windows系统安全管理.pptx

Windows系统安全管理,链接：/s/1i3xeYrz 密码：ei5j,目录,Windows系统管理,反射攻击实例,Windows入侵调查,常见工具介绍,系统安全背景分析,系统安全背景分析,接口决定通路,系统到底有多少个接口？,基于服务器实现应用（windows、linux、unix等）,前序-windows系统常用提权手段,常见的windows系统提权漏洞有： MS08-067： MS11-080： MS11-046： 可直接获取最高权限密码的方式有： Mimikatz 2.0 PWDUMP+彩虹表 可利用的操作系统后门： Shift后门 反射攻击（MS12-063 ）等,获取内网PC机器登录权限,Mimikatz 2.0,输入法提权,能否这么顺利,可冒充目标单位信息中心的人员或第三方外包维护人员，获取PC使用者的信任； 权限获取完成后直接植入免杀后门，反射外联即可； 此类攻击较为极端，但是内网往往为安全的薄弱点，需要时刻留意； 无意识的行为较多，日常所见的大多数均为病毒感染；,直接连入网络,楼层交换机可管理，登陆成功后开启端口连入内网； 直接采用办公室内某台可连入网络的网线； 可采用AP等将内网网络通过无线信号转出；,实施无线攻击的前提,Linux环境：backtrack 5 r3/kali linux 支持的无线网卡：3COM/INTEL/artheros/ralink 切记避免realtek芯片 AP信号放大器 强大的密码破解字典,非法接入发现信号,抓取目标SSID的握手包,Airmon-ng开启网卡混杂模式 kismet进入监控状况，抓取附近无线信号 Airodump-ng，抓取握手包 如短时间抓不到握手包，可用mdk3 攻击AP，强制其客户端下线 Miniewap也可实现上述功能,攻击过程,Windows简介及常用命令,Windows版本发展,Microsoft Windows 2000,Windows NT 5.0,Microsoft Windows XP,Windows NT 5.1,Microsoft Windows Server 2003,Windows NT 5.2,Microsoft Windows Vista,Windows NT 6.0,Microsoft Windows Server 2008,Windows NT 6.0,Microsoft Windows 7,Windows NT 6.1,Microsoft Windows Server 2008 R2,Windows NT 6.1,Microsoft Windows 8,Windows NT 6.2,Microsoft Windows Phone 8,Windows NT 6.2,Microsoft Windows Server 2012,Windows NT 6.2,Windows发展史,个人操作系统发展史,1998年,2001年,2006年,2009年,2012年,系统信息命令介绍,用户及用户组,用户：,组：,SID定义介绍,SID：,安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。 在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。,Windows帐号的SID由字符“S”、SID版本号、颁发机构、子颁发机构、RID组成。例：S-1-5-21-310440588-250036847-580389505-500。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组。,举例：,设置方法：“开始”-“运行”输入secpol.msc 立即启用：gpupdate /force,账号安全设置：,账号策略,帐号策略：,帐号安全选项相关：,密码策略,密码策略:,密码必须满足：a、长度至少为6个字符；b、密码字符必须来自大写字母、小写字母、数字、非字母符号中的三个。,密码复杂度要求:,克隆账号,克隆帐号：,当用Administrator的F项覆盖其 他账号的F项后，就造成了账号是管理员权限，但查询还是原来状态的情况，这就是所谓的克隆账号。 当系统用户一旦被克隆，配合终端服务，就等于向攻击者开启了一扇隐蔽的后门，让攻击者可以随时进入你的系统，这一扇门你看不到,因为它依靠的是微软的终端服务，并没有释放病毒文件，所以也不会被杀毒软件所查杀。,克隆账号,安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。 sam文件是windows NT的用户帐户数据库,所有2K03/2k/NT用户的登录名及口令等相关信息都会保存在这个文件中。 sam文件可以认为类似于unix系统中的shadow文件,不过没有这么直观明了。 我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的 HKEY_LOCAL_MACHINESAMSAM HKEY_LOCAL_MACHINESECURITYSAM 保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。,帐户数据库SAM文件：,克隆账号,克隆administrator帐号：,1.创建隐藏帐号 2.打开注册表编辑器修改SAM权限 3.按F5刷新注册表，查看克隆账号类型 4.分别查看administrator的类型的F值和需要克隆的帐号类型的F值，并将 administrator的F值复制覆盖要克隆的帐号的F值 5.注销计算机，用克隆帐号登录， net localgroup administrators查看克隆帐号 是否在administrators组里 6.测试是否真实具有administrator的权限，新建用户并将其加入administrator组,弱口令检测：,PWDUMP,Ophcrack 利用彩虹表破解PWDUMP的SAM文件,密码抓取工具mimikatz2.0,文件权限控制,前提条件,NTFS分区：,NTFS权限既影响网络访问者也影响本地访问者。 NTFS权限可以为驱动器、文件夹、注册表键值、打印机等进行设置。 