Windows系统安全.pptVIP

1、Windows系统安全,Windows安全模型,操作系统安全定义, 信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的,信息安全评估标准,ITSEC和TCSEC TCSEC描述的系统安全级别 D-A CC(Common Critical)标准 BS 7799:2000标准体系 ISO 17799标准,TCSEC定义的内容,没有安全性可言，例如MS DOS,不区分用户，基本的访问控制,有自主的访问安全性，区分用户,标记安全保护，如System V等,结构化内容保护，支持硬件保护,安全域，数据隐藏与分层、屏蔽,校验级保护，提供低级别手段,C2级安全标

2、准的要求,自主的访问控制 对象再利用必须由系统控制 用户标识和认证 审计活动 能够审计所有安全相关事件和个人活动 只有管理员才有权限访问,CC(Common Critical)标准,CC的基本功能 标准化叙述 技术实现基础叙述 CC的概念 维护文件 安全目标 评估目标,Windows 2000安全结构,Windows 安全子系统,Winlogon,加载GINA，监视认证顺序,加载认证包,支持额外的验证机制,为认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,Windows账号管理,Windows采用的账号认证方案,LanManager认证(称为LM协议) 早期版本

3、 NTLM v1 认证协议 NT 4.0 SP3之前的版本 NTLM v2 认证协议 NT 4.0 SP4开始支持 Kerberos v5认证协议 Windows 2000引进,用户类型,Administrator(默认的超级管理员) 系统帐号(Print Operater、Backup Operator) Guest(默认来宾帐号),帐户(accounts)和组(groups),帐户(user accounts) 定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制. 组：universal groups、global groups、local gr

4、oups Account Identifier: Security identifier(SID) 时间和空间唯一 S-1-N-Y1-Y2-Y3-Y4 Some well-known SIDs 字符串形式和二进制形式的SID,Windows 2000的默认账号,账户名 注释 System/localsystem 本地计算机的所有特权 Administrator 同上；可以改名，但不能删除 Guest 有限的权限，默认禁用 IUER_计算机名 IIS的匿名访问，guests组成员 IWAM_计算机名 IIS进程外应用程序运行的账号， Guests组成员 TSInternetUser 终端服务 K

5、rbtgt Kerberos密钥分发账号，只在DC上出现，默认禁用,Windows 2000下的内建组,组名 注释 Administrators 成员具有本地计算机的全部权限 Users 所有账号，较低的权限 Guests 有限的权限，与users相同 Authenticated users 特殊的隐含组，包含所有已登录的用户 Replicator 用于域中的文件复制 Backup Operators 没有administrators权限高，但十分接近 Server Operators 没有administrators权限高，但十分接近 Account Operators 没有administ

6、rators权限高，但十分接近 Print Operators 没有administrators权限高，但十分接近,密码存放位置,注册表HKEY_LOCAL_MACHINESAM下 Winnt/system32/config/sam,添加/删除帐户,Win2000/XP下 管理工具计算机管理本地用户和组 WinNT下 (域)用户管理器 命令行方式 net user 用户名 密码/add /delete 将用户加入到组 net localgroup 组名 用户名 /add /delete,帐户重命名,将Administrator重命名 将Guest来宾用户重命名 新建一Administrator

7、用户，隶属于Guest组,密码策略的推荐设置,针对远程破解的策略定制,密码复杂性要求 账户锁定策略的推荐设置,SAM数据库与AD,SAM中口令的保存采用单向函数(OWF)或散列算法实现 在%systemroot%system32configsam中实现 DC上，账号与密码散列保存在%systemroot%ntdsntds.dit中,SYSKEY功能,从NT4 sp3开始提供,SID与令牌,SID唯一标示一个对象 使用User2sid和sid2user工具进行双向查询 令牌：通过SID标示账号对象以及所属的组,SID S-1-5-21-1507001333-1204550764-10112842

8、98-500,令牌 User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544,解读SID,SID S-1-5-21-1507001333-1204550764-1011284298-500,修订版本编号,颁发机构代码，Windows 2000总为5,子颁发机构代码，共有4个；具有唯一性,相对标示符RID，一般为常数,S-1-1-0 Everyone,S-1-2-0 Interactive用户,S-1-3-0 Creat

9、or Owner,S-1-3-1 Creator Group,Windows 2000认证与授权访问,用户A,SRM,安全参考监视器,Windows文件系统管理,Windows 2000默认共享,C$、D$ Ipc$：远程会话管理 Admin$：指向%WinDir%目录，用于远程管理,Windows系统的用户权限,权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作， 指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是： Read(R)、Execute(X)、W

10、rite(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表显示了这些任务是如何与各种权限级 别相关联的,Windows系统的用户权限,Windows系统的用户权限,Windows系统的共享权限,复制和移动文件夹,从一个NTFS分区到另一个NTFS分区 复制/移动都是继承权限(不同分区，移动=复制+删除) 同一个NTFS分区 复制：继承 移动：保留 复制/移动到FAT(32)分区 NTFS权限丢失,Windows系统服务,服务包括三种启动类型：自动，手动，禁用 自动：启动时自动加载服务 手动 :启动时不自动加载服务，在需要的时候手动开启 禁

