云南移动信息安全培训——windows操作系统安全

1、成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows系统安全系统安全 Windows安全原理 Windows安全配置 Windows安全工具及checklist2成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司 Windows系统的安全架构 Windows的安全子系统 Windows的密码系统 Windows的系统服务和进程 Windows的日志系统3Windows安全原理成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司4Windows系统的安全架构Windows NT的安全包括6个主要的安

2、全元素：l Auditl Administrationl Encryptionl Access Control l User Authentication l Corporate Security Policy Windows NTWindows NT系统内置支持用户认证、访问控制、管理、审核系统内置支持用户认证、访问控制、管理、审核成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司5Windows系统的安全组件访问控制的判断（访问控制的判断（Discretion access controlDiscretion access control）按照C2级别的定义，Windows 支持对象

3、的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（对象重用（Object reuseObject reuse）当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源。强制登陆（强制登陆（Mandatory log onMandatory log on）与Windows for Workgroups，Windwows 95，Windows 98不同，Windows2K/ NT要求所有的用户必须登陆，通过认证后才可以访问资源。审核（审核（AuditingAuditing）Windows NT 在控制用户访问资源的同时，也

4、可以对这些访问作了相应的记录。对象的访问控制（对象的访问控制（Control of access to objectControl of access to object）Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司 为了实现自身的安全特性，Windows2K/ NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身，Windows2K/ NT提供了一种访问机制去使用它们。由于这些基本的原因，所以把Windows2K/ NT称为基于对象的操作系统。MicrosoftM

5、icrosoft的安全就是基于以下的法则：的安全就是基于以下的法则： 用对象表现所有的资源 只有Windows2K/ NT才能直接访问这些对象 对象能够包含所有的数据和方法 对象的访问必须通过Windows 2K/NT的安全子系统的第一次验证 存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么Windows Windows 中首要的对象类型有：中首要的对象类型有： 文件 文件夹 打印机 I/O设备窗口 线程 进程 内存 这些安全构架的目标就是实现系统的牢固性。从设计来考虑，就是所有的访问都必须通过同一种方法认证，减少安全机制被绕过的机会。6Windows系统的对象成都思维世纪科技有限

6、责任公司成都思维世纪科技有限责任公司7WindowsWindows系统的安全主体系统的安全主体用户用户 用户、用户帐户、Administrator 、SYSTEM、LocalSystem用户组用户组 为简化用户管理而引入的一个概念（类似一个容器，里面是权限相同的用户），还可以同时为多个用户授权。计算机（机器帐户）计算机（机器帐户） 当一个Windows系统加入某个域的时候，域控制器为它创建的一个计算机帐户。成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司8用户权限权限权限: :可以授予用户或组的文件系统能力有了相应的用户权限，账户才有权去进行特定的操作。两类用户权限：两类用户权限：登陆

7、权限：账户在通过身份验证之前所具备的权限。操作权限：账户在通过身份验证之后所具备的权限。z 如果某个账户同时出现在“拒绝”和“允许”两种授权策略里，结果是“拒绝”大于“允许”的权限；授权时注意“最小授权原则”成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司网络安全性依赖于给用户或组授予的能力：权力权力: 在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上权限权限: 可以授予用户或组的文件系统能力共享共享: 用户可以通过网络使用的文件夹9用户权利、权限和共享权限成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司10Windows系统的用户权利

8、权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。 下面列出了用户的特定权利： Access this computer from network 可使用户通过网络访问该计算机。 Add workstation to a domain 允许用户将工作站添加到域中。 Backup files and directories 授权用户对计算机的文件和目录进行备份。 Change the system time 用户可以设置计算机的系统时钟。 Load and unload device dri

9、ve 允许用户在网络上安装和删除设备的驱动程序。 Restore files and directories 允许用户恢复以前备份的文件和目录。 Shutdown the system 允许用户关闭系统。成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司11Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作， 指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是： Read(R)、Execute(X)、Write(W)、Dele

