Windows系统安全模式的妙用

关键词： 妙用 百度 复杂性 漏洞

Windows系统安全模式的妙用（共8篇）

篇1：Windows系统安全模式的妙用

只要在启动时不停地按F8就能进入安全模式，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式(，选项菜单包括了以下几个：

1.安全模式

只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。

如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。

2.带网络连接的安全模式

在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如MSN等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。

3.带命令行提示符的安全模式

只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows图形界面。

说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键Ctrl+Alt+Del，调出“任务管理器”，单击“新任务”，再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”，可马上启动Windows XP的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。

4.启用启动日志

以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt，它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。

5.启用VGA模式

利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。

6.最后一次正确的配置

使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下，才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。

7.目录服务恢复模式

这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。

8.调试模式

启动时通过串行电缆将调试信息发送到另一台计算机。

如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。

现实应用

1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。

现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动)时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。

还有些问题也可用这种方法来处理，比如Windows XP会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等，也可在安全模式重新安装驱动程序。

2.揪出恶意的自启动程序或服务

如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接，只要在启动时不停地按F8，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个：

1.安全模式

只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。

如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。

2.带网络连接的安全模式

在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如MSN等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。

3.带命令行提示符的安全模式

只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows图形界面。

说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键Ctrl+Alt+Del，调出“任务管理器”，单击“新任务”，再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”，可马上启动Windows XP的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。

4.启用启动日志

以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt，它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。

5.启用VGA模式

利用基本VGA驱动程序启动，

当安装了使Windows不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。

6.最后一次正确的配置

使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下，才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。

7.目录服务恢复模式

这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。

8.调试模式

启动时通过串行电缆将调试信息发送到另一台计算机。

如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。

现实应用

1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。

现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动)时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。

还有些问题也可用这种方法来处理，比如Windows XP会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等，也可在安全模式重新安装驱动程序。

2.揪出恶意的自启动程序或服务

如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接要进入安全模式，只要在启动时不停地按F8，就会出现选项菜单，再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个：

1.安全模式

只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。

如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。

2.带网络连接的安全模式

在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行，如MSN等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。

3.带命令行提示符的安全模式

只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows图形界面。

说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。可按下组合键Ctrl+Alt+Del，调出“任务管理器”，单击“新任务”，再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”，可马上启动Windows XP的图形界面，与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。

4.启用启动日志

以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt，它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。

5.启用VGA模式

利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时，这种模式十分有用。事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。因此，在这些模式下，屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。

6.最后一次正确的配置

使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下，才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。

7.目录服务恢复模式

这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。

8.调试模式

启动时通过串行电缆将调试信息发送到另一台计算机。

如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。

现实应用

1.笔者过去用的是一款旧显示器，又是初学者，初学者最爱干的是什么，换点墙纸，设一下分辨率也觉得很有成就感，没想到误将分辨率和刷新率调得太高，下次启动时屏幕花屏，害得的重新安装了操作系统才算了事。

现在想起来那时也真的傻瓜可爱，只要将其重启到安全模式(前四种模式都行)下，删除显卡驱动程序，再重启电脑即可，重启(正常启动)时，系统会自动扫描显卡并安装驱动程序，屏幕即可恢复正常显示。

还有些问题也可用这种方法来处理，比如Windows XP会自动识别硬件并安装驱动程序，但有时总是老眼昏花，而且在设备管理器下不会显示出错信息。但就是工作不正常，如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等，也可在安全模式重新安装驱动程序。

2.揪出恶意的自启动程序或服务

如果电脑出现一些莫明其妙的错误，比如上不了网，按常规思路又查不出问题，可启动到带网络连接的安全模式下看看，如果在这里能上，则说明是某些自启动程序或服务影响了网络的正常连接

篇2：Windows系统安全模式的妙用

Windows 98启动盘具有多种用途，如果对Windows 98的启动盘稍加修改，就能满足在某些特殊情况下的特殊需要。以下是笔者摸索出的两点经验。

1.用Windows 98启动盘启动进入Windows 98

大多数用过Windows 98启动盘的朋友可能和作者有同感：虽然它名曰启动盘，但实际上无法用Windows 98启动盘启动进入Windows 98。解决这一问题的方法是：将C:盘根目录下的msdos.sys文件拷贝到Windows 98启动盘，覆盖掉其根目录下的同名文件即可。注意如果在Windows 98下没有显示msdos.sys和io.sys，就需要将文件夹属性中的“显示所有文件”选项选中。启动盘之所以不能启动到Windows 98，原因是启动盘中的msdos.sys文件是空的。实际上任一含有io.sys和上述msdos.sys文件的软盘均可启动到Windows 98。

