NISE安全技术工程师培训 w2k.ppt

NISE安全技术工程师培训 Win2K安全配置与管理 课程目的 了解win2K系统的设计原理了解Win2K的安全特性能够对win2K系统进行安全配置授课方式 讲解 演示 学员实际操作 Windows系统安全配置 为什么要介绍windowsNT安全WindowsNT体系构架WindowsNT安全模型WindowsNT安全配置WindowsNT的审计分析 为什么要介绍windows安全 系统安全评测标准系统面临很多威胁系统漏洞导致的损失 TCSEC安全等级 基于C2级标准的安全组件 灵活的访问控制 WindowsNT支持C2级标准要求的灵活访问控制 要求包括允许对象的属主能够完全控制谁可以访问这个对象及什么样的访问权限 对象再利用 WindowsNT很明确地阻止所有的应用程序不可访问被另一应用程序使用所占用资源内的信息 比如内存或磁盘 强制登陆 与WindowsforWorkgroups Windows95和98不同 WindowsNT用户在能访问任何资源前必须通过登陆来验证他们的身份 这也是另一个原因缺乏这种强制登陆的NT要想达到以前的C2级的标准就必须禁止网络功能 审计 因为WindowsNT采用单独地机制来控制对任何资源的访问 所以这种机制可以集中地记录下所有的访问活动 控制对象的访问 WindowsNT不允许直接访问系统里的资源 被攻击的前几种操作系统 MicrosoftWindows31663000UNIX22544605CISCOIOS7821832 被攻击最多的通用WEB服务器 被攻击的产品占有用户的百分比被攻击的次数MicrosoftIIS41 0617797201ApacheGroupApache10 6212602NetscapeEnterpriseServer9 074892IplanetE commerceSolution0 13124 系统漏洞导致的损失 系统漏洞导致的损失 2003 8 15全球受冲击波里蠕虫感染的机器超过34万台 8月1日下午微软公司网站被黑 一个多小时无法访问 为什么要介绍windowsNT安全WindowsNT体系统构架WindowsNT安全模型WindowsNT安全配置WindowsNT的审计分析 Windows系统安全配置 WindowsNT体系统构架 服务管理器 服务进程 系统支持进程 本地安全验证服务 Windows登录 会话管理器 应用程序 环境子系统 Svchost exe Winmgmt exe Spooler Services exe 任务管理器 Windows浏览器 用户级应用程序 子系统动态链接库 OS 2 POSIX Win32 系统服务调度进程 核心可调用接口 I O设备管理器设备 文件驱动程序 文件系统缓存管理器 即插即用设备管理器 虚拟内存管理器 进程和线程 注册表配置管理器 NTdll dll Win32UserGDI图形驱动 HAL Microkernel 进程地址空间 系统地址空间 线程 线程 线程 进程和线程 什么是进程 代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程 进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个线程运行程序的 主 函数可以在同一个进程中创建其他的线程可以创建额外的进程 系统进程 基本的系统进程SystemIdleProcess这个进程是作为单线程运行在每个处理器上 并在系统不处理其他线程的时候分派处理器的时间smss exe会话管理子系统 负责启动用户会话csrss exe子系统服务器进程winlogon exe管理用户登录services exe包含很多系统服务lsass exe本地安全身份验证服务器svchost exe包含很多系统服务SPOOLSV EXE将文件加载到内存中以便迟后打印 系统服务 explorer exe资源管理器internat exe托盘区的拼音图标 系统进程树 smss exe对话管理器第一个创建的进程引入参数HKLM System CurrentControlSet Control SessionManager装入所需的子系统 csrss 然后winlogoncsrss exeWin32子系统winlogon exe登录进程 装入services exe和lsass exe显示登录对话框 键入CTRL ALT DEL 登录 当有人登入 运行在HKLM Software Microsoft WindowsNT WinLogon Userinit中的进程 通常只是userinit exe services exe服务控制器 也是几项服务的出发点服务的开始进程不是services exe的一部分 由HKLM System CurrentControlSet Services驱动 lsass exe本地安全验证服务器 打开SAM userinit exe登陆之后启动 启动外壳 通常是Explorer exe 见HKLM Software Microsoft WindowsNT CurrentVersion WinLogon Shell 装入配置文件 恢复驱动器标识符映象 然后退出explorer exe和它的孩子是所有交互式应用的创建者 附加的系统进程 mstask exe允许程序在指定时间运行 系统服务 regsvc