10、te(D)、Set Permission(P)和 Take Ownership(O)。下表显示了这些任务是如何与各种权限级 别相关联的。z 下表显示了这些任务是如何与各种权限级别相关联的成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows系统的用户权限12权限级别权限级别RXWDPO允许的用户动作允许的用户动作No Access 用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和 运行目录中的应用程序AddXW用户可以添加文件和子录Add and ReadRXW具有Read和Add的权限Ch

11、angeRXWD有Add和Read的权限， 另外还可以更改文件的内容，删除文件和子目录Full controlRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows系统的用户权限13权限级别权限级别RXWDPO允许的用户动作允许的用户动作No Access 用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件Full controlRXWDPO包含Change的权限，还可以更改权限和获取文件的有权成都思维世纪科技有限责任公司成都思维

12、世纪科技有限责任公司Windows系统的共享权限14共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网 络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NT ServerNT Server服务器上的文件和目录，必须首先对它建立共享。共享权 限建立了通过网络对共享目录访问的最高级别。 成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows系统的共享权限15共享权限级别共享权限级别允许的用户动作允许的用户动作No Access(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目

13、录名，改变共享Read(读)目录的子目录，还允许查看文件的数据 和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Full control(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)z 共享点一定要慎重分配，因为权限仅仅是分配给共享点的，任何共享点下的文件或目录都足以和共享点本身相同的权限被访问到成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统的组件16Windows NT安全子系统包含五个关键的组件：Security

14、identifiers，Access tokens，Security descriptors，Access control lists，Access ControlEntries安全标识符（安全标识符（Security IdentifiersSecurity Identifiers） SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500第一项S表示该字符串是SID 第二项是SID的版本号，对于2000来说，这个就是1 然后是标志符的颁发机构

15、（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5 四组数字是签发者子代码（明确此SID的签发者是谁）最后一个标志着域内的帐户和组；500是RID 成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统的组件z 访问令牌（访问令牌（Access tokens） 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。z 安全描述符（安全描述符（Security descriptors） Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。z 访问控

16、制列表（访问控制列表（Access control lists） 在NT系统中，每当请求一个对象或资源访问时，就会检查它的ACL，确认给用户授予了什么样的权利。每创建一个对象，对应的ACL也会创建。ACL包含一个头部，其中包含有更新版本号、ACL的大小以及它所包含的ACE数量等信息。17成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统的组件z 访问控制项（访问控制项（Access control entries） 访问控制项（ACE）包含了用户或组的SID以及对象的权限。 访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当使用管理工具列出对象

17、的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问18成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统WinlogonGraphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon Serv

18、iceSecurity Account Manager(SAM)19成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows子系统实现图20Winlogon, Local Security Authorit以及etlogon服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用。成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统Winlogon and Gina: Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块，当然我们也可以用一个

19、更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL21成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统 本地安全认证（本地安全认证（Local Security Authority）：）：调用所有的认证包，检查在注册表重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装

20、的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。22成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统 安全支持提供者的接口（安全支持提供者的接口（Security Support Provide Interface）：）： 微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。 认证包（认证包（Authentication Package）：）：认证包可以为真实用户提供认证。通过GINA

21、 DLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。23成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统 安全支持提供者（安全支持提供者（Security Support Provider）：）： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机

22、构比如Verisign。这种认证方式经常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）协议通信的时候用到。24成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows安全子系统 网络登陆（网络登陆（Netlogon）：）： 网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。 安全账号管理者（安全账号管理者（Security Account M

23、anager）：）： 安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。25成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows 2000 本地登陆过程26GINALSASSPIKerberosNTLM成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows的密码系统 windows NT及win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯

24、一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。27z 一旦某个账号被删除，它的安全标识就不再存在了，即使使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原来的权限。成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows的密码系统z 安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。sam文件是windows NT的用户帐户数据库,所有2K/NT用户的登录名及口令等相关信息都会保存在这个文件中。z Windows中用文件保存账号信息,不过如果我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为

25、NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的 HKEY_LOCAL_MACHINESAMSAM HKEY_LOCAL_MACHINESECURITYSAM 保存的就是SAM文件的内容，在正常设置下仅对system是 可读写的。28成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司Windows的密码系统SYSKEY机制：z 在NT里，口令字密文保存在SAM文件里。NT4SP3以后，微软又对保存在SAM文件里口令字密文增加了一层加密保护机制，这就是SYSKEY机制。z 可以在开始-运行键入“SYSKEY”命令，得到如下窗口，手动激活 SYSKEY

