计算机网络信息安全理论与实践教程第17章.ppt

第17章Windows系统安全 17 1Windows系统安全概况17 2Windows系统安全分析17 3Windows系统安全增强技术方法与流程17 4Windows2000系统安全增强实例17 5Windows系统常见漏洞与解决方法17 6本章小结本章思考与练习 17 1Windows系统安全概况 17 1 1Windows系统架构Windows系统是微软公司研究开发的操作系统 其发展经历了Windows3 1 Windows98 WindowsNT Windows2000 WindowsXP等多个版面 由于Windows系统的易用性 许多用户都使用它 特别是其桌面操作系统 下面我们以WindowsXP为例 分析其架构 WindowsXP的结构是层次结构和客户机 服务器结构的混合体 其系统结构如图17 1所示 图17 1WindowsXP的系统结构示意图 17 1 2Windows安全模型Windows系统在安全设计上有专门的安全子系统 安全子系统主要由本地安全授权 LSR 安全帐户管理 SAM 和安全参考监视器 SRM 等组成 如图17 2所示 其中 本地安全授权部分提供了许多服务程序 保障用户获得存取系统的许可权 它产生令牌 执行本地安全管理 提供交互式登录认证服务 控制安全审查策略和由SRM产生的审查记录信息 图17 2Windows2000安全子系统 安全帐户管理部分保存SAM数据库 该数据库包含所有组和用户的信息 SAM提供用户登录认证 负责对用户在Welcome对话框中输入的信息与SAM数据库中的信息比对 并为用户赋予一个安全标识符 SID 根据网络配置的不同 SAM数据库可能存在于一个或多个WindowsNT系统中 安全参考监视器负责访问控制和审查策略 由LSA支持 SRM提供客体 文件 目录等 的存取权限 检查主体 用户帐户等 的权限 产生必要的审查信息 客体的安全属性由安全控制项 ACE 来描述 全部客体的ACE组成访问控制表 ACL 没有ACL的客体意味着任何主体都可访问 而有ACL的客体则由SRM检查其中的每一项ACE 从而决定主体的访问是否被允许 17 1 3Windows安全机制1 Windows认证机制早期Windows系统的认证机制不很完善 甚至缺乏认证机制 例如Windows32 Windows98 随着系统的发展 微软公司逐步增强了Windows系统的认证机制 以Windows2000为例 系统提供两种基本认证类型 即本地认证和网络认证 其中 本地认证根据用户的本地计算机或ActiveDirectory帐户确认用户的身份 而网络验证根据此用户试图访问的任何网络服务确认用户的身份 为提供这种类型的身份验证 Windows2000安全系统集成了三种不同的身份验证技术 KerberosV5 公钥证书和NTLM 2 Windows访问控制机制WindowsNT XP的安全性达到了橘皮书C2级 实现了用户级自主访问控制 它的访问控制机制如图17 3所示 为了实现进程间的安全访问 WindowsNT XP中的对象采用了安全性描述符 Securitydesciptor 安全性描述符主要由用户SID Owner 工作组SID Group 访问控制列表 DACL 和系统访问控制列表 SACL 组成 3 Windows审计 日志机制日志文件是Windows系统中一个比较特殊的文件 它记录Windows系统的运行状况 如各种系统服务的启动 运行 关闭等信息 Windows日志有三种类型 系统日志 应用程序日志 安全日志 它们对应的文件名为SysEvent evt AppEvent evt和SecEvent evt 这些日志文件通常存放在操作系统安装的区域 system32 config 目录下 4 Windows协议过滤和防火墙针对来自网络上的威胁 WindowsNT4 0 Windows2000提供了包过滤机制 通过过滤机制可以限制网络包进入用户计算机 而WindowsXP则自带了防火墙 该防火墙能够监控和限制用户计算机的网络通信 5 Windows文件加密系统为了防范入侵者通过物理途径读取磁盘信息 绕过Windows系统文件访问控制机制 微软公司研究开发了加密的文件系统EFS 利用EFS 文件中的数据在磁盘上是加密的 用户如果访问加密的文件 则必须拥有这个文件的密钥 才能够打开这个文件 