蓝屏主要是因为有操作试图往 OS 系统控制之外的内存中写入数据,这时候就会被 CPU 识别出来,并触发异常,进而显示蓝屏错误。
至于 Windows 蓝屏为什么是蓝底,微软程序员 Dave Plummer 解释说很早之前他的同事 John Vert 使用的办公机是 MIPS RISC Box,它的固件就是蓝底,同时他最喜欢的编辑器 Slick Edit 也是这样的设计,所以 John Vert 就设计了这样的样式,一直用到现在。
标签归档:windows
CMD命令行中英文切换的方法
正常的windows中文版本的操作系统中,cmd命令行下也是中文,比如这样的:
如果要切换成英文,可以在命令行下输入chcp 437变成英文,如下图:
如果想再切换回中文,只需要在命令行下输入chcp 936即可。
chcp是change code page的缩写。
但是有时候系统有问题输入chcp XXX提示Invalid code page,这时候需要修改注册表来修复系统,新建一个文本文档,输入内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Console\%SystemRoot%_system32_cmd.exe]
“CodePage”=dword:000003a8
保存为reg格式,执行后,再命令行下输入chcp XXX即可正常转换中英文。
一例视频监控不显示图像的解决办法
现有一台电脑接入视频监控系统,所有视频图像都是黑色,无法正常显示,监控厂家人员根据经验认为是显卡相关的问题,将该网线接入笔记本,配置同样的IP,可以显示,排除网络及视频服务器端的问题。
该电脑可以正常显示图像且可正常播放视频,目前仅发现监控系统中不能显示图像,重装显卡驱动后问题仍然存在,按照厂家人员的建议更换显卡,问题依旧。
后来使用dxdiag打开directx诊断工具,发现显示下的directx功能中的directraw加速、direct3D加速、AGP纹理加速都未启用,使用directx修复工具做相关修复后,问题解决。
这是directx功能未启用引起的问题,用户反应之前使用一直正常,是突然出现的问题,这就有可能是非正常关机,比如异常断电或者中毒等引起。
解决WINDOWS XP修改网卡IP需求重启的问题
现有一台windows xp,每次修改IP必须重启,后经排查为dhcp client服务未启动导致,将dhcp client服务改成自启动后,修改IP后立即生效,无需重启。
关于dhcp client的服务,这是在windows 10操作系统上的介绍:
为此计算机注册并更新 IP 地址。如果此服务停止,计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动。
Windows Server安全加固方法
一、系统信息
| 查看系统版本 | 命令 |
| 查看SP版本 | wmic os get ServicePackMajorVersion |
| 查看Hotfix | wmic qfe get hotfixid,InstalledOn |
| 查看主机名 | hostname |
| 查看网络配置 | ipconfig /all |
| 查看路由表 | route print |
| 查看开放端口 | netstat -ano |
- 二.二、补丁管理
2.1 2.1 安装补丁
| 操作目的 | 安装系统补丁,修补漏洞 |
| 检查方法 | 使用腾讯电脑管家企业版安装系统补丁,修补漏洞 |
| 加固方法 | 不能连接外网的内网主机手动安装补丁或在内网搭建WSUS服务器,外网主机使用腾讯电脑管家企业版安装系统补丁或设置自动更新从微软官方网站下载补丁安装 |
| 回退方法 | 打补丁前做好业务或系统备份,回退时恢复备份。
如果是手工安装补丁,在安装前测试补丁是否影响业务,回退时在“添加删除程序”中删除相关补丁 |
| 备注 | 补丁安装后可能影响系统的稳定性 |
- 三.三、账号口令
3.1 3.1 优化账号
| 操作目的 | 删除系统无用账号,降低风险 |
| 检查方法 | 开始->运行->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定 |
| 加固方法 | 使用“net user 用户名 /del”命令删除账号
使用“net user 用户名 /active:no”命令锁定账号 |
| 回退方法 | 使用“net user 用户名 密码 /add”命令添加账号
使用“net user 用户名 /active:yes”命令激活账号 |
3.2 3.2系统密码策略
| 操作目的 | 增强系统密码的复杂度及登录锁定策略等,防止被暴力破解 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置 |
| 加固方法 | 1,账户设置->密码策略
密码必须符合复杂性要求:启用 密码长度最小值:8个字符 密码最长存留期:90天 密码最短存留期:0天 密码最短存留期:30天 强制密码历史:1个记住密码 2,账户设置->账户锁定策略 复位帐户锁定计数器:30分钟 帐户锁定时间:30分钟 帐户锁定阀值:5次无效登录 3,本地策略->安全选项 交互式登录:不显示上次的用户名:启用 gpupdate /force立即生效 |