26、机制.29成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司设置安全的密码设置安全的密码z好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。z这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必

27、须改密码。30成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司口令问题口令问题1 1：弱口令：弱口令z用户趋向于选择容易的口令，即空口令；z用户会选择易于记住的东西做口令Test、Password、guest、username等名字、生日、简单数字等z易于选择该系统的应用 Ntserver、orancle等z多数用户的安全意识薄弱31成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司口令问题口令问题2 2：明文传输：明文传输z使用明文密码传送的应用：pFTP、POP、Telnet、HTTP、SNMP、SockspMountd、Rlogin、 NNTP、 NFS、pICQ、 IRC

28、、 PcAnywhere、VNC等pMS SQL 、Oracle等z上述服务都容易成为攻击对象32成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司口令攻击的方式口令攻击的方式z手工猜测；方法：社会工程学、尝试默认口令z自动猜测；工具：NAT、LC等z窃听：登陆、网络截获、键盘监听工具：Dsniff、Sniffer Pro等33成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows常见的口令问题常见的口令问题z NT/2000的口令问题z 口令禁忌z 管理员注意事项34成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司NT/2000NT/2000的口令

29、问题的口令问题 SAM（Security Accounts Manager)LanManager散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2 ）强加密、改良的身份认证和安全的会话机制 自动降级35成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司NT/2000NT/2000的口令问题的口令问题 LanManager散列算法的问题口令都被凑成14个字符；不足14位的，用0补齐；全部转化为大写字母；分成两部分分别加密。 举例：Ba01cK28tr BA01CK2和8TR0000 36成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司NT/2000NT/200

30、0的口令问题的口令问题 SAM数据存放位置%systemroot%system32configsam%systemroot%repairsam._(NT)Rdisk%systemroot%repairsam （2000）ntbackup注册表HKEY_LOCAL_MACHINESAMSAM 和HKEY_LOCAL_MACHINESECURITYSAM仅对system是可读写的 37成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司NT/2000NT/2000的口令问题的口令问题 获取SAM数据的方法使系统自举到另外的系统，copy SAM文件；从repair目录攫取备份的SAM;窃听口令

31、交换38成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司口令策略口令策略使用密码强度及账户老化、锁定策略；设置最小的密码程度为8个字符，最短密码时间为1-7天，最长密码时间为42天，最小的密码历史轮回为6，失败登陆尝试为3，账户锁定为60分钟等。39成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司口令禁忌口令禁忌z口令禁忌: 不要选择可以在任何字典或语言中找到的口令 不要选择简单字母组成的口令 不要选择任何指明个人信息的口令 不要选择包含用户名或相似类容的口令 不要选择短于6个字符或仅包含字母或数字的口令 不要选择作为口令范例公布的口令40成都思维世纪科技有限责任公司成都思维世

32、纪科技有限责任公司管理员注意事项管理员注意事项确保每个用户都有一个有效的口令；对用户进行口令教育；使用防止用户选择弱口令的配置与工具；进行口令检查，确保没有弱口令；确保系统与网络设备没有缺省账号和口令；不要在多个机器上使用相同的口令；从不记录也不与他人共享密码；从不将网络登录密码用作其他用途；域Administrators账户和 本地Administrators帐户使用不同的密码；小心地保护在计算机上保存密码的地方；对于特权用户强制30天更换一次口令，一般用户60天更换；使用VPN、SSH、一次性口令等安全机制.41成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWind

33、ows的系统服务的系统服务z 单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“服务”。在列表框中显示的是系统可以使用的服务。z Windows 2k下可以在命令行中输入services.msc打开服务列表42成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的系统服务的系统服务z 服务包括三种启动类型：自动、手动、已禁用。自动 - Windows 2000启动的时候自动加载服务 手动 - Windows 2000启动的时候不自动加载服务，在需要的时候手动开启 已禁用 - Windows 2000启动的时候不自动加载服务，在需要的时

