信息安全专题培训Windows系统安全.ppt

NSFocusInformationTechnologyCo Ltd Windows系统安全 徐毅Xylonxuyi Trainingdept CustomerSupportCenterAugust2005 StrictlyPrivate Confidential Windows安全模型 操作系统安全定义 信息安全的五类服务 作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的 默认关闭的 信息安全评估标准 ITSEC和TCSECTCSEC描述的系统安全级别D ACC CommonCritical 标准BS7799 2000标准体系ISO17799标准 TCSEC定义的内容 没有安全性可言 例如MSDOS 不区分用户 基本的访问控制 有自主的访问安全性 区分用户 标记安全保护 如SystemV等 结构化内容保护 支持硬件保护 安全域 数据隐藏与分层 屏蔽 校验级保护 提供低级别手段 C2级安全标准的要求 自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问 CC CommonCritical 标准 CC的基本功能标准化叙述技术实现基础叙述CC的概念维护文件安全目标评估目标 Windows2000安全结构 Windows安全子系统 Winlogon 加载GINA 监视认证顺序 加载认证包 支持额外的验证机制 为认证建立安全通道 提供登陆接口 提供真正的用户校验 管理用户和用户证书的数据库 Windows账号管理 Windows采用的账号认证方案 LanManager认证 称为LM协议 早期版本NTLMv1认证协议NT4 0SP3之前的版本NTLMv2认证协议NT4 0SP4开始支持Kerberosv5认证协议Windows2000引进 用户类型 Administrator 默认的超级管理员 系统帐号 PrintOperater BackupOperator Guest 默认来宾帐号 帐户 accounts 和组 groups 帐户 useraccounts 定义了Windows中一个用户所必要的信息 包括口令 安全ID SID 组成员关系 登录限制 组 universalgroups globalgroups localgroupsAccountIdentifier Securityidentifier SID 时间和空间唯一S 1 N Y1 Y2 Y3 Y4Somewell knownSIDs字符串形式和二进制形式的SID Windows2000的默认账号 账户名注释System localsystem本地计算机的所有特权Administrator同上 可以改名 但不能删除Guest有限的权限 默认禁用IUER 计算机名IIS的匿名访问 guests组成员IWAM 计算机名IIS进程外应用程序运行的账号 Guests组成员TSInternetUser终端服务KrbtgtKerberos密钥分发账号 只在DC上出现 默认禁用 Windows2000下的内建组 组名注释Administrators成员具有本地计算机的全部权限Users所有账号 较低的权限Guests有限的权限 与users相同Authenticatedusers特殊的隐含组 包含所有已登录的用户Replicator用于域中的文件复制BackupOperators没有administrators权限高 但十分接近ServerOperators没有administrators权限高 但十分接近AccountOperators没有administrators权限高 但十分接近PrintOperators没有administrators权限高 但十分接近 密码存放位置 注册表HKEY LOCAL MACHINE SAM下Winnt system32 config sam 添加 删除帐户 Win2000 XP下管理工具 计算机管理 本地用户和组WinNT下 域 用户管理器命令行方式netuser用户名密码 add delete 将用户加入到组netlocalgroup组名用户名 add delete 帐户重命名 将Administrator重命名将Guest来宾用户重命名新建一Administrator用户 隶属于Guest组 密码策略的推荐设置 针对远程破解的策略定制 密码复杂性要求账户锁定策略的推荐设置 SAM数据库与AD SAM中口令的保存采用单向函数 OWF 或散列算法实现在 systemroot system32 config sam中实现DC上 账号与密码散列保存在 systemroot ntds ntds dit中 SYSKEY功能 从NT4sp3开始提供 SID与令牌 SID唯一标示一个对象使用User2sid和sid2user工具进行双向查询令牌 通过SID标示账号对象以及所属的组 SIDS 1 5 21 1507001333 1204550764 1011284298 500 令牌User S 1 21 S 1 5 21 1507001333 1204550764 1011284298 500Group1 EveryOneS 1 1 0Group2 AdministratorsS 1 5 32 544 解读SID SIDS 1 5 21 1507001333 1204550764 1011284298 500 修订版本编号 颁发机构代码 Windows2000总为5 子颁发机构代码 共有4个 具有唯一性 相对标示符RID 一般为常数 S 1 1 0Everyone S 1 2 0Interactive用户 S 1 3 