《[精选]Windows2000系统安全(1)-网络与信息安全.pptx》由会员分享,可在线阅读,更多相关《[精选]Windows2000系统安全(1)-网络与信息安全.pptx(169页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Win2k系统平安系统平安1胡建斌胡建斌北京大学网络与信息平安研究室北京大学网络与信息平安研究室E-mail:hjbininfosec.pku.edu :/infosec.pku.edu/hjbin 目目 录录1.Win2K平安架构平安架构2.针对针对Win2K的平安扫描的平安扫描3.针对针对Win2K的攻击的攻击Win2K的平安架构的平安架构Win2K平安子系统平安子系统WindowsWindowsNTNT的的设设计计从从最最初初就就考考虑虑了了平平安安问问题题:获获得得了了TCSECTCSECC2C2认认证证,这在竞争剧烈的商业操作系统市场中是一个不错的业绩这在竞争剧烈的商业操作系统市场中
2、是一个不错的业绩WindowsWindows20002000正正处处于于一一个个类类似似的的标标准准评评估估过过程程中中,使使用用通通用用标标准准 monCriteria,CCmonCriteria,CC为为了了获获得得更更高高的的级级别别B B级级,WindowsWindows20002000需需要要在在它它的的设设计计中中融融入入一一些关键的元素,包括但不限于:些关键的元素,包括但不限于:用于认证的平安登录工具用于认证的平安登录工具 可自由设定的访问控制可自由设定的访问控制 审核审核WindowsWindows 20002000通通过过它它的的平平安安子子系系统统实实现现了了这这些些功功能
3、能。图图2.12.1显显示示了了Windows2000Windows2000的平安子系统的平安子系统SRM(Security Refrence Monitor)SRM处于内核模式处于内核模式监视用户模式中的应用程序代码发出的资源访问请求监视用户模式中的应用程序代码发出的资源访问请求并进行检查并进行检查所有的平安访问控制应用于所有的平安主体所有的平安访问控制应用于所有的平安主体security principle平安主体平安主体用户用户组组计算机计算机用户帐户用户帐户账账户户是是一一种种参参考考上上下下文文,操操作作系系统统在在这这个个上上下下文文描描述述符符运运行行它它的的大大局局部部代代码码
4、。换换一一种种说说法法,所所有有的的用用户户模模式式代代码码在在一一个个用用户户账账户户的的上上下下文文中中运运行行。即即使使是是那那些些在在任任何何人人都都没没有有登登录录之之前前就就运运行行的的代代码码例例如如效效劳劳也也是是运运行行在在一一个个账账户户特特殊殊的的本本地地系系统统账账户户SYSTEMSYSTEM的的上下文中的上下文中的如如果果用用户户使使用用账账户户凭凭据据用用户户名名和和口口令令成成功功通通过过了了登登录录认认证证,之之后后他他执执行行的的所所有有命命令令都都具具有有该该用用户户的的权权限限。于于是是,执执行行代代码码所所进进行行的的操操作作只只受受限限于于运运行行它它
5、的的账账户户所所具具有有的的权权限限。恶恶意意黑黑客客的的目目标标就就是是以以尽尽可可能能高高的的权权限限运运行行代代码码。那那么么,黑黑客客首首先先需需要要“变变成成具具有有最最高权限的账户高权限的账户系统内建帐户系统内建帐户用户帐户攻击用户帐户攻击本地本地AdministratorAdministrator或或SYSTEMSYSTEM账户是最有权力的账户账户是最有权力的账户相相对对于于AdministratorAdministrator和和SYSTEMSYSTEM来来说说,所所有有其其他他的的账账户户都都只只具有非常有限的权限具有非常有限的权限因因此此,获获取取AdministratorA
6、dministrator或或SYSTEMSYSTEM账账户户几几乎乎总总是是攻攻击击者者的的最终目标最终目标组组组是用户账户集合的一种容器组是用户账户集合的一种容器WindowsWindows20002000具具有有一一些些内内建建的的组组,它它们们是是预预定定义义的的用用户户容容器,也具有不同级别的权限器,也具有不同级别的权限放到一个组中的所有账户都会继承这些权限。放到一个组中的所有账户都会继承这些权限。最最简简单单的的一一个个例例子子是是本本地地的的AdministratorsAdministrators组组,放放到到该该组组中的用户账户具有本地计算机的全部权限中的用户账户具有本地计算机的
