系统安全.pdf

北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 崔宝江 博士 副教授 北京邮电大学 cui bj北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 1 用户帐户和密码管理用户帐户和密码管理 2 NTFS和和EFS保护文件保护文件 3 保护注册表保护注册表 4 监视安全事件监视安全事件 5 端口和协议安全端口和协议安全 6 Web服务器安全服务器安全 7 Windows安全产品线安全产品线 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 禁用和删除不需要的帐户禁用和删除不需要的帐户 每个帐户归属于适当的安全组每个帐户归属于适当的安全组 设定安全的密码设定安全的密码 保护保护administrator帐户帐户 保护保护guest帐户帐户 使用使用syskey增加额外的保护增加额外的保护 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 禁用和删除不需要的帐户禁用和删除不需要的帐户 禁用禁用Guest帐户帐户 禁用禁用administrator帐户帐户 及时删除不需要的用户及时删除不需要的用户 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 设定安全的密码设定安全的密码 至少包含至少包含8个字符 获得最高的安全性 至少个字符 获得最高的安全性 至少15个 字符 使强硬破解方式成指数倍增长 个 字符 使强硬破解方式成指数倍增长 大小写 数字和符号的组合大小写 数字和符号的组合 不包含姓名 用户名或者常用单词不包含姓名 用户名或者常用单词 不与其他人共享不与其他人共享 定期更换密码 定期更换密码 1 2 3个月 个月 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Account Identifier Security identifier SID 帐户帐户 user accounts 定义了定义了Windows中一个用户所必要的信息 包括口令 安全中一个用户所必要的信息 包括口令 安全 ID SID 组成员关系 登录限制 组成员关系 登录限制 组 组 universal groups global groups local groups Account Identifier Security identifier SID 时间和空间唯一时间和空间唯一 全局惟一的全局惟一的48位数字位数字 S 1 5 21 1507001333 1204550764 1011284298 500 SID带有前缀带有前缀S 它的各个部分之间用连字符隔开 它的各个部分之间用连字符隔开 第一个数字第一个数字 本例中的本例中的1 是修订版本编号是修订版本编号 第二个数字是标识符颁发机构代码第二个数字是标识符颁发机构代码 对对Windows 2000来说总 是为 来说总 是为5 然后是然后是4个子颁发机构代码个子颁发机构代码 本例中是本例中是21和后续的和后续的3个长数字串个长数字串 和一个相对标识符和一个相对标识符 Relative Identifier RID 本例中是 本例中是500 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 RID RID对所有的计算机和域来说都是一个常数对所有的计算机和域来说都是一个常数 RID 500是是Administrator账户账户 RID 501是是Guest账户账户 在域中 从在域中 从1000开始的开始的RID代表用户账户代表用户账户 例如 例如 RID 1015是在该域中创建的第是在该域中创建的第14位用户位用户 Windows 2000 或者使用适当工具的恶意黑客或者使用适当工具的恶意黑客 总是将具 有 总是将具 有RID 500的账户识别为管理员的账户识别为管理员 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 查看SID C user2sid Administrator S 1 5 21 1507001333 1204550764 1011284298 500 Number of subauthorities is 5 Domain is CORP C sid2user 5 21 1507001333 1204550764 1011284298 500 Name is Administrator Domain is CORP Type of SID is SidTypeUser 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 SAM Security Accounts Manager 在独立的在独立的Windows计算机上 安全账户管理器负责保存用 户账户名和口令的信息 计算机上 安全账户管理器负责保存用 户账户名和口令的信息 口令通过口令通过散列散列散列散列并并并并被加密被加密被加密被加密 