11、用：启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔 服务项目子项都有一个 Start 数值, 该 数值内容所记录的就是服务项目驱动程式该在何时被加载 目前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就

12、是禁用,Windows的系统进程,基本的系统进程 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法,Windows的系统进程,附加的系统进程（这些进程不是必要的） mstask.exe 允许程序在指定时间运行。

13、(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务) dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务),Window

14、s的系统进程,tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务

15、器间维护文件目录内容的文件同步。(系统服务) RsSub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理 RPC 名称服务数据库。(系统服务) lserver.exe 注册客户端许可证。(系统服务) dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务),Windows的系统进程,msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务) faxsvc.exe 帮助您发送和接收传真。(系统服务) cisvc.exe Indexing Service(system service) dmadmi

16、n.exe 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务) smlogsvc.exe 配置性能日志和警报。(系统服务) rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务) RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 管理远程储存的文件的操作。(系统服务),Windows的系统进程,grovel

17、.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务) SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务) UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软

18、件。(系统服务),Windows安全风险,基本HTTP请求,“ ”等价于HTTP命令“GET /files/index.html HTTP/1.0” CGI调用 “ ”表示将var1和var2提交给cgi.exe(“+”是分隔符) ASP调用 表示将X、Y分别作为两个变量提交,HTTP文件遍历和URL编码,IIS溢出问题(1),.htr缓冲区溢出漏洞 IPP(Internet Printing Protocol)缓冲区溢出(IPP是处理.printer文件的- C:winntsystem32msw3prt.dll) 当以下调用超过420字节时，问题就会发生 对策：删除DLL和文件扩展之间的映射

19、,GET /NULL.printer HTTP/1.0 Host : buffer,删除DLL和文件扩展之间的映射,IIS溢出问题(2),索引服务ISAPI扩展溢出(通常被称为ida/idq溢出) 由idq.dll引起，当buffer长度超过240字节时，问题就会发生 Null.ida为文件名，无需真的存在 直至现在上没有漏洞利用代码 Code Red的感染途径 对策：删除idq.dll和文件扩展之间的映射,GET /NULL.ida? HTTP/1.1 Host : buffer,IIS溢出问题(3),Frontpage 2000服务扩展溢出 最早由NSFocus(中国安全研究小组)提出 F

20、PSE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions 问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的) 收到超过258字节的URL请求时，问题就会出现 漏洞利用工具：fpse2000ex 对策：删除fp30reg.dll和fp4areg.dll文件,IIS的Unicode问题,问题产生的要义 “%c0%af”和“%c1%9c”分别是“/”“”的unicode表示 其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af

21、”、”%c1%8s”等 对策 安装MS00-086中的补丁 由于没有实现分区跳转功能，可以在系统分区之外安装IIS 设置严格的NTFS权限 在服务器的Write和Excute ACL中删除Everyone和User组,更近一步-双解码/二次解码,同样由NSFocus发布 对策：应用MS01-26给出的补丁(不包括在sp2中) 注意和Unicode的区别，包括相关日志,GET /scripts/.%255c.255c%winnt/system32/cmd.exe,IIS的其它问题,源代码泄漏的危险 .htr风险 .htw/webhits风险 权限提升的问题 远程调用RevertToself的IS

22、API DLL 向LSA本地注射代码,Windows 2000终端服务,TS(Terminal Service)工作于3389端口 TS基于RDP(Remote Desktop Protocol)实现 终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现 TS监听端口可以自己指定 HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 值-PortNumber REG_WORD 3389(默认),针对TS的攻击,密码猜测攻击风险(TSGrinder) 权限提升风险(PipeUpAdmin、GetAdmin

23、) IME攻击风险 RDP DoS攻击风险,走进MS客户端-客户端风险评估,恶意电子邮件-MIME扩展 Outlook缓冲区溢出 Media Play缓冲区溢出 VBS地址簿蠕虫,恶意邮件实例,Helo Mail froam: Rcpt to: Data Sublect:Read me Importance:high MIME-Version:1.0 Content-type:text/html;charset=us-ascii Content-Transfer-Encoding:7bit Hi! . quit,通过下列命令执行： Type mail.txt | telnet IP 25,Ou

24、tlook溢出,起源于vCard(一种电子名片) Outlook直接打开并运行附件中的vCards而不提示用户 vCards存储于.vcf文件中，也是没有提示而直接运行的 当vCards的生日字段(BDAY)超过55字符时，就会出现溢出 对策：应用IE 5.5 sp2,Windows 2000的打印驱动,以full control权限运行在OS级别 面临的主要威胁-默认情况下任何人都可以安装打印驱动 通过配置组策略或直接修改注册表 攻击者可能会使用木马替换打印驱动,媒体元文件, ,IIS服务安全配置,禁用或删除所有的示例应用程序,示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安