7、全部权限系统内建组系统内建组域中的组域中的组当当WindowsWindows20002000系系统统被被提提升升为为域域控控制制器器时时,同同时时还还会会安安装装一系列预定义的组一系列预定义的组权权限限最最高高的的预预定定义义组组包包括括域域管管理理员员DomainDomainAdminsAdmins,它它具有域中的所有权限具有域中的所有权限还还有有企企业业管管理理员员EnterpriseEnterpriseAdminsAdmins,它它具具有有域域森森林林的的全部权限全部权限域内建组域内建组组攻击组攻击1.1.本地本地AdministratorAdministrator或或SYSTEMSYS
8、TEM账户是最有权力的账户账户是最有权力的账户2.2.本本地地WindowsWindows20002000系系统统中中的的本本地地AdministratorsAdministrators组组是是最最有有吸吸引引力力的的目目标,因为这个组的成员继承了相当于管理员的权限标,因为这个组的成员继承了相当于管理员的权限3.3.DomainDomainAdminsAdmins和和EnterpriseEnterpriseAdminsAdmins是是WindowsWindows20002000域域中中最最有有吸吸引引力力的的目目标标,因因为为用用户户账账户户参参加加到到它它们们当当中中后后将将会会提提升升为为
9、具具有有域域中中的的全全部部权限权限4.4.相相对对于于AdministratorsAdministrators、DomainDomainAdminsAdmins和和EnterpriseEnterpriseAdminsAdmins,所所有有其他的组都只具有非常有限的权限其他的组都只具有非常有限的权限5.5.获获取取AdministratorsAdministrators、DomainDomainAdminsAdmins和和EnterpriseEnterpriseAdminsAdmins组组中中的的账账户几乎总是攻击者的最终目标户几乎总是攻击者的最终目标特殊用户特殊用户WindowsWindow
10、sNT/2000NT/2000具具有有一一些些特特殊殊身身份份,它它们们是是处处于于特特定定传传输输状状态态的的账账户户例例如如通通过过网网络络登登录录或或来来自自于于特特定定位位置置的的账账户例如在键盘上进行交互式登录的容器户例如在键盘上进行交互式登录的容器这这些些身身份份能能够够用用来来调调节节对对资资源源的的访访问问控控制制。例例如如,NT/2000NT/2000中对特定进程的访问受限于中对特定进程的访问受限于INTERACTIVEINTERACTIVE交互用户交互用户特殊用户特殊用户SAM Security Accounts Manager在在独独立立的的WindowsWindows2
11、0002000计计算算机机上上,平平安安账账户户管管理理器器负负责责保保存存用用户户账账户户名和口令的信息名和口令的信息口口令令通通过过散散散散列列列列并并并并被被被被加加加加密密密密,现现有有的的技技术术不不能能将将打打乱乱的的口口令令恢恢复复尽尽管管如如此,散列的口令是可以被猜出的此,散列的口令是可以被猜出的 SAMSAM组组 成成 了了 注注 册册 表表 的的 5 5个个 配配 置置 单单 元元 之之 一一,它它 在在 文文 件件%systemroot%system32configsam%systemroot%system32configsam中实现中实现在在WindowsWindows
12、20002000域域控控制制器器上上,用用户户账账户户和和散散列列的的数数据据保保存存在在活活动动目目录录中中默默认认为为%systemroot%ntdsntds.dit%systemroot%ntdsntds.dit。散散列列是是以以相相同同的的格格式式保保存的,但是要访问它们必须通过不同的方法存的,但是要访问它们必须通过不同的方法SYSKEY从从NT4NT4ServiceServicePackPack3 3开开始始,MicrosoftMicrosoft提提供供了了对对SAMSAM散散列列进行进一步加密的方法,称为进行进一步加密的方法,称为SYSKEYSYSKEYSYSKEYSYSKEY是是
