，在01.txt的文件中输入“11111”

        → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，不能更改文件内容

      - Administrator注销登录-右击01.txt-属性-安全-编辑-添加普通用户-勾选写入

        → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，能更改文件内容

3. #### NTFS权限的配置规则

   1. 权限的累加性

      - Administrator用户在NTD的文件夹中创建02.txt，在02.txt的文件中输入“22222”右击02.txt

        属性 → 安全 → 编辑 → 添加普通用户 → 勾选读取权限 → 添加用户所属组 → 仅勾选写入权限

        普通用户登录双击02.txt可以打开此文件，可以更改文件内容。

      > 用户与用户所属组权限不冲突，权限累加，eg：
      >
      > > 用户 → 读
      > >
      > > 用户所属组 → 写
      > >
      > > 用户权限 → 读+写
      > >
      > > 用户所属组1 → 读
      > >
      > > 用户所属组2 → 写
      > >
      > > 用户权限 → 读+写

   2. 权限的拒绝（拒绝大于一切、拒绝优先）

      - Administrator用户在NTD的文件夹中创建03.txt，在03.txt的文件中输入“33333”，右击03.txt

        1. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选允许读取权限 → 添加用户所属组 → 勾选拒绝读取权限

           普通用户登录双击03.txt拒绝访问

        2. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选拒绝读取权限 → 添加用户所属组 → 勾选允许读取权限

           普通用户登录双击03.txt拒绝访问

      | 组1                               | 组2                               | 组3                                                          |
      | --------------------------------- | --------------------------------- | ------------------------------------------------------------ |
      | 用户 → 读<br/>用户所属组 → 拒绝读 | 用户 → 拒绝读<br/>用户所属组 → 读 | 用户所属组1 → 读<br/>用户所属组2 → 读<br/>……<br/>用户所属组99 → 读<br/>用户所属组100 → 拒绝读 |
      | 用户权限 → 拒绝读                 | 用户权限 → 拒绝读                 | 用户权限 → 拒绝读                                            |

   3. 权限继承

      1. 继承

         - 默认下级继承上级目录的权限

         > Administrator用户创建文件夹tedu → 右击tedu的文件夹 → 属性 → 安全 → 编辑 → 添加普通用户完全控制权限
         >
         > 在tedu的目录中创建01.txt，右击01.txt → 属性 → 安全 → 查看是否有普通用户的完全控制权限

      2. 取消继承 

         > 右击01.txt → 属性 → 安全 → 高级 → 禁用继承 → 在弹出的提示中选择第一个-确定
         >
         > → 编辑 → 选择普通用户 → 取消完全控制的勾选仅留读权限 → 确定

      3. 强制继承

         - 右击tedu的目录 → 属性 → 安全-高级 → 勾选禁用继承下的复选框 → 是 → 确定

         ![image-20240809093850667](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240809093850667.png)

         > 下级取消继承后上级目录可以强制继承，上级目录强制继承后下级目录还可以再次取消继承

### 三、安全基线

- 为了满足安全规范要求，服务器必须要达到的最低安全标准
- 参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》
- 操作系统安全基线

1. 作用
   - 设置口令复杂策略，防止暴力破解密码
   - 控制用户的文件权限，减少被攻击后的影响
   - 最小化安装操作系统，防止不必要的服务带来的安全问题
2. 安全配置
   - 用户管理
   - 密码策略
   - 共享管理
   - 文件权限管理
   - 用户权限管理
   - 日志审核管理
   - 远程管理

### 四、本地安全策略

1. 本地安全策略：为保护计算机资源而配置的规则

2. 打开本地安全策略

   - 开始菜单 → windows管理工具 → 本地安全策略
   - 控制面板 → 管理工具 → 本地安全策略
   - 运行 → secpol.msc

3. 本地安全策略主要包含

   1. 帐户策略
      - 密码策略
      - 帐户锁定策略
   2. 本地策略
      - 审核策略
      - 用户权限分配
      - 安全选项

4. 密码策略

   - 密码必须符合复杂性要求：复杂密码满足条件，英文小写、大写、数字、特殊符号，四个条件取其三。
   - 密码长度最小值：取值范围0-20，0表示长度无限
   - 密码最长使用期限：默认42天，取值范围0-999，0表示永不过期
   - 密码最短使用期限：取值范围0-998，默认0表示无限制，随时可更改密码
   - 强制密码历史：默认0表示历史曾经用过的密码可以随便使用，取值范围0-24

   > **https://www.security.org/how-secure-is-my-password/**

5. 帐户锁定策略

   1. 帐户锁定阈值：配置用户输入错误密码的次数，取值范围0-999，默认0表示不锁定帐户
   2. 帐户锁定时间：帐户锁定多长时间自动解锁，单位分钟，取值范围0-99999，0表示管理员手动解锁
   3. 重置帐户锁定计数器：清除所输入的错误密码的次数（用户输入错误密码开始计时，当该时间超时，计数器重置为0）

