第二章 windowsxp系统的基本安全.ppt

1、第二章 Windowsxp系统的基本安全,安全是一种“买不到”的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的。,本讲的目标,了解WindowsXP系统缺省安装会带来的安全隐患； 理解和掌握Windows XP系统的启动过程，能够独立解决启动中碰到的疑难问题。 理解和掌握Windows XP系统帐户的安全策略。 对Windows XP系统进行性能优化。 掌握常见的系统安全措施。,授课建议,重点分析Windows XP系统的启动过程。 简要分析Windows XP系统帐户的安全策略。 介绍WindowsXP系统缺省安装会带来的安全隐患 简要介绍对Windows XP系统进行

2、性能优化。 通过操作演示介绍常见的系统安全措施。,什么是操作系统,操作系统是管理计算机系统的全部硬件、软件及数据资源的管理控制程序，大致包括5 个方面的管理功能：进程管理、设备管理、文件管理、存储管理和作业管理。 WindowsXP操作系统SP2的重大改进： 1安全中心 该工具提供了三个重要安全组件（反病毒软件、网络防火墙、自动更新功能）的监控。如果这三个组件中的某个组件被禁用或者设置错误，系统提示区中会显示出一个警告图标。 2Windows 防火墙 该功能加强了对系统中数据访问的过滤功能。 3无线网络 使无线网络的连接配置更加简便，同时加强了无线网络连接的安全保证。,系统启动过程,1. 预引

3、导(Pre-Boot)阶段； 2. 引导阶段； 3. 加载内核阶段； 4. 初始化内核阶段； 5. 登陆。,预引导(Pre-Boot)阶段,在计算机启动加电之后，并且在Windows XP 操作系统启动之前这段时间，称之为预引导（Pre-Boot）阶段。 在这个阶段里，计算机首先运行Power On Self Test（POST），POST 检测系统的总内存以及其他硬件设备的现状。 如果计算机系统的BIOS(基础输入/输出系统)是即插即用的，那么计算机硬件设备将经过检验以及完成配置。 计算机的基础输入/输出系统（BIOS）定位计算机的引导设备，然后MBR(Master Boot Record)

4、 主引导记录被加载并运行。在预引导阶段，从引导扇区加载并初始化NTLDR 文件。 注：NTLDR 存放于C 盘根目录下，是一个具有隐藏、只读属性的系统文件，主要职责是解析Boot.ini 文件。,引导阶段,初始引导加载器阶段 从实模式转换为32位平面模式 操作系统选择阶段 设置boot.ini文件使系统提供操作系统选择 硬件检测阶段 N将收集计算机硬件信息列表并将列表返回到NTLDR，便于以后将这些信息加入HKEY_LOCAL_MACHINE下的hardware 配置选择阶段,加载内核阶段,ntldr 加载称为Windows XP 内核的ntokrnl.exe。系统加载了WindowsXP 内

5、核但是没有将它初始化。接着ntldr 加载硬件抽象层（HAL，hal.dll）。然后，系统继续加载HKEY_LOCAL_MACHINEsystem键，NTLDR 读取select键来决定哪一个Control Set将被加载。控制集中包含设备的驱动程序以及需要加载的服务。NTLDR 加载HKEY_LOCAL_MACHINEsystemservice.下start 键值为0 的最底层设备驱动。当作为Control Set 的镜像的Current Control Set被加载时，ntldr 传递控制给内核，初始化内核阶段就开始了。 注：如果在启动的时候按F8 键，那么我们将会在启动菜单中看到多种选择

6、启动模式，这时NTLDR 将根据用户的选择来使用启动参数加载NT内核，用户也可以在Boot.ini 文件里设置启动参数。,初始化内核阶段,系统完成了启动的4项任务 内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINEHARDWARE键。 内核通过引用HKEY_LOCAL_MACHINEsystemCurrent的默认值复制Control Set来创建了Clone Control Set。Clone Control Set配置是计算机数据的备份，不包括启动中的改变，也不会被修改。 系统完成初始化以及加载设备驱动程序，内核初始化那些在加载内核阶段被加载的底层驱动程序，然后内

7、核扫描HKEY_LOCAL_MACHINEsystemCurrentControlSetservice.下start键值为1的设备驱动程序。 Session Manager启动了Windows XP高级子系统以及服务，Session Manager启动控制所有输入、输出设备以及访问显示器屏幕的Win32子系统以及Winlogon进程，初始化内核完毕。,登录方式,交互式登录 登录界面的欢迎信息，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.编辑相应项值 网络登录 采用域帐号登录 服务登录 批处理登录 通常被