现有的技术不能将打乱的口令恢 复 现有的技术不能将打乱的口令恢 复 尽管如此 散列的口令是可以被猜出的尽管如此 散列的口令是可以被猜出的 SAM组成了注册表的组成了注册表的5个配置单元之一 它在文件个配置单元之一 它在文件 systemroot system32 config sam中实现中实现 在在Windows 2000域控制器上 用户账户和散列的数据保 存在活动目录中 域控制器上 用户账户和散列的数据保 存在活动目录中 默认为默认为 systemroot ntds ntds dit 散 列是以相同的格式保存的 但是要访问它们必须通过不同 的方法 散 列是以相同的格式保存的 但是要访问它们必须通过不同 的方法 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 一 Windows安全基础 Winlogon GINA LSA Security Account ManagementNetlogon Authentication PackagesSecurity Support Provider SSPI 加载GINA 监视认证顺序 提供登陆接口 提供真正的 用户校验 加载认证包 支持额外的 验证机制 管理用户和用户 证书的数据库 为认证建立 安全通道 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 一 Windows安全基础 Winlogon GINA图形身份认证和验证动态链接库图形身份认证和验证动态链接库 LSA本地安全管理授权本地安全管理授权 Authentication Packages验证软件包验证软件包 Netlogon服务服务 SAM安全帐户管理器安全帐户管理器 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 LanMan验证和NTLM验证 Windows 支持多种验证机制 每一种验证机制 之间的安全级别不同 支持多种验证机制 每一种验证机制 之间的安全级别不同 下表列出了下表列出了Windows 所支持的各种验证机制 微软系统所采用的验证加密算法 所支持的各种验证机制 微软系统所采用的验证加密算法 比比比比 NTLM NTLM 更复杂 但在安全方面具有更长的跟踪记录更复杂 但在安全方面具有更长的跟踪记录更复杂 但在安全方面具有更长的跟踪记录更复杂 但在安全方面具有更长的跟踪记录只适用于只适用于只适用于只适用于20002000KerberosKerberos 比比比比 NTLM NTLM 更安全 建议用于异机种更安全 建议用于异机种更安全 建议用于异机种更安全 建议用于异机种 NT4 2000 NT4 2000 环境环境环境环境NT4 SP4NT4 SP4 20002000NTLM v2NTLM v2 比比比比 LANManLANMan 更加安全更加安全更加安全更加安全NT4NT4 20002000NTLMNTLM WFW WFW 和和和和 Win 9x Win 9x 必须使用这种方法 但这种方法容易受到窃听必须使用这种方法 但这种方法容易受到窃听必须使用这种方法 但这种方法容易受到窃听必须使用这种方法 但这种方法容易受到窃听全全全全 部部部部LANManLANMan 备备备备注注注注受支持的客户机受支持的客户机受支持的客户机受支持的客户机身份验证类型身份验证类型身份验证类型身份验证类型 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 多种验证机制 LanManager LM口令散列算法 win9X口令散列算法 win9X NTLM 更加强大的加密更加强大的加密NT版版winNTSP3 NTLMv2 第二版第二版 winNTSP4 Kerberos V5 win2K之后的域环境之后的域环境 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 LM口令加密方案 LM对口令的处理方法对口令的处理方法 如果口令不足如果口令不足14位 就用位 就用0把口令补足把口令补足14位位 把所有的字母转称大写字母把所有的字母转称大写字母 将处理后的口令分成两组数字 每组是将处理后的口令分成两组数字 每组是7位 位 由这两个由这两个7位的数字分别生成位的数字分别生成8位的位的DES KEY 每一个每一个8位的位的DES KEY都使用一个魔法数字再进行散 列加密形成 都使用一个魔法数字再进行散 列加密形成64位的值位的值 将两组将两组64位的值串连在一起 这就是最终的位的值串连在一起 这就是最终的128位口令 散列 位口令 散列 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 LanMan的缺陷与建议 缺陷缺陷 如果口令长度在如果口令长度在8 13位之间 则后面的位之间 则后面的7字符 先破解 对前 字符 先破解 对前7个字符的破解可以提供某些信 息 个字符的破解可以提供某些信 息 建议 使用较长的口令建议 使用较长的口令 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 