windows系统安全5(身份验证).ppt

1、第五章：身份认证,身份认证概述 交互式登录 网络身份验证 安全套接字 针对验证的攻击（网络,身份认证概述,对用户身份进行验证，认证能防止攻击者假冒合法用户获取访问权限,用户访问资源过程,认证的主要依据,1 口令：主体了解的秘密，如口令。 2 智能卡：主体携带的物品。 3 生物特征：如指纹、声音、视网膜，血 管分布图或签字等。 其他 ：IP地址，特定场所（也可能是特定 时间）提供证据 ，验证者认可某一 已经通过认证的可信方,身份认证概述,基于口令认证的攻击 字典攻击 穷举攻击 窥探 ，社交工程 ， 垃圾搜索 窃听 截取/重放,基于口令的认证,对口令的攻击 1 字典攻击：根据调查结果可知，大部份的

2、人为了方便记忆选用的密码都与自己周遭的事物有关，例如：身份证字号、生日、车牌号码、在办公桌上可以马上看到的标记或事物、其他有意义的单词或数字，某些攻击者会使用字典中的单词来尝试用户的密码。 穷举攻击(Brute Force)：也称蛮力破解。这是一种特殊的字典攻击，它使用字符串的全集作为字典,基于口令的认证,对口令的攻击 2 窥探：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。 社交工程：比如冒充是处长或局长骗取管理员信任得到口令等等。冒充合法用户发送邮件或打电话给管理人员，安装木马以骗取用户口令等。 垃圾搜索：攻击者通过搜索被攻击者的废弃物，得到与攻

3、击系统有关的信息，如用户将口令写在纸上又随便丢弃,基于口令的认证,对抗字典攻击和穷举攻击 1) 认证过程有一定的时延，增大穷举尝试的难度 2)安全口令 （1）位数6位。 （2）大小写字母混合。如果用一个大写字母，既不要放在开头，也不要放在结尾。 （3）可以把数字无序的加在字母中。 （4）系统用户一定用8位口令，而且包括!?:等特殊符号,不安全口令（字典攻击和穷举攻击） （1）使用用户名（帐号）作为口令 。 （2）用用户名（帐号）的变换形式作为口令。 （3）使用自己或者亲友的生日作为口令。 （4）使用常用的英文单词作为口令,例：猜测口令字的攻击,获取认证密码,方法： 弱口令扫描：最简单的方法，入

4、侵者通过扫描大量主机，从中找出一两个存在弱口令的主机 暴力破解：密码的终结者，获取密码只是时间问题，例如本地暴力破解，远程暴力破解,扫描原理,扫描器可以检测远程主机和本地系统的安全性(两者有区别)，分别被称为外部扫描和内部扫描。 外部扫描：针对远程主机开放的端口与服务进行探测。 内部扫描：以系统管理员的权限在本地机上运行，记录系统配置中的各项主要参数，分析配置上存在的漏洞,三种综合扫描器比较,1 选择检测范围,2 选择扫描模块,1 弱口令扫描,注意： X-scan也可以挂上 字典文件 例如,2 暴力破解,暴力破解所需要的只是一个安排合理地字典文件和充足的时间 通过了解入侵者使用何种工具，可帮助

5、网管员使用更强壮的密码，从而避开暴力破解,2.1） 字典文件产生,工具：流光 过程： 基本设定：可以设定单词中字母和数字的数目，范围。 选项设定：如 所有字母大小写；数字字母的前后；首字母大写 产生字典,2.2） 暴力破解,工具一：WMICracker 使用前提： 破解时需目标主机开放135端口（多数主机满足） 使用方法： WMICracker.exe Threads :目标IP. :待破解密码的账号，必须属于管理员组 密码文件 Threads:线程数，默认为80，该数值越大，破解速度越快。 假设X-Scan已经扫描到某台机器比如说 192.168.245.133上有名为gloc的管理员权限

6、账号 ，并确定密码规则。 WMICracker 192.168.245.133 gloc 1.doc 100,原理-利用远程服务漏洞,TCP 135 微软RPC监听端点映射服务 TCP 139 NetBIOS共享服务 ，Netbios上的SMB TCP 445 TCP上的SMB服务，直接主机,IPC$连接 CIFS/SMB(通用因特网文件系统/服务器消息块 简称SMB)是NT平台最严重的不足。通过139 ，445 端口泄露有价值的信息，甚至对未经身份验证的用户也如此。 net share 远程连接 net use IPipc$ PASSWORD /user:ADMIN“ 后共享 net use