并且像普通文档一样透明地使用它 17 2Windows系统安全分析 17 2 1Windows口令帐号和口令是进入Windows系统的重要凭证 获取帐号和口令信息是入侵者攻击Windows系统的重要途径 例如 Windows2000的默认安装允许任何用户通过空用户得到系统所有的帐号和共享列表 这本来是为了方便局域网用户共享资源和文件的 但是 任何一个远程用户通过同样的方法都能得到帐户列表 进而可以使用非法手段破解帐户密码后 对用户的电脑进行攻击 17 2 2Windows恶意代码由于Windows系统自身的安全隐患 许多计算机病毒 网络蠕虫 特洛伊木马等安全事件都与Windows系统相关 例如 冲击波 蠕虫 17 2 3Windows应用软件漏洞近来 运行在Windows平台的应用软件安全隐患日益暴露 这些安全隐患常常导致Windows系统被非授权访问 非法滥用等 例如IE浏览器的安全漏洞导致远程攻击者植入木马 进而危及到整个系统的安全 17 2 4Windows系统程序的漏洞Windows系统程序的设计 实现的安全隐患通常带来不少安全问题 例如 RPC程序的漏洞导致缓冲区溢出攻击 17 2 5Windows注册表安全注册表 Registry 是有关Windows系统配置的重要文件 存储在系统安装目录 System32 Config下 由于所有配置和控制系统数据都存于注册表中 而且Registry的缺省权限设置是对 所有人 完全控制 FullControl 和 创建 Create 因此这种设置可能会使恶意用户删除或者替换掉注册表 Registry 文件 例如 入侵者通过修改 创建注册表的相关参数设置 让系统启动恶意进程 17 2 6Windows文件共享安全Windows98以后的系统都提供文件共享安全 但是共享带来的问题是造成信息泄露 例如 Windows2000 WindowsXP在默认安装后允许任何用户通过空用户连接 IPC 得到系统的所有帐号和共享列表 这本来是为了方便局域网用户共享资源和文件的 但是任何一个远程用户都可以利用这个空的连接得到用户列表 黑客就利用这项功能 查找系统的用户列表 并使用一些字典工具 对系统进行攻击 这就是网上较流行的IPC攻击 17 2 7Windows物理临近攻击一些攻击者利用物理接近Windows系统的条件 借用安全工具强行进入Windows系统 例如 使用Off1ineNTPassword RegistryEditor软件制作Linux启动盘 然后用该盘引导系统 进而可以访问NTFS文件系统 17 3Windows系统安全增强技术方法与流程 17 3 1Windows系统安全增强方法概述Windows系统的安全增强是指通过一些安全措施来提高系统的安全防护能力 目前 Windows系统的安全增强方法常见的有下面几种 1 安全漏洞打补丁 Patch 很多漏洞本质上是软件设计时的缺陷和错误 如漏洞等 因此需要采用补丁的方式对这些问题进行修复 2 停止服务和卸载软件 有些应用和服务的安全问题较多 目前又没有可行的解决方案 切实有效的方法是在可能的情况下停止该服务 不给攻击者提供机会 3 升级或更换程序 在很多的情况下 安全漏洞只针对一个产品的某一版本有效 此时解决问题的办法就是升级软件 如果升级仍不能解决 则要考虑更换程序 目前 同一应用或服务经常存在多个成熟的程序 还可以找到免费的自由软件 这为更换软件提供了可能性 4 修改配置或权限 有时系统本身并没有安全漏洞 但由于配置或权限设置错误或不合理 给系统安全性带来问题 建议用户根据实际情况和审计结果 对这类配置或权限设置问题进行修改 5 去除特洛伊等恶意程序 系统如果出现过安全事故 已知的或并未被发现的 则在系统中可能存在隐患 例如攻击者留下后门程序等 因此必须去除这些程序 6 安装专用的安全工具软件 针对Windows漏洞修补问题 用户可以安装自动补丁管理程序 17 3 2Windows系统安全增强基本流程Windows系统安全增强是一件繁琐的事情 其基本步骤如下 1 确认系统安全增强的安全目标和系统的业务用途 系统安全目标实际上就是用户所期望的系统安全要求 例如防止信息泄露 抗拒绝服务攻击 限制非法访问等 系统的业务用途是后续安全增强的依据 根据系统的业务用途 系统在安装时或策略设置时需进行合适的选择 2 安装最小化的操作系统 最小化操作系统的目的是减少系统安全隐患数目 