Windows系统安全

1、Windows系统安全主讲人：樊亦胜内容Windows系统安全概述黑客与黑客攻击Windows系统漏洞Windows系统安全防护Windows系统安全概述Windows系统发展 桌面(客户端)操作系统 1990: Windows 3.x 1995-1999: Windows 95, 98, ME(4.x) 2000: Windows 2000 Pro(5.0.x) 2001: Windows XP(5.1.x) 2007: Windows Vista(6.0.x) 2009: Windows 7(6.1.x) 服务器操作系统 1993: Windows NT (3.x, 4.x) 2000:

2、Windows 2000 Server(5.0.x) 2003: Windows Server 2003 (5.2.x) 2008: Windows Server 2008 (6.x) Windows NT 5.x系列操作系统 Windows 2000 Pro/Windows XP Windows 2000 Server/Windows Server 2003 Windows 8 2011年9月14日，Windows 8开发者预览版发布。 兼容移动终端，微软将苹果的IOS、谷歌的Android视为Windows 8在移动领域的主要竞争对手。 2012年2月，微软发布Windows 8 消费者预

3、览版，可在平板电脑上使用。2013年操作系统市场份额http:/ 通过网络, 利用系统中的一些漏洞和缺陷,对计算机系统进行入侵的人 Hacker&Cracker 国内最早的一些黑客组织 绿色兵团、中国红客联盟、中国鹰派等常见黑客攻击方式 直接入侵攻击主机 利用操作系统漏洞进行溢出 拒绝服务(DoS) 等等黑客攻击步骤（一） 收集信息 扫描 Nmap扫描 Nessus扫描 社会工程 公开信息 利用系统漏洞 SMB漏洞 NetBIOS的信息泄漏 IIS的安全问题黑客攻击步骤（二） 尝试获得主机入口 密码猜测 远程溢出 Sniffer 社会工程 程序漏洞 绕道黑客攻击步骤（三） 尝试获得最高

4、权限 本地溢出 木马 社会工程 窃取，欺骗 程序漏洞黑客攻击步骤（四） 扩大攻击范围 清除系统记录 Log记录清除 留下系统后门 Bind shell(cmd.exe) 跳跃攻击其他主机相关演示 Nessus扫描演示 IPC$攻击演示Windows系统漏洞什么是漏洞？ 系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被黑客利用，黑客通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。 如缓冲区溢出漏洞、提权漏洞和漏洞有关的几个术语 缓冲区(buffer)： 用于临时存储数据的一段内存区域 char buffer256; buffer = ma

5、lloc64; 溢出(overflow)： 数据过长导致无法存储在预期区域内，覆盖了存储其他数据的区域 strcpy(SmallBuff, BigString); 堆栈(Stack)： 一段内存区域，用来临时存储信息，后进先出。通常用来保存函数调用现场、局部变量。 堆(Heap)： 应用程序调用堆函数动态分配的内存区域。 返回地址(Return Address)： 函数执行完毕返回时要去执行的下一条指令的地址。 Shellcode: 通常指攻击者精心构造的一段机器指令，在溢出攻击时会诱使程序执行这段代码。 非安全函数 没有内嵌边界保护支持，必须使用额外代码进行边界检查的函数 strcat()s

6、trcpy(),sprintf(),vsprintf(),bcopy(),gets(),scanf() 用户自己写的存在类似问题的函数 安全函数 可以限制所操作的数据长度，正确使用则不会导致缓冲区问题的函数 strncpy(),memcpy(),snprintf(),strncat() strncpy( DstBuffer, SrcBuffer, sizeof(DstBuffer)-1 );缓冲区溢出漏洞存在的原因和后果 缓冲区溢出漏洞存在的原因 没有使用安全函数，也没有进行边界检查 没有正确地使用安全函数 strncpy( DstBuffer, SrcBuffer, sizeof(SrcBu