| 回退方法 | 回退到加固前的状态。
gpupdate /force 立即生效 |
| 备注 | 密码策略为:密码至少包含以下四种类别的字符中的2种:
英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, *等 |
- 四.四、授权
4.1 4.1远程关机
| 操作目的 | 只允许管理员组远程关机,降低风险 |
| 检查方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
查看“从远程系统强制关机”设置是否为只指派给“Administrtors组” |
| 加固方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
设置“从远程系统强制关机”为只指派给“Administrtors组” |
| 回退方法 | 回退到加固前的状态 |
4.2 4.2 本地关机
| 操作目的 | 只允许管理员组本地关机,降低风险 |
| 检查方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
查看“关闭系统”设置是否为只指派给“Administrtors组” |
| 加固方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
设置“关闭系统”为只指派给“Administrtors组” |
| 回退方法 | 回退到加固前的状态 |
4.3 4.3用户权限分配
| 操作目的 | 只允许管理员组拥有取得文件或其它对象所有权的权限,降低风险 |
| 检查方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
查看“取得文件或其它对象的所有权”设置是否为只指派给“Administrtors组” |
| 加固方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
设置“取得文件或其它对象的所有权”为只指派给“Administrtors组” |
| 回退方法 | 回退到加固前的状态 |
4.4 4.4授权登录帐户
| 操作目的 | 允许授权的账号本地登录系统,降低风险 |
| 检查方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
查看“允许在本地登录”是否为授权的账号 |
| 加固方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
设置“允许在本地登录”的账户都为授权账户 |
| 回退方法 | 回退到加固前的状态 |
4.5 4.5授权帐户远程访问
| 操作目的 | 允许授权账号从网络登录系统,降低风险 |
| 检查方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
查看“从网络访问此计算机” 是否为授权的账号 |
| 加固方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”:
设置“从网络访问此计算机” 的账户都为授权账户 |
| 回退方法 | 回退到加固前的状态 |
- 五. 五、系统安全设置
5.1 5.1屏幕保护
| 操作目的 | 设置屏保,使本地攻击者无法直接恢复桌面控制 |
| 检查方法 | 进入“控制面板->显示->屏幕保护程序”:
查看是否启用屏幕保护程序,设置等待时间为“10分钟”,是否启用“在恢复时使用密码保护” |
| 加固方法 | 进入“控制面板->显示->屏幕保护程序”:
启用屏幕保护程序,设置等待时间为“10分钟”,启用“在恢复时使用密码保护” |
| 回退方法 | 回退到加固前的状态 |
5.2 5.2 远程连接挂起
| 操作目的 | 设置远程连接挂起时间,使远程攻击者无法直接恢复桌面控制 |
| 检查方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
查看“Microsoft网络服务器:在挂起会话之前所需的空闲时间”是否设置为15分钟 |
| 加固方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
“Microsoft网络服务器: 在挂起会话之前所需的空闲时间” 设置为15分钟 |
| 回退方法 | 回退到加固前的状态 |
5.3 5.3禁止系统自动登录
| 操作目的 | 系统休眠后重新激活,需要密码才能使用系统 |
| 检查方法 | 进入“开始->运行->control userpasswords2”:
查看是否启用“要是用本机,用户必须输入用户名和密码”选项 |
| 加固方法 | 进入“开始->运行->control userpasswords2”:
启用“要是用本机,用户必须输入用户名和密码”的选项 |
| 回退方法 | 进入“开始->运行->control userpasswords2”:
取消“要是用本机,用户必须输入用户名和密码”的选项 |
5.4 5.4隐藏最后登录名
| 操作目的 | 注销后再次登录,不显示上次登录的用户名 |