34、候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置双击需要进行配置的服务，出现下图所示的属性对话框：43成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的系统服务的系统服务在KEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔 服务项目子项都有一个 Start 数值, 这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。目前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 Syst

35、em、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。 44成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的系统进程的系统进程基本的系统进程smss.exe Session Manager 会话管理csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序

36、。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 45成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的系统进程的系统进程非必要的系统进程zmstask.exe 允许程序在指定时间运行。(系统服务)zregsvc.exe 允许远程注册表操作。(系统服务)zwinmgmt.exe 提供系统管理信息(系统服务)。zinetinfo.exe 通过Internet 信息服务的管理单元提供FTP 连接和管理。(系统服务)

37、 ztlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)ztermsrv.exe 提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面会话以及运行在服务器 上的基于Windows的程序。(系统服务)zdns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)ztcpsvcs.exe 提供在PXE 可远程启动客户计算机上远程安装zWindows 2000 Professional 的能力。(系统服务)zismserv.exe 允许在Windows Advanced Server 站点间发送和接收消息。(

38、系统服务)zups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)zwins.exe 为注册和解析NetBIOS 型名称的TCP/IP 客户提供NetBIOS 名称服务。(系统服务)zlssrv.exe License Logging Service(system service)zntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)zRsSub.exe 控制用来远程储存数据的媒体。(系统服务)zlocator.exe 管理RPC 名称服务数据库。(系统服务)zlserver.exe 注册客户端许可证。(系统服务)zdfssvc.exe 管理分布于局域网或广

39、域网的逻辑卷。(系统服务)46成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的系统进程的系统进程非必要的系统进程zclipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)zmsdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)zfaxsvc.exe 帮助您发送和接收传真。(系统服务)zcisvc.exe Indexing Service(system service)zdmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)zmnmsrvc.exe 允许

40、有权限的用户使用NetMeeting 远程访问Windows 桌面。(系统服务)znetdde.exe 提供动态数据交换(DDE) 的网络传输和安全特性。(系统服务)zsmlogsvc.exe 配置性能日志和警报。(系统服务)zrsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)zgrovel.exe 扫描零备份存储(SIS)卷上的重复文件，并将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)zSCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)zsnmp.exe 包含代理程序可以监视网

41、络设备的活动并且向网络控制台工作站汇报。(系统服务)zsnmptrap.exe 接收由本地或远程SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP 管理程序。(系统服务)zUtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)zmsiexec.exe 依据.MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)47成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的的 LogLog系统系统48WindowsWindows有三种类型的事件日志：有三种类型的事件日志： 系统日志、应用程序日志、安全日志跟踪应用程序关联

42、的事跟踪应用程序关联的事件，比如应用程序产生件，比如应用程序产生的象装载的象装载DLLDLL（动态链（动态链接库）失败的信息将出接库）失败的信息将出现在日志中现在日志中 跟踪事件如登录上网、跟踪事件如登录上网、下网、改变访问权限以下网、改变访问权限以及系统启动和关闭。注及系统启动和关闭。注意：安全日志的默认状意：安全日志的默认状态是关闭的态是关闭的跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的的 LogLog系统系统z日志在系统的位置是： %SYSTEMROOT%system32c

43、onfigSysEvent.Evt %SYSTEMROOT%system32configSecEvent.Evt %SYSTEMROOT%system32configAppEvent.Evt 49系统日志系统日志安全日志安全日志应用程序日志应用程序日志成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows的应用系统日志的应用系统日志Internet信息服务信息服务FTP日志默认位置：日志默认位置： %systemroot%system32logfilesmsftpsvc1，默认每天一个日志 Internet信息服务信息服务WWW日志默认位置：日志默认位置： %sy

44、stemroot%system32logfilesw3svc1，默认每天一个日志 Scheduler服务日志默认位置：服务日志默认位置： %systemroot%schedlgu.txt50z FTP日志和WWW日志文件通常为ex(年份)（月份）（日期）。例如：ex131023 就是2013年10月23日，用记事本可以直接打开日志文件。成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司FTPFTP日志分析日志分析FTP日志分析，如下例： #Software: Microsoft Internet Information Services 5.0（微软IIS5.0） #Version: 1

