【课件】Windows 2000系统安全

1、windows 2000系统安全http:/ 防火墙技术 入侵检测技术http:/ 2000安全结构http:/ http:/ windows 2000中的对象类型有： 文件、文件夹、打印机、i/o设备、窗口、线程、进程和内存。本地的本地的windows 2000windows 2000安全子系统包括下列关键组件：安全子系统包括下列关键组件： 安全标识符、访问令牌、安全描述符、访问控制列表和安全标识符、访问令牌、安全描述符、访问控制列表和访问控制条目。访问控制条目。http:/ 2000安全组件 安全标识符:分配给所有用户、组和计算机的统计上的唯一号码为了保证sid的惟一性，在生成他们的时候使

2、用一个公式，结合计算机名，当前时间和当前用户模式线程使用cpu时间的总量。sid像这样：s1521164928866415498249601244863647500http:/ 2000来说总是为来说总是为5)然后是然后是4个子颁发机构代码个子颁发机构代码(本例中是本例中是21和后续的和后续的3个个长数字串长数字串)和一个相对标识符和一个相对标识符(relative identifier，rid，本例中是，本例中是500)http:/ 2000时，本地计算机会颁发一个随机的时，本地计算机会颁发一个随机的sid。当创建一个。当创建一个windows 2000域时，它也被指定一个域时，它也被指定一

3、个惟一的惟一的sid。于是对任何的。于是对任何的windows 2000计算机或域来计算机或域来说，子颁发机构代码总是惟一的说，子颁发机构代码总是惟一的(除非故意修改或复制，例除非故意修改或复制，例如某些底层的磁盘复制技术如某些底层的磁盘复制技术)http:/ i d 5 0 0 的的 s i d 总 是 代 表 本 地 计 算 机 的 真 正 的总 是 代 表 本 地 计 算 机 的 真 正 的administrator账户。账户。rid 501是是guest账户账户在域中，从在域中，从1000开始的开始的rid代表用户账户代表用户账户windows 2000(或者使用适当工具的恶意黑客或者

4、使用适当工具的恶意黑客)总是将总是将具有具有rid 500的账户识别为管理员的账户识别为管理员http:/ owners-1-3-1creator grouphttp:/ administrators-1-5-21-1507001333-1204550764-1011284298-500number of subauthorities is 5domain is corpc:sid2user 5 21 1507001333 1204550764 1011284298 500name is administratordomain is corptype of sid is sidtypeuser

5、http:/ 2000安全组件 访问控制令牌 :访问令牌由用户的sid、用户所属组的sid和用户名组成http:/ 2000安全组件 安全描述符:安全描述符由对象所有者的sid、posix子系统使用的组sid、访问控制列表和系统访问控制列表组成。http:/ 2000安全组件 访问控制列表:http:/ 2000安全组件 访问控制条目:访问控制条目（access control entry，ace）包含用户或组的sid和分配给对象的权限。http:/ account managementnetlogonauthentication packagessecurity support provid

6、ersspi加载gina，监视认证顺序加载认证包支持额外的验证机制提供登陆接口提供真正的用户校验管理用户和用户证书的数据库为认证建立安全通道http:/ winlogon 图形身份认证和验证动态链接库（graphical identification and authentication dll，gina） 本地安全管理授权（local security authority，lsa） 安全支持供应商接口（security support provider interface，sspi） 验证软件包（authentication packages） 安全支持供应商（security suppor

7、t providers） netlogon服务 安全帐户管理器（security account manager，sam）http:/ winlogon主要负责管理用户登录和注销过程，并加载gina dll并监视安全认证的顺序。 http:/ dll gina dll为登陆和登陆请求提供接口。gina dll被设计成独立的模块并可被更强壮的认证机制所代替。目前有很多强有力的认证设备可以使用，比如利用指纹认证来代替默认的gina dll。 winlogon访问注册表里的hklmsoftwaremicrosoftwindowsntcurrentversionwinlogon 键来查看gina dl

8、l值是否存在。如果此dll存在，winlogon加载并使用那个dll。否则的话windowsnt就使用默认的dll,叫msginadll，是nt自带的。 由winlogon来监视安全认证的顺序并当一个登陆请求发生时通知给gina。 http:/ 本地安全授权是一个保护子系统，主要负责下列任务： 加载所有的认证包，包括检查存在于注册表中 hklmsystemcurrentcontrolsetcontrollsa中的authentication packages值 为用户找回本地组的sid以及用户的权限 创建用户的访问令牌 管理本地安全服务的服务帐号 存储和映射用户权限 管理审计策略和设置 管理信