exeregsvc exe允许远程注册表操作 系统服务 winmgmt exe提供系统管理信息 系统服务 inetinfo exe通过Internet信息服务的管理单元提供信息服务连接和管理 系统服务 tlntsvr exe允许远程用户登录到系统并且使用命令行运行控制台 系统服务 dns exe应答对域名系统 DNS 名称的查询和更新请求 系统服务 为什么要介绍windowsNT安全WindowsNT体系统构架WindowsNT安全模型WindowsNT安全配置WindowsNT的审计分析 Windows系统安全配置 安全的组件 安全标识符SID 综合计算机名字 当前时间 以及处理当前用户模式线程所花费CPU的时间所建立起来的 一个SID S 1 5 16349933112989372637 500访问令牌访问令牌是由用户的SID安全描述符 用户所属于组的SID 用户名 用户所在组的组名构成的安全描述符是由对象属主的SID 组SID 灵活访问控制列表以及计算机访问控制列表访问控制列表包括DACL和SACL 灵活访问控制列表里记录用户和组以及它们的相关权限 系统访问控制列表包含为对象审计的事件 windowsNT安全模型 Logprocess SAM UserAccountDatabase SecurityPolicyDatabase LSA Auditlog Win32application Win32subsystem SecurityReferenceMonitor Usermode Kernelmode Securitypolicy Auditmessage WindowsNT安全子系统 Winlogon GINA LocalSecurityAuthority LSA AuthenticationPackages SecuritySupportProviders SecurityAccountManager Netlogon SSPI 为什么要介绍windowsNT安全WindowsNT体系统构架WindowsNT安全模型WindowsNT安全配置WindowsNT的审计分析 Windows系统安全配置 身份认证 访问控制 安全配置程序 数据的安全 EFS IPSec SSL TLS TCP IP Kerberos 证书服务 智能卡 安全模板 组策略 权限控制 安全分析 安全策略 组权限 NTLM 安全管理与维护 保护注册表 用户管理 漏洞与补丁 数据备份 Win2000基本安全注意事项 Win2000安装配置 建立和选择分区选择安装目录不安装多余的组件停止多余的服务安装系统补丁 多余的组件 Internt信息服务 IIS 如不需要 索引服务IndexingService消息队列服务 MSMQ 远程安装服务远程存储服务终端服务终端服务授权 Win2K服务 身份认证 访问控制 安全配置程序 数据的安全 EFS IPSec SSL TLS TCP IP Kerberos 证书服务 智能卡 安全模板 组策略 权限控制 安全分析 安全策略 组权限 NTLM 安全管理与维护 保护注册表 用户管理 漏洞与补丁 数据备份 Win2000基本安全注意事项 用户身份验证 交互式登录使用域帐号使用本地计算机帐户网络身份验证KerberosV5NTLM验证安全套接字层 传输层安全 SSL TLS NTLM验证实例 1 A向B发起连接请求 2 B向A发送挑战 一组随机数据 3 A用源自明文口令的DESKEY对挑战进行标准DES加密得到响应 并发往B 4 B从SAM中获取A的LMHash NTLMHash 计算出DESKEY 并对前面发往A的挑战进行标准DES加密 5 如果 4 中计算结果与A送过来的响应匹配 A被允许访问B 使用NTLM的配置 Windows2000Professional客户端向WindowsNT4 0的域控制器验证身份WindowsNT4 0Workstation客户端向Windows2000域控制器验证身份WindowsNT4 0Workstation客户端向WindowsNT4 0域控制器验证身份WindowsNT4 0域中的用户向Windows2000域验证身份 智能卡身份验证 什么是智能卡智能卡读取器用智能卡登录计算机 KerberosV5工作原理 KDC TGT TGS TGT ST KerberosV5用于处理用户或系统身份的身份验证的Internet标准安全协议 请求的网络 ST 为什么需要证书机构 Alice使用Bob公钥加密 Bob使用本身私钥解密 如何确定公钥为真 从网上获得Bob公钥 证书的概念 证书将公钥安全地绑定到持有相应私钥的实体中 证书由颁发证书的机构进行数字签名 并且可被管理以便用于用户 计算机或服务 被最广泛接受的证书格式由ITU TX 509国际标准定义 使用独立机构 安全的第三方CA证书验证 CA 1 发送请求2 验证信息3 使用CA私有密钥对对方公钥签名4 出版证书作为安全信任 Alice使用Bob公钥加密 Bob使用本身私钥解密 证书服务 SSL安全机制 SSL 加密套接字协议层 位于HTTP层和TCP层之间 建立用户与服务器之间的加密通信 确保所传递信息的安全性 使用SSL安全机制时 首先客户端与服务器建立连接 服务器把它的数字证书与公共密钥一并发送给客户端 客户端随机生成会话密钥 用从服务器得到的公共密钥对会话密钥进行加密 并把会话密钥在网络上传递给服务器 