NTLM验证 NTLM协议是协议是Windows NT 4 0操作系统中 网络验证的默认协议 操作系统中 网络验证的默认协议 Windows 3 11 Windows 95 98或者或者 Windows NT 4 0的计算机在的计算机在Windows 2000域中使用域中使用NTLM协议进行网络验证协议进行网络验证 在需要在需要Windows NT 4 0的服务器验证和访 问 的服务器验证和访 问 NT 4 0域中资源时 运行域中资源时 运行Windows 2000的计算机使用的计算机使用NTLM 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 NTLM 加密NT版 NTLM 加密加密NT版版 是将用户的口令转换成是将用户的口令转换成 unicode编码 然后使用编码 然后使用MD4算法将口令加密 算法将口令加密 LAN manager口令使用了较弱的密钥和算法 比较容 易破解 口令使用了较弱的密钥和算法 比较容 易破解 相比较之下 使用较强加密算法的相比较之下 使用较强加密算法的NTLM要安全 而要安全 而 NTLMv2更加安全 更加安全 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 NTLM认证过程 服务端服务端 明文用户名 询问 128位随机数 应答 用口令导出的hash值加密随机数 用户名 询问 应答 验证结果 域控制器域控制器 1 域控制器利用用户名从SAM Security Account Manager 数据库得到用户口令的 hash值 并用此值加密challenge 2 域控制器比较它自己算出来的challenge 密文和客户算出来的challenge密文 如果相 等的话 认证成功 客户端客户端 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 设定安全的密码设定安全的密码 至少包含至少包含8个字符 获得最高的安全性 至少个字符 获得最高的安全性 至少15个 字符 使强硬破解方式成指数倍增长 个 字符 使强硬破解方式成指数倍增长 大小写 数字和符号的组合大小写 数字和符号的组合 不包含姓名 用户名或者常用单词不包含姓名 用户名或者常用单词 不与其他人共享不与其他人共享 定期更换密码 定期更换密码 1 2 3个月 个月 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 保护保护administrator帐户帐户 修改名 不要使用它作为日常帐户修改名 不要使用它作为日常帐户 使用后不要保持登录状态使用后不要保持登录状态 创建一个创建一个administrator帐户 并将其放到帐户 并将其放到guest组中组中 目的目的1 诱饵 吸引注意力 破解了也没关系 诱饵 吸引注意力 破解了也没关系 目的目的2 可以帮你判断谁来攻击你 可以帮你判断谁来攻击你 关闭此管理员帐户 关闭此管理员帐户 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 保护保护guest帐户帐户 关闭 停用 改名关闭 停用 改名 将将guest列入拒绝从网络访问名单中 如果没有共 享文件夹和打印机 防止 列入拒绝从网络访问名单中 如果没有共 享文件夹和打印机 防止guest从网络访问计算 机 关闭计算机以及查看日志 从网络访问计算 机 关闭计算机以及查看日志 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 使用使用syskey增加额外的保护增加额外的保护 保护保护SAM安全安全 SAM Security Accounts Manager 包含有本地系统或者所 控制域上所有用户的用户名和密文形式的密码 这是攻击者最 感兴趣的部位 包含有本地系统或者所 控制域上所有用户的用户名和密文形式的密码 这是攻击者最 感兴趣的部位 获取获取sam的手段的手段 从另一个文件系统进行拷贝从另一个文件系统进行拷贝 从关键文件的备份中获取压缩之后的从关键文件的备份中获取压缩之后的sam文件文件 在线提取密码散列值在线提取密码散列值 破解工具破解工具 无论是字典破解 还是穷举攻击 往往很奏效无论是字典破解 还是穷举攻击 往往很奏效 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 密码破解工具密码破解工具 Winternals locksmith Elcomsoft adanced nt security explorer L0phtcrack5 Offine NT password registry editor Windows XP 2000 NT key John the ripper 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 1 用户帐户和密码管理用户帐户和密码管理 使用使用syskey增加额外的保护增加额外的保护 命令提示符 命令提示符 syskey 启动密钥启动密钥 