13、SystemSystemKEYKEY的的缩缩写写,它它生生成成一一个个随随机机的的128128位位密密钥钥,对散列再次进行加密不是对对散列再次进行加密不是对SAMSAM文件加密,而是对散列文件加密,而是对散列为了启用为了启用SYSKEYSYSKEY,你必须运行,你必须运行SYSKEYSYSKEY命令,命令,SYSKEY森林、树、域森林、树、域作用域作用域信任信任边界管理边界管理域域1.1.通通过过将将一一台台或或几几台台WindowsWindows20002000效效劳劳器器提提升升为为域域控控制制器器,就就可可以以很很容容易地创立易地创立Windows2000Windows2000域域2.2
14、.域域控控制制器器DomainDomainController,Controller,DCDC是是共共享享的的域域信信息息的的平平安安存存储储仓仓库库,同时也作为域中认证的中央控制机构同时也作为域中认证的中央控制机构3.3.域域定定义义了了共共享享账账户户的的一一种种分分布布边边界界。域域中中的的所所有有系系统统都都共共用用一一组组账账户户。在在NTNT中中,共共享享的的域域信信息息从从主主域域控控制制器器PrimaryPrimaryDCDC,PDCPDC向向备备份份域域控控制器制器BackupDCBackupDC,BDCBDC进行复制,称为单主机复制进行复制,称为单主机复制4.4.在在Win
15、dowsWindows20002000域域中中,所所有有的的域域控控制制器器都都是是对对等等的的,它它们们之之间间进进行行的的域信息复制称为多主机复制域信息复制称为多主机复制树和森林树和森林由由于于WindowsWindows20002000活活动动目目录录的的实实现现,域域已已经经不不再再像像NTNT中中那那样样是是逻逻辑辑上上的的管管理理边边界界,在在活活动动目目录录层层次次中中,在在域域之之上上还还存在存在“树和树和“森林的结构森林的结构树树在在很很大大程程度度上上只只是是命命名名上上的的约约定定,没没有有太太多多平平安安上上的的含含义义,但但是是森森林林划划分分了了WindowsWin
16、dows20002000目目录录效效劳劳的的边边界界,它它是是管理控制的根本界限管理控制的根本界限作用域作用域信任关系信任关系WindowsWindows20002000可可以以在在域域间间形形成成信信任任关关系系。信信任任关关系系只只是是创创立了域间的隐含访问能力,但是并没有显式地启用立了域间的隐含访问能力,但是并没有显式地启用信信任任可可以以是是单单向向的的或或双双向向的的。单单向向信信任任意意味味着着一一个个域域信信任任另另一一个个域域,反反过过来来不不存存在在信信任任。双双向向信信任任定定义义了了两两个个域域之之间间相相互互信信任任。单单向向信信任任通通常常用用于于允允许许一一个个域域
17、中中的的管管理理员员定定义对所在域的访问控制规则,而相反则不行义对所在域的访问控制规则,而相反则不行信任关系信任关系信信任任可可以以是是可可传传递递的的和和不不可可传传递递的的。可可传传递递的的信信任任意意味味着着如如果果域域A A传传递递信信任任域域B B,而而域域B B传传递递信信任任域域C C,则则域域A A就就传传递递信任域信任域C C在在默默认认情情况况下下,WindowsWindows20002000森森林林中中的的所所有有域域之之间间都都存存在在可传递的、双向的信任可传递的、双向的信任WindowsWindows20002000可可以以对对森森林林外外的的域域或或NT4NT4域域
18、建建立立单单向向的的、不不可传递的信任可传递的信任平安边界平安边界由由于于森森林林中中各各个个域域之之间间自自动动建建立立的的双双向向可可传传递递的的信信任任,导导致了可以分配森林中各个域的权限的通用组的存在致了可以分配森林中各个域的权限的通用组的存在同同 一一 森森 林林 中中 其其 他他 域域 的的 管管 理理 员员 有有 夺夺 取取 活活 动动 目目 录录 的的ConfigurationConfiguration容容器器的的所所有有权权并并对对其其进进行行修修改改的的潜潜在在能能力力。这这种种修修改改将将会会在在森森林林中中的的所所有有域域控控制制器器上上传传播播。于于是是,对对于于任任