7、 z: 192.168.203.128C$ 断开连接 net use * /del /y 或者 net use IPipc$ /del /y IPC$空连接 net use 192.168.202.33ipc$ /user:“ 可以实现空链接，在NT上可以通过匿名账户，进行登录，拥有everyone权限,Ipc$空连接的用处,1 查看用户账户 工具： Windows Resource Kit的 : userstat ,showgrps, local , global. Somarsoft公司开发的 DumpSec 注意： Windows server2003 之前黑客可查看远程系统上的用户 账

8、户名单，但在XP 和03后对“空连接”默认配置做了重 大改进后，这个漏洞不复存在，但把一台03机器配成域 控制器，这台机器对“空链接”的限制将被解除,2.只要ipc$空链接漏洞存在可以利用user2sid和sid2user 进行查点,Sid: S-1-5-21-8915387-1645822062-1819828000-513(相对标识符) S-1开头，以连字符分隔的那一长串数字就是远程机器的SID了。 Administrator或Guest等用户和用户组的RID是预先定义好的，比如说 Administrator用户的RID永远是500，而Guest的RID永远是501,User2sid us

9、er2sid 192.168.202.33 “domain users” 结果 S-1-5-8915387-1645822062-1819828000-513 Sid2user sid2user 192.168.202.33 5 8915387 1645822062 1819828000 500 结果：Name is godzilla Domain,对策：XP 和server 2003 把security policy 中的 （网络访问：允许匿名用户进行SID/名字转换设置为”disable”)就能防御上面介绍的这种攻击手段,防范措施： 安全策略设定 强化SMB会话安全 强制的显式权限许可：限

10、制匿名访问 使用SMB的签名 服务端和客户端都需要配置注册表,安全策略设定 策略 （MMC中的安全策略） 1 启用口令字复杂化机制 2 设置账户锁定阈值。 3 启用针对登录失败事件的日志审计功能 4 禁用无人使用的账户 5 锁定真正的Administrator账户并创建一个“诱饵 管理员”账户,策略 1， 2,策略3,策略4,策略5,默认配置下win server 2003不会锁定Administrator账户-即便系统管理员激活了账户锁定机制，Administrator账户也不会被锁定。 用passprop工具启用Administrator账户的锁定机制 Passprop /adminloc

11、kout(管理员账户名,1 基于口令的认证,对口令的攻击 3 【在认证过程中】 窃听,口令明文,例：口令的攻击-网络监听,通过Sniff(嗅探器)来监听网络中的数据包获得密码，对明 文密码特别有效，如果是加密的，还涉及解密算法 Sniffer的工作原理 Sniffer,也称网络嗅探器，它只能工作在广播型的以太网中，装有Sniffer的计算机会把网络上的所有数据接收下来，进行分析,一般来说，局域网都属于广播型网络，如网吧、校园网、小区网。Sniffer无法嗅探到跨路由或交换机以外的数据包。 如果一位勤劳的网管已经做到了他所应该做的一切：总是在第一时间给服务器打补丁，从来不执行非法程序，然而系统却

12、被入侵，就要考虑Sniffer的存在了,工具 工具一：Sniffer Pro :是一款网管分析软件，功能强大 工具二：X-Way：自带的工具箱中有一个Sniffer功能,图中所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,抓包实例,以telnet密码为例,步骤1：设置规则,包大小=55？， 网上的数据传送是把数据分成若干个包来传送，根据协议的不同包的大小也不相同， 客户端telnet到服务端一次只传送一个字节的数据，由于协议的头长度是一定的，所以telnet的数据包大小=DLC(14字节)+IP(20字节)+TCP(20字节)+数据（一个字节）=55字节， 设为

13、55正好能抓到用户名和密码，否则将抓到许多不相关的包,步骤2：抓包,步骤3：目标机运行telnet命令,步骤4：察看结果,基于口令的认证,对口令的攻击4【在认证过程中】 截取/重放,对抗认证过程中的口令攻击： 在用户和服务器之间共享密钥是身份验证的基础，但是用来保护这些密钥的机制和协议在不断改进，有效的验证协议可以使中间人难以截取登录证书或者假冒其他用户和系统,windows身份验证 分两个过程,1 交互式的登录过程 直接登录系统的过程被称为交互式登录 用户登录到本机或者域时，进行身份验证。 如果登录到本地，LSA将使用计算机的SAM处理请求 如果连接到域，LSA将使用Active Direc

