《CISP-11-Windows操作系统安全.pdf》由会员分享,可在线阅读,更多相关《CISP-11-Windows操作系统安全.pdf(64页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows操作系统安全操作系统安全中国信息安全测评中心2008年11月课程目的课程目的 了解windows系统的设计原理 了解Windows的安全特性 能够对windows系统进行安全配置授课方式:讲解、演示、学员实际操作Windows系统安全配置与管理系统安全配置与管理Windows系统安全性Windows体系构架Windows安全配置Windows系统高级安全配置Windows的审计分析TCSEC 安全等级安全等级安全级别描述D最低的级别。如MS-DOS计算机,没有安全性可言C1自主安全保护。系统不需要区分用户。可提供根本的访问控制。大部分UNIX达到此标准。C2可控访问保护。系统可通
2、过注册过程、与安全相关事件的审计以及资源隔离等措施,使用户对他们的活动分别负责。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如ATT的SYSTEM V和UNIX with MLS 以及IBM MVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如Trusted XENIX and Honeywell MULTICSB3安全域。提出数据隐藏和分层,阻止层之间的交互。如Honeywell XTS-200A校验级设计。需要严格的准确的证明系统不会被危害。如Honeywell SCOMP基于基于C2级标准的安全组件级标准的安全组件 灵活的访问控制
3、-要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。对象再利用-Windows NT很明确地阻止所有的应用程序访问被另一应用程序占用的资源(比如内存或磁盘)。强制登陆-Windows NT用户在能访问任何资源前必须通过登陆来验证他们的身份。因此,缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。审计-因为Windows NT采用单独地机制来控制对任何资源的访问,所以这种机制可以集中地记录下所有的访问活动。控制对象的访问-Windows NT不允许直接访问系统里的资源。系统漏洞导致的损失系统漏洞导致的损失 2004年,Mydoom所造成的经济损失已经达到261亿美
4、元。2005年,Nimda电脑病毒在全球各地侵袭了830万部电脑,总共造成5亿9000万美元的损失。2006年,美国联邦调查局公布报告估计:“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。Windows系统安全配置与管理系统安全配置与管理Windows系统安全性Windows系统构架Windows安全配置Windows系统高级安全配置Windows的审计分析WindowsNT系统构架系统构架服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe
5、任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备设备管理器管理器设备、文件设备、文件驱动程序驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll,dllWin32UserGDI图形驱动图形驱动HAL(硬件抽象层)Micro kernel安全引用监视器进程地址空间进程地址空间系统地址空间系统地址空间线程线程线程线程线程线程进程和线程进程和线程 什么是进程?代表了运行程序的一个实例 每一个进程有一个私有的内存地址空间 什么是线程?进程内的一个执行上下文 进程内的所有线程共享相同的进程地址空间 每一
6、个进程启动时带有一个主线程 运行程序的“主”函数 可以在同一个进程中创建其他的线程 可以创建额外的进程系统进程系统进程 基本的系统进程System Idle Process这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间smss.exe 会话管理子系统,负责启动用户会话csrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 本地安全身份验证服务器svchost.exe 包含很多系统服务SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)explorer.exe 资
7、源管理器internat.exe 托盘区的拼音图标系统进程树系统进程树smss.exe对话管理器第一个创建的进程引入参数 HKLMSystemCurrentControlSetControlSession Manager装入所需的子系统(csrss),然后winlogoncsrss.exeWin32 子系统winlogon.exe 登录进程:装入services.exe 和 lsass.exe 显示登录对话框(“键入CTRL+ALT+DEL,登录)当有人登入,运行在HKLMSoftwareMicrosoftWindows NTWinLogonUserinit中的进程(通常只是userinit.