系统越大 可能的安全风险就越大 而且管理上也难以顾及 安装最小化的操作系统要求如下 尽量使用英文版Windows操作系统 不要安装不需要的网络协议 使用NTFS分区 删除不必要的服务和组件 3 安装最新系统补丁 系统的漏洞通常成为入侵者进入的途径 因而漏洞的修补是系统安全增强的必要步骤 4 配置安装的系统服务 根据系统的业务运行的基本要求 应做到以下几点 不要安装与系统业务运行无关的网络 系统服务和应用程序 安装最新的应用程序和服务软件 并定期更新服务的安全补丁 5 配置安全策略 安全策略是有关系统的安全设置规则 在Windows系统中需要配置的安全策略主要有帐户策略 审计策略 远程访问 文件共享等 其中 策略中又要涉及到多个参数 以配置帐户策略为例 策略包含下列项目 密码复杂度要求 帐户锁定阈值 帐户锁定时间 帐户锁定计数器 6 禁用NetBIOS NetBIOS提供名称服务和会话服务 这些服务通常给攻击者提供了入侵切入点 为了系统的安全 一般建议禁用NetBIOS 其方法如下 在防火墙上过滤外部网络访问135 139 445端口 修改注册表 禁用NetBIOS 即修改键值 HKLM SYSTEM CurrentControlSet Control Lsa restrictanonymouse 2 禁用NetBIOSoverTCP IP 禁用Microsoft网络的文件和打印共享 7 安全配置帐户 帐户权限设置不当往往导致安全问题出现 在Windows系统中 设置帐户权限应做到以下几点 禁用默认帐号 定期检查帐户 尽早发现可疑帐户 锁定Guest帐户 8 安全配置文件系统 文件系统安全是Windows系统重要的保护对象 特别是向外提供网络服务的主机系统 文件系统安全的措施通常如下 删除不必要的帮助文件和 System Drivercache 目录下的文件 删除不必要的应用程序 例如cmd exe 启用加密文件系统 设置文件共享口令 修改系统默认安装目录名 9 配置TCP IP筛选和ICF 在Windows系统的后续版本中 例如Windows2000 WindowsXP系统中带有配置TCP IP筛选机制 并且WindowsXP有防火墙ICF 利用这些安全机制 可以减少来自网上的安全威胁 安全配置一般从以下几方面考虑 过滤不需要使用的端口 过滤不需要的应用层网络服务 过滤ICMP数据包 10 禁用光盘或软盘启动 禁用光盘或软盘启动可以防止入侵者进行物理临近攻击 阻止入侵者进入系统 11 使用屏幕保护口令 使用屏幕保护口令可以防止工作主机被他人滥用 12 设置应用软件安全 应用软件安全不仅会影响到自身的安全 而且也会给系统带来安全隐患 应用软件安全的设置应做到以下几点 及时安装应用软件安全的补丁 特别是IE OUTLOOK等 修改应用软件安全的默认设置 限制应用软件的使用范围 13 安装第三方防护软件 针对Windows系统的特定安全问题 安装第三方防护软件 如杀毒软件 个人防火墙和入侵检测系统 17 4Windows2000系统安全增强实例 17 4 1系统启动安全增强非法用户若能以软盘及光盘启动计算机 那他就可以随意在DOS状态下对系统进行攻击 因此 用户必须关闭软盘及光盘的启动功能 设置方法如下 启动计算机 在系统自检时进入系统的CMOS设置功能 然后将系统的启动选项设置为 Conly 即仅允许从C盘启动 同时为COMS设置必要的密码 17 4 2帐号与口令管理安全增强在很多时候 用户帐号与口令是攻击者入侵系统的突破口 系统的帐号越多 攻击者得到合法用户的权限的可能性就越大 因此 为了增强Windows2000的安全 应加强对用户帐号与口令的安全管理 具体安全增强措施如下 1 停用Guest帐号 在计算机管理的用户里面把guest帐号停用 任何时候都不允许guest帐号登录系统 另外 最好给guest加一个复杂的口令 2 限制不必要的用户数量 去掉所有的duplicateuser帐号 测试用帐号 共享帐号 普通部门帐号等 给用户组策略设置相应的权限 并且经常检查系统的帐号 删除已经不再使用的帐号 3 把系统的Administrator帐号改名 把Administrator帐号换成不易猜测到的帐号名 这样可以有效地防止口令尝试攻击 注意 请不要使用Admin之类的名字 4 创建一个陷阱帐号 创建一个名为 Administrator 的本地帐号 