2.制作一张带有光驱驱动及常用DOS6.22命令的DOS6.22启动盘

方法是在DOS6.22系统下用sys a：命令传递DOS6.22系统文件即做成一张带有光驱驱动的DOS6.22启动盘，

用该盘启动系统，可以看到原来的Windows 98启动菜单变成了DOS6.22的启动菜单。但此时启动盘在内存中建立的虚拟盘(ramdrive)中的DOS命令以及启动盘本身带有的几个DOS命令仍属DOS7.1版本，在DOS6.22系统下无法执行。此时，可进一步修改启动盘的有关文件，使DOS7.1版本的命令变为DOS6.22版本的命令。在Windows 98启动盘中，ebd.cab文件即是含有DOS命令的压缩文件，因此，将需要用到的DOS6.22命令文件以cab格式压缩成ebd.cab文件替换原有的ebd.cab文件，即可做成带有光驱启动及常用DOS6.22命令的DOS6.22启动盘。另外，也可将DOS6.22命令文件以arj格式压缩成ebd.arj文件。拷贝arj.exe和ebd.arj文件到启动盘，并同时删除ebd.cab和extract.exe文件。最后，修改启动盘的autoexec.bat文件，将该文件中的extract.exe替换为arj.exe，ebd.cab替换为ebd.arj，将“%ramd%:extract /y /e /l %ramd%:ebd.cab >nul”语句替换为“%ramd%:arj e ebd.arj %ramd%: >nul”即可。

篇3：Windows系统安全模式的妙用

一、用户安全设置

禁用Guest账号;限制不必要的用户;创建2个管理员账号:一个一般权限用户用来收信以及处理一些日常事务, 另一个拥有Administrator权限的用户只在需要的时候使用;把系统Administrator账号改名。

创建一个陷阱用户:创建一个名为“Administrator”的本地用户, 把它的权限设置成最低, 什么事也干不了的那种, 并且加上一个超过10位的超级复杂密码。这样可以让那些非法用户忙上一段时间, 借此发现它们的入侵企图。把共享文件的权限从Everyone组改成授权用户;开启用户策略。

不让系统显示上次登录的用户名:默认情况下, 登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名, 进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项HKLMSoflwarek Microsoft WindowsCurrent VersionWinlogonk Dont-Display Last User Name, 把REG_SZ的键值改成l。

二、密码安全设置

使用安全密码, 设置屏幕保护密码;开启密码策略:注意应用密码策略, 如启用密码复杂性要求, 设置密码长度最小值为12位, 设置强制密码历史为5次, 时间为42天;可考虑使用智能卡来代替密码。

三、特别强调的问题

(一) 及时关注漏洞信息的发布, 并确保系统已经打上了最新的补丁;

禁止无关端口与TCP/IP筛选;禁止无关端口:利用防火墙中的设置, 将与使用无关的端口关闭;端口筛选:在Windows 2000中, 网上邻居→属性-与Internet连接的本地连接-属性-TCP/IP属性-高级-TCP/IP筛选-设置需要筛选的TCP及UDP端口;系统的“本地安全策略”这个工具是在, 单击“开始-控制面板-管理工具-本地安全策略”后, 会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略, 并可选择查看方式, 导出列表及导入策略等操作。

(二) 安全日志的设置。

安全日志是记录一个系统的重要手段, 通过日志可以查看系统一些运行状态, 而Windows 2000的默认安装是不开任何安全审核的, 因此需要在本地安全策略-审核策略中打开相应的审核。单击“开始-控制面板-管理工具-本地安全策略-左边的本地策略-审核策略”, 看到右栏有“审核策略更改”等9个项目, 双击每个项目, 然后在“成功、失败”的选框上进行选择。

(三) 账号安全设置。

Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表, 容易造成一些密码泄漏而对电脑进行攻击, 所以必须采用以下进行安全设置。单击“开始-控制面板-管理工具-本地安全策略-本地策略-账户策略”, 看到右栏有“密码策略、账户锁定策略”2个项目。

在“密码策略”中设置:启用“密码必须符合复杂性要求”, “密码长度最小值”为6个字符, “强制密码历史”为5次, “密码最长存留期”为30天。在“账户锁定策略”中设置:“复位账户锁定计数器”为30分钟之后, “账户锁定时间”为30分钟, “账户锁定值”为30分钟。