8、执行批处理操作的程序所使用,交互式登录的系统组件,Winlogon,加载GINA，监视认证顺序,加载认证包,支持额外的验证机制,为认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,Winlogonexe,加载其他登录组件；提供同安全相关的用户操作图形界面，以便用户能进行登录或注销等相关操作。 如果用户设置了“安全登录”，在Winlogon 初始化时，会在系统中注册一个SAS (Secure Attention Sequence-安全警告序列)。SAS 是一组组合键，默认情况下为Ctrl-Alt-Delete。它的作用是确保用户交互式登录时输入的信息被系统所接受，而

9、不会被其他程序所获取。所以说，使用“安全登录”进行登录，可以确保用户的账号和密码不会被黑客盗取。要启用“安全登录”的功能，可以运行“Control userpasswords2”命令，打开“用户账户”对话框，选择“高级”。选中“要求用户按Ctrl-Alt-Delete”选项后确定即可。以后，在每次登录对话框出现前都有一个提示，要求用户按Ctrl-Alt-Delete 组合键，目的是为了在登录时出现Windows XP的GINA 登录对话框，因为只有系统本身的GINA 才能截获这个组合键信息。 Winlogon.exe的三种状态 已登录状态 已注销状态 已锁定状态,GINA,GINA 的全称为“

10、Graphical Identification and Authentication”-图形化识别和验证，是几个动态数据库文件，被Winlogon.exe 所调用，为其提供能够对用户身份进行识别和验证的函数，并把用户的账号和密码反馈给Winlogon.exe。在登录过程中，“欢迎屏幕”和“登录对话框”就是GINA 显示的。 Winlogon 调用了GINA 组文件，把用户提供的账号和密码传达给GINA，由GINA负责对账号和密码的有效性进行验证，然后把验证结果反馈给Winlogon程序。在与Winlogon.exe 对话时，GINA 会首先确定Winlogon.exe 的当前状态，再根据不同

11、状态来执行不同的验证工作。 用GINA 生成3 个桌面系统 Winlogon 桌面 用户桌面 屏幕保护桌面,LSA 服务,LSA 的全称为“Local Security Authority”-本地安全授权，是Windows 系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从Winlogon.exe 中获取用户的账号和密码，然后经过密钥机制处理，并和存储账号数据库中的密钥进行对比，如果对比的结果匹配，LSA 就认为用户的身份有效，允许用户登录计算机。如果对比的结果不匹配，LSA 就认为用户的身份无效。这时用户就无法登录计算机。,SAM 数据库,SAM 的全称为“Securit

12、y Account Manager”-安全账号管理器，是一个被保护的子系统，它通过存储在计算机注册表中的安全账号来管理用户和用户组的信息。我们可以把SAM 看成一个账号数据库。对于没有加入到域的计算机来说，它存储在本地，而对于加入到域的计算机，它存储在域控制器上。,登录到本机的过程,1. 用户首先按Ctrl+Alt+Del 组合键。 2. Winlogon 检测到用户按下SAS 键，就调用GINA，由GINA 显示登录对话框，以便用户输入账号和密码。 3. 用户输入账号和密码，确定后，GINA 把信息发送给LSA 进行验证。 4. 在用户登录到本机的情况下，LSA 会调用验证程序包，把用户信息

13、处理后生成密钥，同SAM 数据库中存储的密钥进行对比。 5. 如果对比后发现用户有效，SAM 会把用户的SID(Security Identifier-安全标识)，用户所属用户组的SID，和其他一些相关信息发送给LSA。 6. LSA 把收到的SID 信息创建安全访问令牌，然后把令牌的句柄和登录信息发送给Winlogon.exe。 7. Winlogon.exe 对用户登录处理后，完成整个登录过程。,登录到域的过程,1. 用户首先按Ctrl+Alt+Del 组合键。 2. Winlogon检测到用户按下SAS 键，就调用GINA，由GINA 显示登录对话框。 3. 用户输入所要登录的域、账号与

14、密码，确定后，GINA 把相关信息发送给LSA 进行验证。 4. 在用户登录到本机的情况下，LSA 把请求发送给Kerberos 验证程序包。通过散列算法，根据用户信息生成一个密钥，并把密钥存储在证书缓存区中。 5. Kerberos 验证程序向KDC(Key Distribution Center-密钥分配中心)发送一个包含用户身份信息和验证预处理数据的验证服务请求，其中包含用户证书和散列算法加密时间的标记。 6. KDC 接收到数据后，利用自己的密钥对请求中的时间标记进行解密，通过解密的时间标记是否正确，就可以判断用户是否有效。 7. 如果用户有效，KDC 把向用户发送一个TGT(Tick