19、何何参参加加到到该该森森林林的的域域来来说说,你你必必须须保保证证该该域域的的域域管管理理员能够像其他域管理员一样可信员能够像其他域管理员一样可信Windows2000Windows2000森林内部实际的平安边界是森林森林内部实际的平安边界是森林域入侵的威胁域入侵的威胁假假设设一一个个黑黑客客占占领领了了一一个个域域控控制制器器,森森林林中中的的其其他他域域都都具具有有潜潜在在的的危危险险,因因 为为 森森 林林 中中 任任 何何 域域 的的 DomainDomain AdminsAdmins都都 能能 够够 获获 取取 活活 动动 目目 录录 的的ConfigurationConfigura
20、tion容容器器的的所所有有权权并并修修改改其其中中的的信信息息,并并可可以以将将对对该该容容器器的的修改复制到森林中其他的域控制器上修改复制到森林中其他的域控制器上如如果果任任何何外外部部域域的的账账户户在在被被攻攻入入的的域域进进行行认认证证,那那么么攻攻击击者者可可以以通通过过LSALSA口口令令缓缓存存来来偷偷取取这这些些账账户户的的口口令令,这这使使得得他他的的影影响响扩扩大大到到森森林林中中的的其他域其他域如如果果根根域域被被攻攻入入,那那么么EnterpriseEnterpriseAdminsAdmins和和SchemaSchemaAdminsAdmins组组的的成成员员可可以以
21、对对森森林林中中的的所所有有域域进进行行全全面面的的控控制制,除除非非在在此此之之前前你你已已经经手手动动限限制制了了这些组的权限这些组的权限 SIDSIDWindowWindowNT/2000NT/2000内内部部对对平平安安主主体体的的操操作作是是通通过过一一个个称称为为平平安安标标识识符符SecuritySecurityIdentifierIdentifier,SIDSID的的全全局局惟惟一一的的4848位位数数字来进行的字来进行的SIDSID能能够够防防止止系系统统将将来来自自计计算算机机A A的的AdministratorAdministrator账账户户与与来来自计算机自计算机B
22、B的的AdministratorAdministrator账户弄混账户弄混SIDS-1-5-21-1507001333-1204550764-1011284298-500SIDSID带有前缀带有前缀S S,它的各个局部之间用连字符隔开,它的各个局部之间用连字符隔开第一个数字本例中的第一个数字本例中的1 1是修订版本编号是修订版本编号第第二二个个数数字字是是标标识识符符颁颁发发机机构构代代码码对对WindowsWindows20002000来来说说总总是为是为5 5然然后后是是4 4个个子子颁颁发发机机构构代代码码本本例例中中是是2121和和后后续续的的3 3个个长长数数字字串串和和一一个个相相
23、对对标标识识符符RelativeRelativeIdentifierIdentifier,RIDRID,本本例例中是中是500500SID的生成的生成SIDSID中中的的一一局局部部是是各各系系统统和和域域惟惟一一具具有有的的,而而另另一一局局部部RIDRID是是跨所有系统和域共享的跨所有系统和域共享的当当安安装装WindowsWindows20002000时时,本本地地计计算算时时机机颁颁发发一一个个随随机机的的SIDSID。类类似的似的当当创创立立一一个个WindowsWindows20002000域域时时,它它也也被被指指定定一一个个惟惟一一的的SIDSID。于于是是对对任任何何的的Wi
24、ndowsWindows20002000计计算算机机或或域域来来说说,子子颁颁发发机机构构代代码码总总是是惟惟一的除非成心修改或复制,例如某些底层的磁盘复制技术一的除非成心修改或复制,例如某些底层的磁盘复制技术RIDRIDRID对对所所有有的的计计算算机机和和域域来来说说都都是是一一个个常常数数。例例如如,带带有有RIDRID500500的的SIDSID总总是是代代表表本本地地计计算算机机的的真真正正的的AdministratorAdministrator账账户户。RIDRID501501是是GuestGuest账户账户在在域域中中,从从10001000开开始始的的RIDRID代代表表用用户户
25、账账户户例例如如,RIDRID10151015是是在在该域中创立的第该域中创立的第1414位用户位用户WindowsWindows20002000或或者者使使用用适适当当工工具具的的恶恶意意黑黑客客总总是是将将具具有有RIDRID500500的账户识别为管理员的账户识别为管理员其它的其它的SIDS-1-1-0EveryoneS-1-2-0Interactive用户S-1-3-0CreatorOwnerS-1-3-1CreatorGroup为什么不能总是使用为什么不能总是使用AdministratorAdministrator登录登录C:net use 192.168.234.44ipc$pas