篇4：Windows系统安全模式的妙用

一、尝试到安全模式下检测不兼容的硬件

XP由于采用了数字签名式的驱动程序模式，对各种硬件的检测也比以往严格，所以一些设备可能在正常状态下不能驱动使用。例如一些早期的CABLE MODEM，如果你发现在正常模式下XP不能识别硬件，可以在启动的时候按F8，然后选进入安全模式，在安全模式里检测新硬件，就有可能正确地为CABLE MODEM加载驱动了。

二、卸载不正确的驱动程序

一般的驱动程序，如果不适用你的硬件，可以通过XP的驱动还原来卸载。但是显卡和硬盘IDE驱动，如果装错了，有可能一进入GUI界面就死机;一些主板的ULTRA DMA补丁也是如此，因为Windows是要随时读取内存与磁盘页面文件调整计算机状态的，所以硬盘驱动一有问题马上系统就崩溃，

此时怎么办呢?

我们可以进入XP的安全模式，安全模式中，Windows 使用默认设置(VGA 监视器、Microsoft 鼠标驱动程序、无网络连接、启动 Windows 所需的最少设备驱动程序)，而且安全模式用最少的服务启动，这样错误的IDE和显卡驱动就不加载，你就可以删除引起问题的软件或硬件了，并用驱动还原来恢复系统了。在Windows9X里就没那么方便，所以XP虽然对硬件要求高了点，还是值得一用的。

三、以安全模式修复致使连接状态中断的问题

某些情况下，禁用管理员帐户可能造成维护上的困难。例如，在域环境中，当用于建立连接的安全信道由于某种原因失败时，如果没有其他的本地管理员帐户，则必须以安全模式重新启动计算机来修复致使连接状态中断的问题。

如果试图重新启用已禁用的管理员帐户，但当前的管理员密码不符合密码要求，则无法重新启用该帐户。这种情况下，该管理员组的可选成员必须通过“本地用户和组”用户界面来设置该管理员帐户的密码。

篇5：Windows系统安全模式的妙用

什么是安全模式

我们都知道，对于现在的Windows 2000/XP/2003操作系统，系统本身的稳定性已经不是问题，而大量的驱动和应用程序才是危害系统稳定性和可靠性的罪魁祸首。可能系统本来工作非常正常，但是某天升级了一个有Bug的显卡驱动，或者安装了一个新版本的杀毒软件之后系统就无法正常启动了。为了解决这类会影响到Windows正常运行，但又并非Windows自身问题的故障，微软为我们准备了安全模式。

通过“安全模式”的方式登录到系统中，看到的桌面与通常看到的很不一样，就像在Windows 98系统中刚安装好系统而没有安装任何驱动程序时的模式，事实就是这样，当Windows在安全模式下运行的时候，系统将只载入能够启动系统的最基本的服务和驱动程序，这样操作系统将会使用最少的驱动和服务运行，并使用通用的显卡驱动程序，工作在640× 480的分辨率下，同时仅能支持键盘、鼠标、显示器、本地硬盘，并开启默认的系统服务。在安全模式下，Windows并不载入音频设备和其他非必要外设的驱动，而且Windows还会忽略所有随系统启动自动运行的程序。

提示： Windows XP/2003中的通用显卡驱动程序将可以在安全模式下显示24位色深和640 x 480的分辨率，然而这些设置是无法修改的。

怎样进入安全模式

启动过程中按下F8键是最传统也是最常用的方法：当我们打开电脑电源，硬件完成自检之后，立刻按下键盘上的F8键。这里列出了很多高级启动选项。在此安全模式又分为几种，一般情况下我们选择进入普通的安全模式即可。除了这种最常用的方法外，在计算机启动时按住Ctrl键不放，也可以以“安全模式”启动系统。

另外，当你在Windows的正常模式下时，单击“开始/运行”，输入“msconfig”，然后在打开的窗口中选择“一般”选项卡，再勾选“论断启动-仅加载基本设备驱动程序和服务”项，最后单击“应用/确定”并重新启动，系统即会自动进入“安全模式”。

利用安全模式解决实际问题

现在你也许大概知道了安全模式的意义，但究竟如何使用它呢?下面就让我们用实例来告诉你!