8、exe)services.exe 服务控制器:也是几项服务的出发点服务的开始进程不是services.exe的一部分(由 HKLMSystemCurrentControlSetServices驱动)lsass.exe本地安全验证服务器(打开SAM)userinit.exe登陆之后启动。启动外壳(通常是Explorer.exe 见HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogonShell)装入配置文件,恢复驱动器标识符映象,然后退出explorer.exe 和它的孩子是所有交互式应用的创建者附加的系统进程附加的系统进程 mstask.ex
9、e 允许程序在指定时间运行。(系统服务)regsvc.exe 允许远程注册表操作。(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。inetinfo.exe 通过Internet 信息服务的管理单元提供信息服务连接和管理。(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)。安全的元素安全的元素 安全标识符SID:综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID:S-1-5-163499331-18283675290-
10、12989372637-500 访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。安全描述符安全描述符是由对象属主的SID、组SID,灵活访问控制列表以及计算机访问控制列表 访问控制列表包括DACL和SACL,灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。安全的元素安全的元素 安全标识符SID:综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID:S-1-5-163499331-18283675290-12989372637-500 访问令牌访问令牌是由用户的SID、用户所属
11、于组的SID、用户名、用户所在组的组名构成的。安全描述符安全描述符是由对象属主的SID、组SID,灵活访问控制列表以及计算机访问控制列表 访问控制列表包括DACL和SACL,灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。S表示该字符串是SIDSID的版本号,对于win2k来说,是1标志符的颁发机构,对于win2k的帐户,颁发机构就是NT,值是5表示一系列的子颁发机构最后一个标志着域内的帐户和组windowsNT安全模型安全模型Logon processSAMUser Account DatabaseSecurity PolicyDatabaseLSAA
12、udit logWin32 subsystemSecurity Reference MonitorUser modeKernel modeSecurity policyAudit messageWin32 application 使用户登陆生效使用户登陆生效 生成安全访问令牌生成安全访问令牌 管理本地安全策略管理本地安全策略 记录记录SRM审核消息审核消息产生的事件日志产生的事件日志负责负责SAM数数据库的控制与据库的控制与维护维护 防止大部分用户和进防止大部分用户和进程对对象的直接访问程对对象的直接访问 根据本地安全策略的根据本地安全策略的审核策略生成审核信息审核策略生成审核信息用户用户登录
13、认证过程Windows系统安全配置与管理系统安全配置与管理Windows系统安全性Windows系统构架Windows安全配置Windows系统高级安全配置Windows的审计分析身身 份份 认证认证访问控制访问控制安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项Win2000Win2000安装配置安装配置建立和选择分区选择安装目录不安装多余的组件停止多余的服务安装系
14、统补丁多余的组件多余的组件 Internt信息服务(IIS)(如不需要)索引服务Indexing Service 消息队列服务(MSMQ)远程安装服务 远程存储服务 终端服务 终端服务授权Win2KWin2K服务服务名称描述名称描述认启动类认启动类建议启动类别建议启动类别Alerter局域网中当系统发生问题时向系统管理员发出警报,对普通用户可自动“已禁用”或“手动”Application Management Win2K引入了一种基于msi文件格式(应用程序安装信息程序包文件 手动手动ClipBook通过Network DDE和Network DDE DSDM提供的网络动态数据交换服手动已禁用
15、COM+Event System提供事件的自动发布到订阅 COM 组件。手动Computer Browser维护网上邻居中计算机的最新列表,并将这个列表通知给请求的程自动自动DHCP ClientDHCP Client(动态主机配置协议客户端):DHCP是一种提供动态 自动已禁用Distributed File System管理分布于局域网或广域网的逻辑卷。自动手动Distributed Link Tracki DLTC能跟踪文件在网络域的NTFS卷中移动状况,并发出通知。普通 自动手动Distributed Link Tracki 保存文件在域中卷之间移动的信息。手动手动Distribute
16、d Transaction 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或自动手动DNS Client将域名解析为IP地址。除非您没有连入任何网络,否则应设为“自 自动Event Log该服务能记录程序和系统发送的出错消息。虽然日志包含了对诊断 自动Fax Service在Win95中支持的传真功能现在在Win2K中重新被予以支持,而且与 手动已禁用File Replication在多个服务器间维护文件目录内容的文件同步。手动IIS Admin Service允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务自动Indexing Service索引服务能针