6. 审核策略

   1. 启用审核策略=安监控

   2. 事件查看器=监控服务器存数据

      > 清除日志：控制面板 → 管理工具 → 事件查看器 → windows日志 → 右击安全 → 清除日志

   3. 启用审核帐户管理

      > 本地安策略 → 本地策略 → 审核策略 → 双击审核帐户管理 → 勾选成功与失败

   4. Administrator修改普通用户名

      > 控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标的事件内容

7. 用户权限分配

   1. 更改系统时间

      > 普通用户注销登录更改系统时间提示输入administrator密码
      >
      > 本地安全策略 → 本地策略 → 用户权限分配 → 双击更改系统时间添加普通用户

   2. 关闭系统

      > 本地安全策略 → 本地策略 → 用户权限分配 → 双击关闭系统 → 添加普用户

   3. 允许本地登录

      > - 验证：
      >
      > 允许本地登录删除users
      >
      > 本地安全策略 → 本地策略 → 用户权限分配
      >
      > 双击允许本地登录-删除users
      >
      > 注销验证普通用户本地登录
      >
      > 验证允许普通用户本地登录
      >
      > 拒绝本地登录
      >
      > 拒绝从网络访问这台计算机

   4. 安全选项

      - 交互式登录：试图登录的用户消息标题
      - 交互式登录：试图登录的用户消息文本
      - 交互式登录：无须按ctrl+alt+delete
      - 交互式登录：不显示上次登录
      - 交互式登录：提示用户过期之前更改密码（默认5天）
      - 帐户：使用空密码的本地帐户仅允许控制台登录
      - 关机：允许系统在未登录的情况下关闭

### 五、Windows帐户加固

1. Windows帐户的加固方法

   - 定期检查可疑帐户，尤其是administrators成员
   - Administrator改名，设置复杂密码
   - Administrator禁用，新建用户加入管理员组
   - 不显示上次登录（本地安全策略 → 本地策略 → 安全选项）

2. 查看windows用户

   1. 命令行查看用户net user

   2. 注册表查看用户

      - 运行- regedit（打开注册表）

        > HKEY_LOCAL_MACHINE\SAM\SAM右击SAM-权限-添加administrator完全控制权限，F5刷新。
        >
        > HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看用户名

### 六、配置共享文件夹

1. 基础信息

   1. 作用：实现文件通过网络访问
   2. 优点：方便、快捷；不易受文件大小限制；共享访问权限控制

2. 准备共享环境

   ![图片1](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/%E5%9B%BE%E7%89%871.jpg)

   1. 配置win2019服务器IP地址：192.168.1.20/24

   2. 配置win10客户端主机IP地址：192.168.1.10/24

   3. Win10主机ping 192.168.1.20

   4. Win2019服务器创建普通用户并配置密码，用户属性勾选用户不能更改密码

   5. 创建新磁盘分区

      > Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成

3. 创建共享文件夹

   > E盘创建“E:\笔记”，在“笔记”的目录中创建DAY01.txt，DAY02.txt
   >
   > 右击“笔记” → 属性 → 共享 → 共享 → 用户选择everyone → 添加 → 共享 → 完成
   >
   > >  everyone默认共享权限为读取

4. 客户端访问共享

   >  Win10主机 → 运行 → `\\192.168.1.20` → 根据提示输入用户名及密码 → 确定

   - UNC路径访问共享的格式：
     - `\\服务器的IP地址`
     - `\\服务器名计算机名`
     - `\\服务器的IP地址\共享名`
     - `\\服务器名计算机名\共享名`

5. 通过映射网络驱动器访问共享

   - Win10客户端主机 → 运行 → cmd

     > `net use h:  \\192.168.1.20\笔记`

   - 常见错误：

     - `C:\Users\amw>net use h:\\192.168.1.20\笔记`

       报错：发生系统错误 67。找不到网络名。

       错误原因：无空格

     - `C:\Users\amw>net use h: \\192.168.1.20\`

       报错：发生系统错误 67。找不到网络名。

       错误原因：无共享名

     - `C:\Users\amw>net use d: \\192.168.1.20\笔记`

       报错：发生系统错误 85。本地设备名已在使用中。

       错误原因：和本地已有盘符冲突

     - 其他错误双斜杠方向错误、命令错误net use 不是net user

6. 创建隐藏共享

   > 右击将要共享的文件夹 → 属性 → 共享 → 高级共享 → 勾选共享此文件夹 → 输入共享名$ → 确定
   >
   > 客户端访问隐藏共享： `运行-\\服务器IP\共享名$`

