《[精选]Windows系统安全技术.pptx》由会员分享,可在线阅读,更多相关《[精选]Windows系统安全技术.pptx(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows系统平安技术祝晓光zhuxiaoguangnsfocus.提纲l系统平安模型l效劳平安性l降低风险Windows系统平安模型操作系统平安定义 信息平安的五类效劳,作为平安的操作系统时必须提供的信息平安的五类效劳,作为平安的操作系统时必须提供的 有些操作系统所提供的效劳是不健全的、默认关闭的有些操作系统所提供的效劳是不健全的、默认关闭的信息平安评估标准lITSEC和TCSEClTCSEC描述的系统平安级别D-AlCCmonCritical标准lBS7799:2000标准体系lISO17799标准TCSEC定义的内容没有安全性可言,例如没有安全性可言,例如没有安全性可言,例如没有安全
2、性可言,例如MS DOSMS DOS不区分用户,基本的访问控制不区分用户,基本的访问控制不区分用户,基本的访问控制不区分用户,基本的访问控制D 级级C1 级级C2 级级B1 级级B2 级级B3 级级A 级级有自主的访问安全性,区分用户有自主的访问安全性,区分用户有自主的访问安全性,区分用户有自主的访问安全性,区分用户标记安全保护,如标记安全保护,如标记安全保护,如标记安全保护,如System VSystem V等等等等结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护安全域,数据隐藏与分层、屏蔽安全域,数据隐藏与分层、屏蔽安全域,数
3、据隐藏与分层、屏蔽安全域,数据隐藏与分层、屏蔽校验级保护,提供低级别手段校验级保护,提供低级别手段校验级保护,提供低级别手段校验级保护,提供低级别手段C2级平安标准的要求l自主的访问控制l对象再利用必须由系统控制l用户标识和认证l审计活动能够审计所有平安相关事件和个人活动只有管理员才有权限访问CCmonCritical标准lCC的基本功能标准化表达技术实现基础表达lCC的概念维护文件平安目标评估目标Windows系统的平安架构WindowsNT系统内置支持用户认证、访问控制、管理、审核。Windows系统的平安组件l访问控制的判断Discretionaccesscontrol允许对象所有者可以
4、控制谁被允许访问该对象以及访问的方式。l对象重用Objectreuse当资源内存、磁盘等被某应用访问时,Windows禁止所有的系统应用访问该资源,这也就是为什么无法恢复已经被删除的文件的原因。l强制登陆Mandatorylogon要求所有的用户必须登陆,通过认证后才可以访问资源l审核Auditing在控制用户访问资源的同时,也可以对这些访问作了相应的记录。l对象的访问控制Controlofaccesstoobject不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问。Windows平安子系统的组件l平安标识符SecurityIdentifiers:就
5、是我们经常说的SID,每次当我们创立一个用户或一个组的时候,系统会分配给改用户或组一个唯一SID,当你重新安装系统后,也会得到一个唯一的SID。SID永远都是唯一的,由计算机名、当前时间、当前用户态线程的CPU消耗时间的总和三个参数决定以保证它的唯一性。例:S-1-5-21-1763234323-3212657521-1234321321-500l访问令牌Accesstokens:用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows系统,然后WindowsNT检查用户试图访问对象上的访问控制列表。如果用户被允
6、许访问该对象,系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。Windows平安子系统的组件l平安描述符Securitydescriptors:Windows系统中的任何对象的属性都有平安描述符这局部。它保存对象的平安配置。l访问控制列表Accesscontrollists:访问控制列表有两种:任意访问控制列表DiscretionaryACL、系统访问控制列表SystemACL。任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问
7、控制列表是为审核效劳的,包含了对象被访问的时间。l访问控制项Accesscontrolentries:访问控制项ACE包含了用户或组的SID以及对象的权限。访问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。Windows平安子系统l平安子系统包括以下局部:WinlogonGraphicalIdentificationandAuthenticationDLLGINALocalSecurityAuthorityLSASecuritySupportProviderInterfaceSSPIAuthenticationPackagesSecuritysupportprovidersNe