25、装。请注意一些示例安装，它们只可从 http:/localhost 或 访问；但是，它们仍应被删除。下面 列出一些示例的默认位置。 示例 虚拟目录 位置 IIS 示例 IISSamples c :inetpubiissamplesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadc,IIS服务安全配置,启用或删除不需要的 COM 组件 某些 COM 组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除 Dictiona

26、ry 对象。切记某些程序可能需要您禁用的组件。如Site Server 3.0 使用 File System Object。以下命令将禁用 File System Object： regsvr32 scrrun.dll /u 删除 IISADMPWD 虚拟目录 该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下，并不作为 IIS 5 的一部分安装，但是 IIS 4 服务器升级到 IIS 5 时，它并不删除。如果您不使用 Intranet 或如果将服务器连接到 Web 上，则应将其删除,IIS服务安全配置,删除无用的脚本映射 IIS

27、被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器。 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 主目录 | 配置 | 删除无用的.htr .ida .idq .printer .idc .stm .shtml等,IIS服务安全配置,禁用父路径 “父路径”选项允许在对诸如 MapPath 函数调用中使用“.”，禁用该选项的步骤如下： 右键单击该 Web 站点的根，然后从上下文菜单中选择“属性” 单击“主目录

28、”选项卡 单击“配置” 单击“应用程序选项”选项卡 取消选择“启用父路径”复选框 禁用-内容位置中的 IP 地址 “内容-位置”标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址,IIS服务安全配置,设置适当的 IIS 日志文件 ACL 确保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 这有助于防止恶意用户为隐藏他们的踪迹而删除文件 设置适当的 虚拟目录的权限 确保 IIS 虚拟目录如scripts等权

29、限设置是否最小化，删除不需要目录 将IIS目录重新定向 更改系统默认路径，自定义WEB主目录路径并作相应的权限设置 使用专门的安全工具 微软的IIS安全设置工具：IIS Lock Tool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性,终端服务安全,输入法漏洞造成的威胁,net user abc 123 /add net localgroup administrators abc /add 注册表DontDisplayLastUserName 1,SMB连接与验证过程,随机生成一把加密密钥key(8或16字节),采用DES的变形算法，使用key对密码散列进行加密,SMB提供的服务,SM

30、B会话服务 TCP 139和TCP 443端口 SMB数据报支持服务 UDP 138和UDP 445端口 SMB名称支持服务 UDP 137端口 SMB通用命令支持服务,开放SMB服务的危险,SMB名称类型列表(1),SMB名称类型列表(2),强化SMB会话安全,强制的显式权限许可：限制匿名访问 控制LAN Manager验证 使用SMB的签名 服务端和客户端都需要配置注册表,降低Windows风险,安全修补程序,Windows系列 Service Pack NT(SP6A)、2000(SP4)、XP(SP2) Hotfix Microsoft出品的hfnetchk程序 检查补丁安装情况 ,服

31、务和端口限制,限制对外开放的端口: 在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置 禁用snmp服务或者更改默认的社区名称和权限 禁用terminal server服务 将不必要的服务设置为手动 Alerter ClipBook Computer Browser ,Netbios的安全设置,Windows 2000/2003 取消绑定文件和共享绑定 打开 控制面板网络高级高级设置 选择网卡并将Microsoft 网络的文件和打印共享的复选框取消，即可以完全禁止 TCP 139 和445 Windows NT 在WinNT下取消NetBIOS与TCP/IP协

32、议的绑定。可以按如下步骤进行： 点击“控制面板-网络-NetBIOS接口-WINS客户（TCP/IP)-禁用”，再点“确定”，然后重启 这样NT的计算机名和工作组名也隐藏了,Netbios的安全设置,禁止匿名连接列举帐户名需要对注册表做以下修改 运行注册表编辑器（Regedt32.exe） 定位在注册表中的下列键上：HKEY_LOCAL_MACHINESystemtCurrentControlLSA 在编辑菜单栏中选取加一个键值： Value Name:RestrictAnonymous DataType:REG_DWORD Value:1（Windows 2000下为2）,Netbios的安

33、全设置,Windows 2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）,Windows 2000注册表,所有的配置和控制选项都存储在注册表中 分为五个子树，分

34、别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config Hkey_local_machine包含所有本机相关配置信息,注册表安全,注册表的默认权限,注册表的审计,对注册表的审计是必需的 审计内容的选择 注册表每秒被访问500-1500次 任何对象都有可能访问注册表 默认的注册表审计策略为空,禁止对注册表的远程访问,禁止和删除服务,通过services.msc禁止服务 使用Resource Kit彻底删除服务 Sc命令行工具 Instsrv工具 举例 OS/2和Posix系统仅仅为了向后兼容 Server服务仅仅为了接受netbios请求,针对Windows 2000的入侵 (1