| 检查方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项” 查看“交互式登录:不显示上次登录的用户名”是否设置为“已启用” |
| 加固方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”查看“交互式登录:不显示上次登录的用户名”设置为“已启用” |
| 回退方法 | 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”查看“交互式登录:不显示上次登录的用户名” 设置为“已禁用” |
5.5 5.5关闭Windows自动播放功能
| 操作目的 | 注销后再次登录,不显示上次登录的用户名 |
| 检查方法 | 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”查看是否设置“已启用” |
| 加固方法 | 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”并设置“已启用” |
| 回退方法 | 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”并设置“未配置” |
- 六.六、网络服务
6.1 6.1优化服务
| 操作目的 | 关闭不需要的服务,减小风险 |
| 检查方法 | 开始->运行->services.msc |
| 加固方法 | 建议将以下服务停止,并将启动方式修改为手动:
Automatic Updates(不使用自动更新可以关闭) Background Intelligent Transfer Service DHCP Client Messenger Remote Registry Print Spooler Server(不使用文件共享可以关闭) Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper |
| 回退方法 | 回退到加固前的状态 |
| 备注 | 其他不需要的服务也应该关闭 |
6.2 6.2关闭共享
| 操作目的 | 关闭默认共享 |
| 检查方法 | 开始->运行->cmd.exe->net share,查看共享 |
| 加固方法 | 关闭C$,D$等默认共享
开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters ,新建AutoShareServer(REG_DWORD),键值为0 |
| 回退方法 | 开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters,删除AutoShareServer(REG_DWORD) |
6.3 6.3网络访问限制
| 操作目的 | 网络访问限制 |
| 检查方法 | 开始->运行->secpol.msc ->安全设置->本地策略->安全选项 |
| 加固方法 | 网络访问: 不允许 SAM 帐户的匿名枚举:已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用 网络访问: 将 “每个人”权限应用于匿名用户:已禁用 帐户: 使用空白密码的本地帐户只允许进行控制台登录:已启用 |
| 回退方法 | 回退到加固前的状态 |
| 备注 | gpupdate /force立即生效 |
- 七.七、文件系统
7.1 7.1检查Everyone权限
| 操作目的 | 增强Everyone权限 |
| 检查方法 | 查看每个系统驱动器根目录是否设置为Everyone有所有权限 |
| 加固方法 | 删除Everyone的权限或者取消Everyone的写权限 |
| 回退方法 | 回退到加固前的状态 |
7.2 7.2限制命令权限
| 操作目的 | 限制部分命令的权限 |
| 检查方法 | 使用cacls命令或资源管理器查看以下文件权限 |
| 加固方法 | 建议对以下命令做限制,只允许system、Administrator组访问
%systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe |
| 回退方法 | 回退到加固前的状态 |
| 备注 | 可能会影响业务系统正常运行 |
- 八.八、日志审计
8.1 8.1日志记录
| 操作目的 | 增大日志量大小,避免由于日志文件容量过小导致日志记录不全 |
| 检查方法 | 开始->运行->eventvwr.msc ->查看“应用程序”“安全性”“系统”的属性 |
| 加固方法 | 建议设置:
日志上限大小:10240 KB 达到日志上限大小时:改写久于180天的事件 |
| 回退方法 | 回退到加固前的状态 |
8.2 8.2增强审计
| 操作目的 | 对系统事件进行记录,在日后出现故障时用于排查审计 |
| 检查方法 | 开始->运行->secpol.msc ->安全设置->本地策略->审核策略 |
| 加固方法 | 建议设置:
审核策略更改:成功,失败 审核对象访问:成功,失败 审核系统事件:成功,失败 审核帐户登录事件:成功,失败 审核帐户管理:成功,失败 审核登录事件:成功,失败 审核过程跟踪:成功,失败 审核目录服务访问:成功,失败 审核特权使用:成功,失败 |
| 回退方法 | 回退到加固前的状态 |
