信息安全基础 课件 8.Windows安全管理

信息安全基础InformationSecurityFundamentals8.2Windows安全管理操作系统安全管理本节内容Windows账号管理Windows文件管理Windows安全审核Windows注册表管理1.Windows账号管理安全标识符SID安全标识符（SecurityIdentifiers,SID）是标识用户、组和计算机账户的唯一号码。每当创建一个用户或一个组的时候，系统会分配给该用户或组一个唯一的SID。如果创建账户、再删除账户，然后使用相同的用户名创建另一个账户，新账户将不具有授权级前一个账户的权力或权限，原因是该账户具有不同的SID。版本号颁发机构子颁发机构相对标识符1.Windows账号管理安全标识符SID1.Windows账号管理安全账号管理器Windows的用户账号的安全管理使用了SAM（SecurityAccountManager）机制。SAM是Windows系统账户管理的核心，负责SAM数据库的控制和维护。Windows系统中的用户密码存放在C:\WINDOWS\system32\config目录下名为SAM的文件中，该文件只能被Windows系统独占打开。该文件的格式为：

用户名：RID：LM-Hash：NTLM-Hash例如：Administrator：500：C8825DB10F2590EAAAD3B435B51404EE：683020925C5D8569C23AA724774CE6CC：：：1.Windows账号管理安全账号管理器SAM文件中用户的口令要经过Hash加密。加密包括两种方式：LM（LANManager）和NTLM。LM是针对Windows9x系统，Windows2000以后的系统主要使用NTLM。尽管大多数用户不需要LM，但在Windows2000、XP和2003中仍然计算和存储LM口令，以保持向后兼容。WindowsServer2008不再保存LM口令。1.Windows账号管理安全账号管理器LM-Hash生成过程：（1）假设明文口令是“Welcome”，首先全部转换成大写“WELCOME”（2）再将大写的口令字符串变换成二进制串：“WELCOME”→

57454C434F4D4500000000000000。（3）如果二进制字符串不足14字节，则需要在其后添加0x00补足14字节。然后切割成两组7字节的数据，分别经str_to_key（）函数处理得到两组8字节数据：str_to_key(57454C434F4D45)→56A25288347A348Astr_to_key(00000000000000)→

00000000000000001.Windows账号管理安全账号管理器LM-Hash生成过程：（4）这两组8字节数据将作为DESKEY对魔术字符串“KGS!@#$%”进行标准DES加密。字符串变换成二进制串：“KGS!@#$%”

→

4B47532140232425。56A25288347A348A

对4B47532140232425进行标准DES加密→

C23413A8A1E7665F0000000000000000

对4B47532140232425进行标准DES加密→

AAD3B435B51404EE将加密后的这两组数据简单拼接，就得到了最后的LM-Hash。LM-Hash:

C23413A8A1E7665FAAD3B435B51404EE

1.Windows账号管理安全账号管理器LM-Hash算法存在几个弱点：密码不区分大小写；密码最长为14个字符；密码被分成2串7个字符进行存放，大于7个字符的密码破解实际上是破解2个7个字符内的密码。1.Windows账号管理安全账号管理器NTLM-Hash的生成过程（1）假设明文口令是“123456”，首先转换成Unicode字符串，与LM-Hash算法不同，不需要添加0x00补足14字节。“123456”

→

310032003300340035003600（2）对所获取的Unicode串进行标准MD4单向哈希，无论数据源有多少字节，MD4固定产生128-bit的哈希值，16字节“310032003300340035003600”进行标准MD4单向哈希→

32ED87BDB5FDC5E9CBA88547376818D4，就得到了最后的NTLM-Hash。1.Windows账号管理安全账号管理器NTLM-Hash的优点NTLM-Hash明文口令大小写敏感，无法根据NTLM-Hash判断原始明文口令是否小于8字节，摆脱了魔术字符串"KGS!@#$%"。MD4是真正的单向哈希函数，穷举作为数据源出现的明文，难度较大。1.Windows账号管理Windows账户安全管理1．Windows强密码原则2．账户策略3．重新命名Administrator账号4．创建一个陷阱用户5．禁用或删除不必要的账号6.SYSKEY双重加密账户保护1.Windows账号管理Windows账户安全管理1．Windows强密码原则2．账户策略3．重新命名Administrator账号4．创建一个陷阱用户5．禁用或删除不必要的账号6.SYSKEY双重加密账户保护1.Windows账号管理Windows账户安全管理1．Windows强密码原则口令应不少于8个字符同时包含英文大、小写、数字、键盘上的符号这四种类型字符中的3种不包含完整的字典词汇不包含用户名、真实姓名、生日或公司名称等。1.Windows账号管理Windows账户安全管理2.账户策略密码策略密码复杂性：启用密码长度最小值：6位密码最长存留期：42天密码最短存留期：1天强制密码历史：5次账户锁定策略帐户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟1.Windows账号管理Windows账户安全管理3.重新命名Administrator账号