0CreatorOwner S 1 3 1CreatorGroup Windows2000认证与授权访问 用户A SRM 安全参考监视器 Windows文件系统管理 Windows2000默认共享 C D Ipc 远程会话管理Admin 指向 WinDir 目录 用于远程管理 Windows系统的用户权限 权限适用于对特定对象如目录和文件 只适用于NTFS卷 的操作 指定允许哪些用户可以使用这些对象 以及如何使用 如把某个目录的访问权限授予指定的用户 权限分为目录权限和文件权限 每一个权级别都确定了一个执行特定的任务组合的能力 这些任务是 Read R Execute X Write W Delete D SetPermission P 和TakeOwnership O 下表显示了这些任务是如何与各种权限级别相关联的 Windows系统的用户权限 Windows系统的用户权限 Windows系统的共享权限 复制和移动文件夹 从一个NTFS分区到另一个NTFS分区复制 移动都是继承权限 不同分区 移动 复制 删除 同一个NTFS分区复制 继承移动 保留复制 移动到FAT 32 分区NTFS权限丢失 Windows系统服务 服务包括三种启动类型 自动 手动 禁用自动 启动时自动加载服务手动 启动时不自动加载服务 在需要的时候手动开启禁用 启动的时候不自动加载服务 在需要的时候选择手动或者自动方式开启服务 并重新启动电脑完成服务的配置HKEY LOCAL MACHINE SYSTEM CurrentControlSet Service底下每一笔服务项目子项都有一个Start数值 该数值内容所记录的就是服务项目驱动程式该在何时被加载目前微软对Start内容的定义有0 1 2 3 4等五种状态 0 1 2分别代表Boot System AutoLoad等叁种意义 而Start数值内容为3的服务项目代表让使用者以手动的方式载入 Loadondemand 4则是代表停用的状态 也就是禁用 Windows的系统进程 基本的系统进程smss exeSessionManagercsrss exe子系统服务器进程winlogon exe管理用户登录lsass exe管理IP安全策略以及启动ISAKMP Oakley IKE 和IP安全驱动程序 系统服务 svchost exe包含很多系统服务spoolsv exe将文件加载到内存中以便迟后打印 系统服务 explorer exe资源管理器internat exe输入法 Windows的系统进程 附加的系统进程 这些进程不是必要的 mstask exe允许程序在指定时间运行 系统服务 regsvc exe允许远程注册表操作 系统服务 winmgmt exe提供系统管理信息 系统服务 inetinfo exe通过Internet信息服务的管理单元提供FTP连接和管理 系统服务 tlntsvr exe允许远程用户登录到系统并且使用命令行运行控制台程序 系统服务 termsrv exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序 系统服务 dns exe应答对域名系统 DNS 名称的查询和更新请求 系统服务 Windows的系统进程 tcpsvcs exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力 系统服务 ismserv exe允许在WindowsAdvancedServer站点间发送和接收消息 系统服务 ups exe管理连接到计算机的不间断电源 UPS 系统服务 wins exe为注册和解析NetBIOS型名称的TCP IP客户提供NetBIOS名称服务 系统服务 llssrv exeLicenseLoggingService systemservice ntfrs exe在多个服务器间维护文件目录内容的文件同步 系统服务 RsSub exe控制用来远程储存数据的媒体 系统服务 locator exe管理RPC名称服务数据库 系统服务 lserver exe注册客户端许可证 系统服务 dfssvc exe管理分布于局域网或广域网的逻辑卷 系统服务 Windows的系统进程 msdtc exe并列事务 是分布于两个以上的数据库 消息队列 文件系统 或其它事务保护资源管理器 系统服务 faxsvc exe帮助您发送和接收传真 系统服务 cisvc exeIndexingService systemservice dmadmin exe磁盘管理请求的系统管理服务 系统服务 mnmsrvc exe允许有权限的用户使用NetMeeting远程访问Windows桌面 系统服务 netdde exe提供动态数据交换 DDE 的网络传输和安全特性 系统服务 smlogsvc exe配置性能日志和警报 系统服务 rsvp exe为依赖质量服务 QoS 的程序和控制应用程序提供网络信号和本地通信控制安装功能 系统服务 RsEng exe协调用来储存不常用数据的服务和管理工具 系统服务 RsFsa exe管理远程储存的文件的操作 系统服务 Windows的系统进程 grovel exe扫描零备份存储 SIS 卷上的重复文件 并且将重复文件指向一个数据存储点 以节省磁盘空间 系统服务 SCardSvr exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制 系统服务 snmp exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报 系统服务 snmptrap exe接收由本地或远程SNMP代理程序产生的陷阱消息 