而会话密钥只有在服务器端用私人密钥才能解密 这样 客户端和服务器端就建立了一个唯一的安全通道 身份认证 访问控制 安全配置程序 数据的安全 EFS IPSec SSL TLS TCP IP Kerberos 证书服务 智能卡 安全模板 组策略 权限控制 安全分析 安全策略 组权限 NTLM 安全管理与维护 保护注册表 用户管理 漏洞与补丁 数据备份 Win2000基本安全注意事项 访问控制 NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制 NTFS与FAT分区权限 FAT32 NTFS 文件权限 用户权限 Administrators组Users组PowerUsers组BackupOperators组 Administrators组权限 安装操作系统和组件 例如硬件驱动程序 系统服务等等 安装ServicePacks和WindowsPacks 升级操作系统 修复操作系统 配置关键操作系统参数 例如密码策略 访问控制 审核策略 内核模式驱动程序配置等等 获取已经不能访问的文件的所有权 管理安全措施和审核日志 备份和还原系统 USERS组权限 用户不能修改系统注册表设置 操作系统文件或程序文件 用户可以关闭工作站不能关闭服务器可以创建本地组 但只能修改自己创建的本地组他们可以运行由管理员安装和配置的Windows2000认可的程序对自己的所有数据文件 userprofile 和自己的那一部分注册表 HKEY CURRENT USER 有完全的控制权 用户无法安装其他用户运行的程序不能访问其他用户的私人数据或桌面设置 POWERUSERS组权限 可以运行一些安全性不太严格的应用程序安装不修改操作系统文件并且不需要安装系统服务的应用程序自定义系统资源 包括打印机 日期 时间 电源选项和其他控制面板资源 创建和管理本地用户帐户和组启动或停止默认情况下不启动的服务 超级用户没有将自己添加到管理员组的权限不能访问在NTFS卷上的其他用户的数据 BackupOperators组 可以备份和还原计算机上的文件 而不管保护这些文件的权限如何 可以登录到计算机和关闭计算机 但不能更改安全性设置 备份和还原数据文件和系统文件都需要对这些文件的读写权限 权限控制原则和特点 1 权限是累计2 拒绝的权限要比允许的权限高3 文件权限比文件夹权限高4 利用用户组来进行权限控制5 权限的最小化原则 网络访问控制 身份认证 访问控制 安全配置程序 数据的安全 EFS IPSec SSL TLS TCP IP Kerberos 证书服务 智能卡 安全模板 组策略 权限控制 安全分析 安全策略 组权限 NTLM 安全管理与维护 保护注册表 用户管理 漏洞与补丁 数据备份 Win2000基本安全注意事项 EFS加密文件系统 特性 1 采用单一密钥技术2 核心文件加密技术仅用于NTFS 使用户在本地计算机上安全存储数据3 加密用户使用透明 其他用户被拒4 不能加密压缩的和系统文件 加密后不能被共享 能被删除 建议加密文件夹 不要加密单独的文件 EFS恢复代理 故障恢复代理就是获得授权解密由其他用户加密的数据的管理员必须进行数据恢复时 恢复代理可以从安全的存储位置获得数据恢复证书导入系统 默认的超级管理员就是恢复代理使用条件 当加密密钥丢失 通道将一个数据报用一个新的数据报封装 SecurityParameterIndex IPDestinationAddress SecurityProtocol 安全关联 SA SA就是两个IPSec系统之间的一个单向逻辑连接 32比特 用于标识具有相同IP地址和相同安全协议的不同SA 可以是普通IP地址 也可是广播或者组播地址 可以是AH或者ESP IP头部 IPSec概念 身份认证报头 AH协议提供数据源身份认证 数据完整性保护负载安全封装 ESP协议提供数据保密 数据源身份认证 数据完整性因特网安全关联和密钥管理协议 IKE 以前被叫ISAKMP Oakley 提供自动建立安全关联和管理密钥的功能 IPSec组件 IPsec的传输模式默认配置 提供点到点的安全IPsec的隧道模式数据的封装 发送和拆封称为隧道 在路由器两端配置保护路由间的通讯 IPsec工作模式 IPsec工作模式 IPSec的配置和使用 IPSec的安全性 使用IPSec可以避免数据包被跟听 篡改 安装IPSec后 客户端和服务器端都会消耗一定资源来对数据加密 解密 如果使用IPSec考虑安全性的级别还要考虑IPSec策略的过滤器配置个数 练习 用user加密一个文件 设置IPSec策略 禁止Ping 建立一个证书颁发机构 颁发一个普通用户证书 身份认证 访问控制 安全配置程序 数据的安全 EFS IPSec SSL TLS TCP IP Kerberos 证书服务 智能卡 安全模板 组策略 权限控制 安全分析 安全策略 组权限 NTLM 安全管理与维护 保护注册表 用户管理 漏洞与补丁 数据备份 Win2000基本安全注意事项 本地安全策略 帐号策略 在账户策略 密码策略中设定 密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天 在账户策略 账户锁定策略中设定 账户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟 本地安全策略 本地策略 审核策略 决定记录在计算机 成功 失败的尝试 的安全日志上的安全事件 