权限可以配置给用户或组，不同用户或组对同一个文件夹或文件可以有不同的权限,分区转换：,convert D:/fs:ntfs,注意：不可逆，只能将 FAT 或 FAT32 系统转换为 NTFS 系统，不能将 NTFS 系统转换成 FAT 或 FAT32 系统。如果必须转换，一般需要重新格式化磁盘。,文件权限细分,ACL（access control list）访问控制列表,ACE（Access control entry）访问控制记录,Windows文件权限特性,每种权限都有“允许”和“拒绝”两种设置方法。 权限的来源有“直接设置”和“继承”两种。 如果权限的设置出现矛盾，系统按下面的优先顺序确定权限： 直接设置的拒绝直接设置的允许继承的拒绝继承的允许,权限的优先顺序：,移动、复制对权限继承性的影响： 在同一分区内移动文件或文件夹，权限保持不变。在不同分区间移动文件或文件夹，权限继承新位置的权限。 复制文件或文件夹，权限会继承新位置的权限。 把文件或文件夹移动或复制到FAT分区中时权限会丢失。,删除继承权限,删除继承权限的方法：,夺权：,只有两种人员可以抢夺所有权： 1、Administrators(管理员)组的用户； 2、拥有“获得所有权”这一特别权限的用户。,Windows共享管理,默认共享、共享权限,Windows共享资源,计算机管理界面查看共享资源,共享与CMD命令,net share： 功能：文件或目录共享相关设置,默认共享,默认共享（C$、D$、E$） IPC$(Internet Process Connection)可以被理解为一种“专用管道”，可以在连接双方建立一条安全的通道，实现对远程计算机的访问。Windows NT/2000/XP提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(C$,D$,E$)和系统目录(ADMIN$)共享。 所有这些共享的目的，都是为了方便管理员的管理，只要服务器服务”Server”正在运行当中，就不可能删除IPC$。试图删除只会出现”拒绝访问”的错误提示。当你停止了Server服务后。IPC$会自动消失。但在有意无意中，导致了系统安全性的隐患。 默认共享不是个漏洞。造成安全隐患的并不是默认共享本身。而是系统使用者本身。,自定义共享,自定义共享 相关用户启用 相关用户权限设置 网络工作组设置 共享文件夹设置,访问共享,访问共享资源的方法 访问WindowsXP默认共享非常简单： 一是通过“开始”“运行”，输入“计算机名或IP地址D$或admin$”（不包括两侧的引号，下同）； 二是使用IE等浏览器，在地址栏中输入上述格式或“file://d$”（如图）：,共享权限,“共享”选项卡：,共享权限：,Windows 2003的默认共享权限是Everyone读取； Windows 2000的默认共享权限是Everyone完全控制。,CMD共享命令,Net share： sharename：指共享资源的网络名。如果此名字后面加上“$”字符则此共享就会成为隐含的。 drive:path：指定将被共享的文件夹的绝对路径（包括驱动器名）。如：C:My Documents。 /USERS：设置可以同时访问共享资源的最大用户数，“number”指具体的用户数。 /UNLIMITED：指不限定同时访问共享资源的用户数。 /REMARK：添加一个有关共享资源的描述性注释，注释内容的文本应该包含在引号(“)中。 /DELETE：关闭共享。,CMD共享命令,关闭共享： net share D$ /del 含义：关闭名D$的共享。,Windows系统管理,服务、进程,服务,服务属性,注册表与服务的关联,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一服务项目子项都有一个 Start 数值, 这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。,服务与CMD命令,Net 命令,net config： 功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的 参数： 1. /autodisconnect:time 设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-1到65535分钟，默认值是15分钟。 2. /srvcomment:“text“ 为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。 3. /hidden:yes | no 指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是 no。 net start/stop servername: net start 查看已经开启的服务 net stop servername 停止服务,服务带来的威胁,建议将以下服务停止，并将启动方式修改为手动： Automatic Updates（不使用自动更新可以关闭） Background Intelligent Transfer Service（不使用自动更新可以关闭） DHCP Client Messenger Remote Registry Print Spooler Server（不使用文件共享可以关闭） Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper,MS06040/MS08067,MS10061,服务与CMD命令,Net 命令,net config： 功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的 参数： 1. /autodisconnect:time 设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-1到65535分钟，默认值是15分钟。 2. /srvcomment:“text“ 为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。 