9、任关系 http:/ 微软的安全支持供应商接口利rfc2743及rfc2744所定义的一般安全服务api极为相似安全服务提供商api为应用程序和服务要求安全认证连接提供了解决方法。 http:/ 认证包的内容提供真正的用户验证。认证包检查通过gina dll所得到的证书，当用户的证书被检验后，认证包向lsa返回sid，包括用户的访问令牌。http:/ 安全支持供应是安装驱动程序来支持额外的安全机制。windowsnt默认安装包括以下： msnsspc.dll：微软网络(msn)挑战响应认证方法。 . msapsspc.dll：分布式密码认证(dpa)挑战响应方法，也用于msn。 schanne

10、l.dll 利用证书授权机购(如verisign)所发布的证书来时行验证。这种认证方法通常是在安全套接字层(ssl)或私有通信技术(pct)协议连接时所使用。 http:/ net logon服务必须为认证的传输建立一个安全的通道。 为了达到这种效果，要定位个域控制器来建立安全通道。 最后，通过这条安全通道来传递用户的认证再以用户sid及用户权限的形式接收到域控制器的响应。 http:/ 安全帐号管理实际上是一个掌管用户和用户证书的数据库。它存储在windows net 注册表的一部分。每个域都有不同的sam，作为两台域服务器复制的一部分。 http:/ 2000认证与授权访问用户awinlo

11、gon使用账户名称/口令进行认证成功成功file.txtsrm,安全安全参考监视器参考监视器访问http:/ （1）windows认证机制 以windows 2000为例，提供两种认证：本地认证和网络认证。 （2）windows访问控制机制： windowsnt/xp的安全性达到c2级，c2级实现了何种访问控制？ （3）windows审计和日志机制 （4）windows协议过虑和防火墙 （5）windows文件系统加密系统http:/ windows 2000 支持，包括 x.509 证书、智能卡和、kerberos 协议和ntlm 协议数种产业标准身份验证机制http:/ 级级c1 级级c2

12、 级级b1 级级b2 级级b3 级级a 级级http:/ 自主的访问控制 对象再利用必须由系统控制 用户标识和认证 审计活动 能够审计所有安全相关事件和个人活动 只有管理员才有权限访问http:/ 2000的默认目录 windows 2000的%system%winnt目录 几个需要注意的默认安装目录 iis的默认目录 log的默认目录(%windir%system32logfiles和%windir%system32config) sam和sam备份的日志目录http:/ 2000的默认账号 账户名账户名 注释注释system/localsystem 本地计算机的所有特权本地计算机的所有特权

13、administrator 同上；可以改名，但不能删除同上；可以改名，但不能删除guest 有限的权限，默认禁用有限的权限，默认禁用iuer_计算机名计算机名 iis的匿名访问，的匿名访问，guests组成员组成员iwam_计算机名计算机名 iis进程外应用程序运行的账号，进程外应用程序运行的账号， guests组成员组成员tsinternetuser 终端服务终端服务krbtgt kerberos密钥分发账号，只在密钥分发账号，只在dc上出现，默认禁用上出现，默认禁用http:/ 2000下的内建组 组名组名 注释注释administrators 成员具有本地计算机的全部权限成员具有本地计算

14、机的全部权限 users 所有账号，较低的权限所有账号，较低的权限 guests 有限的权限，与有限的权限，与users相同相同authenticated users 特殊的隐含组，包含所有已登录的用户特殊的隐含组，包含所有已登录的用户 replicator 用于域中的文件复制用于域中的文件复制backup operators 没有没有administrators权限高，但十分接近权限高，但十分接近server operators 没有没有administrators权限高，但十分接近权限高，但十分接近account operators 没有没有administrators权限高，但十分接近权

15、限高，但十分接近print operators 没有没有administrators权限高，但十分接近权限高，但十分接近http:/ 2000默认共享 c$、d$ ipc$：远程会话管理 admin$：指向%windir%目录，用于远程管理http:/ 2000风险的关键 iis 5.0风险 windows 2000终端服务风险 客户端访问风险http:/ 2000终端服务 ts(terminal service)工作于3389端口 ts基于rdp(remote desktop protocol)实现 终端服务不是使用http或https的，而是通过rdp通道实现 ts监听端口可以自己指定 h

16、klmsystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp 值-portnumber reg_word 3389(默认)http:/ 密码猜测攻击风险(tsgrinder) 权限提升风险(pipeupadmin、getadmin)http:/ 恶意电子邮件-mime扩展 outlook缓冲区溢出 media play缓冲区溢出 vbs地址簿蠕虫http:/ 起源于vcard(一种电子名片) outlook直接打开并运行附件中的vcards而不提示用户 vcards存储于.vcf文件中，也是没有提示而直接运行的 当vcards的生日字段(