14、tory处理请求 2 网络身份验证 向特定的网络服务提供对身份的证明。 通常，网络身份验证，并不是动态地向网络服务标识用户的过程，它不要求用户输入登录信息，而是依靠单一登录这一特性，由身份验证协议用交互式登录过程中所获得的信息来证实用户的身份。Kerberos(服务认证)， SSL,1.1交互式,1.1交互式-本地登录,登录组件,Graphical Identification and Authentication,其他,登录组件,1 winlogon 加载其余两个组件（GINA 和身份验证程序包） 处理与验证策略无关的用户界面操作 创建可用的桌面（提供输入用户名、密码） 向操作系统注册一个安

15、全维护序列（SAS, Secure Attention Sequence） 维护工作站状态 实现超时处理 向GINA发送事件通知消息，提供可供GINA调用的各种接口函数。 保证其操作对其他进程不可见,Winlogon初始化 注册SAS 默认为Ctrl+Alt+Del 生成三个桌面 Winlogon桌面-输入用户名，密码的桌面 应用程序桌面 屏幕保护桌面 Winlogon可维护的三种状态 已注销状态 发生在没有任何交互式登录会话期间 已登录状态 允许用户访问应用程序桌面，并执行任何所需的任务 可以切换到其他两种状态 已锁定工作站状态 提供一个安全桌面 可以通过用户身份验证切换到已登录状态，或者通

16、过管理员身份验证切换到已注销状态,登录组件,2.1 GINA动态链接库 提供了winlogon用户标识和验证用户的输出函数 微软提供的GINA是MSGINA.dll,但允许被用户替换来自行定制系统的用户识别和身份验证 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonGinaDLL= MSGINA.DLL 2.2 网络提供程序的动态链接库 提供通过标准协议到其他类型网络的辅助身份验证功能,过程,Winlogon切换到Winlogon桌面，并调用GINA来显示登录对话框，等待用户输入用户名和口令。 当用户输入信息之

17、后，GINA将它传送给LSA进行验证 LSA调用适当的验证程序包(MSV1_0),并且将口令使用单向散列函数 若SAM找到账户信息，转向身份验证程序包返回用户的SID和用户所在组的SID 验证程序包向LSA返回这些SID LSA使用这些SID创建安全访问令牌，并把令牌句柄和登录确认信息返回给Winlogon 用户进入Windows桌面,1.2 交互式域用户身份验证,当某个用户试图登录 Gina把登录信息传递给LSA进行验证，这之前的与本地登录一致,1.2 交互式kerberos用户身份验证,1.2 交互式Kerberos域用户身份验证,AD,KDC使用保存的口令散列解密 证实后，可确认用户,用

18、户信息+用密钥加密的时间戳,会话密钥（用客户密钥加密）+ TGT(用KDC自己的密钥加密,会话密钥 和TGT被 放入缓存中,2000以前版本（质询/应答,1.3 LM/NTLM“质询/应答”式身份验证过程,对口令字明文进行加密,8个字节的质询,第三步是关键。NT平台可以使用以下三种加密算法 LM加密算法 NTLM加密算法 NTLM version2 LM,加密算法脆弱，可相当容易猜出真正的口令字,对windows 身份验证嗅探,1 用 KerbSniff output.txt 负责嗅探网络和提取kerberos域的身份验证信息。 用 KerbCrack 进行字典破解 kerbcrack out

19、put.txt d dictionary.txt 【可能性极低】 2 用 L0phtcrack( LC)专门对LM或NTLM口令字进行破解。 （成功的可能是 网络中通信的主机用了低级别的LM协议,拦截windows身份验证（了解,偷偷溜进身份验证流中以拦截口令字。 利用LM身份验证机制的漏洞 使用前提 客户在不知情的情况下连到非法的中继服务器上 中继服务器 需要绑定到139端口 工具 ： SMBRelay （2001，5,2 网络身份验证方法,在域的单一登录特性中，网络身份验证依赖于成功的交互式域账户登录， 当应用程序需要使用网络资源时，通过证书缓存中的信息，及安全服务提供接口（SSPI）间接地访问验证程序包,2.1 Kerberos,Kerberos协议是一个基于票据协议 客户向网络验证，并从KDC请求票据用以访问网络资源,Kerberos密钥分发中心（KDC） 身份验证服务（AS） 对用户进行验证，并发行供用户用来请求会话票据的TGT(票据授予票据) 票据授予服务（TGS） 在发行给