7、ffer)-1 ); 设计和计算失误 MultiByteToWideChar() 缓冲区溢出的后果 攻击者使远程服务程序或者本地程序崩溃 攻击者以被攻击的程序运行时的身份执行任意代码 攻击者控制远程系统和漏洞相关的工具 反编译工具 IDA PRO WINDBG Soft ICE OllyDBG 16进制查看器 WinHEX UltraEdit32 漏洞利用工具 MetaSploit Canvas Core ImpactWindows的漏洞分类 底层基本api或者数据结构漏洞 WebDav漏洞 RPC漏洞 Dcom长文件名堆缓冲区溢出漏洞 IIS远程漏洞 Unicode漏洞 smb漏洞 MS08

8、-068 Exchange、3389、dns、wins漏洞 本地提权漏洞 MS08-025Windows 安全公告及漏洞可利用指数漏洞可利用指数可利用性指数可利用性指数简短定义简短定义 1攻击代码产生相同结果的可能性较高 2攻击代码产生不同结果的可能性较高 3攻击代码很可能无效 漏洞级别等级等级定义定义严重利用此类漏洞，Internet 蠕虫不需要用户操作即可传播。重要利用此类漏洞可能会危及用户数据的机密性、完整性或可用性，或者危及处理资源的完整性或可用性。中等此类漏洞由于默认配置、审核或利用难度等因素大大减轻了其影响。低利用此类漏洞非常困难或其影响很小。MS-08067漏洞 Microsof

9、t Windows Server服务RPC请求缓冲区溢出漏洞（MS08-067） Windows的Server服务在处理特制RPC请求时存在缓冲区溢出漏洞，远程攻击者可以通过发送恶意的RPC请求触发这个溢出，导致完全入侵用户系统，以SYSTEM权限执行任意指令。 对于Windows 2000、XP和Server 2003，无需认证便可以利用这个漏洞；对于Windows Vista和Server 2008，可能需要进行认证。漏洞的相关问题 表现症状 在开机后可能会出现多次“Generic Host Process for Win32 Services 遇到问题需要关闭”的错误。 在系统运行过程中

10、会出现多次 “svchost.exe应用程序错误0 x7ffa0eb8指令引用的0 x7ffa0eb8内存。该内存不能为written。” 入侵前的准备 扫描对方是否存在该漏洞，是否放开445端口。漏洞的防治 是否安装最新的补丁程序 通过软件来检测是否达到安全基线 MBSA 是否对系统进行了安全加固Windows系统安全防护 没有绝对的安全 安全最重要的不是掌握技术 安全不是万能的3. 安全技术2. 安全管理1. 安全意识安全意识意识决定行为，行为决定习惯习惯决定素质，素质决定命运安全意识（续） 强弱口令 弱口令：生日、数字、手机号、身高、年龄、兴趣等1、2个单一元素的组合，短口令、简单字符集

11、合 强口令：多个不相关的元素组合，长口令、复杂字符集合 数据保密 帐号、身份证、邮件地址、家庭住址、手机号 废弃数据的保密（避免恢复） 加密重要数据 社会工程 克服人性的弱点安全管理（原则） 最小（权限/服务）原则 不安装无用的软件、删除不必要的服务（Win7的小工具等） 关闭不必要的共享（例如打印机共享、文件共享） 为每个账户设置最小的管理权限 分级管理原则 为不同的实体进行安全分级，设置不同的访问规则 为不同的安全等级设置不同访问的账户 例如：银行帐号和普通帐号不能一样，重要的口令需要多人管理 权力尽可能分散 标准化操作 遵循操作的标准化安全策略 账户安全策略： 设置账户策略： 启用密码策

12、略和账户锁定策略 删除无用或过期帐号 检查是否存在空口令的帐号 尤其是Guest和Administrator账户 禁用Guest账户 对Administrator更名和禁用 创建另一个管理员权限的账户 设置14位以上的强口令 创建陷阱账户服务和端口策略 限制对外开放的端口: 在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置。 禁用snmp服务 禁用terminal server服务 将不必要的服务设置为手动访问控制策略 限制远程登录用户 取消共享设置，文件交换通过专用服务提供 禁止空连接 禁止远程注册表访问 禁止用户安装打印机驱动程序 HKLM/System/CurrentControlSet/Control/Print/Provider/LanMan Print Services/Servers/Ad