SEC312以最少权限运行Windows的技巧.ppt

sec312以最少权限运行windows的技巧 提要 为什么要以最少权限用户运行如何以最少权限用户运行演示 一些概念 管理员用户 非管理员用户lua最少权限用户 最少权限 原则 管理员能做 lua不能做 安装rootkit安装keylogger安装activex控件 包括ie插件安装 启动系统服务停止系统服务 例如放火墙 读取其它用户的文件可以让任何人登录时运行某一特定程序用 木马 程序替换系统程序停止 卸载防毒软件创建 修改用户帐号重设用户口令修改系统的配置文件 例如hosts 删除系统的安全日志使机器无法启动 日常软件 互联网浏览器 ie firefox email软件 outlookexpress 即时消息 msnmessenger qq 网络游戏媒体播放器不只是microsoft的问题 也包括其它软件开发商 但我需要管理我的机器 管理员权限 双刃剑平时以普通用户的身份运行只在必要时提升成管理员身份企业用户 不需管理员权限 给软件开发者的一个建议 以 lua 用户身份运行更好的软件及早发现bug降低开发成本养成好的使用习惯 lua缺陷 bug 只在管理员身份下才能运行原因 软件开发者开发时以管理员身份登录 这个软件在我的机器上运行的好好的 增加软件开发成本 这真的很重要吗 过去 谁是坏蛋 mba候选 今天 谁是坏蛋 有组织的犯罪集团外国政府不道德企业恐怖份子雇佣黑客 malware 有害软件 能赚钱 僵尸 机器 被黑客控制的机器 发垃圾邮件 拒绝服务 攻击广告软件身份窃取 信用卡号 银行帐号 商业间谍政治 军事间谍 我的机器很安全 因为 我总是及时安装软件补丁我总是及时更新防毒软件我使用放火墙我升级到windowsxpsp2我在用microsoft的反间谍软件包我的密码很复杂我从不打开陌生邮件里的附件我从不去乱七八糟的网站我从不随便安装软件我有良好的判断力我的机器从没被感染过 软件缺陷公布到被利用的间隔 0天 用户未来得及打补丁软件补丁在公布当天就被黑客用反向工程分析出对应的软件缺陷软件缺陷在补丁出来前被发现者公布未知的软件缺陷在公众知道软件缺陷前加以利用 rootkit是什么 可以隐藏自己的软件使操作系统欺骗用户进行某些操作而不被用户察觉通常在系统被侵占后被安装 rootkit可以 隐藏信息 进程文件注册表的键值系统服务驱动程序用户帐号网络端口和连接修改安全令牌隐藏其它后门 看不见rootkit 常用的诊断工具dir a任务管理器性能查看器resourcekit中的工具processexplorer sysi 反病毒软件反间谍软件一些新的工具正在出现rootkitrevealer s blacklight f secure 道高一尺 魔高一丈sec212病毒 间谍软件 广告软件和rootkit rootkit和我有什么关系 非管理员用户和rootkit 许多rootkit需要管理员权限安装 加栽驱动程序安装系统服务劫持系统函数 中断修改系统内核数据结构luarootkit 不需管理员权限 容易发现更难把自己隐藏 加入自动运行只影响一个用户 好了 我被说服了 现在怎么办 在需要时才提升权限 快速用户切换windowsxphome 家庭版 未加入域中的windowsxppro 企业版 每个用户有独立 相互隔绝的登录对家庭用户的建议每个成员使用一个lua帐号不用管理员帐号登录 快速用户切换 runas 运行方式 运行身份 以另一个用户身份来运行一个程序在同一个桌面上命令行或图形界面程序继承 父进程 的身份以管理员身份运行cmd exe在cmd窗口里运行其它程序新进程也以管理员身份运行 runas对话框 鼠标右击程序 快捷方式mmc msc shift 鼠标右击控制窗口 cpl microsoftwindowsinstaller runas对话框 运行身份 成为一个快捷方式的默任操作 runas命令行 runas user administratorcmd exe runas 视觉区别 runas exe u administrator cmd exe kcdc colorfc title admin runas 视觉区别 给ie和explorer设背景利用tweekui privbar工具 ie以管理员身份运行 ie以普通用户身份运行 工具见附录 privbar工具 续 runas 运行方式 运行身份 runas有时不起作用 有些程序只启用一个实例windowsexplorerofficeword有些程序通过shell启动shellexecute ex dde当前的windowsupdate runas和explorer 两个方法 用ie 或使windowsexplorer能启动多个实例方法2 在单独的进程中打开文件夹窗口 runas和explorer 使用本地帐号的一些问题 无法访问域里的资源不同的用户配置文件 profiles 有些软件假设安装用户和使用用户是同一人不同的用户策略 policies 电源管理选项如何解决 makemeadmin工具 makemeadmin工具 临时提升当前用户帐号权限结果 同一用户帐号的有管理员权限的cmd窗口从这个cmd窗口运行的程序都有管理员权限工具见附录 makemeadmin工具 lua的局限 lua价值 两个极端 万能药 没什么好处 今天lua能保护的今天lua不能保护的当所有人都以lua运行后 又怎么样 参考资料 附 makemeadmin cmd echooffsetlocalset admin computername administratorset group administratorsset prog cmd exe kcdc echo第二个 是当前登录用户的密码 runas u admin s0 user iferrorlevel1echo pause else echo加入用户帐号 到 group 组 netlocalgroup group addiferrorlevel1echo pauseecho echo在新的登录里运行程序 runas u prog iferrorlevel1echo pause