电脑基础知识Windows系统安全ppt课件

Windows系统安全,0,Windows安全模型,1,操作系统安全定义,信息安全的五类服务，作为安全的操作系统时必须提供的有些操作系统所提供的服务是不健全的、默认关闭的,2,信息安全评估标准,ITSEC和TCSECTCSEC描述的系统安全级别D-ACC(CommonCritical)标准BS7799:2000标准体系ISO17799标准,3,TCSEC定义的内容,没有安全性可言，例如MSDOS,不区分用户，基本的访问控制,有自主的访问安全性，区分用户,标记安全保护，如SystemV等,结构化内容保护，支持硬件保护,安全域，数据隐藏与分层、屏蔽,校验级保护，提供低级别手段,4,C2级安全标准的要求,自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问,5,CC(CommonCritical)标准,CC的基本功能标准化叙述技术实现基础叙述CC的概念维护文件安全目标评估目标,6,Windows2000安全结构,7,Windows安全子系统,Winlogon,加载GINA，监视认证顺序,加载认证包,支持额外的验证机制,为认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,8,Windows账号管理,9,Windows采用的账号认证方案,LanManager认证(称为LM协议)早期版本NTLMv1认证协议NT4.0SP3之前的版本NTLMv2认证协议NT4.0SP4开始支持Kerberosv5认证协议Windows2000引进,10,用户类型,Administrator(默认的超级管理员)系统帐号(PrintOperater、BackupOperator)Guest(默认来宾帐号),11,帐户(accounts)和组(groups),帐户(useraccounts)定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制.组：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二进制形式的SID,12,Windows2000的默认账号,账户名注释System/localsystem本地计算机的所有特权Administrator同上；可以改名，但不能删除Guest有限的权限，默认禁用IUER_计算机名IIS的匿名访问，guests组成员IWAM_计算机名IIS进程外应用程序运行的账号，Guests组成员TSInternetUser终端服务KrbtgtKerberos密钥分发账号，只在DC上出现，默认禁用,13,Windows2000下的内建组,组名注释Administrators成员具有本地计算机的全部权限Users所有账号，较低的权限Guests有限的权限，与users相同Authenticatedusers特殊的隐含组，包含所有已登录的用户Replicator用于域中的文件复制BackupOperators没有administrators权限高，但十分接近ServerOperators没有administrators权限高，但十分接近AccountOperators没有administrators权限高，但十分接近PrintOperators没有administrators权限高，但十分接近,14,密码存放位置,注册表HKEY_LOCAL_MACHINESAM下Winnt/system32/config/sam,15,添加/删除帐户,Win2000/XP下管理工具计算机管理本地用户和组WinNT下(域)用户管理器命令行方式netuser用户名密码/add/delete将用户加入到组netlocalgroup组名用户名/add/delete,16,帐户重命名,将Administrator重命名将Guest来宾用户重命名新建一Administrator用户，隶属于Guest组,17,密码策略的推荐设置,18,针对远程破解的策略定制,密码复杂性要求账户锁定策略的推荐设置,19,SAM数据库与AD,SAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%system32configsam中实现DC上，账号与密码散列保存在%systemroot%ntdsntds.dit中,20,SYSKEY功能,从NT4sp3开始提供,21,SID与令牌,SID唯一标示一个对象使用User2sid和sid2user工具进行双向查询令牌：通过SID标示账号对象以及所属的组,SIDS-1-5-21-1507001333-1204550764-1011284298-500,令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544,22,解读SID,SIDS-1-5-21-1507001333-1204550764-1011284298-500,修订版本编号,颁发机构代码，Windows2000总为5,子颁发机构代码，共有4个；具有唯一性,相对标示符RID，一般为常数,S-1-1-0Everyone,S-1-2-0Interactive用户,S-1-3-0CreatorOwner,S-1-3-1CreatorGroup,23,Windows2000认证与授权访问,用户A,SRM,安全参考监视器,24,Windows文件系统管理,25,Windows2000默认共享,C$、D$Ipc$：远程会话管理Admin$：指向%WinDir%目录，用于远程管理,26,Windows系统的用户权限,权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的,27,Windows系统的用户权限,28,Windows系统的用户权限,29,Windows系统的共享权限,30,复制和移动文件夹,从一个NTFS分区到另一个NTFS分区复制/移动都是继承权限(不同分区，移动=复制+删除)同一个NTFS分区复制：继承移动：保留复制/移动到FAT(32)分区NTFS权限丢失,31,Windows系统服务,服务包括三种启动类型：自动，手动，禁用自动：启动时自动加载服务手动:启动时不自动加载服务，在需要的时候手动开启禁用：启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService底下每一笔服务项目子项都有一个Start数值,该数值内容所记录的就是服务项目驱动程式该在何时被加载目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用,32,Windows的系统进程,基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法,33,Windows的系统进程,附加的系统进程（这些进程不是必要的）mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务),34,Windows的系统进程,tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服务)ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)lserver.exe注册客户端许可证。(系统服务)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务),35,Windows的系统进程,msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)RsFsa.exe管理远程储存的文件的操作。(系统服务),36,Windows的系统进程,grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务),37,Windows安全风险,38,基本HTTP请求,“,39,HTTP文件遍历和URL编码,40,IIS溢出问题(1),.htr缓冲区溢出漏洞IPP(InternetPrintingProtocol)缓冲区溢出(IPP是处理.printer文件的-C:winntsystem32msw3prt.dll)当以下调用超过420字节时，问题就会发生对策：删除DLL和文件扩展之间的映射,GET/NULL.printerHTTP/1.0Host:buffer,41,删除DLL和文件扩展之间的映射,42,IIS溢出问题(2),索引服务ISAPI扩展溢出(通常被称为ida/idq溢出)由idq.dll引起，当buffer长度超过240字节时，问题就会发生Null.ida为文件名，无需真的存在直至现在上没有漏洞利用代码CodeRed的感染途径对策：删除idq.dll和文件扩展之间的映射,GET/NULL.ida?HTTP/1.1Host:buffer,43,IIS溢出问题(3),Frontpage2000服务扩展溢出最早由NSFocus(中国安全研究小组)提出FPSE在Windows2000中的位置：C:ProgramfilesCommomFilesMicrosoftSharedWebServerExtensions问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的)收到超过258字节的URL请求时，问题就会出现漏洞利用工具：fpse2000ex对策：删除fp30reg.dll和fp4areg.dll文件,44,IIS的Unicode问题,问题产生的要义“%c0%af”和“%c1%9c”分别是“/”“”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等对策安装MS00-086中的补丁由于没有实现分区跳转功能，可以在系统分区之外安装IIS设置严格的NTFS权限在服务器的Write和ExcuteACL中删除Everyone和User组,45,更近一步-双解码/二次解码,同样由NSFocus发布对策：应用MS01-26给出的补丁(不包括在sp2中)注意和Unicode的区别，包括相关日志,GET/scripts/.%255c.255c%winnt/system32/cmd.exe,46,IIS的其它问题,源代码泄漏的危险.htr风险.htw/webhits风险权限提升的问题远程调用RevertToself的ISAPIDLL向LSA本地注射代码,47,Windows2000终端服务,TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)实现终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定HKLMSystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp值-PortNumberREG_WORD3389(默认),48,针对TS的攻击,密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险RDPDoS攻击风险,49,走进MS客户端-客户端风险评估,恶意电子邮件-MIME扩展Outlook缓冲区溢出MediaPlay缓冲区溢出VBS地址簿蠕虫,50,恶意邮件实例,HMailfroam:hiRcptto:attackDataSublect:ReadmeImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bitHi!.quit,通过下列命令执行：Typemail.txt|telnetIP25,51,Outlook溢出,起源于vCard(一种电子名片)Outlook直接打开并运行附件中的vCards而不提示用户vCards存储于.vcf文件中，也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时，就会出现溢出对策：应用IE5.5sp2,52,Windows2000的打印驱动,以fullcontrol权限运行在OS级别面临的主要威胁-默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动,53,媒体元文件,54,IIS服务安全配置,禁用或删除所有的示例应用程序,示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从http:/localhost或访问；但是，它们仍应被删除。下面列出一些示例的默认位置。