1、修复系统故障

有的时候，Windows运行起来不太稳定或者无法正常启动，这时就可以尝试使用“安全模式”来解决问题，

试着重新启动计算机并切换到“安全模式”启动，成功以“安全模式”启动系统后，再重新按正常模式启动计算机，这样，系统会在“安全模式”下自动修复可能出错的注册表和某些系统文件，一些不太严重的系统错误就会被修复。

2、解决驱动或软件导致的崩溃

这个问题可能很多人都会遇到，这种情况下，唯一的解决办法就是卸载新驱动，恢复老版本的驱动，可问题是Windows都无法启动了，怎样卸载和恢复呢?如果你安装的驱动是用于一些非重要设备(例如网卡、显卡、声卡等)的，那么可以试试看进入安全模式进行恢复。

前面已经说过，在安全模式下，系统将只加载最基本的驱动程序，因此只要系统还能进入安全模式，我们就可以直接卸载驱动，或者Windows XP/2003用户可以利用“返回驱动程序”功能返回上一次的正确驱动。

3、纠正显示分辨率

如果我们在显示属性中设置了显示器无法接受的分辨率，例如给17寸的CRT显示器设置了1600×1200的分辨率，因为无法正查显示，我们也就无法将分辨率改为正常的设置。确实Windows有一种保护机制，当你设置了过高而显示器无法显示的分辨率的时候，只要等待30秒就会自动恢复到之前的分辨率，不过有时候因为各种原因，该功能可能会无法生效。

这时候就可以利用安全模式，因为在安全模式下，系统都将显示640×480分辨率的桌面。因此我们大可以放心将系统启动到安全模式下，在显示属性中设置正确的分辨率，并重启动系统到正常模式下。

4、磁盘碎片整理

系统用久了，在硬盘中便会出现很多碎片，碎片多了会影响系统的性能，也会浪费宝贵的硬盘资源。因此，建议大家定时给硬盘进行碎片整理，而在碎片整理的过程中，最好不要运行其它程序的，而一般在正常启动Windows时，系统会加载一些自动启动的程序，而这些程序又不易关闭，常常会对碎片整理程序造成干扰。这种情况下，我们就应该重新启动计算机，进入安全模式，安全模式是不会启动任何自动启动程序的，可以保证磁盘碎片整理的顺利进行。

篇6：Windows操作系统安全研究

1 以前远程攻击Windows系统的途径包括

1)对用户帐户密码的猜测:Windows系统主要的把关者多半都是密码,通过字典密码猜测和认证欺骗的方法都可以实现对系统的攻击。

2)系统的网络服务:现代工具使得存在漏洞的网络服务被攻击相当容易,点击之间即可实现。

3)软件客户端漏洞:诸如Internet Explorer浏览器,MSN,Office和其他客户端软件都受到攻击者的密切监视,发现其中的漏洞,并伺机直接访问用户数据。

4)设备驱动:攻击者持续不断的在分析操作系统上像无线网络接口,usb和cd-rom等设备提交的所有原始数据中,发现新的攻击点。

比如说很早以前,如果系统开放了smb服务,入侵系统最有效是古老的方法是远程共享加载:试着连接一个发现的共享卷(比如c$共享卷或者ipc$),尝试各种用户名/密码组合,直到找出一个能进入目标系统的组合为止。其中很容易用脚本语言实现对密码的猜测,比如说,在Windows的命令窗口里用net use语法和for命令编写一个简单的循环就可以进行自动化密码猜测。

5)针对密码猜测活动的防范措施:使用网络防火墙来限制对可能存在漏洞的服务(例如在tcp 139和445号端口上的smb服务,tcp1355上的msrpc服务,tcp3389上的ts服务)的访问。

使用Windows的主机防火墙(win xp和更高版本)来限制对有关服务的访问。

禁用不必要的服务(尤其注意tcp139和445号端口的smb服务)。

制定和实施强口令字策略。

设置一个账户锁定值,并确保该值夜应用于内建的Administrator帐户。

记录账户登录失败事件,并定期查看event logs日志文件。

2 取得合法身份后的攻击手段

1)权限提升:在Windows系统上获得用户帐户,之后就要获得Administrator或System帐户。Windows系统最伟大的黑客技术之一就是所谓的Getadmin系列,它是一个针对Windows nt4的重要权限提升攻击工具,尽管相关漏洞的补丁已经发布,该攻击所采用的基本技术”dll注入”仍然具有生命力.因为Getadmin必须在目标系统本地以交换方式运行,因此其强大功能受到了局限.