17、对本地硬盘或共享网络驱动器上的文档内容和属性建手动已禁用Infrared Monitor支持安装在这台计算机上的红外设备并且检测在有效范围内的其它自动Internet Connection Sha为局域网计算机提供Internet共享连接。这个服务为多台联网的电 手动已禁用Intersite Messaging允许在 Windows Advanced Server 站点间发送和接收消息。已禁用IPSEC Policy Agent该代理服务允许IP安全策略对两台计算机之间传输的数据包进行加已禁用Kerberos Key Distributi 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭
18、据(t 已禁用License Logging Service自动Logical Disk Manager逻辑磁盘管理器监视狗服务自动Logical Disk Manager Ad 磁盘管理请求的系统管理服务手动Messenger发送和接收由系统管理员或由Alerter服务所发送消息的服务。由自动手动”或“已禁用”Net Logon简单说就是在局域网上验证登录信息的选项。一般用户可以将其设手动手动”或“已禁用”NetMeeting Remote Deskt 该服务能通过Net Meeting允许有权用户远程访问Windows桌面。手动已禁用Network Connections它管理着“网络和拨
19、号连接”文件夹中的所有对象。如果您有任何手动手动Network DDE手动已禁用Network DDE DSDM手动已禁用NTLM Security Support P为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安手动Performance Logs and Al配置性能日志和警报。手动Plug and Play即插即用是INTEL开发的一组规范,它赋予了计算机自动检测和配自动自动Print Spooler该服务的作用是将多个请求打印的文档统一进行保存和管理,待打 自动自动Protected Storage提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,自动自动Qo
20、S RSVP为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地手动Remote Access Auto Conn 无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地 手动Remote Access Connectio 创建网络连接。手动Remote Procedure Call(一种消息传递功能。在计算机的远程管理期间它允许分布式应用程 自动自动Remote Procedure Call(管理 RPC 名称服务数据库。手动Remote Registry Service该服务能使您编辑另一台计算机上的注册表。普通单机用户根本没自动手动Removable Stor
21、age管理可移动媒体、驱动程序和库。自动Routing and Remote Acce在局域网以及广域网环境中为企业提供路由服务。自动RunAs Service当您以一般权限用户身份登录系统,而在使用中又需要修改只有系自动自动Security Accounts Manag存储本地用户帐户的安全信息。自动Server提供 RPC 支持、文件、打印以及命名管道共享。自动Smart Card对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。手动Smart Card Helper两个服务提供对智能卡设备的支持,将其设为“已禁用”。手动已禁用System Event Notificati跟踪系统事
22、件,如登录 Windows,网络以及电源事件等。将这些事 自动Task Scheduler允许程序在指定时间运行。自动DDE(动态数据交换)是实现进程通讯的一种形式,它允许支持D身身 份份 认认 证证安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSKerberos证书服务智能卡安全模板组策略安全分析安全策略NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项访问控制访问控制TCP/IP权限控制组权限IP安全策略用户身份验证用户身份验证 交互式登录使用域帐号使用本地计算机帐户 网络身份验证NTLM验证Ke
23、rberos V5安全套接字层/传输层安全(SSL/TLS)SYSKEY从NT4 Service Pack 3开始,Microsoft提供了对SAM散列进行进一步加密的方法,称为SYSKEY。SYSKEY是System KEY的缩写,它生成一个随机的128位密钥,对散列再次进行加密(不是对SAM文件加密,而是对散列)。SYSKEY身身 份份 认认 证证安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSKerberos证书服务智能卡安全模板组策略安全分析安全策略NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注
24、意事项访问控制访问控制TCP/IP权限控制组权限IP安全策略访问控制访问控制NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制NTFS与与FAT分区权限分区权限FAT32NTFS文件权限文件权限用户权限用户权限 Administrators 组 Users 组 Power Users 组 Backup Operators组权限控制原则和特点权限控制原则和特点1权限是累计用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。2拒绝的权限要比允许的权限高拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来
