windows系统的安全

计算机网络安全技术（第4版）,工业和信息化“十三五”高职高专人才培养规划教材,第6章,Windows系统的安全,人民邮电出版社,能力,CAPACITY,要求,能根据实际需要正确地进行Windows操作系统的安全设置。,能熟练使用Windows系统平台下各种应用系统。,Windows的安全配置,Windows的安全特性,Windows注册表,Windows的安全审核,Windows攻击实例,一、Windows的安全特性,Windows操作系统发展历程,一、Windows的安全特性,Windows系统体系结构,一、Windows的安全特性,WindowsVista体系结构,一、Windows的安全特性,Windows安全子系统的具体内容,安全子系统包括以下部分：Winlogon(登录认证)GraphicalIdentificationandAuthenticationDLL(GINA)(登录认证)LocalSecurityAuthority(LSA)（本地安全认证）SecuritySupportProviderInterface(SSPI)（安全支持提供者的接口）AuthenticationPackages（认证模块）Securitysupportproviders（安全支持提供者）NetlogonService（网络登录认证）SecurityAccountManager(SAM)（安全账号管理者）,SSPI,Winlogon,GINA,LocalSecurityAuthority,AuthenticationPackages,SecuritySupportProviders,SecurityAccountManager,Netlogon,Winlogon、LocalSecurityAuthority以及Netlogon服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用,一、Windows的安全特性,Windows安全子系统包含五个关键的组件：1、安全标识符（SecurityIdentifiers）:就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装WindowsNT后，也会得到一个唯一的SID。SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-5002、访问令牌（Accesstokens）:3、安全描述符（Securitydescriptors）：4、访问控制列表（Accesscontrollists）：5、访问控制项（AccessControlEntries）：,Windows安全子系统包含的组件,一、Windows的安全特性,安全主体与对象,安全性中的所有事物都可归结为主体和对象。对象是所保护的事物，而主体是可能威胁对象安全的事物。主体(subject)：安全主体是可向其分配一个安全标识符(SID)并授予其某些访问权限的任何事物。主体包括：用户、组、计算机、服务（WindowsVista和WindowsServer2008都支持一种新的安全主体类型：服务）,对象(object)：Windows中首要的对象类型有:文件文件夹打印机I/O设备窗口线程进程内存注册表项,一、Windows的安全特性,安全标识符SID,SID示例,revisionnumber,relativeidentifier,RID500：thetrueAdministratoraccountonalocalmachine,Onadomain,RIDsstartingwith1001indicateuseraccounts.,The5thaccountcreatedinthedomain,一、Windows的安全特性,Windows的安全标识符,一、Windows的安全特性,Windows安全子系统包含的组件-访问令牌,访问令牌（Accesstokens）:一个访问令牌包含了此登陆会话的安全信息。当用户登陆时，系统创建一个访问令牌，然后以该用户身份运行的的所有进程都拥有该令牌的一个拷贝。该令牌唯一表示该用户、用户的组和用户的特权。系统使用令牌控制用户可以访问哪些安全对象，并控制用户执行相关系统操作的能力。,一、Windows的安全特性,Windows安全子系统包含的组件-安全描述符（Securitydescriptors）,WindowsNT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。,（）安全描述符,一、Windows的安全特性,Windows安全子系统包含的组件-访问控制列表,访问控制列表有两种：任意访问控制列表（DiscretionaryACL）、系统访问控制列表（SystemACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。,访问控制列表（Accesscontrollists）：,一、Windows的安全特性,Windows安全子系统包含的组件-访问控制项,包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。