7. 配置共享名

   > Win2019服务器创建“新建文件夹”并配置为共享，共享名为“mp5”

8. 共享管理

   计算机管理 → 共享文件夹：

   - 共享：快速查看本机所有共享（查看、创建、删除）

   - 会话：查看访问共享的用户（查看、关闭）

   - 打开的文件：查看访问的共享文件（查看、关闭）

   - 管理型共享：系统默认自动创建的共享

     > 例如:admin$、盘符$、IPC$（只有administrator才能访问）

### 七、FTP服务

1. 什么是FTP

   > FTP (file transfer protocol )文件传输协议

2. FTP的作用

   > 在网络上进行文件传输的协议，可实现文件的上传与下载

3. FTP协议的端口

   > FTP协议默认端口21

4. FTP服务组件

   > IIS（互联网信息服务）包含FTP服务的组件

5. 部署FTP服务

   ![图片1](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/%E5%9B%BE%E7%89%871.jpg)

   1. Win2019安装FTP组件

      > 右击此电脑 → 管理 → 管理添加角色和功能 → 三个下一步 → 勾选 Web服务器（IIS） → 添加功能 → 三个下一步到角色服务
      >
      >  → 下拉滚动条勾选FTP服务器 → 下一步 → 安装

   2. 准备FTP站点根目录

      > Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成
      >
      > E盘创建“E:\ftp”，在“ftp”的目录中创建DAY01.txt，DAY02.txt

   3. 添加FTP站点

      > 右击此电脑 → 管理 → 工具 → IIS管理器
      >
      >  → 右击网站 → 添加FTP站点 → 站点名输入ftp → 物理路径选择`E:\ftp` → 下一步 → 选择无SSL
      >
      >  → 下一步 → 身份验证选择匿名 → 允许访问选择匿名用户 → 权限勾选读取 → 完成

   4. 客户端访问FTP服务

      > Win10客户端主机打开资源管理器 → 资源管理器地址栏输入ftp://192.168.1.20

   5. 部署基本身份验证访问FTP服务

      1. 创建系统用户

      2. 添加FTP站点

         > 右击此电脑 → 管理 → 工具 → IIS管理器 → 右击ftp → 删除

         > 右击网站 → 添加FTP站点 → 站点名输入ftp → 物理路径选择`E:\ftp` → 下一步 → 选择无SSL
         >
         >  → 下一步 → 身份验证选择基本 → 允许访问选择所有用户 → 权限勾选读取、写入 → 完成

   6. 配置通过客户端程序访问FTP服务

      > Xshell、FileZilla、PuTTY、SecureCRT、MobaXterm

### 八、域服务

1. 什么是域

   > 将来自于网络中的多台计算机，以逻辑的方式组织到一起，实现了集中管理的环境，这种环境称为域

2. 域控制器（DC）

   > 每个域至少有一台域控制器

3. 活动目录（简称AD）

   > 集中管理、便捷的网络资源访问、扩展性

4. 升级域控的条件

   - 具有本地administrator管理员权限
   - 具有足够的磁盘空间
   - TCP/IP的配置（IP地址、子网掩码）
   - 需DNS服务器支持
   - 本地磁盘至少有一个NTFS文件系统的分区
   - 操作系统版本必须为Windows Server版

5. 实现域环境

   ![image-20240812185806924](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240812185806924.png)

   1. 配置Win2019网络地址

      - IP：192.168.1.20/24
      - 首选DNS:127.0.0.1

   2. 安装AD活动目录

      > 管理 → 添加角色和功能 → 三个下一步 → Active Directory域服务 → 添加功能 → 三个下一步 → 安装

   3. 将此服务器提升为域控制器

      > 左侧点击AD DS → 右上角点击更多 → 将此服务器提升为域控制器

   4. ActiveDirectory域服务配置向导

      > 添加新林 → 根域名输入ntd.com → 下一步 → 输入目录服务还原模式的密码 → 一路下一步 → 安装

   5. 检查系统环境

      > 重启 → 登录系统 → 右击此电脑 → 属性 → 查看为域环境 → 关机创建快照

   6. win10客户机加入域

      ![image-20240812190108542](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240812190108542.png)

      > Win10主机ping  192.168.1.20
      >
      > Win10主机nslookup ntd.com 
      >
      > Win10主机右击桌面此电脑 → 属性 → 高级系统设置 → 计算机名 → 更改 → 域 → 输入域名ntd.com → 
      >
      > → 确定 → 输入win2019服务上的用户名administrator及密码 → 确定 → 确定 → 重启