25、具有的所有权限都会被锁定而导致无法访问该文件夹或文件。权限控制原则和特点权限控制原则和特点3文件权限比文件夹权限高4利用用户组来进行权限控制5权限的最小化原则网络访问控制网络访问控制利用利用IPIP安全策略实现访问控制安全策略实现访问控制设置设置IPSec策略,禁止策略,禁止Ping。身身 份份 认认 证证安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSKerberos证书服务智能卡安全模板组策略安全分析安全策略NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项访问控制访问控制TCP/IP权限控制组权
26、限IP安全策略EFSEFS加密文件系统加密文件系统特性:特性:1 1、采用单一密钥技术、采用单一密钥技术2 2、核心文件加密技术仅用于、核心文件加密技术仅用于NTFSNTFS,使用户在,使用户在本地计算机上安全存储数据本地计算机上安全存储数据3 3、加密用户使用透明,其他用户被拒、加密用户使用透明,其他用户被拒4 4、不能加密压缩的和系统文件,加密后不能、不能加密压缩的和系统文件,加密后不能被共享、能被删除被共享、能被删除建议加密文件夹,不要加密单独的文件建议加密文件夹,不要加密单独的文件EFS恢复代理恢复代理 故障恢复代理就是获得授权解密由其他用户加密的数据的管理员 必须进行数据恢复时,恢复
27、代理可以从安全的存储位置获得数据恢复证书导入系统。默认的超级管理员就是恢复代理使用条件:当加密密钥丢失身份认证报头身份认证报头AHAH协议协议提供数据源身份认证、数据完整性保护提供数据源身份认证、数据完整性保护负载安全封装负载安全封装ESPESP协议协议提供数据保密、数据源身份认证、数据完整性提供数据保密、数据源身份认证、数据完整性因特网安全关联和密钥管理协议因特网安全关联和密钥管理协议IKE(IKE(以前被叫以前被叫ISAKMP/Oakley)ISAKMP/Oakley)提供自动建立安全关联和管理密钥的功能提供自动建立安全关联和管理密钥的功能IPSec组件组件IPsecIPsec的传输模式的
28、传输模式默认配置,提供点到点的安全默认配置,提供点到点的安全IPsecIPsec的隧道模式的隧道模式数据的封装、发送和拆封称为隧道,在数据的封装、发送和拆封称为隧道,在路由器两端配置保护路由间的通讯路由器两端配置保护路由间的通讯IPsecIPsec工作模式工作模式IPsecIPsec工作模式工作模式IPSecIPSec的安全性的安全性 使用IPSec可以避免数据包被跟听、篡改。安装IPSec后,客户端和服务器端都会消耗一定资源来对数据加密/解密。如果使用IPSec考虑安全性的级别 还要考虑IPSec策略的过滤器配置个数。身身 份份 认认 证证访问控制访问控制安全配置程序安全配置程序数据的安全数
29、据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板权限控制安全分析安全策略组权限NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项IP安全策略本地安全策略本地安全策略-帐号策略帐号策略*在账户策略在账户策略-密码策略中设定:密码策略中设定:密码复杂性要求密码复杂性要求 启用启用密码长度最小值密码长度最小值 6 6位位强制密码历史强制密码历史 5 5次次最长存留期最长存留期 3030天天*在账户策略在账户策略-账户锁定策略中设定:账户锁定策略中设定:账户锁定账户锁定 3 3次错误登录次错误登
30、录锁定时间锁定时间 2020分钟分钟复位锁定计数复位锁定计数 2020分钟分钟本地安全策略本地安全策略-本地策略本地策略 审核策略:决定记录在计算机(成功/失败的尝试)的安全日志上的安全事件。用户权利分配:决定在计算机上有登录/任务特权的用户或组。安全选项:启用或禁用计算机的安全设置,例如数据的数字信号、administrator 和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。安全模板与配置分析工具安全模板与配置分析工具 安全模板 安全配置分析 配置计算机预定义安全模板预定义安全模板默认工作站(basicwk.inf)默认服务器(basicsv.inf)默认域控制器(ba
31、sicdc.inf)兼容工作站或服务器(compatws.inf)安全工作站或服务器(securews.inf)高度安全工作站或服务器(hisecws.inf)专用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hisecdc.inf)身身 份份 认认 证证安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSKerberos证书服务智能卡安全模板组策略安全分析安全策略NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项基本安全注意事项访问控制访问控制TCP/IP权限控制组权限I
32、P安全策略用户管理用户管理 更改超级管理名称 取消guest帐号 合理分配其它用户权限Regedit与与Regedt32的区别的区别regeditregedt32使用较新的使用较新的Windows 9x/me用户界面用户界面使用较早的使用较早的windows3.1用户界面用户界面可搜索:键名、值名、值内容可搜索:键名、值名、值内容只能搜索键名只能搜索键名可以搜索并编辑远程注册表可以搜索并编辑远程注册表可以搜索并编辑远程注册表可以搜索并编辑远程注册表在一个窗口中显示整个注册表在一个窗口中显示整个注册表对每一控制项显示各自的窗口对每一控制项显示各自的窗口可以导出、导入文本文件可以导出、导入文本文件
33、可以导出但不能导入文本文件可以导出但不能导入文本文件不能导出或导入二进制文件不能导出或导入二进制文件可以导出并导入二进制文件可以导出并导入二进制文件不能提供“只读”模式不能提供“只读”模式提供“只读”模式,但不作为缺省形式提供“只读”模式,但不作为缺省形式不提供安全特性不提供安全特性支持完整的支持完整的Windows NT/2000访问控制访问控制和审计和审计存放在存放在winnt文件夹里文件夹里存放在存放在winntsystem32文件里文件里只完全支持只完全支持Windows 9x/me 注册表数注册表数据类型(字符串、二进制、据类型(字符串、二进制、DWORD)支持全部支持全部Windo