8、tlogonServiceSecurityAccountManagerSAMWindows平安子系统WinlogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support ProviderSSPI加载GINA,监视认证顺序加载认证包支持额外的验证机制为认证建立平安通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库Windows平安子系统lWinlogonandGina:Winlogon调用GINADLL,并监视平安认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证
9、请求。GINADLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式指纹、视网膜替换内置的GINADLL。Winlogon在注册表中查找HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLLWindows平安子系统l本地平安认证LocalSecurityAuthority:本地平安认证LSA是一个被保护的子系统,它负责以下任务:调用所有的认证包,检查在注册表HKLMSYSTEMCurrentControl
10、SetControlLSA下AuthenticationPAckages下的值,并调用该DLL进行认证MSV_1.DLL。在4.0版里,WindowsNT会寻找HKLMSYSTEMCurrentControlSetControlLSA下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创立用户的访问令牌。管理本地安装的效劳所使用的效劳账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。Windows平安子系统l平安支持提供者的接口SecuritySupportProvideInterface:微软的SecuritySupportProvideI
11、nterface很简单地遵循RFC2743和RFC2744的定义,提供一些平安效劳的API,为应用程序和效劳提供请求平安的认证连接的方法。l认证包AuthenticationPackage:认证包可以为真实用户提供认证。通过GINADLL的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中。Windows平安子系统l平安支持提供者SecuritySupportProvider:平安支持提供者是以驱动的形式安装的,能够实现一些附加的平安机制,默认情况下,WindowsNT安装了以下三种:Msnsspc.dll:微软网络挑战/反响认证模块Msapsspc.dll:分布式密码
12、认证挑战/反响模块,该模块也可以在微软网络中使用Schannel.dll:该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比方Verisign。这种认证方式经常在使用SSLSecureSocketsLayer和PCTPrivatemunicationTechnology协议通信的时候用到。Windows平安子系统l网络登陆Netlogon:网络登陆效劳必须在通过认证后建立一个平安的通道。要实现这个目标,必须通过平安通道与域中的域控制器建立连接,然后,再通过平安的通道传递用户的口令,在域的域控制器上响应请求后,重新取回用户的SIDs和用户权限。l平安账号管理者SecurityA
13、ccountManager:平安账号管理者,也就是我们经常所说的SAM,它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一局部内容。不同的域有不同的Sam,在域复制的过程中,Sam包将会被拷贝。Windows的密码系统lWindowsNT及Win2000中对用户帐户的平安管理使用了平安帐号管理器securityaccountmanager的机制,平安帐号管理器对帐号的管理是通过平安标识进行的,平安标识在帐号创立时就同时创立,一旦帐号被删除,平安标识也同时被删除。平安标识是唯一的,即使是相同的用户名,在每次创立时获得的平安标识都时完全不同的。因此,一旦某个帐号
