Cyber_Security_Notes/A. 第一阶段/05_Windows系统管理.md

WinServer系统管理

一、本地用户与组管理

本地用户：用户本地创建、本地存储、本地登录且只能登录本地一台计算机。

1. 认识用户帐户：

   1. Windows帐户有帐户名、有密码、用户安全标识（SID）

      • SID安全标识符（身份证号），每个用户的SID唯一

      whoami /user查看用户SID

      whoami /user查看用户SID

   2. 打开本地用户和组

      • 运行 → lusrmgr.msc
      • 右击此电脑 → 管理 → 工具 → 计算机管理 → 本地用户和组 → 用户

   3. 常见内置用户

      • administrator:管理员，权限最大
      • guest:来宾，权限小，默认禁用

      内置用户可以改名、可以禁用、不可以删除

2. 本地帐户管理

   1. 创建用户

      • 打开本地用户和组-用户

        右击-新用户

        用户名：

        全名：

        描述：

        密码：

      取消勾选下次登录时须更改密码

      右击开始菜单 → 关机或注销 → 注销选择登录

      登录后通过whoami /user查看用户SID

   2. 帐户属性

      • 右击用户帐户名 → 属性
      • 用户下次登录时须更改密码（每个员工创建不同帐户）
      • 用户不能更改密码（用于公用帐户）
      • 用户不能更改密码（用于公用帐户）
      • 密码永不过期（默认42天）
      • 帐户已禁用

   3. 更改用户密码

      • 管理员重设置
      • 用户自己改（用户注销登录按ctrl+alt+del）

      验证勾选用户不能更改密码，普通用户注销登录更改密码验证提示。

   4. 帐户重命名

      适用新老员工的工作交接(右击重命名、选重F2、单击再单击)

   5. 删除用户

      删除用户后，创建同名同密用户也不具有以前用户的权限

3. 本地组管理

   1. 作用：用来对多个用户批量授权

   2. 创建本地组：

      打开本地用户和组 → 组

      右击 → 新建组 → 输入组名 → 确定

   3. 用户加入组

      • 双击本地组添加 → 输入用户名 → 确定 → 确定
      • 右击用户名 → 属性 → 隶属于 → 输入组名 → 确定 → 确定

   4. 常见内置组及权限

      • Administrators:管理员组
      • Guests:来宾组
      • Backup Operators：具有备份和还原的权限
      • Remote Desktop Users：此组内用户可以从远程计算机使用远程桌面来连接
      • Print Operators：具有管理打印机的权限
      • NetworkConfiguration Operators：具有管理网络功能，例如更改IP地址
      • Users:新用户默认组
      • Everyone:任何用户都属此组

   5. 内置组实验验证

      1. 普通用户注销登录，验证更改IP地址，提示输入administrator密码
      2. Administrator注销登录，将普通用户加入Network Configuration Operators组
      3. 普通用户注销登录，再次验证更改IP地址

二、文件权限管理

1. NTFS权限

   1. 文件系统：数据在磁盘上的排列方式

   2. NTFS特点

      • 高读写
      • 磁盘空间利用率高
      • 安全性高（支加密、NTFS权限的配置）
      • AD需要NTFS支持

   3. 如何取NTFS文件系统的分区：

      • 格式化磁盘分区时可以选择文件系统的类型

      右击此电脑-管理 → 工具 → 计算机管理 → 磁盘管理 → 右击未分配 → 新建简单卷 → 下一步 →

      输入102400MB → 下一步 → 选择盘符 → 下一步 → 文件系统默认选择NTFS → 下一步 → 完成

2. NTFS权限配置

   1. 文件夹的NTFS权限

      • 完全控制：修改文件，给其他用户分配权限
      • 修改：读、写、删、打开程序
      • 读取和执行：读、打开程序
      • 列出文件夹内容：读取文件夹内容
      • 读：读取内容
      • 写入：写入内容
      • 特殊权限

   2. 文件的NTFS权限

      文件的NTFS权限与文件夹的NTFS权限对比少了一个列出文件夹内容的权限

   3. 配置文件的NTFS权限

      • Administrator用户创建文件夹E:\NTD，在NTD的文件夹中创建01.txt，在01.txt的文件中输入“11111”

        → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，不能更改文件内容

      • Administrator注销登录-右击01.txt-属性-安全-编辑-添加普通用户-勾选写入

        → 普通用户注销登录双击E:\NTD\01.txt可以打开此文件，能更改文件内容

3. NTFS权限的配置规则

   1. 权限的累加性

      • Administrator用户在NTD的文件夹中创建02.txt，在02.txt的文件中输入“22222”右击02.txt

        属性 → 安全 → 编辑 → 添加普通用户 → 勾选读取权限 → 添加用户所属组 → 仅勾选写入权限

        普通用户登录双击02.txt可以打开此文件，可以更改文件内容。

      用户与用户所属组权限不冲突，权限累加，eg：

      用户 → 读

      用户所属组 → 写

      用户权限 → 读+写

      用户所属组1 → 读

      用户所属组2 → 写

      用户权限 → 读+写

   2. 权限的拒绝（拒绝大于一切、拒绝优先）

      • Administrator用户在NTD的文件夹中创建03.txt，在03.txt的文件中输入“33333”，右击03.txt

        1. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选允许读取权限 → 添加用户所属组 → 勾选拒绝读取权限