把它的权限设置成最低 并且加上一个超过10位的复杂口令 这样可以增加攻击者的攻击强度 并且可以借此发现他们的入侵企图 5 设置安全复杂的口令 设置安全复杂的口令 使得攻击者在短时间内无法破解出来 并且定期更换口令 6 设置屏幕保护口令 设置屏幕保护口令是防止内部人员攻击的一个屏障 7 不让系统显示上次登录的用户名 默认情况下 终端服务接入服务器时 登录对话框中会显示上次登录的帐号名 本地的登录对话框也是一样 这使得攻击者可以很容易地得到系统的一些用户名 进而作口令猜测 为增强系统安全 通过修改注册表 可以不让对话框里显示上次登录的用户名 具体修改操作是 HKLM Software Microsoft WindowsNT CurrentVersion Winlogon DontDisplayLastUserNam下 把REG SZ的键值改成 1 8 开启口令安全策略 策略设置口令复杂性要求启用口令长度最小值6位强制口令历史5次强制口令历史42天 9 开启帐号策略 策略设置复位帐号锁定计数器20分钟帐号锁定时间20分钟帐号锁定阈值3次 17 4 3安装最新系统补丁攻击者常利用系统的漏洞来进行入侵 因此 必须密切注意微软或其他网站发布的漏洞和补丁信息 给系统及时安装上最新的补丁 这样有助于保护操作系统免受新出现的攻击方法和新漏洞的危害 17 4 4网络安全增强1 禁止建立空连接默认情况下 任何用户可以通过空连接连上服务器 进而枚举出帐号 猜测口令 禁止建立空连接的方法是修改注册表LSA RestrictAnonymous的键值为1 操作如下 将Local Machine System CurrentControlSet Control LSA RestrictAnonymous的值改成 1 即可 如图17 4所示 图17 4禁止建立空连接的键值设置 2 关闭默认共享Windows2000安装好以后 系统会创建一些隐藏的共享 用户可以在命令窗口下用NETSHARE查看 要禁止这些共享 操作的方法是 打开管理工具 计算机管理 共享文件夹 共享 在相应的共享文件夹上按右键 点停止共享即可 3 关闭不必要的网络服务和网络端口网络服务和端口的开放就意味着增加了系统的安全风险 为此 应尽量避免打开不需要的网络服务和网络端口 可以使用Windows2000的 TCP IP筛选 机制关闭服务和端口 若开放Web服务器 则只允许TCP80号端口的外部连接请求 即将 TCP端口 栏设定成80 对 TCP IP筛选 操作的方法如下 在 本地连接属性 对话框中 双击 Internet协议 TCP IP 后 按下对话框右下侧的 高级 按钮 然后依次选择 高级TCP IP设置 选项 TCP IP筛选 将弹出 TCP IP筛选 对话框 在此对话框中将TCP端口号设置为80 如图17 5所示 图17 5将TCP端口设置为80 17 4 5安装第三方防护软件虽然Windows自身已经提供了安全功能 例如WindowsXPsp2自带了防火墙 但仍然存在着一些局限 使用第三方防护软件 例如个人PC防火墙 个人PC入侵检测IDS 反间谍软件 杀病毒软件以及漏洞扫描工具等 都能有效地提高Windows系统的安全性 17 5Windows系统常见漏洞与解决方法 17 5 1Unicode漏洞1 漏洞描述Unicode为每一个字符提供了一个独一无二的序号 Unicode标准被包括Microsoft在内的很多软件开发商所采用 通过向IIS服务器发出一个包括非法UnicodeUTF 8序列的URL 攻击者可以迫使服器逐字 进入或退出 目录并执行任意程序或脚本 这种攻击被称为目录转换攻击 Unicode用 2f和 5c分别代表 和 但也可以用所谓的 超长 序列来代表这些字符 超长 序列是非法的Unicode表示符 它们比实际代表这些字符的序列要长 本来 和 均可以用一个字节来表示 而用超长的表示法 例如用 c0 af代表 就用了两个字节 由于IIS不对超长序列进行检查 因此在URL中加入一个超长的Unicode序列 就可以绕过Microsoft的安全检查 如果是在一个标记为可执行的文件夹中发出的请求 则攻击者可以在服务器上运行可执行文件 2 漏洞解决方法 1 下载Microsoft的最新补丁 下载地址为 2 使用IISLockdown和URLScan可以避免利用该漏洞进行的攻击 IISLockdown可以帮助管理员锁住IISserver 