34、ws NT/2000注册表数据注册表数据类型类型/字符串、二进制、字符串、二进制、DWORD、多字符、多字符串、可扩展字符串、资源描述串、可扩展字符串、资源描述注册表安全设置注册表安全设置 不显示上次登录的用户名 禁止默认网络共享 禁止枚举域内用户不显示上次登录用户名不显示上次登录用户名HKLMSoftwareMicrosoftWindows NTCurrentVersionsWindlogon将DontDisplayLastUserName的值设为1删除默认网络共享删除默认网络共享服务器服务器:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserv
35、erparametersName:AutoShareServerType:DWORDValue:0工作站:工作站:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareWksType:DWORDValue:0禁止枚举用户名和共享禁止枚举用户名和共享Key:HKLMSYSTEMCurrentControlSetControlLsaName:RestrictAnonymousType:REG_DWORDValue:1|2备份和还原数据备份和还原数据 将文件备份到文件或磁带 备份“系统状态”数据 使用备份
36、向导备份文件 计划备份 将文件备份到Microsoft Exchange系统漏洞及修复系统漏洞及修复输入法漏洞空会话漏洞unicode漏洞.ida/.idq缓冲区溢出漏洞.print isapi扩展远程缓冲区溢出Frontpage 服务器扩展漏洞sqlserver 空口令Windows接口远程缓冲区漏洞Windows系统安全配置与管理系统安全配置与管理Windows系统安全性Windows 系统构架Windows 安全配置Windows系统高级安全配置Windows 的审计分析安全审核与日志安全审核与日志审计成功:可以确定用户或服务获得访问指定文件、审计成功:可以确定用户或服务获得访问指定文件
37、、打印机或其他对象的频率打印机或其他对象的频率审计失败:警告那些可能发生的安全泄漏审计失败:警告那些可能发生的安全泄漏访问文件夹的审核访问文件夹的审核审核策略审核策略安全事件查看并分析安全事件查看并分析windowsNT日志日志 系统日志跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志跟踪应用程序关联的事件,比如应用程序产生的象装载 DLL(动态链接库)失败的信息将出现在日志中。安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状态是关闭的。日志日志 Internet信息服务 FTP日志默认位置:%systemroot
38、%/system32/logfiles/msftpsvc1 默认每天一个日志 Internet 信息服务WWW 日志默认位置:%systemroot%/system32/logfiles/w3svc1,默认每天一个日志 FTP 日志和WWW 日志文件名通常为ex(年份)(月份)(日期),例如ex001023 就是2000 年10 月23 日产生的日志,用记事本就可直接打开 Scheduler服务日志默认位置:%systemroot%/schedlgu.txt日志分析日志分析FTP日志分析,如下例:#Software:Microsoft Internet Information Services
39、 5.0(微软IIS5.0)#Version:1.0(版本1.0)#Date:20001023 03:11:55(服务启动时间日期)03:11:55 127.0.0.1 1USER administator-331(IP地址为127.0.0.1 用户名为administator 试图登录)03:11:58 127.0.0.1 1PASS -530(登录失败)03:12:04 127.0.0.1 1USER nt-331(IP地址为 127.0.0.1用户名为 nt的用户试图登录)03:12:06 127.0.0.1 1PASS-530 (登录失败)03:12:32 127.0.0.1 1USE
40、R administrator-331(IP地址为127.0.0.1 用户名为administrator 试图登录)03:12:34 127.0.0.1 1PASS 230(登录成功)(登录成功)03:12:41 127.0.0.1 1MKD nt 550(新建目录失败)03:12:45 127.0.0.1 1QUIT 550(退出FTP 程序)日志分析日志分析http日志#Software:Microsoft Internet Information Services 5.0#Version:1.0#Date:2003-08-11 05:30:32#Fields:date time c-ip
41、 cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)2003-08-11 05:30:32 192.168.2.143-192.168.2.143 80 GET/scripts/.%5c.%5cwinnt/system32/cmd.exe/c+dir+c:200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-11 07:24:01 192.168.2.143-192.168.2.143 80 GET/scri
42、pts/.%5c.%5cwinnt/system32/cmd.exe/c+copy%20c:winntsystem32cmd.exe%20venus.exe 502 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-20 03:00:35 192.168.2.143-192.168.2.143 80 GET/scripts/.%c1%af./winnt/system32/cmd.exe 404-练习练习 审计c:inetpub目录的访问 分析HTTP日志总结总结Windows系统安全性Windows体系构架Windows安全配置Windows的审计分析问题?