           普通用户登录双击03.txt拒绝访问

        2. 属性 → 安全 → 编辑 → 添加普通用户 → 勾选拒绝读取权限 → 添加用户所属组 → 勾选允许读取权限

           普通用户登录双击03.txt拒绝访问

      组1	组2	组3
      用户 → 读 用户所属组 → 拒绝读	用户 → 拒绝读 用户所属组 → 读	用户所属组1 → 读 用户所属组2 → 读 …… 用户所属组99 → 读 用户所属组100 → 拒绝读
      用户权限 → 拒绝读	用户权限 → 拒绝读	用户权限 → 拒绝读

   3. 权限继承

      1. 继承

         • 默认下级继承上级目录的权限

         Administrator用户创建文件夹tedu → 右击tedu的文件夹 → 属性 → 安全 → 编辑 → 添加普通用户完全控制权限

         在tedu的目录中创建01.txt，右击01.txt → 属性 → 安全 → 查看是否有普通用户的完全控制权限

      2. 取消继承

         右击01.txt → 属性 → 安全 → 高级 → 禁用继承 → 在弹出的提示中选择第一个-确定

         → 编辑 → 选择普通用户 → 取消完全控制的勾选仅留读权限 → 确定

      3. 强制继承

         • 右击tedu的目录 → 属性 → 安全-高级 → 勾选禁用继承下的复选框 → 是 → 确定

         

         下级取消继承后上级目录可以强制继承，上级目录强制继承后下级目录还可以再次取消继承

三、安全基线

• 为了满足安全规范要求，服务器必须要达到的最低安全标准
• 参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》
• 操作系统安全基线

1. 作用
   • 设置口令复杂策略，防止暴力破解密码
   • 控制用户的文件权限，减少被攻击后的影响
   • 最小化安装操作系统，防止不必要的服务带来的安全问题
2. 安全配置
   • 用户管理
   • 密码策略
   • 共享管理
   • 文件权限管理
   • 用户权限管理
   • 日志审核管理
   • 远程管理

四、本地安全策略

1. 本地安全策略：为保护计算机资源而配置的规则

2. 打开本地安全策略

   • 开始菜单 → windows管理工具 → 本地安全策略
   • 控制面板 → 管理工具 → 本地安全策略
   • 运行 → secpol.msc

3. 本地安全策略主要包含

   1. 帐户策略
      • 密码策略
      • 帐户锁定策略
   2. 本地策略
      • 审核策略
      • 用户权限分配
      • 安全选项

4. 密码策略

   • 密码必须符合复杂性要求：复杂密码满足条件，英文小写、大写、数字、特殊符号，四个条件取其三。
   • 密码长度最小值：取值范围0-20，0表示长度无限
   • 密码最长使用期限：默认42天，取值范围0-999，0表示永不过期
   • 密码最短使用期限：取值范围0-998，默认0表示无限制，随时可更改密码
   • 强制密码历史：默认0表示历史曾经用过的密码可以随便使用，取值范围0-24

   https://www.security.org/how-secure-is-my-password/

5. 帐户锁定策略

   1. 帐户锁定阈值：配置用户输入错误密码的次数，取值范围0-999，默认0表示不锁定帐户
   2. 帐户锁定时间：帐户锁定多长时间自动解锁，单位分钟，取值范围0-99999，0表示管理员手动解锁
   3. 重置帐户锁定计数器：清除所输入的错误密码的次数（用户输入错误密码开始计时，当该时间超时，计数器重置为0）

6. 审核策略

   1. 启用审核策略=安监控

   2. 事件查看器=监控服务器存数据

      清除日志：控制面板 → 管理工具 → 事件查看器 → windows日志 → 右击安全 → 清除日志

   3. 启用审核帐户管理

      本地安策略 → 本地策略 → 审核策略 → 双击审核帐户管理 → 勾选成功与失败

   4. Administrator修改普通用户名

      控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标的事件内容

7. 用户权限分配

   1. 更改系统时间

      普通用户注销登录更改系统时间提示输入administrator密码

      本地安全策略 → 本地策略 → 用户权限分配 → 双击更改系统时间添加普通用户

   2. 关闭系统

      本地安全策略 → 本地策略 → 用户权限分配 → 双击关闭系统 → 添加普用户

   3. 允许本地登录

      • 验证：

      允许本地登录删除users

      本地安全策略 → 本地策略 → 用户权限分配

      双击允许本地登录-删除users

      注销验证普通用户本地登录

      验证允许普通用户本地登录

      拒绝本地登录

      拒绝从网络访问这台计算机

   4. 安全选项

      • 交互式登录：试图登录的用户消息标题
      • 交互式登录：试图登录的用户消息文本
      • 交互式登录：无须按ctrl+alt+delete
      • 交互式登录：不显示上次登录
      • 交互式登录：提示用户过期之前更改密码（默认5天）
      • 帐户：使用空密码的本地帐户仅允许控制台登录
      • 关机：允许系统在未登录的情况下关闭