| 备注 | gpupdate /force立即生效 |
使用Windows 2008操作系统安装盘破解管理员用户密码的方法
很多人都遇到密码忘记的问题,对于windows 2000操作系统来说,只需要删除SAM文件即可。对于windows xp、windows 2003、windows 7、windows 2008等操作系统,只需要在winpe环境下(前提是能识别到硬盘)使用ntpwedit和passrenew这两个软件即可。
本文介绍使用操作系统安装盘来破解管理员用户密码的方法。具体操作步骤如下:
1、使用操作系统安装盘引导启动,进入安装语言选择界面,按shift+F10,会弹出命令行界面。
2、将system32目录下的osk.exe文件删除,命令为:
D:\>del 系统盘/windows/system32/osk.exe
3、将cmd.exe替换osk.exe,命令如下:
D:\Windows\System32>copy cmd.exe osk.exe
4、退出命令行界面,重启,取出安装盘,进入提示输入ctrl+alt+del的图形界面时,点击左下角的轻松访问按钮,勾选”不使用键盘键入(屏幕键盘)“,确定后弹出命令行界面。
5、使用命令建立user1用户,密码abc#123,然后将该用户加入管理员组,命令为:
C:\Windows\system32>net user user1 abc#123 /add
C:\Windows\system32>net localgroup administraotrs user1 /add
6、退出命令行后,即可使用user1登录操作系统,由于该用户有管理员权限,可以更改Administrator用户的密码,使用Administrator用户登录后,再从其他windows 2008操作系统上将osk.exe覆盖用cmd.exe替换的osk.exe。即还原了原操作系统。步骤完成。
windows7操作系统管理启动菜单的bcdedit工具
在NT60系列操作系统(Windows 8/7/Vista/2008)中的一个命令行工具,用于建立和重新配置bootloader,后者无须再使用boot.ini文件。也就是说,使用BCDEdit这个工具,能够修改NT60 系列系统的启动菜单。
在之前基于NT50系列(Windows XP/2000/2003)的Windows系统中,Windows使用Ntldr作为Boot Loader来启动系统, 但在新的NT60系列系统中,微软引入了一种全新的boot loader架构, Windows Boot Manager (Bootmgr.exe)。与Ntldr严重地依赖于硬件不同的是,NT60中的新架构可以实现完整的硬件独立性,且能够与多种操作系统无缝结合,让NT60的启动/引导过程更加快速与安全。同时,将之前Windows 系统中由Boot.ini管理的内容移交给新的Boot Configuration Data (BCD : 启动设置数据),当然,也提供了新的启动选项编辑工具,BCDEdit (BCDEdit.exe),来管理启动设置。
所谓boot loader,在指在内核运行之前执行的一段小程序,系统通过它来初始化硬件设备、建立内存空间的映射图等,将系统的软硬件环境设置成一个合适的状态,为最终调用操作系统内核准备好正确的环境。——在启动过程中,Ntldr 使用Boot.ini 文件来确定在启动/引导过程中要显示哪些操作系统选项,我们对启动选项的设置可以通过修改boot.ini文件中相应内容实现。Windows NT60 (Windows 7/Vista/2008)与早期 NT52 系列系统(Windows XP/2000/2003)启动的对比 在传统的基于BIOS的计算机中,如果只安装 NT60 系列操作系统(Windows 7/Vista/2008),您将会发现 Boot.ini 文件已经彻底从系统中消失;如果系统中安装了 NT60 和之前的 Windows 系统,如 NT52 系列操作系统 (Windows XP/2000/2003),虽然仍可找到 Boot.ini 文件,不过,这个文件只作用于那些系统,而不会对 NT60 的启动有任何影响。
而在基于EFI (Extensible Firmware Interface : 可扩展固件接口,以后采用这种接口的PC会越来越多 )的计算机中,Boot.ini 文件则更不复存在,在基于EFI的系统中,启动选项被贮存在主板的存储器中。此时要修改启动选项,要么通过能够读写NVRAM的工具如NvrBoot,要么使用上文提到的BCDEdit。
由此可见,在NT60中,想要再像之前 NT52 中那样通过一个简单的文本编辑器来修改Boot.ini(或用NT52自带工具 Bootcfg)的方式来管理启动选项已经不可能了,要对启动设置进行修改,只能使用命令格式相对要复杂得多的BCDEdit。
此外,微软也在 NT60 中提供了可通过WMI (Windows Management Instrumentation : Windows管理规范)调用的 BCD 类,通过它可以用编程的方式修改BCD数据。不过,相信对绝大多数根本不会接触编程的用户而言,这更是不可能的任务。