用户权利分配 决定在计算机上有登录 任务特权的用户或组 安全选项 启用或禁用计算机的安全设置 例如数据的数字信号 administrator和guest的帐号名 软驱和光盘的访问 驱动程序的安装以及登录提示 组策略 安全模板与配置分析工具 安全模板安全配置分析配置计算机 预定义安全模板 默认工作站 basicwk inf 默认服务器 basicsv inf 默认域控制器 basicdc inf 兼容工作站或服务器 compatws inf 安全工作站或服务器 securews inf 高度安全工作站或服务器 hisecws inf 专用域控制器 dedicadc inf 安全域控制器 securedc inf 高度安全域控制器 hisecdc inf IIS的安全配置 安装IIS注意事项Web站点主目录目录安全性 安装IIS注意事项 选择安装组件INTERNET服务管理器INTERNET服务管理器 HTML WORLDWIDEWEB服务器公用文件文档文件传输 FTP 服务器避免安装在主域控制器上删除inetpub下的scripts目录 IIS工具 ToolIISLockTool具有以下功能和特点 帮助管理员设置IIS安全性 此工具可以在4IIS4和IIS5上使用 帮助管理员去掉对本网站不必要的一些服务 使IIS在满足本网站需求的情况下运行最少的服务下载地址 IE的安全设置 常规安全高级 身份认证 访问控制 安全配置程序 数据的安全 EFS IPSec SSL TLS TCP IP Kerberos 证书服务 智能卡 安全模板 组策略 权限控制 安全分析 安全策略 组权限 NTLM 安全管理与维护 保护注册表 用户管理 漏洞与补丁 数据备份 Win2000基本安全注意事项 用户管理 更改超级管理名称取消guest帐号合理分配其它用户权限 Regedit与Regedt32的区别 注册表安全设置 不显示上次登录的用户名禁止默认网络共享禁止枚举域内用户防范SYN攻击 不显示上次登录用户名 HKLM Software Microsoft WindowsNT CurrentVersions Windlogon将DontDisplayLastUserName的值设为1 删除默认网络共享 服务器 Key HKLM SYSTEM CurrentControlSet Services lanmanserver parametersName AutoShareServerType DWORDValue 0工作站 Key HKLM SYSTEM CurrentControlSet Services lanmanserver parametersName AutoShareWksType DWORDValue 0 禁止枚举用户名和共享 Key HKLM SYSTEM CurrentControlSet Control LsaName RestrictAnonymousType REG DWORDValue 1 2 备份和还原数据 将文件备份到文件或磁带备份 系统状态 数据使用备份向导备份文件计划备份将文件备份到MicrosoftExchange 系统漏洞及修复 输入法漏洞空会话漏洞unicode漏洞 ida idq缓冲区溢出漏洞 printisapi扩展远程缓冲区溢出Frontpage服务器扩展漏洞sqlserver空口令Windows接口远程缓冲区漏洞 练习 将默认共享删除 安全地配置IIS 设置禁止空会话 合理管理用户并设置用户权限 为什么要介绍windowsNT安全WindowsNT体系统构架WindowsNT安全模型WindowsNT安全配置WindowsNT的审计分析 Windows系统安全配置 安全审核与日志 审计成功 可以确定用户或服务获得访问指定文件 打印机或其他对象的频率审计失败 警告那些可能发生的安全泄漏 访问文件夹的审核审核策略安全事件查看并分析 windowsNT日志 系统日志跟踪各种各样的系统事件 比如跟踪系统启动过程中的事件或者硬件和控制器的故障 应用程序日志跟踪应用程序关联的事件 比如应用程序产生的象装载DLL 动态链接库 失败的信息将出现在日志中 安全日志跟踪事件如登录上网 下网 改变访问权限以及系统启动和关闭 注意 安全日志的默认状态是关闭的 日志 Internet信息服务FTP日志默认位置 systemroot system32logfiles msftpsvc1默认每天一个日志Internet信息服务WWW日志默认位置 systemroot system32 logfiles w3svc1 默认每天一个日志FTP日志和WWW日志文件名通常为ex 年份 月份 日期 例如ex001023就是2000年10月23日产生的日志 用记事本就可直接打开Scheduler服务日志默认位置 systemroot schedlgu txt 日志分析 FTP日志分析 如下例 Software MicrosoftInternetInformationServices5 0 微软IIS5 0 Version 1 0 版本1 0 Date 2000102303 11 55 服务启动时间日期 03 11 55127 0 0 1 1 USERadministator 331 IP地址为127 0 0 1用户名为administator试图登录 03 11 58127 0 0 1 1 PASS 530 登录失败 03 12 04