2)对于权限提升的防范措施:首先要及时更新补丁,并且对于存储私人信息的计算机的交互登录权限作出非常严格限制,因为一旦获得了这个重要的立足点之后,这些权限提升攻击手段就非常容易实现了,在Windows2000和更高版本上检查交互登录权限的方法是:运行“local/group security policy(本地策略组安全策略)”工具,找到“local policiesuser rights assignment(本地策略用户权限)”结点,然后检查log on locally(本地登录)权限的授予情况。

3)获取并破解密码:获得相当于Administrator的地位之后,攻击者需要安装一些攻击工具才能更近一步的控制用户计算机,所以攻击者攻击系统之后的活动之一就是收集更多的用户名和密码。针对Windows xp sp2及以后的版本,攻击者侵入后用户计算机后首先做的一件事就是关掉防火墙,因为默认配置的系统防火墙能够阻挡很多依赖于Windows网络辅助的工具制造的入侵。

4)对于密码破解攻击的防范措施:最简单的方法就是选择高强度密码,现在多数Windows系统都默认使用的安全规则“密码必须满足复杂性要求”,创建和更改用户的密码的时候要满足以下要求(以Windows Server 2008为例):

(1)不能包含用户名和用户名字中两个以上的连贯字符;

(2)密码长度至少要6位;

(3)必须包含以下四组符号中的三组:

大写字母(A到Z)

小写字母(a到z)

数字(0到9)

其他字符(例如$,%,&,*)

3 Windows安全功能

3.1 Windows防火墙

Windows xp里有一个名为Internetconnectionfirewall(icf因特网连接防火墙)的组件,微软在XP后续版本里对这个防火墙做了很多改进并把它重新命名为Windows Firewall。新名字的防火墙提供了更好的用户操作界面:保留了“Exception”(例外)设置项,可以只允许“例外”的应用程序通过防火墙;新增加了一个“Advanced”(高级)选项卡,用户可以对防火墙的各种细节配置做出调整。另外,现在还可以通过组策略去配置防火墙,为需要对很多系统的防火墙进行分布式管理的系统管理员提供了便捷。

3.2 Windows安全中心

安全中心(Seccurity Center)可以让用户察看和配置很多系统安全安防功能:Windows Firewall(防火墙),Windows Update(自动更新),Internet Options(因特网选项)。

安全中心的目标瞄准的普通消费者而并不是IT专业人员,这一点可以从它没有提供Security Policy(安全策略)和Certificate Manager(证书管理器)等高级安全功能配置界面上看出来。

3.3 Windows组策略

怎样去管理一个很大的计算机群组?这就需要组策略(Group Policy),它是功能非常强大的工具之一。组策略对象GPO(group policy objects,gpo)被保存在活动目录(Active Directory)或一台本地计算机上,这些对象对某个域或本地机器的特定配置参数做出了定义。GPO作用于站点,域,或组织单元(Organizational Unit,ou),包含在其中的用户或计算机(称为有关GPO的“成员”)将继承GPO的设置。用户可以从“组策略”页上看到施加在选定对象上的GPO规则(按优先级排列)以及这些规则是否允许继承,还可以对GPO规则进行编辑。GPO似乎是对使用Windows2000及其后续版本的大规模网络进行安全配置的终极手段,但在同时激活本地和域级别的策略时,可能会出现一些奇怪的问题,而组策略生效前的延迟也很让人恼火。消除这个个延迟的办法之一是用secedit工具立刻刷新有关策略。用secedit命令刷新策略的具体做法是打开“运行”(run)对话框并输入:

3.4 Windows资源保护

Windows 2000和xp新增一项名为Windows File Protection(wfp,windows文件保护)的功能,它能保护由Windows安装程序安装的系统文件不被覆盖。并且之后在Windows Vista版本中做了更新,增加了重要的注册键值和文件,并更名为WRP(Windows资源保护)。WRP有一个弱点在于管理员用于更改被保护资源的ACL(Access Control List,访问控制列表)。默认设置下,本地管理员组别用于setakeownership权限并接管任何受WRP保护资源的所有权。因此被保护资源的访问权限可能被拥有者任意更改,这些文件也可能被修改,替换或删除。WRP并非被制作用来抵御假的系统管理员,它的主要目的是为了防止第三方安装者修改对系统稳定性有重大影响的受保护文件。

3.5 内存保护:dep

微软的Data Execution Prevention(DEP,防止数据执行)机制由硬件和软件协同构成。DEP机制将在满足其运行要求的硬件上自动运行,它会把内存中的特定区域标注为“不可执行区”——除非这个区域明确地包含着可执行代码。很明显,这种做法可以防住绝大多数堆栈型缓冲区溢出攻击。除了依靠硬件实现DEP机制外,XP SP2和更高版本还实现了基于软件的DEP机制去阻断各种利用windows异常处理机制中的漏洞的攻击手段。Windows体系的Strucctured Exception Handling(SEH,结构化异常处理)机制一直是攻击者认为最靠普的可执行代码注入点。