通过命令行工具Bcdedit,我们可以添加、删除及修改BCD (Boot Configuration Data)中的对象。在BCD中,每个对象均具有唯一的 GUID (Globally Unique Identifier : 全局唯一标识符),如系统中的每块硬盘、每个分区的GUID (全局唯一标识符)均不相同。
windows7操作系统中删除ghost启动选项的办法
很多使用ghost操作系统的用户都会发现在操作系统的启动菜单中有ghost这一项,如果想删除这一项,对于windows xp系统,都可以通过修改启动盘下的boot.ini文件来实现修改系统启动菜单。
但是windows7系统下,在系统盘根目录下已经没有boot.ini文件了,这里我们通过windows7新增的bcdedit工具来实现。
在使用管理员权限打开的cmd命令行下,输入bcdedit即可查看系统的启动菜单。如果有ghost启动项,一般会有如下显示:
实模式启动扇区
———————
标识符 {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
device partition=C:
path \ghldr.mbr
description 一键GHOST xx
如果要删除这一项,则使用命令bcdedit /delete {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} /f即可。
关于bcdedit命令的详细说明,请查看windows7操作系统管理启动菜单的bcdedit工具。
操作系统的常见漏洞利用和攻击方式
本文 是一篇linux安全指南,但是该文章同样适合于windows等其他操作系统。
以下是某些最常见的漏洞利用以及入侵者用来进入组织内部网络资源的常用入口。避免这些常见漏洞利用的关键是了解这些活动的进行方式,以及管理员应该如何保护他们的网络来免遭这类攻击。
| 漏洞利用 | 描述 | 备注 | |||
|---|---|---|---|---|---|
| 空白或默认口令 | 把管理性口令留为空白或使用产品生产商所设置的默认口令。虽然某些运行在 Linux 上的服务包含默认管理口令(红帽企业 Linux 中并不包含),这种行为在硬件(如路由器和 BIOS)中最常见。 |
|
|||
| 默认共享密钥 | 安全服务有时会把用于开发或评估测试目的的默认安全密钥打入软件包内。如果这些密钥不经改变而被用于互联网上的生产环境,那么任何拥有同样的默认密钥的用户都可以使用那个共享密钥资源,以及其中的保密信息。 |
|
|||
| IP 假冒(Spoofing) | 某个远程机器是你的本地网络上的一个节点,它在你的服务器上寻找弱点,并安装一个后门程序或特洛伊木马来获取对你的网络资源的控制。 |
|
|||
| 窃听 | 通过窃听网络中的两个活跃节点的连接来收集它们之间传递的信息。 |
|
|||
| 服务弱点 | 攻击者在互联网上运行的某个服务中寻找缺陷或漏洞;通过这个弱点,攻击者可以危及整个系统以及系统上的任何数据,甚至还能够危及网络上的其它系统。 |
|
|||
| 应用程序弱点 | 攻击者在桌面系统和工作站应用程序(如电子邮件客户程序)中寻找缺陷并执行任意编码、插入用于未来攻击行为的特洛伊木马、或者崩溃系统。如果被危及的工作站拥有对整个网络的管理特权,还会发生进一步的漏洞利用。 |
|
|||
| 拒绝服务(DoS)攻击 | 攻击者或一组攻击者通过给目标机器(服务器、路由器或工作站)发送未经授权的分组来协调对某个机构的网络或服务器资源的攻击。这会迫使合法用户无法使用资源。 |
|
附几种常用网络入侵检测工具:Wellenreiter、NetStumbler、Snort、Dsniff。
Windows Server 2012 R2新功能列表
Windows Server 2012 R2日前已经发布了预览版供大家体验,它是Windows 8.1的服务器版本。想必很多人都不清楚Windows Server 2012 R2究竟带来了哪些新功能,没关系,微软今天在官方博客中进行了简洁的汇总,一起来看一下:
1、存储转换
Windows Server 2012 R2存储空间的存储分层功能自动根据存储性能和成本将数据分层至硬盘和固态硬盘 。
2、软件定义网络
——Windows Server 2012 R2中的网络虚拟化,加上System Center 2012 R2中的管理功能,提供了在任意节点部署任意虚拟机的灵活性,而不用考虑IP地址等因素。
——新的in-box网关扩展了虚拟化网络功能,提供了与物理网络、虚拟网络的完整链接。
3、虚拟化和动态迁移
——跨版本动态迁移可以将运行在Windows Server 2012上的虚拟机在不停工的情况下迁移到Windows Server 2012 R2主机上。
——动态迁移节约了大量时间(50%甚至更多)。
——开启了RDMA的动态迁移加快了NICs迁移进程。
4、访问和信息保护
——让用户选择自己要工作的设备,提供更简单的注册进程;
——为企业应用和数据提供基于策略的访问控制,并在跨设备之间提供一致体验。
——保护企业信息和管理风险。
5、Java应用程序监控
——提供性能和异常事件报警。
——支持Tomcat、Java JDK和其它Java网络服务器框架。
——行代码级别可追溯性,.NET性能和异常指标和Java应用程序监控。