3. /hidden:yes | no 指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是 no。 net start/stop servername: net start 查看已经开启的服务 net stop servername 停止服务,进程,基本的系统进程 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法,端口与进程,进程与CMD,进程管理命令 Tasklist 查看进程列表,Tasktkill 结束进程,Ie浏览器 的进程号（PID）为1636和4892,Tasktkill /f /pid 1636 /pid 4892 结束ie浏览器进程,日志,Windows日志文件默认位置是“%systemroot%system32config 安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT FTP连接日志和HTTPD事务日志：%systemroot%system32LogFiles,日志在哪？,反射攻击实例,渗透测试实例,MS12-063漏洞影响范围： IE 7 on Windows XP SP3 IE 8 on Windows XP SP3 IE 7 on Windows Vista IE 8 on Windows Vista IE 8 on Windows 7 IE 9 on Windows 7,IE的execCommand函数在实现上存在释放后重用漏洞，远程攻击者可能利用此漏洞通过诱使用户访问恶意网页执行挂马攻击，控制用户系统。该函数在执行一个命令时，会先触发相应的事件函数，恶意攻击者可在事件函数中重写html页面，致使某个对象被释放掉，但此时execCommand的操作还没完成，这就导致了释放后重用漏洞。攻击者通过精心构造的页面，并诱使受害用户访问，就可以达到在受害用户系统中执行任意指令的目的。,所用的攻击环境,跨站攻击平台，可实现对被攻击目标进行web访问时，对其访问地址进行跳转,漏洞攻击平台，实现对基于MS12-063漏洞的自动化攻击及session-i的监控,攻击环境配置,攻击监控,攻击成功，获取目标执行权限,Windows入侵调查,恶意扫描,常见端口与服务对应关系,Windows入侵检测,及早发现系统异常 检查后门程序 查看日志分析入侵情况 恢复系统以及应用,及早发现系统异常,系统重新启动 系统日志记录 系统运行时间 网络连接时间 系统资源减少 进程占用大量CPU时间 进程消耗大量物理内存 磁盘空间减少 网络流量异常 发送或接收大量SYN数据包 发送或接收大量ICMP数据包 其他流量（如BT协议流量，FTP协议流量）,安全产品 入侵检测 防火墙 其他 其他途径 其他管理员的询问 残缺日志,windows查看遗留痕迹,IE临时文件 访问过的网页 Documents and SettingsLocal SettingsTemporary Internet Files 访问地址记录 记录访问过的网址和本地地址 按日期排列 Documents and SettingsLocal SettingsHistory 使用文件记录 打开过的文档 Documents and SettingsRecent,windows查看遗留痕迹,cookie记录 访问过的网址 使用过的帐户 Documents and Settingscookie 计划任务 使用at命令查看,回收站 根目录下隐藏的Recycler目录 用户删除的文件在以其自身SID为基础命名的子目录中,Windows登录类型及安全日志解析,登录类型2：交互式登录（Interactive） 在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。 登录类型3：网络（Network） 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。 登录类型5：服务（Service） 与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5 登录类型7：解锁（Unlock） 你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。 登录类型8：网络明文（NetworkCleartext） 当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。 登录类型10：远程交互（RemoteInteractive） 当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10。,恢复系统以及应用,复查确认后门清理完毕：Pslist IceSword 判断系统存在漏洞 入侵手法判断：根据日志重现攻击手法；依照流行程度判断 服务内容判断：参照安全公告，检查本机服务 扫描判断：微软工具MBSA基准扫描 修补系统存在漏洞，并加固系统 临时解决方案 使用防火墙策略阻挡指定协议或端口特殊关键字请求，如select * 、insert into 、drop from等 使用防火墙阻挡指定进程 暂时停止使用危险应用 根本解决方案 安装安全补丁 更换安全的应用系统 暂时停止使用危险应用 启动所有应用，测试是否正常运行,常见工具介绍,按行为查找后门,在后门程序运行的过程中，后门程序除正常的访问一些敏感文件、注册表项等行为外，还可能会出现创建模块等异常行为，而这些额外创建出来的文件会辅助恶意程序的主进程工作，防止主进程被用户或杀毒软件中断，因此，可通过监控工具来查看恶意程序的行为。 Filemon,按行为查找后门,Filemon会以进程为线索，列举该进程以何种方式（即，界面中的“请求”）对什么文件（即，界面中的“路径”）进行什么样的访问（请求方式分为OPEN、READ、QUERY、CLOSE等），以及访问是否成功（即，界面中的“结果”）。 如果需要对特定的进程进行监视或过滤，可点击快捷菜单上的漏洞图标，填写指定的进程名来进行结果过滤：,wireshark,恶意扫描,NMAP：端口扫描利器,nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推