,访问控制项（AccessControlEntries）：,一、Windows的安全特性,访问控制表和访问控制项,一、Windows的安全特性,实验,任务1：使用mimikatz快速抓取Windows明文密码任务2：使用审计WindowsServer2003本地账户。任务3：使用Cain审计WindowsServer2008本地账户任务4：账户安全策略实验任务5：SYSKEY双重加密账户保护,Windows的安全配置,Windows的安全特性,Windows注册表,Windows的安全审核,Windows攻击实例,二、Windows的安全配置,mimikatz,二、Windows的安全配置,LC5,重点：1.审计方法2.LMhash与NTLMhash的区别,二、Windows的安全配置,Cain,可以在Windows2008以上版本用,二、Windows的安全配置,账户安全策略,1Windows强密码原则2账户策略3重新命名Administrator账号4创建一个陷阱用户5禁用或删除不必要的账号6.SYSKEY双重加密账户保护,二、Windows的安全配置,本地安全策略,帐户策略密码策略：密码:复杂性启用密码长度：最小6位强制密码历史：5次最长存留：30天,帐户策略帐户锁定策略：帐户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟,二、Windows的安全配置,用户帐户管理,帐户管理,更改超级管理名称,取消guest帐号,不显示登录用户名.,合理分配其他用户权限,二、Windows的安全配置,SYSKEY,SYSKEY能对SAM文件进行二次加密,Windows的安全配置,Windows的安全特性,Windows注册表,Windows的安全审核,Windows攻击实例,三、Windows注册表,Windows注册表,注册表由来注册表的结构Windows注册表的根键、主键与子键注册表的数据类型（3种）注册表备份应用举例,三、Windows注册表,注册表的结构,1.HKEY_LOCAL_MACHINE主键保存的是与“本地”机器相关的信息。2.HKEY_USER主键保存的是针对所有用户的数据信息。3.HKEY_CURRENT_USER主键保存的是当前用户用到的信息。4.HKEY_CLASSES_ROOT主键保存着各种文件的关联信息（即打开方式），还有一些类标识和OLE、DDE之类的信息。5.HKEY_CURRENT_CONFIG主键保存着当前用户的配置信息。,三、Windows注册表,注册表的根键、主键与子键,根键：“HKEY”作为前缀开头（5个）主键子键编辑主键与键值,三、Windows注册表,注册表的数据类型（3种）,二进制(BINARY)：在注册表中，二进制是没有长度限制的，可以是任意个字节的长度。DWORD值(DWORD)：4个字节，系统以十六进制的方式显示DWORD值字符串值(SZ)：通常它由字母和数字组成。,三、防火墙的实现技术原理,注册表备份、还原,注册表文件的位置（5个文件）Ntbackup方式备份注册表中-导出注册表文件备份Ntbackup方式还原注册表中-导入注册表文件还原用安装光盘,三、Windows注册表,应用举例,删除管理共享（C$,D$.)预防BackDoor、木马的破坏禁止建立空连接更改终端服务默认的3389端口创建隐藏账户,Windows的安全配置,Windows的安全特性,Windows注册表,Windows的安全审核,Windows攻击实例,四、Windows的安全审核,WindowsServer常用的系统进程和服务,进程（Process）,进程是应用程序的一次动态执行。同一程序可产生多个进程。每一个进程都有它自己的地址空间。第二，进程是一个“执行中的程序”。程序是一个没有生命的实体，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为进程。,四、Windows的安全审核,进程与线程的关系,通常在一个进程中可以包含若干个线程，它们可以利用进程所拥有的资源。把进程作为分配资源的基本单位，而把线程作为独立运行和独立调度的基本单位。由于线程比进程更小，基本上不拥有系统资源，故对它的调度所付出的开销就会小得多，能更高效的提高系统内多个程序间并发执行的程度。,四、Windows的安全审核,Windows基本的系统进程,基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法,四、Windows的安全审核,进程管理实验,IceSword的操作,四、Windows的安全审核,Windows的系统服务,服务是一种应用程序类型，在后台长时间运行，不显示窗口。,四、防火墙的应用实验,Windows的系统服务,服务包括三种启动类型：自动，手动，已禁用。自动-Windows启动的时候自动加载服务手动-Windows启动的时候不自动加载服务，在需要的时候手动开启已禁用-Windows启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置双击需要进行配置的服务，出现右图所示的属性对话框：,四、Windows的安全审核,优化服务实验,1.SC,系统服务常用命令：,命令,四、Windows的安全审核,优化系统服务,四、Windows的安全审核,Windows日