26、sword/u:Administrator System error 1326 has occurred.Logon failure:unknown user name or bad password.WindowsWindows会自动将当前登录用户的凭据提交给网络登录企图会自动将当前登录用户的凭据提交给网络登录企图如如果果用用户户在在客客户户端端上上是是使使用用AdministratorAdministrator登登录录的的,这这个个登登录录企企图图就就会会被被解解释释为为客客户户端端希希望望使使用用本本地地AdministratorAdministrator账账户户登登录录到到远程系统远程
27、系统当然,这个账户在远程效劳器上没有上下文当然,这个账户在远程效劳器上没有上下文你你可可以以使使用用netnetuseuse命命令令来来手手动动指指定定登登录录上上下下文文,给给出出远远程程域域、计算机名称或计算机名称或IPIP地址和用户名,并在用户名前加上反斜线,例如:地址和用户名,并在用户名前加上反斜线,例如:C:net use 192.168.234.44ipc$password/u:domainAdministrator The mand pleted successfully.查看查看SIDC:user2sid AdministratorS-1-5-21-1507001333-120
28、4550764-1011284298-500Number of subauthorities is 5Domain is CORPC:sid2user 5 21 1507001333 1204550764 1011284298 500Name is AdministratorDomain is CORPType of SID is SidTypeUser认证、授权和审核认证、授权和审核令牌令牌网络认证网络认证审核审核登录认证过程登录认证过程首首先先,WindowsWindows20002000必必须须确确定定自自己己是是否否在在与与合合法法的的平平安安主主体体打打交交道。这是通过认证实现的道。
29、这是通过认证实现的最最简简单单的的例例子子是是通通过过控控制制台台登登录录到到WindowsWindows20002000的的用用户户。用用户户按按下下标标准准的的CTRL+ALT+DELCTRL+ALT+DEL组组合合键键以以翻翻开开WindowsWindows20002000平平安安登登录录窗窗口口,然然后后输输入入账账户户名名称称和和口口令令。平平安安登登录录窗窗口口将将输输入入的的凭凭据据传传递递给给负负责责验验证证的的用用户户模模式式组组件件,如如WinlogonWinlogon和和LSASSLSASS。假假设设凭凭据据是是有有效效的的,WinlogonWinlogon将将创创立立一
30、一个个令令牌牌或或称称访访问问令令牌牌,并并将将之之绑绑定定到到用户登录会话上,稍后访问资源时需要提供令牌用户登录会话上,稍后访问资源时需要提供令牌令牌令牌令令牌牌中中含含有有与与用用户户账账户户有有关关的的所所有有SIDSID,包包括括账账户户的的SIDSID,还还有有该该用用户户所所属属的的所所有有组组和和特特殊殊身身份份如如DomainDomainAdminsAdmins和和INERACTIVEINERACTIVE的的SIDSID可可以以使使用用whoamiwhoami这这样样的的工工具具包包含含在在WindowsWindows20002000ResourceResourceKitKit
31、中中来查看与登录会话相关的来查看与登录会话相关的SIDSID网络认证挑战网络认证挑战/应答应答效劳器向客户端发出一个随机值挑战效劳器向客户端发出一个随机值挑战客客户户端端使使用用用用户户口口令令的的散散列列对对它它进进行行加加密密散散列列函函数数运运算算,并并将将这这个个新计算出的值应答传回效劳器新计算出的值应答传回效劳器效效劳劳器器从从本本地地SAMSAM或或活活动动目目录录中中取取出出用用户户的的散散列列,对对刚刚发发送送的的质质询询进进行散列运算,并将结果与客户端的应答相比较行散列运算,并将结果与客户端的应答相比较于于是是,在在WindowsWindowsNT/2000NT/2000认认