由于Windows的默认管理员账号administrator已众所周知，所以该账号通常为攻击者猜测口令攻击的对象。为了降低这种威胁，可以将administrator账号重新命名。1.Windows账号管理Windows账户安全管理4.设置一个陷阱用户在重新命名administrator账号后，再创建一个名为administrator的本地用户，权限设置成最低，并且加上一个超过10位的超级复杂的密码。这样可以让Hacker忙上一段时间，借此发现入侵企图。1.Windows账号管理Windows账户安全管理5.禁用或删除不必要的账号在“计算机管理”中查看系统活动账号列表，并且禁用所有非活动的账户，特别是Guest账户，删除或禁用不再需要的账户。1.Windows账号管理Windows账户安全管理6.SYSKEY双重加密账户保护WindowsNT设计SYSKEY机制保护SAM文件。SYSKEY能对SAM文件进行二次加密，工作过程为：当SYSKEY被激活后，SAM中的口令信息在存入注册表之前，需要再次进行一次加密处理。可以说SYSKEY使用了一个密钥，这个密钥能激活SYSKEY，由用户自己选择保存位置。2.Windows注册表管理注册表的由来早期的图形操作系统，如Windows3.x，对软硬件工作环境的配置是通过对扩展名为“.ini”的文件进行修改来完成的，但“*.ini”文件管理起来很不方便，并且很难实现远程访问。在Windows95及其后继版本中，采用“注册表”数据库来统一进行管理，将各种信息资源集中起来，并存储各种配置信息。Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表，用来管理应用程序和文件的关联、硬件设备说明、状态属性，以及各种状态信息和数据。2.Windows注册表管理注册表的特点注册表允许对硬件、系统参数、应用程序和设备驱动程序进行跟踪配置，使某些配置的改变可以在不重新启动系统的情况下立即生效。注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。当检测到机器上的新设备时，就把有关数据保存到注册表中。另外，还可以避免新设备与原有设备之间的资源冲突。管理人员和用户通过注册表可以在网络上检查系统的配置和设置，使远程管理得以实现。2.Windows注册表管理注册表的数据类型二进制(BINARY)：在注册表中，二进制是没有长度限制的，可以是任意个字节的长度。DWORD值(DWORD)：4个字节，系统以十六进制的方式显示DWORD值