4 结束语

Windows的系统安全挑战:

对于Windows操作系统是否安全的争论已经有很多,并且以后肯定还会有更多,不管这些消息是来自微软,微软的支持者,还是来自微软的反对者,只有时间才能证明它们是对还是错。

Windows很多轰动一时的安全漏洞地绝大多数在很多其他技术里也同样存在很长时间了———它们之所以成为“著名的”Windows安全漏洞,原因只是因为Windows的用户数量更为巨大而已。既然因为Windows的公认优点,比如使用方便,兼容性强等等,而选用了这种操作系统,就不能逃避为了让它安全,持久地运转下去而要承受的安全风险,所以Windows一直会面对严峻的系统安全挑战。

摘要：由于Windows的普及程度广,所以基于一些已知的系统漏洞对其系统安全进行研究,其中包括远程攻击Windows系统,取得合法权限后的攻击手段,以及对该攻击手段的防范措施,还有对Windows防火墙的研究,以及对Windows安全中心,Windows组策略,Windows资源保护,内存保护的研究,通过对这些方面的研究发现,对于Windows操作系统是否安全的争论已经有很多,既然因为Windows的公认优点,比如使用方便,兼容性强等等,而选用了这种操作系统,就不能逃避为了让它安全,持久地运转下去而要承受的安全风险,因此Windows一直会面对严峻的系统安全挑战。

关键词：Windows系统,远程攻击,密码,权限,防火墙,组策略

参考文献

[1]徐显秋.Windows2000和XP系统常用安全策略[J].重庆科技学院学报,2005(4).

[2]赖宏应.信息化建设中的信息网络安全专题—安全威胁和安全策略[C]//四川省通信学会2003年学术年会论文集,2003.

[3]耿翕,崔之祜.网络防火墙技术的应用及分析[C]//第十九次全国计算机安全学术交流会论文集,2004.

[4]李超.网络安全技术及策略[C]//第六届全国计算机应用联合学术会议论文集,2002.

[5]王全民,王淞,金华锋,张丽艳.基于windows nt平台文件隐藏和检测系统的设计[J].计算机安全,2010(6).

[6]张昌宏,胡卫,廖巍.计算机桌面安全防护系统设计与实现[C]//中国通信学会第六届学术年会论文集(上),2009.

[7]冯先强.windows内核级木马架构模型的改进与实现[D].大连:大连理工大学,2010.

[8]刘海光.基于用户诊断方式的反恶意软件系统的研究与实现[D].成都:四川师范大学,2008.

篇7：Windows系统安全模式的妙用

关键词：Windows Server,活动目录,校园网,安全管理

随着教育信息化的发展, 校园网建设已经经历了早期以硬件投资为主的时间。如何挖掘校园网资源、充分发挥校园网的优势、提高网络安全性、降低校园网建设的总体拥有成本 (TCO) 成为了校园建设新的方向。

利用Windows Server 2003的活动目录和统一身份验证功能, 可以根据学院的物理分布和部门的逻辑结构进行统一管理。在这种统一管理的模式下, 普通用户不必再关心他的计算机在哪里。通过活动目录的管理, 只要在任意一台计算机上以自己的用户登录域, 就可以访问到自己的文件和Windows界面设置。用户以普通用户登陆系统, 通过组策略的约束, 可以限制下载安装应用软件, 进行软件和系统补丁的统一安装和部署。通过“用户数据管理”, 可以实现数据的实时备份, 增加了系统的安全性和可靠性。

(一) 校园网的安全威胁分析

网络安全包括物理安全和逻辑安全。物理安全指网络系统中各种通信计算机设备以及相关设备的物理保护, 免予破坏、丢失等;逻辑安全包括信息完整性、保密性和可用性。完整性是指计算机系统能够防止非法修改和删除数据和程序, 保密性是指信息不泄漏给未经授权的人, 可用性是指系统能够防止非法独占计算机资源和数据, 合法用户的正常请求能及时、正确、安全地得到服务或回应。

网络计算机中安全威胁主要有:身份窃取、身份假冒、数据窃取、数据篡改、操作否认、非授权访问、病毒等。在湖南城建职业技术学院校园网管理中, 最主要的安全威胁来自计算机病毒和非授权访问。

