windows系统安全管理(必威体育精装版修正版）.ppt

注册表与服务的关联 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一服务项目子项都有一个 Start 数值, 这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。 服务与CMD命令 Net 命令 net config： 功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的 参数： 1. /autodisconnect:time 设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-1到65535分钟，默认值是15分钟。 2. /srvcomment:text 为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。 3. /hidden:{yes | no} 　　指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是 no。 net start/stop servername: net start 查看已经开启的服务 net stop servername 停止服务 服务带来的威胁 建议将以下服务停止，并将启动方式修改为手动： Automatic Updates（不使用自动更新可以关闭） Background Intelligent Transfer Service（不使用自动更新可以关闭） DHCP Client Messenger Remote Registry Print Spooler Server（不使用文件共享可以关闭） Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper 服务与CMD命令 Net 命令 net config： 功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的 参数： 1. /autodisconnect:time 设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-1到65535分钟，默认值是15分钟。 2. /srvcomment:text 为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。 3. /hidden:{yes | no} 　　指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是 no。 net start/stop servername: net start 查看已经开启的服务 net stop servername 停止服务 进程 基本的系统进程 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 端口与进程 进程与CMD 进程管理命令 Tasklist 查看进程列表 Tasktkill 结束进程 Ie浏览器 的进程号（PID）为1636和4892 Tasktkill /f /pid 1636 /pid 4892 结束ie浏览器进程 Windows版本发展 Microsoft Windows 2000 Windows NT 5.0 Microsoft Windows XP Windows NT 5.1 Microsoft Windows Server 2003 Windows NT 5.2 Microsoft Windows Vista Windows NT 6.0 Microsoft Windows Server 2008 Windows NT 6.0 Microsoft Window