Windows系统原理与加固.pptx

1、,Windows 系统原理及加固,成都天融信公司,陈立果系统原理,安全配置,Windows安全原理篇,Windows系统的安全架构,Windows NT系统内置支持用户认证,访问控制,管理,审核，加密,Windows系统的安全主体,Windows安全子系统的组件,安全标识符（Security Identifiers）: 就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。 例： S-1-5-21-1763234323-3212657521-1234321321-500 访问令

2、牌（Access tokens）: 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。,Windows安全子系统的组件,安全描述符（Security descriptors）： Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 访问控制列表（Access control lists）： 访问控制列表有两种：任意访问控制列表（Discretiona

3、ry ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。 访问控制项（Access control entries）: 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。,Windows安全子系统,Windows 安全子系统,Windows安全子系统,Windows安全子系统,Windows安全子系统,Windows安全子系统,Windows安全子

4、系统,Windows系统的用户权利,Windows系统的用户权限,Windows系统的用户权限目录权限,如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目录。,Windows系统的用户权限文件权限,Windows的密码系统,安全帐号管理器(security account manager)： 安全帐号管理器对帐号的管理是通过安全标识进行的 安全标识在帐号创建时就同时创建 帐号被删除，安全标识也同时被删除 安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的 因此某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的权限。

5、,Windows的密码系统,Windows的密码系统,Windows的系统服务,命令行中输入services.msc打开服务列表。,Windows的系统服务,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔 服务项目子项都有一个 Start 数值 这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义 而 Start 数

6、值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。,Windows的系统进程,Windows的系统进程,Windows的 Log系统,Windows的 Log系统,日志在系统的位置是： %SYSTEMROOT%system32configSysEvent.Evt %SYSTEMROOT%system32configSecEvent.Evt %SYSTEMROOT%system32configAppEvent.Evt LOG文件在注册表的位置是： HKEY_LOCAL_MACHINESystemCurrent Cont

7、rol SetServicesEventlog,Windows的应用系统日志,Internet信息服务FTP日志默认位置： %systemroot%system32logfilesmsftpsvc1，默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志 FTP日志和WWW日志文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开 Scheduler服务日志默认位置： %systemroot%schedlgu.txt,HTTP的日志分

8、析,HTTP日志分析： #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:09:31 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:09:31 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSI

9、E+5.0;+Windows+98;+DigExt) 20001023 03:09:34 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员

10、就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间,系统原理,安全配置,Windows安全配置,安装,安装,帐户安全策略,管理员权限配置,网络服务安全配置,限制对外开放的端口:系统可以使用ipsec的端口限制功能，或者是第三方的防火墙；,网络服务安全配置,文件系统安全,EFS-加密文件系统 EFS全称是-Encrypting File System加密文件系统，是Windows 2000及以上Windows版本中，磁盘格式化为NTFS的文件加密功能。 EFS对用户是透明的 EFS加密速度很快 启用后记得备份证书，否则重装系统后原加密文件无法读取,文件系统安全,目录和文件

11、权限： 细致的设置目录和文件的访问权限可以大幅提高系统的安全性。在默认的情况下，大多数的文件夹（包括所有的根目录）对所有用户（Everyone这个组）是完全敞开的（Full Control），需要根据应用的需要进行权限重设。 在进行权限控制时，请记住以下几个原则 权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限 拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行 文件权限比文件夹权限高

12、仅给用户真正需要的权限，权限的最小化原则是安全的重要保障,重要的系统命令安全,其他的安全设置,关闭自动打开的管理共享 HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesLanmanServerParameters 键值AutoShareServer 类型REG_DWORD 数据0 不显示最后登录用户姓名 HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon 增添键值 DontDisplayLastUserName 类型 REG_SZ 数值 1,SYSKEY机制

13、在NT里，口令字密文保存在SAM文件里。NT4SP3以后，微软又对保存在SAM文件里口令字密文增加了一层加密保护机制，这就是SYSKEY机制。可以在开始-运行键入“SYSKEY”命令，得到如下窗口，手动激活SYSKEY机制：,其他的安全设置,IIS服务安全配置,禁用或删除所有的示例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 http:/localhost 或 访问；但是，它们仍应被删除。 下面 列出一些示例的默认位置。 示例 虚拟目录 位置 IIS 示例 IISSamples c :inetpubiissam

14、plesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadc,IIS服务安全配置,删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器。 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 主属性 选择 WWW 服务 | 编辑 | 主目录 | 配置,IIS服务安全配置,禁用父路径

15、 “父路径”选项允许在对诸如 MapPath 函数调用中使用“.”。在默认情况下，该选项处于启用状态，应该禁用它。禁用该选项的步骤如下： 右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。 单击“配置”。 单击“应用程序选项”选项卡。 取消选择“启用父路径”复选框。 禁用-内容位置中的 IP 地址 “内容-位置”标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址。,IIS服务安全配置,设置适当的 IIS 日志文件 ACL 请确保 IIS 产生的日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RX) 这有助于防止恶意用户为隐藏他们的踪迹而删除文件。 设置适当的 虚拟目录的权限 请确保 IIS 的虚拟目录如scripts等权限设置是否最小化，删除不需要的目录。 将iis目录重新定向 不要使用系统默认的