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 手动密钥 128bit HASH值 加密sam 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 SYSKEY功能 从从NT4 sp3开始提供开始提供 随机产生128位 syskey随机密钥 对SAM文 件中的口 令字密文 进行加密 保存到SAM文件中 保存随机密钥 注册表中 注册表中 同 时使用额外的 口令加密 软磁盘 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 1 用户帐户和密码管理用户帐户和密码管理 2 NTFS和和EFS保护文件保护文件 3 保护注册表保护注册表 4 监视安全事件监视安全事件 5 端口和协议安全端口和协议安全 6 Web服务器安全服务器安全 7 Windows安全产品线安全产品线 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 2 NTFS和和EFS保护文件保护文件 NTFS保护文件保护文件 用户 组和计算机控制用户 组和计算机控制 NTFS权限权限 基本权限基本权限 文件权限超越文件夹的权限文件权限超越文件夹的权限 拒绝权限超越其他权限拒绝权限超越其他权限 Everyone对根文件夹和文 件具有完全控制权限 对根文件夹和文 件具有完全控制权限 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 2 NTFS和和EFS保护文件保护文件 NTFS保护文件保护文件 权限继承权限继承 Special NTFS权限权限 设定安全共享文件设定安全共享文件 删除删除everyone组 防止匿 名用户连接 组 防止匿 名用户连接 命令行工具命令行工具cacls exe 修改修改program files权限权限 修改修改cmd exe权限权限 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 2 NTFS和和EFS保护文件保护文件 EFS保护文件保护文件 工作原理工作原理 为为NTFS文件提供文件级的加密文件提供文件级的加密 基于非对称公钥算法和对称加密算法的混合机制基于非对称公钥算法和对称加密算法的混合机制 文件使用对称算法加密文件使用对称算法加密 文件的加密密钥使用用户证书的公钥加密 并与加密的文 件一起存储 文件的加密密钥使用用户证书的公钥加密 并与加密的文 件一起存储 用户的私钥可解密出文件的加密密钥 然后解密文件用户的私钥可解密出文件的加密密钥 然后解密文件 私钥存储在智能卡或者安全位置私钥存储在智能卡或者安全位置 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 Crypto APICrypto API I OI O管理者管理者管理者管理者 EFS DriverEFS Driver NTFSNTFS 用户模式用户模式用户模式用户模式 KernelKernel模式模式模式模式 Win32Win32层层层层 应用程序应用程序应用程序应用程序 EFSEFS驱动再通过驱动再通过驱动再通过驱动再通过EFSEFS文件系统运行库文件系统运行库文件系统运行库文件系统运行库 调用调用调用调用NTFSNTFS函数进行文件操作函数进行文件操作函数进行文件操作函数进行文件操作 EFSEFS 服务服务服务服务 EFS驱动与驱动与EFS服务通信获取密钥 监视通信 端口与 服务通信获取密钥 监视通信 端口与 EFS驱动 的通信 驱动 的通信 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 2 NTFS和和EFS保护文件保护文件 EFS保护文件保护文件 加密数据加密数据 菜单方式菜单方式 命令行方式命令行方式cipher exe 在另外一台计算机使用必须备份加密证书和私钥在另外一台计算机使用必须备份加密证书和私钥 授权其他用户共享加密文件夹授权其他用户共享加密文件夹 生成一个故障恢复证书生成一个故障恢复证书 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 1 用户帐户和密码管理用户帐户和密码管理 2 NTFS和和EFS保护文件保护文件 3 保护注册表保护注册表 4 监视安全事件监视安全事件 5 端口和协议安全端口和协议安全 6 Web服务器安全服务器安全 7 Windows安全产品线安全产品线 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 3 保护注册表保护注册表 键 子键 键值键 子键 键值 键值项格式键值项格式 键值名 数据类型 键值键值名 数据类型 键值 键值类型键值类型 字符串字符串 二进制值二进制值 双字节值 双字节值 DWORD 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 3 保护注册表保护注册表 HKEY CLASSES ROOT