1. 计算机病毒威胁

计算机病毒是校园网的最大威胁, 终端计算机通过校园网接入到Internet, 这些计算机通过在Internet上下载软件进行自我安装和维护, 这些操作都是由计算机使用者来进行, 网络中心没有对其进行任何的约束和管理。由于计算机系统的安装与维护都是由计算机操作员自己进行, 而这些人只具有操作计算机的能力, 而没有任何的系统安装与维护的能力, 以至于很多计算机安装后没有安装任何操作系统补丁, 部分电脑甚至在没有安装杀毒软件的情况下接入了Internet。缺乏管理直接导致终端计算机中毒频繁, 而维护人员奔走于不同的办公室之间进行系统修复。在学院系统维护人员不足的情况下, 部分办公室计算机出现的鼓掌往往要拖很多天才能恢复, 严重影响了学院的正常教学工作的开展。

2. 非授权访问

非授权访问即没有预先经过同意, 就使用网络或计算机资源被看作非授权访问, 如有意避开系统访问控制机制, 对网络设备及资源进行非正常使用, 或擅自扩大权限, 越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

由于没有集中管理与统一的身份验证机制, 校园网中的所有计算机都是采取本地用户登陆, 而计算机操作人员由于没有一个有效的密码策略的约束, 往往对登陆用户不设置密码, 很多操作人员甚至将Administrator的密码设置为空, 这样任何人都可以轻易的取得计算机系统的访问和控制权限。

(二) 湖南城建职业技术学院校园网介绍

湖南城建职业技术学院网络中心和校园网的建设已初具规模, 校园网络部分主干传输速率为1Gbps, 其它为100Mbps, 运行稳定可靠, 为教学和科研提供了优质的服务。网络覆盖了高新校区的办公楼、教学楼、实验楼和教工宿舍, 没有包括学生宿舍。网络建成于2001年, 投资100余万, 至今已经使用了7年有余, 为学院的信息化建设做出了重大贡献。

学院设置网络中心, 设置有WWW服务器、OA服务器、教务服务器。在网络管理方面没有同意的网络管理平台, 接入层设备不具备网管功能, 部分分布层设备不具有远程管理能力, 这个网络设备管理带来了困难。随着信息技术的发展, 越来越多的应用开始在校园网上运行。学院所有办公室以及图书馆、设计院、计算机实训中心以及学生公寓都接入到了校园网。接入计算机数量的急剧膨胀给校园网的管理和安全带了挑战, 学院没有建立统一的网络管理和用户认证平台, 对终端计算机几乎没有任何管理能力, 为了改变这种现状, 决定在校园网中采用活动目录对整个网络进行管理。

(三) Windows Server 2003活动目录架构

Windows Server 2003的活动目录 (AD) 是提供一种能够集中管理、组织和控制网络资源访问的机制。活动目录 (AD) 包括两个方面:一个是目录, 另一个是与目录相关的服务。目录分区是域, 一个域可存储诸多对象, 域和域之间可建立层次关系, 形成树和森林, 无限扩展, 使所有的网络资源分布于各个域中, 方便用户的资源共享;组织单元 (OU) 是包含在域中的目录对象类型, 可包含用户、组、计算机等, 通过对OU实施组策略, 可优化网络管理, 使用OU可将网络中的域数量降到最低。活动目录 (AD) 服务使用结构化的数据存储作为目录信息的逻辑层次结构基础。通过登录验证以及对目录中对象的访问控制, 将安全性集成到活动目录中。通过一次网络登录, 管理员可以管理整个网络中的目录数据, 获得授权的网络用户可访问网络上任何地方的资源, 用基于组策略的管理减轻复杂的网络工作。Windows Server 2003活动目录具有如下优点。

1. 集中安全管理。

安装活动目录后信息的安全性完全与活动目录集成, 用户授权管理和目录进入控制已经整合在活动目录当中。此外, 活动目录还可以提供存储和应用程序作用域的安全策略, 提供安全策略的存储和应用范围。安全策略可包含帐户信息, AD还可以委派控制和基于任务委派控制, 实现分散管理。

2. 基于策略的管理。

组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录或组织单元的组策略对象 (GPOs) 中。GPOs设置决定目录对象和域资源的进入权限, 什么样的域资源可以被用户使用, 以及这些域资源怎样使用等。