下载地址为 URLScan是一个可以过滤很多HTTP请求的过滤器 例如 它可以过滤包含UTF8编码字符的请求 下载地址为 17 5 2ISAPI缓冲区扩展溢出1 漏洞描述Microsoft sInternetInformationServer IIS 是在大多数MicrosoftWindowsNT和Windows2000服务器上使用的服务器软件 安装IIS后 就自动安装了多个ISAPIextensions ISAPI InternetServicesApplicationProgrammingInterface 允许开发人员使用DLL扩展IIS服务器的性能 一些动态链接库 例如idq dll有编程错误 使得它们可以做不正确的边界检查 而且它们不阻塞超长字符串 攻击者可以利用这一点向DLL发送数据 造成缓冲区溢出 进而控制IIS服务器 2 漏洞解决方法 1 安装最新的Microsoft的补丁 2 检查并取消所有不需要的ISAPI扩展 3 使用IISLockdown和URLScan避免这类攻击 17 5 3IISRDS MicrosoftRemoteDataServices 1 漏洞描述攻击者可以利用IISRemoteDataServices RDS 中的漏洞 以administrator权限在远端运行命令 2 漏洞解决方法 1 升级到2 1版的MDAC 下载地址 2 遵循以下安全公告的指南 17 5 4NetBIOS1 漏洞描述ServerMessageBlock SMB 协议 也称为CommonInternetFileSystem CIFS 允许网络间的文件共享 不正确的配置可能会导致系统文件的暴露 或给予攻击者完全的系统访问权 攻击者利用Windows文件共享获取系统的敏感信息 用户和组信息 系统信息和某种注册密钥都可通过与NetBIOS对话服务连接的一个 空对话 过程获得 这些信息对攻击者很有帮助 因为这些信息可以帮助他们进行口令猜测和破解 2 漏洞解决方法 1 在共享数据时确保只共享所需目录 2 为增加安全性 只对特定IP地址进行共享 因为DNS名可以欺诈 3 对于Windows系统 NT 2000 只允许特定用户访问共享文件夹 4 对于Windows系统 禁止通过 空对话 连接对用户 组 系统配置和注册密钥进行匿名列举 5 对于主机或路由器上的NetBIOS会话服务 tcp139 MicrosoftCIFS TCP UDP445 禁止不绑定的连接 6 考虑在独立或彼此不信任的环境下 在连接Internet的主机上部署RestrictAnonymousregistrykey 17 5 5空对话连接造成的信息泄露1 漏洞描述一个空对话连接 nullsession 也称为匿名登录 是一种允许匿名用户获取信息 例如用户名或共享文件 或不需认证进行连接的机制 explorer exe利用它来列举远程服务器上的共享文件 在WindowsNT和Windows2000系统下 许多本地服务是在SYSTEM帐号下运行的 又称为Windows2000的LocalSystem 很多操作系统都使用SYSTEM帐号 当一台主机需要从另一台主机上获取系统信息时 SYSTEM帐号会为另一台主机建立一个空对话 SYSTEM帐号实际拥有无限的权利 而且没有密码 所以不能以SYSTEM的方式登录 SYSTEM有时需要获取其他主机上的一些信息 例如可获取的共享资源和用户名等典型的网上邻居功能 由于它不能以用户名和口令进入 所以它使用空对话连接进入 但是攻击者也可以用相同的方式进入 2 漏洞解决方法 1 修改注册表 在WindowsNT4 0的主机上 修改以下注册表项 HKLM System CurrentControlSet Control LSA RestrictAnonymous 1将RestrictAnonymous改为1仍然可使匿名用户获取某些信息 在Windows2000下 用户可以把相应的值设为2 这样做会使得在不允许外来的匿名用户 包括空对话用户 进行访问的时候 匿名用户不能获取任何信息 修改注册表可能会造成系统工作不正常 例如 在域控制器和其他主机上设置RestricAnonymous可能会影响网络的正常工作 因此必须事先进行测试 另外 所有系统应加以备份以便于恢复 2 禁用TCP IP上的NetBIOS 如果不需要文件或打印机共享 则将TCP IP中的Ne