15、et-Granting Ticket-票据授予票据)。该TGT(AS_REP)把用户的密钥进行解密，其中包含会话密钥、该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数据和设置等。用户所申请的票据在KDC 的密钥中被加密，并附着在AS_REP 中。在TGT 的授权数据部分包含用户账号的SID 以及该用户所属的全局组和通用组的SID。注意，返回到LSA 的SID 包含用户的访问令牌。票据的最大生命期是由域策略决定的。如果票据在活动的会话中超过期限，用户就必须申请新的票据。 8. 当用户试图访问资源时，客户系统使用TGT从域控制器上的Kerberos TGS 请求服务票据)。然后

16、TGS 把服务票据发送给客户。该服务票据是使用服务器的密钥进行加密的。同时，SID 被Kerberos 服务从TGT 复制到所有的Kerberos服务包含的子序列服务票据中。 9. 客户把票据直接提交到需要访问的网络服务上，通过服务票据就能证明用户的标识和针对该服务的权限，以及服务对应用户的标识。,自动登录,运行“Control userpasswords2”，在“用户账户”窗口中取消“要使用本机，用户必须输入用户名和密码”选项，确定后会出现一个对话框，输入要自动登录的账号和密码即可 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVer

17、sionWinlogon在右边窗口中新建两个字符串值DefaultUserName”和“DefaultPassword”，分别赋值为你想自动登录的用户名和密码，DefaultUserName一般已有，然后再新建一个名为“AutoAdminLogon”的字符串并赋值为1,启动密码保护,Windows XP 还有一个更安全的“启动密码”，这个密码显示在用户密码前，而且还可以生成钥匙盘，如果设置它，你的Windows XP 就更加安全了。Syskey命令设置启动密码的方式： 设置启动密码 制作“钥匙盘”,windowsXP 安全模式的效用,修复连接状态中断 检测不兼容的硬件 卸载不正确的驱动,启动模

18、式,1.安全模式 只有基本文件和驱动程序、默认系统服务 2.带网络连接的安全模式 安全模式网络连接 3.带命令行提示符的安全模式 只有基本文件和驱动程序 4.启用启动日志 安全模式ntbtlog.txt日志 5.启用VGA 模式 利用基本VGA模式 6.最后一次正确的配置 使用上一次关闭时所保存的注册表信息和驱动程序来启动 7.目录服务恢复模式 用于恢复域控制器上的SYSVOL目录和AD目录服务，针对服务器操作系统 8.调试模式 启动时通过串行电缆将调试信息发送到另一台计算机。,禁用安全模式,通过修改注册表，使用户无法进入Windows XP带有命令行的安全模式，避免他人在安全模式下利用net

19、 user 命令修改其他用户的密码，同时限制受限用户访问并修改注册表，避免他人修改注册表启动安全模式。 使用管理员级别帐户登录Windows XP，在“运行”窗口中输入“regedit”，打开注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot键值， 将SafeBoot下的“Minimal”及“Network”项，改名为“Minimal1”及“Network1”或其它与原键值不同的名称，修改完成后，其他人在启动时按F8 键进入任何一种安全模式，系统都会自动重启。 在注册表编辑器中，选中HKEY_LOCAL _MACH

20、INE，单击右键，选择菜单“权限”，打开“HKEY_ LOCAL_MACHINE的权限”窗口，选中“Users”，勾去“Users 的权限”下的“读取”项。这样就可以防止普通用户修改注册表使安全模式恢复正常。,启动的隐藏之处（一）,1当前用户专有的启动文件夹 这是许多应用软件自动启动的常用位置，Windows 自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：Documents and Settings开始菜单程序启动，其中“”是当前登录的用户帐户名称。 2对所有用户有效的启动文件夹 这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动这

21、是它与用户专有的启动文件夹的区别所在。该文件夹一般在：Documents and SettingsAll Users开始菜单程序启动。 3 Load 注册键 HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload 4Userinit 注册键 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit 5ExplorerRun 注册键HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurren

22、tVersionPoliciesExplorerRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun,启动的隐藏之处（二）,6RunServicesOnce 注册键，用来启动服务程序，启动时间在用户登录之前，先于其他通过注册键启动的程序 HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersio

23、nRunServicesOnce 7RunServices 注册键，RunServices 注册键指定的程序紧接RunServicesOnce 指定的程序之后运行，但两者都在用户登录之前。 HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionRunServices， HKEY_LOCAL_MACHINESOFTWARE Microsoft Windows CurrentVersionRunServices。 8RunOnceSetup 注册键，指定了用户登录之后运行的程序， HKEY_CURRENT_USERSoftwareMicr

24、osoftWindowsCurrentVersionRunOnceSetup HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup 9RunOnce 注册键，指定自动运行程序 HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoft Windows CurrentVersionRunOnce HKEY_LOCAL_MACHINE 下面的RunOnce 键会在用户登录之后立

25、即运行程序，运行时机在其他Run 键指定的程序之前。HKEY_CURRENT_USER 下面的RunOnce 键在操作系统处理其他Run键以及“ 启动” 文件夹的内容之后运行。如果是XP ， 还需要检查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersion RunOnceEx。 10Run 注册键，指定自动运行程序 HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun， HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Curre

26、ntVersion Run HKEY_CURRENT_USER 下面的Run 键紧接HKEY_LOCAL_MACHINE 下面的Run 键运行，但两者都在处理“启动”文件夹之前。,windowsXP 有两类默认账号,administrator Guest,加固系统账户,禁止枚举账号 禁用来宾账户,加强密码安全,密码复杂性要求,强壮密码的组成 大写字母 小写字母 数字 非字母、数字的字符 密码长度：不小于8字节长,强壮密码应符合的规则,个人名字或呢称,电话号码、生日等敏感信息,输入8字符以上密码,记录于纸上或放置于办公处,使用重复的字符,=强壮的密码,Windows2000口令破解的一个测试结果

27、,在一台高端PC机(4个CPU)上强行破解 5.5小时内破解字母-数字口令 45小时破解字母-数字-部分符号口令 480小时破解字母-数字-全部符号口令 在200台集群服务器上强行破解 15分钟破解字母-数字-全部符号口令,帐号安全策略,禁用Guest帐号 限制不必要的用户 创建两个管理员帐号 把系统Administrator帐号改名 创建一个陷阱帐号 把共享文件的权限从Every组改成授权用户 不让系统显示上次登录的用户名 HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Dont-DisplayLastUserName1,帐

28、号安全策略 让指定的用户只能在特定时间登录,如果需要设置这个账户从周一到周五的早上9 点到晚上5 点才能登录。可以用下面这个命令： net user Guest /time:M-F,08:00-17:00， 或者net user Guest /time:M-F,9am-5pm 如果需要依次指定每天的时间，那么也只需要按照下面这个格式： net user Guest /time:M,4am-5pm;T,1pm-3pm;W-F,8:00-17:00。 而net user Guest /time:all 这个命令则可以允许该用户随时登录。,帐号安全策略 限制系统账号/共享列表,Windows XP

29、的默认安装允许任何用户通过空用户得到系统所有账号/共享列表 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139 空连接。 在Windows XP 的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制）。,帐号安全策略 限制自动登录的次数,HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon右侧窗格创建名为AutoLogonCount 的字

30、符串值，将其值设置为自动登录的次数。,密码策略的推荐设置,合理管理用户密码,密码过期前显示信息提示 从待机状态恢复时不输入密码 退出带密码的屏保时出现登陆界面 若需要不让密码过期，可选中“密码永不过期”复选框,缺省安全服务的问题,系统安装好后，缺省会启动很多服务。但是用户平时使用到的服务组件是有限的，而哪些很少用到的组件不但占用了不少系统资源，会引起系统不稳定外，还会为黑客的远程入侵提供了多种途径。,服务分为三种启动类型,自动 手动 已禁用,十大必禁服务,可以禁止的服务,防范IPC服务的攻击,第一步：将以下项设置为“1”，就能禁止空用户连接。 HKEY_LOCAL _MACHINESYSTEM

31、CurrentControlSetControlLSA 的RestrictAnonymous 第二步：打开注册表的项（如下）， HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesLanmanServerParameters。 对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。 对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。,开机优化（一）,加快关机速度 HKEY_CURRENT_USERControl PanelDesktop把AutoEndTasks

32、 的键值设置为1；然后在将“HungAppTimeout”的键值改为“4000(或更少)，默认为50000 HKEY_LOCAL_MACHINESystemCurrentControlSetControl将WaitToKillServiceTimeout 设置为“4000”； 提高宽带速度 优化网上邻居 HKEY_LOCAL_MACHINEsofewareMicrosoftWindowsCurrent Version ExploreRemoteComputerNameSpace删除其下的(打印机)和D6277990-4C6A-11CF8D87- 00AA0060F5BF(计划任务)，重新启动电脑，再次访问