45、.0 （版本1.0） #Date: 20001023 03:11:55 （服务启动时间日期） 03:11:55 1USER administator 331（IP地址为用户名为administator试图登录） 03:11:58 1PASS 530（登录失败） 03:12:04 1USER nt 331（IP地址为用户名为nt的用户试图登录） 03:12:06 1PASS 530（登录失败） 03:12:32 1USER administrator 331（I

46、P地址为用户名为administrator试图登录） 03:12:34 1PASS 230（登录成功） 03:12:41 1MKD nt 550（新建目录失败） 03:12:45 1QUIT 550（退出FTP程序） 从日志里就能看出IP地址为的用户一直试图登录系统，换了3次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。51成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司HTTPHTTP的日志分析的日志分析HTTP日志分析，如下例： #Software:

47、Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:09:31 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:09:31 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigE

48、xt) 20001023 03:09:34 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定

49、入侵者的IP地址以及入侵时间 52成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows系统安全系统安全 Windows安全原理 Windows安全配置 Windows安全工具及checklist53成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows安全配置z 安装z 审核系统安全性z 访问控制z 账号安全策略z 管理员权限z 网络服务安全设置z 文件系统安全z 安全日志z 其它的安全设置54成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司WindowsWindows系统安装系统安装z使用正版可靠安装盘z将系统安装在NTF

50、S分区上z系统和数据要分开存放在不同的磁盘z最小化安装服务z安全补丁合集和相关的Hotfixz装其它的服务和应用程序补丁z每次在安装其它程序之后，重新应用安全补丁55防止病毒进行文件系统安全设置最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfix成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司NTFSNTFS、

51、FATFAT、FAT32FAT3256NTFSNTFS与与FATFAT的比较的比较成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司NTFSNTFS、FATFAT、FAT32FAT3257成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司审核系统安全性z 系统安全审核以本地用户的身份来评估系统安全配置。 采用专门的杀毒软件检查病毒和后门。例如：安装国外比较知名的防毒软件进行防范。z 防范木马（远程控制工具）及恶意程序，采用专用清除工具进行防范; 例如：Microsoft Windows AntiSpyware (Beta)以及随后的升级版本Microsoft58成都思维世纪科技有限

52、责任公司成都思维世纪科技有限责任公司审核系统安全性z后门和木马常见种植位置： 1、启动文件夹； % userprofile%start menuprogramsstartup 2、Windows注册表启动项； HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce 3、驱动程序； % systemroot%system32drivers 4、Web浏览器初始页面

53、下载代码； 5、计划任务59成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司审核系统安全性z审核本机的安全补丁安装情况：Microsoft Baseline Security Analyzer(MBSA)60成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司审核系统安全性 MBSA可以用来检查审核Windows、IIS、SQL、IE、Office等产品是否存在某些特定安全配置失误以及是否打上最新的安全补丁/Hot Fixes是最新的； 采用第三方的安全漏洞扫描工具查找漏洞； 采用第三方安全补丁管理产品：Patchlink、Bigfix、Landesk、Ecora等软件来自动安装补

54、丁，修复漏洞，提高系统的安全性。 检查可疑的访问:用NTLast等审核程序来判断是否有未授权访61成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司审核系统安全性 检查日志记录，查看是否有不寻常事件检查日志记录，查看是否有不寻常事件: 使用信号会经常在日志中被记录(如一次被攻击而导致服务不正常).事件日志和其他数据也有相互关系(可疑文件的创建) ，可以判断攻击的起因和来源。可用管理员工具查看事件记录。 注册表安全注册表安全: 重要的安全性控制与注册表有关。经由注 册表权限保证注册表项安全，以及使用NTFS权限保证参与注册表数据的所有文件安全。62成都思维世纪科技有限责任公司成都思维世纪科