3. 可扩展性和伸缩性。

活动目录具有很强的可扩展性, 管理员可以在计划中增加新的对象类, 或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如, 在校园网你可以给每一个用户对象增加一个网络资源授权属性, 然后存储每一个用户获取权限作为用户帐号的一部分。信息复制为目录提供了信息可用性、容错、负载平衡和性能优势, 活动目录使用多主机复制, 允许您在任何域控制器上而不是单个主域控制器上同步更新目录。

4. 互操性和灵活的查询。

由于活动目录是基于标准的目录访问协议, 许多应用程序界面 (API) 都允许开发者进入这些协议, 例如活动目录服务界面 (ADSI) 、轻型目录访问协议 (LDAP) 、名称服务提供程序接口 (NSPI) , 因此它可与使用这些协议的其他目录服务相互操作和友好的查询界面。

(四) 活动目录在校园网安全管理中的应用

1.RIS、Intellimirror、DFS

AD的远程安装服务 (RIS) 可以通过网络对一台全新的电脑进行Windows系统的安装, 并且不需要太多的手动干预。RIS可以利用带有自启动PROM的网卡或者是RIS启动软盘来连接网络。一旦网络连接成功并正确验证身份, Windows就可以自动安装到新电脑中。

智能镜像是一套为了增加系统灵活性而设计的AD机制。表现为不管用户在何处登陆, 其应用软件、数据以及桌面设置都和在本地系统登陆一样。实质上, 这和之前在Windows NT系统中使用的漫游用户配置文件有着异曲同工的作用。用户数据、设置和应用程序不但是随着用户从一台PC到另一台PC, 而且不论用户是否登陆网络, 都会得到自己的配置。

在AD环境中的分布式文件系统 (DFS) 和在Windows NT环境中相比, 有了长足的发展。这个系统的主要目的是将分散在网络各个共享文件夹下的用户文件集中到一个虚拟的文件夹下, 以方便用户查找文件。

2. 组策略轻松实现配置用户环境和安全, 管理软件服务

组策略是集中统一管理网络主机的有效方式, 其实简单地说, 组策略设置就是在修改注册表中的配置。当然, 组策略使用了更完善的管理组织方法, 可以对各种对象中的设置进行管理和配置, 远比手工修改注册表方便、灵活, 功能也更加强大。

在Windows 2003中提供了组策略管理控制台 (GPMC.MSC) 实现管理。我们可以使用“组策略”为用户和计算机组定义用户和计算机的配置。通过使用“组策略”, Microsoft管理控制台 (MMC) 可以为特定用户和计算机组创建个性化的配置。“组策略”配置包含在一个“组策略对象” (GPO) 中, 该对象又与选定的Active Directory服务容器如站点、域或组织单位 (OU) 等相关联。

利用组策略, 可以对几乎所有的MSI安装包进行分发, 还包括ZAP。如果没有这些文件, 用InstallShield AdminStudio进行重新打包, 可实现快速在校园网中软件部署及其实现软件限制策略。

3. 其他网络服务整合

目录服务可将目录、数据库、人力资源应用软件、电子邮件、网络操作系统等等众多不同系统的用户信息整合, 帮助企业提供产品及更广泛的安全身份管理方案。这些方案解决了目前信息总监所面对的主要商业问题;既能将实时、以角色为基础的资源传送给分散的员工、合作伙伴及客户, 同时又能保持系统及数据的安全。此外使用ISA server 2004和活动目录结合, 可以完全实现校园网信息监控和管理。

(五) 总结

Windows Server 2003活动目录是分布式网络体系结构的基础。应用活动目录技术来规划管理校园网, 能够实现资源和用户的集中管理, 方便用户查询使用网络资源, 增加校园网的安全性, 实现校园网内多种网络操作系统的互联。

参考文献

[1]陈功.校园网络安全分析[J].达县师范高等专科学校学报 (自然科学版) , 2006-03.

[2]李志民.基于活动目录的访问控制系统设计[J].中原工学院学报, 2004-04.

[3]杨上影.Windows2003活动目录实现校园网信息化管理[J].广西师范学院学报 (自然科学版) , 2005-03.

[4]薛菲, 王曼珠.Windows Server2003活动目录从入门到精通[M].北京:电子工业出版社, 2003.

篇8：Windows系统安全模式的妙用

“Windows 10的推出标志着我们将进入 ‘ 移动为先, 云为先’ 的世界, 开启更为个性化的计算新纪元,” 微软公司首席执行官萨提亚·纳德拉(Sayta Nadella) 表示, “我们的宏伟目标是让目前正在使用Windows的15亿用户逐渐喜欢上Windows 10, 并让更多用户开始使用Windows。”

Windows 10: 更为个性化的计算