HKEY CURRENT USER HKEY LOCAL MACHINE HKEY USERS HKEY CURRENT CONFIG 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 3 保护注册表保护注册表 限制注册表的访问权限限制注册表的访问权限 监控注册表的变化监控注册表的变化 FileMon RegMon oringtools 实时监视文件和注册表的改变实时监视文件和注册表的改变 Active Registry Monitor www protect 获得注册表的快照获得注册表的快照 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 1 用户帐户和密码管理用户帐户和密码管理 2 NTFS和和EFS保护文件保护文件 3 保护注册表保护注册表 4 监视安全事件监视安全事件 5 端口和协议安全端口和协议安全 6 Web服务器安全服务器安全 7 Windows安全产品线安全产品线 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 4 监视安全事件监视安全事件 启用安全审核启用安全审核 本地安全策略本地安全策略 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 4 监视安全事件监视安全事件 查看安全日志查看安全日志 事件查看器事件查看器 EventCombMT 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 Windows安全基础 动作动作 对登录对登录 注销的失败审核注销的失败审核 对登录对登录 注销的成功审核注销的成功审核 对用户权限 用户和组管理 安全更改策 略 重新启动 关机和系统事件的成功审 核 对用户权限 用户和组管理 安全更改策 略 重新启动 关机和系统事件的成功审 核 对敏感文件访问和对象访问事件的成功和 失败审核 对敏感文件访问和对象访问事件的成功和 失败审核 对对R W访问权限的成功和失败进行审核访问权限的成功和失败进行审核 攻击攻击攻击攻击 随机口令攻击随机口令攻击随机口令攻击随机口令攻击 被盗窃的口令侵入被盗窃的口令侵入被盗窃的口令侵入被盗窃的口令侵入 滥用特权滥用特权滥用特权滥用特权 不适当的文件访问不适当的文件访问不适当的文件访问不适当的文件访问 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 1 用户帐户和密码管理用户帐户和密码管理 2 NTFS和和EFS保护文件保护文件 3 保护注册表保护注册表 4 监视安全事件监视安全事件 5 端口和协议安全端口和协议安全 6 Web服务器安全服务器安全 7 Windows安全产品线安全产品线 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 二 Windows网络安全 5 端口和协议的安全性端口和协议的安全性 常用端口和协议常用端口和协议 确定活动的端口及其应用程序确定活动的端口及其应用程序 限制对端口的访问限制对端口的访问 关闭不需要的服务关闭不需要的服务 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 二 Windows网络安全 5 端口和协议的安全性端口和协议的安全性 常用端口和协议常用端口和协议 IANA internet assigned numbers authority 1 1023 已知分配已知分配 1024 49151 需注册端口需注册端口 49152 65535 自主使用自主使用 FTP21文件传输协议文件传输协议 telnet23使用字符的终端连接使用字符的终端连接 Smtp25简单邮件传输协议简单邮件传输协议 http80超文本传输协议超文本传输协议 Pop3110邮局协议版本邮局协议版本3 NNTP119网络新闻传输协议网络新闻传输协议 SNMP161简单网络管理协议简单网络管理协议 HTTPS443安全安全HTTP RDP3389远端桌面协议 终端服务 远端桌面协议 终端服务 Pc anywhere5631 5632PC anywhere7 52 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 二 Windows网络安全 5 端口和协议的安全性端口和协议的安全性 确定活动的端口及其应用程序确定活动的端口及其应用程序 任务管理器的进程菜单任务管理器的进程菜单 tasklist tasklist svc tasklist v tasklist m dll名称名称 Tlist Tlist s Tlist t Tlist pid Tlist m dll名称名称 netstat aon 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 二 Windows网络安全 5 端口和协议的安全性端口和协议的安全性 限制对端口的访问限制对端口的访问 TCP IP筛选器筛选器 