示例虚拟目录位置IIS示例IISSamplesc:inetpubiissamplesIIS文档IISHelpc:winnthelpiishelp数据访问MSADCc:programfilescommonfilessystemmsadc,55,IIS服务安全配置,启用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。如SiteServer3.0使用FileSystemObject。以下命令将禁用FileSystemObject：regsvr32scrrun.dll/u删除IISADMPWD虚拟目录该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下，并不作为IIS5的一部分安装，但是IIS4服务器升级到IIS5时，它并不删除。如果您不使用Intranet或如果将服务器连接到Web上，则应将其删除,56,IIS服务安全配置,删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开Internet服务管理器。右键单击Web服务器，然后从上下文菜单中选择“属性”。主目录|配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等,57,IIS服务安全配置,禁用父路径“父路径”选项允许在对诸如MapPath函数调用中使用“.”，禁用该选项的步骤如下：右键单击该Web站点的根，然后从上下文菜单中选择“属性”单击“主目录”选项卡单击“配置”单击“应用程序选项”选项卡取消选择“启用父路径”复选框禁用-内容位置中的IP地址“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理服务器后面隐藏或屏蔽的内部IP地址,58,IIS服务安全配置,设置适当的IIS日志文件ACL确保IIS日志文件(%systemroot%system32LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)这有助于防止恶意用户为隐藏他们的踪迹而删除文件设置适当的虚拟目录的权限确保IIS虚拟目录如scripts等权限设置是否最小化，删除不需要目录将IIS目录重新定向更改系统默认路径，自定义WEB主目录路径并作相应的权限设置使用专门的安全工具微软的IIS安全设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性,59,终端服务安全,输入法漏洞造成的威胁,netuserabc123/addnetlocalgroupadministratorsabc/add注册表DontDisplayLastUserName1,60,SMB连接与验证过程,随机生成一把加密密钥key(8或16字节),采用DES的变形算法，使用key对密码散列进行加密,61,SMB提供的服务,SMB会话服务TCP139和TCP443端口SMB数据报支持服务UDP138和UDP445端口SMB名称支持服务UDP137端口SMB通用命令支持服务,62,开放SMB服务的危险,63,SMB名称类型列表(1),64,SMB名称类型列表(2),65,强化SMB会话安全,强制的显式权限许可：限制匿名访问控制LANManager验证使用SMB的签名服务端和客户端都需要配置注册表,66,降低Windows风险,67,安全修补程序,Windows系列ServicePackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序检查补丁安装情况,68,服务和端口限制,限制对外开放的端口:在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置禁用snmp服务或者更改默认的社区名称和权限禁用terminalserver服务将不必要的服务设置为手动AlerterClipBookComputerBrowser,69,Netbios的安全设置,Windows2000/2003取消绑定文件和共享绑定打开控制面板网络高级高级设置选择网卡并将Microsoft网络的文件和打印共享的复选框取消，即可以完全禁止TCP139和445WindowsNT在WinNT下取消NetBIOS与TCP/IP协议的绑定。可以按如下步骤进行：点击“控制面板-网络-NetBIOS接口-WINS客户（TCP/IP)-禁用”，再点“确定”，然后重启这样NT的计算机名和工作组名也隐藏了,70,Netbios的安全设置,禁止匿名连接列举帐户名需要对注册表做以下修改运行注册表编辑器（Regedt32.exe）定位在注册表中的下列键上：HKEY_LOCAL_MACHINESystemtCurrentControlLSA在编辑菜单栏中选取加一个键值：ValueName:RestrictAnonymousDataType:REG_DWORDValue:1（Windows2000下为2）,71,Netbios的安全设置,Windows2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选0：None.Relyondefaultpermissions（无，取决于默认的权限）1：DonotallowenumerationofSAMaccountsandshares（不允许枚举SAM帐号和共享）2：Noaccesswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）,72,Windows2000注册表,所有的配置和控制选项都存储在注册表中分为五个子树，分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本机相关配置信息,73,注册表安全,74,注册表的默认权限,75,注册表的审计,对注册表的审计是必需的审计内容的选择注册表每秒被访问500-1500次任何对象都有可能访问注册表默认的注册表审计策略为空,76,禁止对注册表的远程访问,77,禁止和删除服务,通过services.msc禁止服务使用ResourceKit彻底删除服务Sc命令行工具Instsrv工具举例OS/2和Posix系统仅仅为了向后兼容Server服务仅仅为了接受netbios请求,78,针对Windows2000的入侵(1),探测选择攻击对象，了解部分简单的对象信息；针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处