14、被删除,它的平安标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的平安标识,不会保存原来的权限。效劳平安性IIS效劳平安配置l禁用或删除所有的例如应用程序禁用或删除所有的例如应用程序例如只是例如;在默认情况下,并不安装它们,且从不在生产效劳器上安装。请注意一些例如安装,它们只可从:/localhost或127.0.0.1访问;但是,它们仍应被删除。下面列出一些例如的默认位置。例如例如 虚拟目录虚拟目录 位置位置IIS例如IISSamplesc:inetpubiissamplesIIS文档IISHelpc:winnthelpiishelp数据访问MSADCc:programfiles
15、monfilessystemmsadcIIS效劳平安配置l启用或删除不需要的启用或删除不需要的 组件组件 某些组件不是多数应用程序所必需的,应加以删除。特别是,应考虑禁用文件系统对象组件,但要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。如SiteServer3.0使用FileSystemObject。以下命令将禁用FileSystemObject:regsvr32scrrun.dll/ul删除删除 IISADMPWD 虚拟目录虚拟目录 该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下,并不作为IIS5的一局部安装,
16、但是IIS4效劳器升级到IIS5时,它并不删除。如果您不使用Intranet或如果将效劳器连接到Web上,则应将其删除。IIS效劳平安配置l删除无用的脚本映射删除无用的脚本映射 IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时,该调用由DLL处理。如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下:翻开Internet效劳管理器。右键单击Web效劳器,然后从上下文菜单中选择“属性。主目录|配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等IIS效劳平安配置l禁用父路径禁用父路径 “父路径选项允许在对诸
17、如 MapPath 函数调用中使用“.。禁用该选项的步骤如下:右键单击该 Web 站点的根,然后从上下文菜单中选择“属性。单击“主目录选项卡。单击“配置。单击“应用程序选项选项卡。取消选择“启用父路径复选框。l禁用禁用-内容位置中的内容位置中的 IP IP 地址地址 IIS4里的“内容-位置标头可暴露通常在网络地址转换 NAT 防火墙或代理效劳器后面隐藏或屏蔽的内部 IP 地址。IIS效劳平安配置l设置适当的设置适当的 IIS 日志文件日志文件 ACL 确保IIS日志文件%systemroot%system32LogFiles上的ACL是Administrators完全控制System完全控制
18、EveryoneRWC这有助于防止恶意用户为隐藏他们的踪迹而删除文件。l设置适当的设置适当的 虚拟目录的权限虚拟目录的权限 确保IIS虚拟目录如scripts等权限设置是否最小化,删除不需要目录。l将将IIS目录重新定向目录重新定向更改系统默认路径,自定义WEB主目录路径并作相应的权限设置。l使用专门的平安工具使用专门的平安工具 微软的IIS平安设置工具:IISLockTool;是针对IIS的漏洞设计的,可以有效设置IIS平安属性。终端效劳平安l输入法漏洞造成的威胁netuserabc123/addnetlocalgroupadministratorsabc/add注册表DontDisplay
19、LastUserName1降低风险平安修补程序lWindows系列Service PackNTSP6A、2000SP4、XPSP2HotfixlMicrosoft出品的hfnetchk程序检查补丁安装情况 :/hfnetchk.shavlik./default.asp效劳和端口限制l限制对外开放的端口:在TCP/IP的高级设置中选择只允许开放特定端口,或者可以考虑使用路由或防火墙来设置。l禁用snmp效劳或者更改默认的社区名称和权限l禁用terminalserver效劳l将不必要的效劳设置为手动AlerterClipBookputerBrowserNetbios的平安设置lWin2000取消绑
20、定文件和共享绑定翻开控制面板网络高级高级设置选择网卡并将Microsoft网络的文件和打印共享的复选框取消,禁止了139端口。注册表修改HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParametersName:SMBDeviceEnabledType:REG_DWORDValue:0禁止445端口。Netbios的平安设置l禁止匿名连接列举帐户名需要对注册表做以下修改。注:不正确地修改注册表会导致严重的系统错误,请慎重行事!1运行注册表编辑器Regedt32.exe。2定位在注册表中的以下键上:HKEY_LOCAL_MACHINESystemt