根据源或目标地址根据源或目标地址 端口端口 协议来拒绝或允许流量协议来拒绝或允许流量 Internet Connection Firewall 组织除了由自己的自己计算机发起的通信的响应外所有进 入的流量 组织除了由自己的自己计算机发起的通信的响应外所有进 入的流量 防止黑客试图访问可能有监听程序运行的端口防止黑客试图访问可能有监听程序运行的端口 IP Security 提供了通过加密和身份验证保护流量的能力提供了通过加密和身份验证保护流量的能力 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 二 Windows网络安全 5 端口和协议的安全性端口和协议的安全性 关闭不需要的服务关闭不需要的服务 服务控制台服务控制台 Services msc 禁止的服务禁止的服务 Clipbook sever 该服务允许通过网络取得系统剪贴版内容的访问权该服务允许通过网络取得系统剪贴版内容的访问权 因容易被非法滥用因容易被非法滥用 所以应该禁止掉这样的服务所以应该禁止掉这样的服务 Computer browser 应该设置为关闭或者手工启动因为越来越多的主机运行这项服务应该设置为关闭或者手工启动因为越来越多的主机运行这项服务 网上邻居就越不可靠网上邻居就越不可靠 这就会引起网络性能下降以及名字解析的问题这就会引起网络性能下降以及名字解析的问题 Network DDE and DDE DSDE 如果不是动态数据库交换如果不是动态数据库交换dde应该尽可能禁止这项服务应该尽可能禁止这项服务 Telephony提供提供 TAPI 的支持 以便程序控制本地计算机 服务器以及的支持 以便程序控制本地计算机 服务器以及 LAN 上的电话 设备和基于 上的电话 设备和基于 IP 的语音连接 的语音连接 Indexing service 一个依赖一个依赖rpc的系统服务的系统服务 支持本地和远程计算机上文件索引支持本地和远程计算机上文件索引 该服务曾 经出现过漏洞 该服务曾 经出现过漏洞 telnet允许远程用户登录到此计算机并运行程序允许远程用户登录到此计算机并运行程序 TCP IP NetBIOS Helper允许对允许对 TCP IP 上上 NetBIOS NetBT 服务以及服务以及 NetBIOS 名 称解析的支持 名 称解析的支持 Task Scheduler使用户能在此计算机上配置和制定自动任务的日程 使用户能在此计算机上配置和制定自动任务的日程 Remote Registry使远程用户能修改此计算机上的注册表设置 使远程用户能修改此计算机上的注册表设置 Print Spooler 将文件加载到内存中以便迟后打印 将文件加载到内存中以便迟后打印 Messenger 传输客户端和服务器之间的传输客户端和服务器之间的 NET SEND 和和 Alerter 服务消息 服务消息 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 1 用户帐户和密码管理用户帐户和密码管理 2 NTFS和和EFS保护文件保护文件 3 保护注册表保护注册表 4 监视安全事件监视安全事件 5 端口和协议安全端口和协议安全 6 Web服务器安全服务器安全 7 Windows安全产品线安全产品线 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 6 Web安全安全 1 操作系统安全操作系统安全 2 Web服务器安全服务器安全 3 Web应用程序安全应用程序安全 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 2 WEB服务器安全服务器安全 Web服务器的安全漏洞服务器的安全漏洞 样板文件样板文件 源代码泄露源代码泄露 服务器功能扩展模块服务器功能扩展模块 缓冲区溢出缓冲区溢出 Web服务器漏洞扫描器服务器漏洞扫描器 Nikto Whisker 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 2 Web服务器安全服务器安全 给不同的虚拟目录进行访问权限限制给不同的虚拟目录进行访问权限限制 即使入侵者上传了asp木马 在该文件夹下也没有执行权限即使入侵者上传了asp木马 在该文件夹下也没有执行权限 重新定义返回错误信息重新定义返回错误信息 让攻击者从中获得不到有用的信息让攻击者从中获得不到有用的信息 启用日志记录启用日志记录 启用操作系统组策略中的审核功能 对关键事件进行审核记 录 启用操作系统组策略中的审核功能 对关键事件进行审核记 录 启用IIS FTP服务器等服务本身的日志功能启用IIS FTP服务器等服务本身的日志功能 安装自动备份工具 定时对上述日志进行异地备份安装自动备份工具 定时对上述日志进行异地备份 备份IIS配置备份IIS配置 最低限度的保障措施 以便在站点遭到破坏性攻击后能及时 恢复 减少有IIS崩溃带来的损失 最低限度的保障措施 以便在站点遭到破坏性攻击后能及时 恢复 减少有IIS崩溃带来的损失 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 