6. 域用户管理

   > 域是集中管理的方式：（集权）用户、计算机
   >
   > 默认普通域用户可以登录域中所有除DC之外的电脑

   1. 打开活动目录

      > 工具 → Active Directory用户和计算机
      >
      > 运行 → dsa.msc

   2. 创建域用户

      > ntd.com → users → 右侧空白处右击 → 新建用户
      >
      > 验证新建的域用户在win10客户端主机登录

   3. 配置域用户属性

      - 登录时间:右击用户名 → 属性 → 帐户 → 登录时间
      - 登录到:右击域用户名 → 属性 → 帐户 → 登录到（配置域用户允许登录的主机）
      - 配置域用户1登录到的计算机名为PC1
      - 配置域用户2登录到的计算机名为PC2
      - 验证结果域用户1在PC1可成功登录，域用户2在PC1不允许登录
      - 帐户过期：右击域用户名 → 属性 → 帐户 → 帐户过期

   4. 组织单位（OU）

      1. 容器：有效组织活动目录中的对象

      2. OU的设计方式

         1. 基于部门的OU

            > 基于地理位置的OU
            >
            > 基于对象的OU
            >
            > 基于混合的OU

         2. 验证创建与删除OU

            > 先创建OU
            >
            > 然后删除OU查看提示
            >
            > 查看 → 高级功能
            >
            > 右击将要删除的OU → 属性 → 对象 → 取消防止意外删除的勾选
            >
            > 右击将要删除的OU → 删除

   5. 域环境组策略的配置

      1. 组策略（一组策略的集和）

         > 可以统一修改系统、设置程序
         >
         > 调整桌面环境、安全设置、自动执行脚本、软件分发

         - 验证1：禁止域用户更改桌面背景

           > 工具 → 组策略管理
           >
           > ![image-20240812190818168](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240812190818168.png)
           >
           > 右击Default DomainPolicy → 编辑 → 用户配置 → 策略 → 管理模板 → 控制面板 → 个性化 → 双击阻止更改桌面背景 → 启用
           >
           > 域用户在win10客户端主机登录，验证能否更改桌面背景

### 九、练习

1. 配置FTP服务

   > 配置IP：192.168.1.20、安装IIS并勾选FTP服务
   >
   > 运行 → diskmgmt.msc打开磁盘管理 → 创建新分区、在分区中创建：e:\ftp\DAY01.txt、e:\ftp\DAY02.txt
   >
   > 安装IIS-FTP服务
   >
   > 打开IIS管理 → 创建匿名访问ftp、配置仅读取
   >
   > 关闭win2019防火墙、配置win10主机IP：192.168.1.10、Ping 1921.68.1.20
   >
   > Win10主机ftp://192.168.1.20验证文件下载与上传
   >
   > 修改身份验证为基本：
   >
   > 双击FTP身份验证 → 禁用匿名身份验证 → 启用基本身份验证
   >
   > 双击FTP授权规则 → 双击允许所有用户-勾选读、写
   >
   > 创建普通用户
   >
   > Win10主机ftp://192.168.1.20验证文件下载与上传

2. 配置远程桌面连接

   > WIN2019右击此电脑 → 属性 → 高级系统设置 → 远程 → 允许远程
   > WIN10开始菜单 → windows附件 → 远程桌面连接 → 输入远程服务器IP地址 → 输入administrator用户名及密码
   > 运行 → mstsc(发起远程桌面连接)
   > 实现普通用户远程桌面登录
   > Windows远程桌面协议 RDP，端口3389

### 十、更新策略组

在Windows Server中，要更新策略组，可以使用`gpupdate`命令。以下是`gpupdate`命令的一些主要参数和用法：

1. **基本用法**：
   - 使用`gpupdate`命令可以更新计算机和用户的组策略设置。
2. **参数**：
   - `/target:computer`：仅更新计算机策略设置。
   - `/target:user`：仅更新用户策略设置。
   - `/force`：重新应用所有策略设置，无论这些设置是否已更改。
   - `/wait:<VALUE>`：设置在返回到命令提示符之前等待策略处理完成的秒数。例如，`/wait:0`表示不等待，`/wait:-1`表示无限期等待。
   - `/logoff`：在更新组策略设置后注销。
   - `/boot`：在应用组策略设置后重启计算机。
   - `/sync`：导致下一个前台策略应用程序同步完成。
3. **示例**：
   - 若要强制对所有组策略设置进行后台更新（无论这些设置是否已更改），可以使用命令`gpupdate /force`。
4. **注意事项**：
   - 默认情况下，组策略可以继承和累积，并影响Active Directory容器及其子容器中的所有计算机和用户。
   - 计算机启动时将应用计算机设置的组策略，而在用户登录时应用用户策略。
   - 系统会定期在后台刷新组策略，默认每90分钟发生一次。