然后将消息传递到运行在这台计算机上SNMP管理程序 系统服务 UtilMan exe从一个窗口中启动和配置辅助工具 系统服务 msiexec exe依据 MSI文件中包含的命令来安装 修复以及删除软件 系统服务 Windows安全风险 基本HTTP请求 HTTP文件遍历和URL编码 IIS溢出问题 1 htr缓冲区溢出漏洞IPP InternetPrintingProtocol 缓冲区溢出 IPP是处理 printer文件的 C winnt system32 msw3prt dll 当以下调用超过420字节时 问题就会发生对策 删除DLL和文件扩展之间的映射 GET NULL printerHTTP 1 0Host buffer 删除DLL和文件扩展之间的映射 IIS溢出问题 2 索引服务ISAPI扩展溢出 通常被称为ida idq溢出 由idq dll引起 当buffer长度超过240字节时 问题就会发生Null ida为文件名 无需真的存在直至现在上没有漏洞利用代码CodeRed的感染途径对策 删除idq dll和文件扩展之间的映射 GET NULL ida HTTP 1 1Host buffer IIS溢出问题 3 Frontpage2000服务扩展溢出最早由NSFocus 中国安全研究小组 提出FPSE在Windows2000中的位置 C Programfiles CommomFiles MicrosoftShared WebServerExtensions问题焦点是fp30reg dll和fp4areg dll 后者默认总是提供的 收到超过258字节的URL请求时 问题就会出现漏洞利用工具 fpse2000ex对策 删除fp30reg dll和fp4areg dll文件 IIS的Unicode问题 问题产生的要义 c0 af 和 c1 9c 分别是 的unicode表示其它的非法表示法 c1 1c c1 9c c0 9v c0 af c1 8s 等对策安装MS00 086中的补丁由于没有实现分区跳转功能 可以在系统分区之外安装IIS设置严格的NTFS权限在服务器的Write和ExcuteACL中删除Everyone和User组 更近一步 双解码 二次解码 同样由NSFocus发布对策 应用MS01 26给出的补丁 不包括在sp2中 注意和Unicode的区别 包括相关日志 GET scripts 255c 255c winnt system32 cmd exe IIS的其它问题 源代码泄漏的危险 htr风险 htw webhits风险权限提升的问题远程调用RevertToself的ISAPIDLL向LSA本地注射代码 Windows2000终端服务 TS TerminalService 工作于3389端口TS基于RDP RemoteDesktopProtocol 实现终端服务不是使用HTTP或HTTPS的 而是通过RDP通道实现TS监听端口可以自己指定 HKLM System CurrentControlSet Control TerminalServer WinStations RDP Tcp值 PortNumberREG WORD3389 默认 针对TS的攻击 密码猜测攻击风险 TSGrinder 权限提升风险 PipeUpAdmin GetAdmin IME攻击风险RDPDoS攻击风险 走进MS客户端 客户端风险评估 恶意电子邮件 MIME扩展Outlook缓冲区溢出MediaPlay缓冲区溢出VBS地址簿蠕虫 恶意邮件实例 HMailfroam hi Rcptto attack DataSublect ReadmeImportance highMIME Version 1 0Content type text html charset us asciiContent Transfer Encoding 7bitHi quit 通过下列命令执行 Typemail txt telnetIP25 Outlook溢出 起源于vCard 一种电子名片 Outlook直接打开并运行附件中的vCards而不提示用户vCards存储于 vcf文件中 也是没有提示而直接运行的当vCards的生日字段 BDAY 超过55字符时 就会出现溢出对策 应用IE5 5sp2 Windows2000的打印驱动 以fullcontrol权限运行在OS级别面临的主要威胁 默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动 媒体元文件 IIS服务安全配置 禁用或删除所有的示例应用程序 示例只是示例 在默认情况下 并不安装它们 且从不在生产服务器上安装 请注意一些示例安装 它们只可从http localhost或127 0 0 1访问 但是 它们仍应被删除 下面列出一些示例的默认位置 示例虚拟目录位置IIS示例 IISSamplesc inetpub iissamplesIIS文档 IISHelpc winnt help iishelp数据访问 MSADCc programfiles commonfiles system msadc IIS服务安全配置 启用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的 应加以删除 特别是 应考虑禁用文件系统对象组件 但要注意这将也会删除Dictionary对象 切记某些程序可能需要您禁用的组件 如SiteServer3 0使用FileSystemObject 以下命令将禁用FileSystemObject regsvr32scrrun dll u删除IISADMPWD虚拟目录该目录可用于重置WindowsNT和Windows2000密码 