32、证证过过程程中中,没没有有口口令令通通过过网网络络传传输输,即即使是以加密的形式也没有使是以加密的形式也没有Win2K支持的认证方法支持的认证方法审核审核审核策略:即需要记录哪些事件审核策略:即需要记录哪些事件LSASSLSASS在在系系统统引引导导时时以以及及策策略略修修改改时时将将审审核核策策略略传传递递给给平平安安参参考考监监视视器器SRMSRMSRMSRM和和WindowsWindows20002000对对象象管管理理器器一一起起生生成成审审核核记记录录,并并将将它它们们发发送送给给LSASSLSASSLSASSLSASS添添加加相相关关的的细细节节进进行行访访问问的的账账户户的的SI
33、DSID等等等等并并将将它它们们提提交交给事件日志效劳,由后者记录到平安日志中给事件日志效劳,由后者记录到平安日志中目目 录录1.Win2K平安架构平安架构2.针对针对Win2K的平安扫描的平安扫描3.针对针对Win2K的攻击的攻击扫描工具扫描工具NetBIOS查找工具查找工具NetViewNetViewNbtstatNbtstatNbtscanNbtscannetviewxnetviewxDNS查找工具查找工具NetviewNetviewNslookupNslookupNltestNltest共享资源查找工具共享资源查找工具DumpSecDumpSecenumenumNeteNeteSID查
34、找工具查找工具user2siduser2sidSid2userSid2useruserinfouserinfoUserdumpUserdumpGetAcctGetAcctSNMP查找工具查找工具snmputilsnmputilSolarWindsSolarWinds活动目录查找工具活动目录查找工具ldpldpSolarWindsSolarWinds对策对策在网络或主机级别上,禁止对在网络或主机级别上,禁止对TCPTCP和和UDPUDP端口端口135135139139和和445445的访问的访问禁用禁用SMBSMB效劳效劳将将RestrictAnonymousRestrictAnonymous设
35、置为设置为2 2SMBSMBServerServerMessageMessageBlockBlock,局局域域网网上上提提供供共共享享文文件件和和打打印印机机的的协协议议禁用禁用139端口端口在在本本地地连连接接的的属属性性窗窗口口中中,翻翻开开InternetInternetProtocolProtocolTCP/IPTCP/IP的的属属性性,然然后后选选择择AdvancedAdvanced|WINSWINS标标签签,有有一一个个选选项项称称为为DisableDisableNetBIOSNetBIOSoverTCP/IPoverTCP/IP,如下图,如下图禁用禁用SMB多多数数用用户户可可能
36、能会会认认为为禁禁用用了了TCP/IPTCP/IP上上的的NetBIOSNetBIOS就就已已经经成成功功地地禁禁止止了了对对他他们们的的计计算算机机的的SMBSMB访访问问。这这是是错错误误的的。这这个个设设置置只只是是禁禁用用了了NetBIOSNetBIOS会会话效劳,即话效劳,即TCPTCP端口端口139139WindowsWindows20002000在在TCPTCP445445上上运运行行了了另另一一个个SMBSMB监监听听程程序序。系系统统版版本本高高于于NT4NT4ServiceServicePackPack6a6a的的WindowsWindowsSMBSMB客客户户端端在在试试
37、图图与与TCPTCP139139建建立立连连接接失失败败后后,会会自自动动转转向向TCPTCP445445,因因此此空空会会话话仍仍然然能能够够被被客客户户建建立立,即即使使TCP139TCP139已经禁用或阻塞已经禁用或阻塞禁用禁用445端口端口翻翻开开NetworkNetworkandandDial-upDial-upConnectionsConnections网网络络和和拨拨号号连连接接,选选择择AdvancedAdvanced菜菜单单中中的的AdvancedAdvancedSettingsSettings高高级级设设置置,然然后后在在适适当当的的适适配配器器上上取取消消对对FileFi