21、CurrentControlLSA3在编辑菜单栏中选取加一个键值:ValueName:RestrictAnonymousDataType:REG_DWORDValue:1Windows2000下为24退出注册表编辑器并重启计算机,使改动生效。Netbios的平安设置lWin2000的本地平安策略或域平安策略中中有RestrictAnonymous匿名连接的额外限制选项,提供三个值可选0:None.Relyondefaultpermissions无,取决于默认的权限1:DonotallowenumerationofSAMaccountsandshares不允许枚举SAM帐号和共享2:Noacce
22、sswithoutexplicitanonymouspermissions没有显式匿名权限就不允许访问Windows2000注册表l所有的配置和控制选项都存储在注册表中l分为五个子树,分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configlHkey_local_machine包含所有本机相关配置信息注册表平安 查询数值查询数值 允许用户和组从注册表中读取数值允许用户和组从注册表中读取数值 设置数值设置数值 允许用户和组从注册表中设置数值允许用户和组从注册表中设置数值 创建子
23、项创建子项 允许用户和组在给定的注册项中创建子项允许用户和组在给定的注册项中创建子项 计数子项计数子项 允许用户和组识别某注册项的子项允许用户和组识别某注册项的子项 通通 知知 允许用户和组从注册表中审计通知事件允许用户和组从注册表中审计通知事件 创建链接创建链接 允许用户和组在特定项中建立符号链接允许用户和组在特定项中建立符号链接 删删 除除 允许用户和组在删除选定的注册项允许用户和组在删除选定的注册项 写入写入DAC DAC 允许用户和组将允许用户和组将DACDAC写入注册表项写入注册表项 写入所有者写入所有者 允许用户和组获得注册表项的所有权允许用户和组获得注册表项的所有权 读取控制读取
24、控制 允许用户和组具有访问选定注册表项的安全信息允许用户和组具有访问选定注册表项的安全信息 权权权权 限限限限 解解解解 释释释释注册表的默认权限注册表的审计l对注册表的审计是必需的l审计内容的选择注册表每秒被访问500-1500次任何对象都有可能访问注册表l默认的注册表审计策略为空禁止对注册表的远程访问禁止和删除效劳l通过services.msc禁止效劳l使用ResourceKit彻底删除效劳Sc命令行工具Instsrv工具l举例OS/2和Posix系统仅仅为了向后兼容Server效劳仅仅为了接受netbios请求SMB连接与验证过程ClientServer1.建立建立TCP连接连接2.客户
25、端类型、支持的服务方式列表等客户端类型、支持的服务方式列表等3.服务器认证方式、加密用的服务器认证方式、加密用的key等等4.用户名、加密后密码用户名、加密后密码5.认证结果认证结果随机生成随机生成一把加密一把加密密钥密钥keykey8 8或或1616字节字节采用采用DESDES的变的变形算法,使用形算法,使用keykey对密码散列对密码散列进行加密进行加密SMB提供的效劳lSMB会话效劳TCP 139和TCP 445端口 lSMB数据报支持效劳UDP 138和UDP 445端口lSMB名称支持效劳UDP 137端口开放SMB效劳的危险强化SMB会话平安l强制的显式权限许可:限制匿名访问l控制
26、LANManager验证l使用SMB的签名效劳端和客户端都需要配置注册表 或在本地平安策略中针对Windows2000的入侵1l探测选择攻击对象,了解局部简单的对象信息;针对具体的攻击目标,随便选择了一组IP地址,进行测试,选择处于活动状态的主机,进行攻击尝试l针对探测的平安建议对于网络:安装防火墙,禁止这种探测行为对于主机:安装个人防火墙软件,禁止外部主机的ping包,使对方无法获知主机当前正确的活动状态针对Windows2000的入侵2l扫描使用的扫描软件NAT、流光、Xscan、SSSl扫描远程主机开放端口扫描 操作系统识别 主机漏洞分析扫描结果:端口扫描扫描结果:操作系统识别扫描结果:
27、漏洞扫描针对Windows2000的入侵3l查看目标主机的信息针对Windows2000的入侵4lIIS攻击尝试利用IIS中知名的Unicode和“Translate:f漏洞进行攻击,没有成功。目标主机可能已修复相应漏洞,或没有翻开远程访问权限lAdministrator口令强行破解这里我们使用NATNetBIOS Auditing Tool进行强行破解:构造一个可能的用户帐户表,以及简单的密码字典,然后用NAT进行破解Administrator口令破解情况针对Windows2000的入侵5l稳固权力现在我们得到了Administrator的帐户,接下去我们需要稳固权力装载后门一般的主机为防范