五、Windows帐户加固

1. Windows帐户的加固方法

   • 定期检查可疑帐户，尤其是administrators成员
   • Administrator改名，设置复杂密码
   • Administrator禁用，新建用户加入管理员组
   • 不显示上次登录（本地安全策略 → 本地策略 → 安全选项）

2. 查看windows用户

   1. 命令行查看用户net user

   2. 注册表查看用户

      • 运行- regedit（打开注册表）

        HKEY_LOCAL_MACHINE\SAM\SAM右击SAM-权限-添加administrator完全控制权限，F5刷新。

        HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看用户名

六、配置共享文件夹

1. 基础信息

   1. 作用：实现文件通过网络访问
   2. 优点：方便、快捷；不易受文件大小限制；共享访问权限控制

2. 准备共享环境

   

   1. 配置win2019服务器IP地址：192.168.1.20/24

   2. 配置win10客户端主机IP地址：192.168.1.10/24

   3. Win10主机ping 192.168.1.20

   4. Win2019服务器创建普通用户并配置密码，用户属性勾选用户不能更改密码

   5. 创建新磁盘分区

      Win2019服务器 → 运行 → diskmgmt.msc → 打开磁盘管理 → 右击未分配400G → 新建简单卷 → 下一步 → 输入102400MB → 三个下一步 → 完成

3. 创建共享文件夹

   E盘创建“E:\笔记”，在“笔记”的目录中创建DAY01.txt，DAY02.txt

   右击“笔记” → 属性 → 共享 → 共享 → 用户选择everyone → 添加 → 共享 → 完成

   everyone默认共享权限为读取

4. 客户端访问共享

   Win10主机 → 运行 → \\192.168.1.20 → 根据提示输入用户名及密码 → 确定

   • UNC路径访问共享的格式：
     • \\服务器的IP地址
     • \\服务器名计算机名
     • \\服务器的IP地址\共享名
     • \\服务器名计算机名\共享名

5. 通过映射网络驱动器访问共享

   • Win10客户端主机 → 运行 → cmd

     net use h: \\192.168.1.20\笔记

   • 常见错误：

     • C:\Users\amw>net use h:\\192.168.1.20\笔记

       报错：发生系统错误 67。找不到网络名。

       错误原因：无空格

     • C:\Users\amw>net use h: \\192.168.1.20\

       报错：发生系统错误 67。找不到网络名。

       错误原因：无共享名

     • C:\Users\amw>net use d: \\192.168.1.20\笔记

       报错：发生系统错误 85。本地设备名已在使用中。

       错误原因：和本地已有盘符冲突

     • 其他错误双斜杠方向错误、命令错误net use 不是net user

6. 创建隐藏共享

   右击将要共享的文件夹 → 属性 → 共享 → 高级共享 → 勾选共享此文件夹 → 输入共享名$ → 确定

   客户端访问隐藏共享： 运行-\\服务器IP\共享名$

7. 配置共享名

   Win2019服务器创建“新建文件夹”并配置为共享，共享名为“mp5”

8. 共享管理

   计算机管理 → 共享文件夹：

   • 共享：快速查看本机所有共享（查看、创建、删除）

   • 会话：查看访问共享的用户（查看、关闭）

   • 打开的文件：查看访问的共享文件（查看、关闭）

   • 管理型共享：系统默认自动创建的共享

     例如:admin$、盘符$、IPC$（只有administrator才能访问）

八、练习

1. 配置FTP服务

   配置IP：192.168.1.20、安装IIS并勾选FTP服务

   运行 → diskmgmt.msc打开磁盘管理 → 创建新分区、在分区中创建：e:\ftp\DAY01.txt、e:\ftp\DAY02.txt

   安装IIS-FTP服务

   打开IIS管理 → 创建匿名访问ftp、配置仅读取

   关闭win2019防火墙、配置win10主机IP：192.168.1.10、Ping 1921.68.1.20

   Win10主机ftp://192.168.1.20验证文件下载与上传

   修改身份验证为基本：

   双击FTP身份验证 → 禁用匿名身份验证 → 启用基本身份验证

   双击FTP授权规则 → 双击允许所有用户-勾选读、写

   创建普通用户

   Win10主机ftp://192.168.1.20验证文件下载与上传

2. 配置远程桌面连接

   WIN2019右击此电脑 → 属性 → 高级系统设置 → 远程 → 允许远程 WIN10开始菜单 → windows附件 → 远程桌面连接 → 输入远程服务器IP地址 → 输入administrator用户名及密码 运行 → mstsc(发起远程桌面连接) 实现普通用户远程桌面登录 Windows远程桌面协议 RDP，端口3389