55、技有限责任公司访问控制z对Windows 服务器的访问应该只允许授权访问，以及可靠用户。对于XP和2003系统可以开启ICF功能，另外系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问。尽量将访问来源控制在最小范围内：63ICFICF成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司访问控制z 限制远程登录工作组限制远程登录工作组:从远程工作站登录到一台WINDOWS服务器是通过Microsoft的远程访问服务（Remote Access Service）服务器. 然而，在保护远程工作站上可能会有问题存在，有可能会危及服务器和网络的完整性. 只要有可能，RAS就会将它禁止掉。

56、z 物理上加强服务器安全物理上加强服务器安全:只有授权管理员可以物理访问Windows NT 服务器。包括备份系统和敏感用户文件。为了更长远的考虑，计算机应该有个BIOS的启动密码。z 禁止多重启动的设置禁止多重启动的设置:多重的启动系统(如Windows NT 在一个扇区而Linux 在另一个扇区) 会危及到NT文件系统的安全。例如，如果Linux 是第二扇区上的系统，一个Linux 用户可以绕过所有的访问控制mountNTFS 文件系统。z 限制对注册表访问限制对注册表访问: :对注册表的访问控制列表稍微有点不一样，可能会有远程访问。64成都思维世纪科技有限责任公司成都思维世纪科技有限责任

57、公司帐户安全策略z 密码安全是最重要也是必须要提及的.多数的系统,口令是进入系统的第一道防线,也是唯一防线。NT系统上的密码安全可以通过以下方式来改进： 检查密码策略检查密码策略: : 查看你的密码策略确定其中的密码是否是有期限的. 当设置密码的时候，应该考虑到密码老化的问题。最长的时间应为180天。密码的最短长度应该至少为8个字符，三次错误登录就应该锁住该帐号, 还有密码的唯一性（如记录三次的密码）。这样都可以防止攻击者通过猜测密码来实施攻击。 删除无用或过期帐号删除无用或过期帐号: : 查看哪些帐号是没有用的或者是已经过期了的，然后将他们删除。 检查是否存在空密码的帐号检查是否存在空密码的

58、帐号: : 查看所有帐号是否有空密码,其中Administrator 和Guest帐号要留意。 屏幕保护使用密码保护屏幕保护使用密码保护: : 用密码屏幕保护来增加NT服务器的物理保护。屏幕保护的时间建议是5分钟或更少。 设置帐号规则保证帐号安全设置帐号规则保证帐号安全 强大的密码控制和帐号锁定使黑客攻击系统更为困难.65成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司管理员权限配置z Administrator帐号是内置的本地管理员组,拥有NT 系统的最高权限.以下操作可在一定程度上增强该帐号的安全性: 权限最高的是权限最高的是system 重命名管理员帐号重命名管理员帐号: 将Ad

59、ministrator 帐号名更名为和其他普通帐号名一样。这可以增加攻击者攻击的复杂度，这样可以避免攻击者猜测管理员密码。 检查管理员组成员检查管理员组成员: 用NTLAST 来确认只有授权的管理组成员可以使用该帐号。尽量减少使用管理员权限的帐号数量。 确认密码强度足够确认密码强度足够: 使用一个不会被猜出的密码或是不会被暴力破解轻易破解出来的密码。密码应该是随意组合的，没有规律，有大小写字符、数字或着是特殊字符，用14个字符的密码。66成都思维世纪科技有限责任公司成都思维世纪科技有限责任公司网络服务安全配置z 限制对外开放的端口限制对外开放的端口: 在TCP/IP的高级设置中选择只允许开放特

60、定端口，或者可以考虑使用路由或防火墙来设置；z 在服务器区的边界防火墙上关闭在服务器区的边界防火墙上关闭DNS区域传送功能；区域传送功能；z Internet Connection Firewall(ICF，因特网连接防火墙，因特网连接防火墙) ： 相当于一个基于主机的防火墙，能够对插在同一台机器里的多块网卡进行数据包过滤。z 禁用禁用snmp服务或者更改默认的社区名称和权限服务或者更改默认的社区名称和权限z 禁用禁用terminal server服务服务z 将不必要的服务设置为手动将不必要的服务设置为手动: Alerter 、ClipBook、 Computer Browser67成都思维世