38、leandandPrinterPrinterSharingSharingforforMicrosoftMicrosoftNetworksNetworksMicrosoftMicrosoft网络的文件和打印机共享的选择,如下图网络的文件和打印机共享的选择,如下图禁用禁用SNMP删除删除SNMPSNMP代理代理配置为只对特定的配置为只对特定的IPIP地址作响应地址作响应配置为只对特定的配置为只对特定的IP地址作响应地址作响应在在使使用用惟惟一一的的一一台台管管理理工工作作站站轮轮询询所所有有设设备备的的SNMPSNMP数数据据的的环环境境中中,这是一种典型的配置这是一种典型的配置翻翻开开Servi
39、cesServices MMCMMC|SNMPSNMP ServiceService PropertiesProperties对对话话框框|SecuritySecurity标标签签,选选择择AcceptAcceptSNMPSNMPpacketspacketsfromfromthesethesehostshosts单单项选择按钮,并指定你的项选择按钮,并指定你的SNMPSNMP管理工作站的管理工作站的IPIP地址,如下图地址,如下图目目 录录1.Win2K平安架构平安架构2.针对针对Win2K的平安扫描的平安扫描3.针对针对Win2K的攻击的攻击针对针对Win2K的攻击的攻击SMBSMB攻击攻击
40、权限提升权限提升获得交互获得交互扩大影响扩大影响去除痕迹去除痕迹攻击手段攻击手段猜测用户名和密码猜测用户名和密码获取密码散列获取密码散列利用脆弱的网络效劳或客户端利用脆弱的网络效劳或客户端获取对系统的物理访问获取对系统的物理访问SMBSMB攻击攻击猜测猜测SMBSMB密码密码窃听窃听SMBSMB认证认证攻击前准备工作攻击前准备工作关闭与目标之间的空连接关闭与目标之间的空连接回忆扫描结果回忆扫描结果防止账户锁定防止账户锁定管理员的重要性管理员的重要性关闭与目标之间的空连接关闭与目标之间的空连接因因为为NT/2000NT/2000不不支支持持同同时时使使用用不不同同的的凭凭据据进进行行连连接接,我
41、我们们必必须须使使用用netnetuseuse/delete/delete命命令令注注销销现现有有的的与与目目标标之之间间的的全全部部空空会会话话使使用用/y/y参数可以使连接关闭而不用进行提示:参数可以使连接关闭而不用进行提示:C:net use*/d/y回忆扫描结果回忆扫描结果实验室或测试账户实验室或测试账户在你的环境中存在多少这样的账户?其中有多少个位于本地的Administrators组中?你是否知道这样的账户的密码通常是什么在注释字段中带有丰富信息的用户账户在注释字段中带有丰富信息的用户账户通过查点获取的信息,见到过在这个字段中以明文的形式写出的密码。那些不愿意记住复杂密码的“不幸的
42、用户经常在注释字段中有很多提示,其有助于密码猜测AdministratorsAdministrators组或组或DomainAdminsDomainAdmins组的成员组的成员 这些账户通常是攻击者的目标,因为它们拥有本地系统或域的至高无上的权限。同时,使用Microsoft的默认工具不能锁定本地的Administrator账户,这使得它成为连续密码猜测攻击的目标回忆扫描结果回忆扫描结果共享的组账户共享的组账户大多数组织都倾向于在给定环境中的大局部系统上重用账户凭据。例如类似于backup备份或admin管理这样的账户名称。这些账户的密码通常都比较容易猜测最近一定时期内没有修改正密码的账户最近
43、一定时期内没有修改正密码的账户这通常说明用户和系统管理员对账户维护工作的不重视,有可能导致潜在的危险。这些账户也可能会使用在创立该账户时指定的默认密码,这是很容易猜出的通常会使用单位的名称,或者是Wele欢送等单词最近一定时期内没有登录过的账户最近一定时期内没有登录过的账户同样,使用频率很低的账户也是维护工作的疏忽所导致的,它们的密码通常也比较容易猜出防止账户锁定探测锁定防止账户锁定探测锁定阈值值EnumpEnumpGuestGuest帐户猜测帐户猜测在Windows2000上,Guest账户在默认情况下是被禁用的,但是如果你到达了锁定阈值,你仍然能够收到提示Guest猜测猜测C:net us
44、e victim.ipc$*/u:guest Type the password for mgmgrandipc$:System error 1326 has occurred.Logon failure:unknown user name or bad password.C:net use victim.ipc$*/u:guest Type the password for mgmgrandipc$:System error 1909 has occurred.The referenced account is currently locked out and may not be logg