字符串值(SZ)：通常它由字母和数字组成。2.Windows注册表管理注册表文件在WindowsNT中，所有注册表文件都放在“%systemroot%\system32\config”目录下。此文件夹中的每一个文件都是注册表的重要组成部分，对系统有着关键的作用。其中，没有扩展名的文件是当前注册表文件，也是最重要的，主要包括以下几项：Default——默认注册表文件SAM——安全账户管理器注册表文件Security——安全注册表文件Software——应用软件注册表文件System——系统注册表文件2.Windows注册表管理注册表文件在“%systemroot%\system32\config”目录下还有一些以SAV为扩展名的文件，是上述文件的备份，是最近一次系统正常引导过程中保存的。Windows会将这些文件备份到“%systemroot%\repair”目录下，以便在出现故障时修复。注册表配置单元对应的文件名HKEY_LOCAL_MACHINE\SAMsam和sam.logHKEY_LOCAL_MACHINE\SECURITYSecurity和security.logHKEY_LOCAL_MACHINE\SYSTEMSystem和system.logHKEY_LOCAL_MACHINE\SOFTWARESoftware和software.logHKEY_CURRENT_CONFIGSystem和system.logHKEY_USERSDefault和default.log2.Windows注册表管理注册表的备份和恢复一旦注册表受到损坏，将会引发各种故障，甚至导致系统“罢工”。要防止各种故障的发生，或者在已经发生故障的情况下进行恢复，备份和恢复注册表非常重要。在Windows正常运行的情况下，不直接复制注册表文件。可以使用Windows自带的备份程序Ntbackup.exe来进行注册表的备份。在“运行”对话框中输入“Ntbackup”即可打开注册表备份程序，按照向导进行注册表的备份。备份后的文件以”.bkf”为扩展名。建议将备份文件置于不经常访问、比较安全的盘。恢复注册表时，直接执行bkf文件，向导会提示如何完成整个还原过程。2.Windows注册表管理注册表的权限Windows为注册表提供了访问控制的功能，可以为用户或组分配注册表预定义项的访问权限。2.Windows注册表管理预防对Windows的远程注册表扫描在默认状态下，注册表都提供远程连接访问功能。黑客可以利用扫描器很轻松地通过远程注册表访问到系统中的相关信息。为了安全起见，应该将远程可以访问到的注册表路径全部清除，以便切断远程扫描通道。3.Windows文件管理NTFS文件系统NTFS（NewTechnologyFileSystem）是可扩展和可恢复的文件系统；它有磁盘配额、文件加密；NTFS可以设置文件安全性；NTFS有压缩功能；NTFS是以簇为单位来存储数据文件，在给定大小的卷上，NTFS总是使用最小的默认簇。3.Windows文件管理NTFS文件权限权限是授予或拒绝对象访问权的规则，用于控制访问NTFS文件权限允许访问类型读取查看文件内容，查看文件属性、拥有人和权限写入覆盖写入文件，修改文件属性、执行读取权限读取和运行运行应用程序，执行读取权限的动作修改修改和删除文件，执行写入权限和读取和运行权限的动作完全控制改变权限，成为拥有人，执行所有其他NTFS文件权限进行的动作3.Windows文件管理NTFS文件权限权限是授予或拒绝对象访问权的规则，用于控制访问NTFS文件夹权限允许访问类型读取查看文件夹中的文件和子文件夹名，查看文件夹属性、拥有人和权限写入在文件夹内创建新的文件和子文件夹，修改文件夹属性、查看文件夹的拥有人和权限（读取权限）列出文件夹内容遍历文件夹（打开或者关闭文件夹），执行“读取”的动作读取和运行执行“读取”权限和“列出文件夹内容”的动作（权限与”列出文件夹内容”几乎相同，只是该权限可以被文件和文件夹继承）修改删除文件夹，执行“写入”权限和“读取和运行”权限完全控制改变权限，成为拥有人，执行允所有其他NTFS文件夹权限进行的动作3.Windows文件管理NTFS文件加密加密文件系统（EncryptingFileSystem,EFS）提供文件加密的功能，文件经过加密后，只有当初其加密的用户或被授权的用户才能读取，因此可以提高文件的安全性。EFS内置于NTFS文件系统中，只有NTFS磁盘内的文件、文件夹才可以被加密。如果将文件复制或移动到非NTFS磁盘内，此文件会被解密。当在一个加密文件夹下创建文件或文件夹时，它们自动被加密，当移动一个文件或文件夹到加密文件夹下会自动被加密当访问一个加密文件时，用户用平常的方法去访问当用户关闭文件时，EFS自动加密3.Windows文件管理NTFS文件加密要想使用一个用户能访问另一个用户的加密文件，必须拥有该用户的证书加密用户通过运行certmgr.msc打开证书管理器，在“个人”证书目录中找到自己的证书并导出。访问用户将加密用户的证书导入自己的“个人”证书目录即可。3.Windows文件管理共享文件夹权限共享文件夹是允许通过网络访问其内容的文件夹。文件夹可以共享，但是各个文件不可共享默认情况下，共享文件夹权限为“Everyone，读取”，共享文件夹的所有者可以修改此权限可通过以下方式找到共享文件夹：在Windows资源管理器中寻找有两个用户图标的文件夹在命令行下通过NetShare命令在“计算机管理”的“共享文件夹”下fsmgmt.msc

打开共享文件夹管理器3.Windows文件管理共享文件夹权限权限级别访问权读取允许查看文件中的数据允许浏览子文件夹可执行共享文件夹中的程序默认情况下应用于Everyone组更改“读取”类别的所有权限可创建新文件和子文件可修改或删除现有文件中的数据可删除文件和子文件完全控制“读取”和“更改”类别中包括的所有权限，外加更改安全性设置的权限3.Windows文件管理操作共享文件夹的命令查询系统中共享文件夹：netshare创建共享文件夹：Netsharesharename=文件夹路径删除共享文件夹：Netsharesharename/del4.Windows安全审核Windows的服务服务是一种应用程序类型，在后台长时间运行，不显示窗口。4.Windows安全审核Windows的服务服务包括三种启动类型：自动，手动，已禁用。自动-Windows启动的时候自动加载服务手动-Windows启动的时候不自动加载服务，在需要的时候手动开启禁用-Windows