IIS Web服务器安全服务器安全 移去不必要的映射移去不必要的映射 idq ida 缓冲区溢出 缓冲区溢出 向攻击者提供了完全控制服务器的可能性 向攻击者提供了完全控制服务器的可能性 htw 用户可能无意间通过浏览器或支持 用户可能无意间通过浏览器或支持 HTML 的电子邮件客户端打开恶意链 接 的电子邮件客户端打开恶意链 接 shtml shtm stm ssiinc dll 的安全问题可向浏览器返回任何的安全问题可向浏览器返回任何 Web 服务 器中的攻击者指定内容 服务 器中的攻击者指定内容 Idc 跨站点脚本安全问题可在错误页中提供完整的 跨站点脚本安全问题可在错误页中提供完整的 URL 使攻击者能在服务 器中随意运行脚本代码 使攻击者能在服务 器中随意运行脚本代码 htr 显示 显示 ASP 文件的源代码 文件的源代码 printer 向攻击者提供目标 向攻击者提供目标 IIS 系统的远程控制台 系统的远程控制台 移走虚拟目录移走虚拟目录 IIS Samples IISSamples IIS Documentation IISHelp Data Access MSADC 将路径从将路径从 404 dll 更改到更改到 C WINNT system32 inetsrv file name dll 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 IIS Web服务器安全服务器安全 将将 Web 站点主目录移至非系统驱动器站点主目录移至非系统驱动器 将将 Everyone 组从名称列表中删除组从名称列表中删除 禁用父路径设置 禁用父路径有助于防御目录遍历攻击 禁用父路径设置 禁用父路径有助于防御目录遍历攻击 主目录配置选项清除主目录配置选项清除 启用父路径 启用父路径 设置设置 IIS 元数据库权限 限制元数据库权限 限制 MetaBase bin 文件的访问权限只有文件的访问权限只有 Administrators 组的成 员和 组的成 员和 LocalSystem 帐户才有完全控制元数据库的权限 限制帐户才有完全控制元数据库的权限 限制 Everyone 组成员的所有元数 据库访问操作 遍历文件夹 组成员的所有元数 据库访问操作 遍历文件夹 运行文件 列出文件夹运行文件 列出文件夹 读取数据 创建文件读取数据 创建文件 写入数据 写入数据 将将 IIS 日志文件移至非系统分区 设置日志文件移至非系统分区 设置 IIS 日志文件的日志文件的 ACL 删除 删除everyone的访问权限的访问权限 停用停用 Guest 帐户 重命名帐户 重命名 Administrator 帐户 停用帐户 停用 IUSR ComputerName 帐户 帐户 IUSR ComputerName 是系统默认的匿名是系统默认的匿名 Internet 用户帐户 它在安装用户帐户 它在安装 IIS 时创建 时创建 ComputerName 的值是安装的值是安装 IIS 时服务器的时服务器的 NetBIOS 名称 名称 禁用空会话 防止匿名登录 由于建立空会话的攻击者将实施各种攻击手段 包括使用枚举 技术 来收集目标计算机中与系统相关的信息 这些信息大大帮助了攻击者实施后续攻击 安全选项中设置对匿名连接的额外限制 禁用空会话 防止匿名登录 由于建立空会话的攻击者将实施各种攻击手段 包括使用枚举 技术 来收集目标计算机中与系统相关的信息 这些信息大大帮助了攻击者实施后续攻击 安全选项中设置对匿名连接的额外限制 停用除传输控制协议停用除传输控制协议 TCP 以外的其他所有网络协议 如以外的其他所有网络协议 如SMB 和和 NetBIOS 等协议 可降 低主机枚举 等协议 可降 低主机枚举 host enumeration 攻击攻击Web 服务器中面向服务器中面向 Internet端口的可能性端口的可能性 安装安装 UrlScan ISAPI 筛选器 筛选器 UrlScan 是一种是一种 Internet 服务应用程序编程接口服务应用程序编程接口 ISAPI 筛 选器 它可以根据一组规则来筛选或拒绝 筛 选器 它可以根据一组规则来筛选或拒绝 HTTP 请求 从而使请求 从而使 Web 服务器远离攻击 服务器远离攻击 C WINNT system32 inetsrv urlscan UrlScan ini 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 3 WEB应用程序安全应用程序安全 Web应用服务器的安全威胁应用服务器的安全威胁 全站点下载全站点下载 SQL注入注入 跨站点脚本攻击跨站点脚本攻击 HTTP响应割裂响应割裂 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 3 WEB应用程序安全应用程序安全 Web应用程序评估工具应用程序评估工具 Achilles Paros Proxy WebSleuth SPIKE Proxy WebProxy Form Scalpel FSMax WASAT 北邮北邮 信息安全中心信息安全中心 崔宝江崔宝江 系统安全 3 WEB应用程序安全应用程序