操作系统安全基础.ppt

操作系统安全基础,主要内容,保护注册表,监视安全事件,端口和协议安全,用户帐户和密码管理,微软防漏洞攻击策略,1. 用户帐户和密码管理 设定安全的密码 至少包含8个字符（获得最高的安全性，至少15个字符，使强硬破解方式成指数倍增长） 大小写、数字和符号的组合 不包含姓名、用户名或者常用单词 不与其他人共享 定期更换密码（1、2、3个月）,用户帐户和密码管理,SAM (Security Accounts Manager),在独立的Windows计算机上，安全账户管理器负责保存用户账户名和口令的信息 口令通过散列并被加密，现有的技术不能将打乱的口令恢复(尽管如此，散列的口令是可以被猜出的) SAM组成了注册表的5个配置单元之一，它在文件%systemroot%system32configsam中实现,Windows安全登录过程,Winlogon,加载GINA，监视认证顺序,加载认证包,支持额外的验证机制,为认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,Winlogon GINA图形身份认证和验证动态链接库 LSA本地安全管理授权 Authentication Packages验证软件包 Netlogon服务 SAM安全帐户管理器,Windows安全登录过程,Windows的身份验证机制,不同身份验证机制： LanManager - LM口令散列算法 win9X NTLM - 更加强大的加密NT版 winNTSP3 NTLMv2 第二版 winNTSP4 Kerberos V5 用于windows的域环境,LM口令加密方案,LM对口令的处理方法 如果口令不足14位，就用0把口令补足14位 把所有的字母转成大写字母 将处理后的口令分成两组数字，每组是7位 由这两个7位的数字分别生成8位的DES KEY 每一个8位的DES KEY都使用一个魔法数字再进行散列加密形成64位的值 将两组64位的值串连在一起，这就是最终的128位口令散列,LanMan的缺陷与建议,缺陷 如果口令长度在8-13位之间，则后面的7字符先破解，对前7个字符的破解可以提供某些信息 建议：使用较长的口令,NTLM-加密NT版,NTLM(加密NT版)是将用户的口令转换成unicode编码，然后使用MD4算法将口令加密。 LAN manager口令使用了较弱的密钥和算法，比较容易破解。 相比较之下，使用较强加密算法的NTLM要安全，而NTLMv2更加安全。,1. 用户帐户和密码管理 设定安全的密码 至少包含8个字符（获得最高的安全性，至少15个字符，使强硬破解方式成指数倍增长） 大小写、数字和符号的组合 不包含姓名、用户名或者常用单词 不与其他人共享 定期更换密码（1、2、3个月）,用户帐户和密码管理,1. 用户帐户和密码管理 保护administrator帐户 修改名，不要使用它作为日常帐户 使用后不要保持登录状态 关闭此管理员帐户,用户帐户和密码管理,1. 用户帐户和密码管理 密码破解工具 Winternals locksmith Elcomsoft adanced nt security explorer L0phtcrack5 Offine NT password®istry editor Windows XP/2000/NT key John the ripper cains,用户帐户和密码管理,主要内容,保护注册表,监视安全事件,端口和协议安全,用户帐户和密码管理,微软防漏洞攻击策略,2. 保护注册表 键子键键值 键值项格式 键值名：数据类型：键值 键值类型 字符串 二进制值 双字节值（DWORD）,保护注册表,2. 保护注册表 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_ CURRENT_CONFIG,保护注册表,2. 保护注册表 限制注册表的访问权限 监控注册表的变化 RegMon 实时监视注册表的改变 Regsnap 获得注册表的快照,保护注册表,主要内容,保护注册表,监视安全事件,端口和协议安全,用户帐户和密码管理,微软防漏洞攻击策略,3. 监视安全事件 启用安全审核 本地安全策略,监视安全事件,3. 监视安全事件 查看安全日志 事件查看器,监视安全事件,动作 对登录/注销的失败审核 对登录/注销的成功审核 对用户权限、用户和组管理、安全更改策略、重新启动、关机和系统事件的成功审核 对敏感文件访问和对象访问事件的成功和失败审核 对R/W访问权限的成功和失败进行审核,攻击 随机口令攻击 被盗窃的口令侵入 滥用特权 不适当的文件访问,监视安全事件,主要内容,保护注册表,监视安全事件,端口和协议安全,用户帐户和密码管理,微软防漏洞攻击策略,4. 端口和协议的安全性 常用端口和协议 确定活动的端口及其应用程序 限制对端口的访问 关闭不需要的服务,端口和协议安全,4. 端口和协议的安全性 常用端口和协议 IANA(internet assigned numbers authority) 11023 已知分配 102449151 需注册端口 4915265535 自主使用 FTP 21 文件传输协议 telnet 23 使用字符的终端连接 Smtp 25 简单邮件传输协议 http 80 超文本传输协议 Pop3 110 邮局协议版本3 NNTP 119 网络新闻传输协议 SNMP 161 简单网络管理协议 HTTPS 443 安全HTTP RDP 3389 远端桌面协议（终端服务） Pc anywhere 5631/5632 PC anywhere7.52,端口和协议安全,4. 端口和协议的安全性 确定活动的端口及其应用程序 任务管理器的进程菜单 tasklist tasklist /svc tasklist /v tasklist /m dll名称 Tlist Tlist s Tlist t Tlist pid Tlist m dll名称 netstat aon,端口和协议安全,4. 端口和协议的安全性 限制对端口的访问 TCP/IP筛选器 根据源或目标地址/端口/协议来拒绝或允许流量 Windows Firewall 阻止除了由自己计算机发起的通信的响应外所有进入的流量 防止黑客试图访问可能有监听程序运行的端口 IP Security 提供了通过加密和身份验证保护流量的能力,端口和协议安全,4. 端口和协议的安全性 关闭不需要的服务 服务控制台 禁止的服务 telnet允许远程用户登录到此计算机并运行程序。 TCP/IP NetBIOS Helper允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。 Task Scheduler使用户能在此计算机上配置和制定自动任务的日程。 Remote Registry使远程用户能修改此计算机上的注册表设置。 Print Spooler 将文件加载到内存中以便迟后打印。 Messenger 传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。,端口和协议安全,主要内容,保护注册表,监视安全事件,端口和协议安全,用户帐户和密码管理,微软防漏洞攻击策略,GS Guard Stack DEP Data Executive Protection ASLR Address Space Layout Randomization SEHOP SEH Overwrite Protection,微软防漏洞攻击策略,防止溢出后跳转到攻击代码 GS，SEHOP 防止攻击代码轻