45、ed on to.Guest猜测猜测在在猜猜测测GuestGuest或或其其他他账账户户的的密密码码时时,需需要要注注意意的的另另外外一一件件事事是是如如果果你你确确实实猜猜对对了了一一个个已已经经被被禁禁用用账账户户的的密密码码,那那么么将将会会出出现现另另一一种种不不同同的的错误消息:错误消息:C:net use victim.ipc$*/u:guest Type the password for mgmgrandipc$:System error 1331 has occurred.Logon failure:account currently disabled.在在WindowsWin
46、dows20002000中中,GuestGuest账账户户的的密密码码默默认认为为空空。于于是是,如如果果你你连连续续地地以以空空密密码码来来猜猜测测GuestGuest账账户户,那那么么永永远远也也不不会会到到达达锁锁定定阈阈值值除除非非密密码码被人为修改正被人为修改正开始攻击开始攻击猜测猜测SMBSMB密码密码手工手工SMB密码猜测密码猜测C:net use victim.ipc$password/u:victim.username System error 1326 has occurred.Logon failure:unknown user name or bad password.
47、可能的用户名密码组合可能的用户名密码组合使用使用For循环字典攻击循环字典攻击创立字典创立字典 C:echo credentials.txtcredentials.txt administrator administrator password administrator administrator使用使用For循环字典攻击循环字典攻击猜测猜测C:FOR/F tokens=1,2*%i in credentials.txtMore?do net use victim.IPC$%j/u:victim.%iMore?2nulMore?&echo%time%date%outfile.txtMore?
48、&echo victim.acct:%i pass:%j outfile.txt使用使用For循环字典攻击循环字典攻击查看猜测结果查看猜测结果 C:type outfile.txt 11:53:43.42 Wed 05/09/2001 victim.acct:administrator pass:自动攻击工具自动攻击工具NATNATSMBGrindSMBGrindFgrindFgrind 对策对策实施密码复杂性要求实施密码复杂性要求账户锁定账户锁定启用登录失败事件的审核启用登录失败事件的审核查看事件日志查看事件日志锁定真正的锁定真正的AdministratorAdministrator账户并创
49、立一个假目标账户并创立一个假目标禁用闲置账户禁用闲置账户仔细核查管理人员仔细核查管理人员实施密码复杂性要求实施密码复杂性要求账户锁定账户锁定启用登录失败事件的审核启用登录失败事件的审核查看事件日志查看事件日志来自来自FoundstoneFoundstone公司的公司的NTLastNTLast来自来自FoundstoneFoundstone公司的公司的VisualLastVisualLast来自来自TNTSoftwareTNTSoftware公司的事件日志监视器公司的事件日志监视器ELMELM来自来自AelitaSoftwareAelitaSoftware公司的公司的EventAdminEven
50、tAdmin锁定真正的锁定真正的Administrator账户账户NT4ResourceKitNT4ResourceKit中提供了一个称为中提供了一个称为passproppassprop的工具的工具WindowsWindows20002000上上运运行行admnlockadmnlock只只能能工工作作在在安安装装了了SP2SP2或或更更高高的的系系统统上上,并并且且只只有有在在系系统统或或域域设设置置了了账账户户锁锁定定阈阈值值之之后后才才会发生作用会发生作用要要使使用用admnlockadmnlock在在网网络络中中锁锁定定真真正正的的AdministratorAdministrator账账