28、病毒,均会安装反病毒软件,如Norton Anti-Virus、金山毒霸等,并且大局部人也能及时更新病毒库,而多数木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以,这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来我们使用NetCat作为后门程序进行演示安装后门程序1l利用刚刚获取的Administrator口令,通过Netuse映射对方驱动器安装后门程序2l将netcat主程序nc.exe复制到目标主机的系统目录下,可将程序名称改为容易迷惑对方的名字l利用at命令远程启动NetCat安装后门程序3针对Windows2000的入侵6l去除痕迹我们留下了痕迹
29、了吗del*.evt echo xxx *.evtl看看它的日志文件无平安日志记录通过入侵来看Win2000的防范l安装防火墙软件,对平安规则库定期进行更新l及时更新操作系统厂商发布的SP补丁程序l停止主机上不必要的效劳,各种效劳翻开的端口往往成为黑客攻击的入口l使用平安的密码l如果没有文件和打印机共享要求,最好禁止135、139和445端口上的空会话l经常利用netsession、netstat查看本机连接情况谢谢!l9、静夜四无邻,荒居旧业贫。6月-236月-23Thursday,June1,2023l10、雨中黄叶树,灯下白头人。12:24:3812:24:3812:246/1/2023
30、12:24:38PMl11、以我独沈久,愧君相见频。6月-2312:24:3812:24Jun-2301-Jun-23l12、故人江海别,几度隔山川。12:24:3812:24:3812:24Thursday,June1,2023l13、乍见翻疑梦,相悲各问年。6月-236月-2312:24:3812:24:38June1,2023l14、他乡生白发,旧国见青山。01六月202312:24:38下午12:24:386月-23l15、比不了得就不比,得不到的就不要。六月2312:24下午6月-2312:24June1,2023l16、行动出成果,工作出财富。2023/6/112:24:3812:
31、24:3801June2023l17、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。12:24:38下午12:24下午12:24:386月-23l9、没有失败,只有暂时停止成功!。6月-236月-23Thursday,June1,2023l10、很多事情努力了未必有结果,但是不努力却什么改变也没有。12:24:3812:24:3812:246/1/202312:24:38PMl11、成功就是日复一日那一点点小小努力的积累。6月-2312:24:3812:24Jun-2301-Jun-23l12、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。12:24:3812:24:
32、3812:24Thursday,June1,2023l13、不知香积寺,数里入云峰。6月-236月-2312:24:3812:24:38June1,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01六月202312:24:38下午12:24:386月-23l15、楚塞三湘接,荆门九派通。六月2312:24下午6月-2312:24June1,2023l16、少年十五二十时,步行夺得胡马骑。2023/6/112:24:3812:24:3801June2023l17、空山新雨后,天气晚来秋。12:24:38下午12:24下午12:24:386月-23l9、杨柳散和风,青山澹吾虑。6
33、月-236月-23Thursday,June1,2023l10、阅读一切好书如同和过去最杰出的人谈话。12:24:3812:24:3812:246/1/202312:24:38PMl11、越是没有本领的就越加自命非凡。6月-2312:24:3812:24Jun-2301-Jun-23l12、越是无能的人,越喜欢挑剔别人的错儿。12:24:3812:24:3812:24Thursday,June1,2023l13、知人者智,自知者明。胜人者有力,自胜者强。6月-236月-2312:24:3812:24:38June1,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01六月202
34、312:24:38下午12:24:386月-23l15、最具挑战性的挑战莫过于提升自我。六月2312:24下午6月-2312:24June1,2023l16、业余生活要有意义,不要越轨。2023/6/112:24:3912:24:3901June2023l17、一个人即使已登上顶峰,也仍要自强不息。12:24:39下午12:24下午12:24:396月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