它主要用于Intranet情况下 并不作为IIS5的一部分安装 但是IIS4服务器升级到IIS5时 它并不删除 如果您不使用Intranet或如果将服务器连接到Web上 则应将其删除 IIS服务安全配置 删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如 asp和 shtm文件 IIS接收到这些类型的文件请求时 该调用由DLL处理 如果您不使用其中的某些扩展或功能 则应删除该映射 步骤如下 打开Internet服务管理器 右键单击Web服务器 然后从上下文菜单中选择 属性 主目录 配置 删除无用的 htr ida idq printer idc stm shtml等 IIS服务安全配置 禁用父路径 父路径 选项允许在对诸如MapPath函数调用中使用 禁用该选项的步骤如下 右键单击该Web站点的根 然后从上下文菜单中选择 属性 单击 主目录 选项卡单击 配置 单击 应用程序选项 选项卡取消选择 启用父路径 复选框禁用 内容位置中的IP地址 内容 位置 标头可暴露通常在网络地址转换 NAT 防火墙或代理服务器后面隐藏或屏蔽的内部IP地址 IIS服务安全配置 设置适当的IIS日志文件ACL确保IIS日志文件 systemroot system32 LogFiles 上的ACL是Administrators 完全控制 System 完全控制 Everyone RWC 这有助于防止恶意用户为隐藏他们的踪迹而删除文件设置适当的虚拟目录的权限确保IIS虚拟目录如scripts等权限设置是否最小化 删除不需要目录将IIS目录重新定向更改系统默认路径 自定义WEB主目录路径并作相应的权限设置使用专门的安全工具微软的IIS安全设置工具 IISLockTool 是针对IIS的漏洞设计的 可以有效设置IIS安全属性 终端服务安全 输入法漏洞造成的威胁 netuserabc123 addnetlocalgroupadministratorsabc add注册表DontDisplayLastUserName1 SMB连接与验证过程 随机生成一把加密密钥key 8或16字节 采用DES的变形算法 使用key对密码散列进行加密 SMB提供的服务 SMB会话服务TCP139和TCP443端口SMB数据报支持服务UDP138和UDP445端口SMB名称支持服务UDP137端口SMB通用命令支持服务 开放SMB服务的危险 SMB名称类型列表 1 SMB名称类型列表 2 强化SMB会话安全 强制的显式权限许可 限制匿名访问控制LANManager验证使用SMB的签名服务端和客户端都需要配置注册表 降低Windows风险 安全修补程序 Windows系列ServicePackNT SP6A 2000 SP4 XP SP2 HotfixMicrosoft出品的hfnetchk程序检查补丁安装情况 服务和端口限制 限制对外开放的端口 在TCP IP的高级设置中选择只允许开放特定端口 或者可以考虑使用路由或防火墙来设置禁用snmp服务或者更改默认的社区名称和权限禁用terminalserver服务将不必要的服务设置为手动AlerterClipBookComputerBrowser Netbios的安全设置 Windows2000 2003取消绑定文件和共享绑定打开控制面板 网络 高级 高级设置选择网卡并将Microsoft网络的文件和打印共享的复选框取消 即可以完全禁止TCP139和445WindowsNT在WinNT下取消NetBIOS与TCP IP协议的绑定 可以按如下步骤进行 点击 控制面板 网络 NetBIOS接口 WINS客户 TCP IP 禁用 再点 确定 然后重启这样NT的计算机名和工作组名也隐藏了 Netbios的安全设置 禁止匿名连接列举帐户名需要对注册表做以下修改运行注册表编辑器 Regedt32 exe 定位在注册表中的下列键上 HKEY LOCAL MACHINE Systemt CurrentControl LSA在编辑菜单栏中选取加一个键值 ValueName RestrictAnonymousDataType REG DWORDValue 1 Windows2000下为2 Netbios的安全设置 Windows2000的本地安全策略 或域安全策略中 中有RestrictAnonymous 匿名连接的额外限制 选项 提供三个值可选0 None Relyondefaultpermissions 无 取决于默认的权限 1 DonotallowenumerationofSAMaccountsandshares 不允许枚举SAM帐号和共享 2 Noaccesswithoutexplicitanonymouspermissions 没有显式匿名权限就不允许访问 Windows2000注册表 所有的配置和控制选项都存储在注册表中分为五个子树 分别是Hkey local machine Hkey users Hkey current user Hkey classes root Hkey current configHkey local machine包含所有本机相关配置信息 注册表安全 注册表的默认权限 注册表的审计 对注册表的审计是必需的审计内容的选择注册表每秒被访问500 1500次任何对象都有可能访问注册表默认的注册表审计策略为空 禁止对注册表的远程访问 禁止和删除服务 通过services msc禁止服务使用ResourceKit彻底删除服务Sc命令行工具Instsrv工具举例OS 2和Posix系统仅仅为了向后兼容Server服务仅仅为了接受netbios请求 针对Windows2000的入侵 1 探测选择攻击对象 了解部分简单的