信息安全专题培训Windows系统安全-PPT课件

1、NSFocus Information Technology Co. Ltd.Windows系统安全徐毅 XylonxuyinsfocusTraining dept. , Customer Support CenterAugust 2019Strictly Private & ConfidentialWindows安全模型操作系统安全定义 信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的信息安全评估标准ITSEC和TCSECTCSEC描述的系统安全级别D-ACC(Common Critical)标准BS 7799:2000标准体系ISO 177

2、99标准TCSEC定义的内容没有安全性可言，例如MS DOS不区分用户，基本的访问控制D 级C1 级C2 级B1 级B2 级B3 级A 级有自主的访问安全性，区分用户标记安全保护，如System V等结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽校验级保护，提供低级别手段C2级安全标准的要求自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问CC(Common Critical)标准CC的基本功能标准化叙述技术实现基础叙述CC的概念维护文件安全目标评估目标Windows 2000安全结构Windows 安全子系统Winl

3、ogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support ProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库Windows账号管理Windows采用的账号认证方案LanManager认证(称为LM协议)早期版本NTLM v1 认证协议NT 4.0 SP3之前的版本NTLM v2 认证协议NT 4.0 SP4开始支持Kerberos v5认证协议Windows 2000引进用户类型A

4、dministrator(默认的超级管理员)系统帐号(Print Operater、Backup Operator)Guest(默认来宾帐号)帐户(accounts)和组(groups)帐户(user accounts)定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制.组：universal groups、global groups、local groupsAccount Identifier: Security identifier(SID)时间和空间唯一S-1-N-Y1-Y2-Y3-Y4Some well-known SIDs字符串形式和二进制

5、形式的SIDWindows 2000的默认账号 账户名 注释System/localsystem 本地计算机的所有特权Administrator 同上；可以改名，但不能删除Guest 有限的权限，默认禁用IUER_计算机名 IIS的匿名访问，guests组成员IWAM_计算机名 IIS进程外应用程序运行的账号， Guests组成员TSInternetUser 终端服务Krbtgt Kerberos密钥分发账号，只在DC上出现，默认禁用Windows 2000下的内建组 组名 注释Administrators 成员具有本地计算机的全部权限 Users 所有账号，较低的权限 Guests 有限的权

6、限，与users相同Authenticated users 特殊的隐含组，包含所有已登录的用户 Replicator 用于域中的文件复制Backup Operators 没有administrators权限高，但十分接近Server Operators 没有administrators权限高，但十分接近Account Operators 没有administrators权限高，但十分接近Print Operators 没有administrators权限高，但十分接近密码存放位置注册表HKEY_LOCAL_MACHINESAM下Winnt/system32/config/sam添加/删除帐户W

7、in2000/XP下管理工具计算机管理本地用户和组WinNT下(域)用户管理器命令行方式net user 用户名 密码/add /delete将用户加入到组net localgroup 组名 用户名 /add /delete帐户重命名将Administrator重命名将Guest来宾用户重命名新建一Administrator用户，隶属于Guest组密码策略的推荐设置强制执行密码历史记录 密码最长期限密码最短期限密码必须符合复杂性要求为域中所有用户使用可还原的加密来储存密码24个密码42天2天启 用禁 用针对远程破解的策略定制密码复杂性要求账户锁定策略的推荐设置策 略默认设置推荐最低设置帐户锁定

8、时间未定义30 分钟帐户锁定阈值05 次无效登录复位帐户锁定计数器未定义30 分钟SAM数据库与ADSAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%system32configsam中实现DC上，账号与密码散列保存在%systemroot%ntdsntds.dit中SYSKEY功能从NT4 sp3开始提供散 列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘SID与令牌SID唯一标示一个对象使用User2sid和sid2user工具进行双向查询令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-150700

9、1333-1204550764-1011284298-500令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码，Windows 2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDS-1-1-0 EveryoneS-1-2-0 Interactiv

10、e用户S-1-3-0 Creator OwnerS-1-3-1 Creator GroupWindows 2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544允许Read=A S-1-5-21 Write=administrators S-1-5-32-544File.txtSRM,安全参考监视器访问Windows文件系统管理Windows

11、2000默认共享C$、D$ Ipc$：远程会话管理Admin$：指向%WinDir%目录，用于远程管理Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作， 指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表显示了这些任务是如何与各种权限级 别相关联的Windows系统的用户权限

12、目录权限级别RXWDPO允许的用户动作No Access用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和 运行目录中的应用程序AddXW用户可以添加文件和子录Add and ReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限， 另外还可以更改文件的内容，删除文件和子目录Full controlRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限权限级别RXWDPO允许的用户动作No Access用户不能访问该文件ReadRX用

13、户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件Full controlRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权Windows系统的共享权限共享权限级别允许的用户动作No Access(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据 和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Full control(完全控制)具有“更改”权限中允许的操作，另外还允许更改

14、权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)复制和移动文件夹从一个NTFS分区到另一个NTFS分区复制/移动都是继承权限(不同分区，移动=复制+删除)同一个NTFS分区复制：继承移动：保留复制/移动到FAT(32)分区NTFS权限丢失Windows系统服务服务包括三种启动类型：自动，手动，禁用自动：启动时自动加载服务手动 :启动时不自动加载服务，在需要的时候手动开启禁用：启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔 服务项

15、目子项都有一个 Start 数值, 该 数值内容所记录的就是服务项目驱动程式该在何时被加载目前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用Windows的系统进程基本的系统进程smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 lsass.exe 管理 IP 安全策略以及启动

16、 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 Windows的系统进程附加的系统进程（这些进程不是必要的） mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服

17、务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务) dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) Windows的系统进程tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) ismserv.exe 允许在 Windows Advanced Se

18、rver 站点间发送和接收消息。(系统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) RsSub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理 RPC 名称服务数据库。(系统服务) lserver.exe 注册客户端许可证。(系统服务)

19、 dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)Windows的系统进程msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务) faxsvc.exe 帮助您发送和接收传真。(系统服务) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) netdde.exe 提供动态数据交换 (DDE) 的网络传输和安

20、全特性。(系统服务) smlogsvc.exe 配置性能日志和警报。(系统服务) rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务) RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 管理远程储存的文件的操作。(系统服务) Windows的系统进程grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务) SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) snmp.exe 包含代理

21、程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务) UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)Windows安全风险基本HTTP请求“webmaster/files/index.html ”等价于HTTP命令“GET /files/index.html HTTP/1.0”CGI调用“webmaster/scrip

22、ts/cgi.exe?var1+var2 ”表示将var1和var2提交给cgi.exe(“+”是分隔符)ASP调用webmaster/scripts/cgi.exe?var1=X&var2=Y 表示将X、Y分别作为两个变量提交HTTP文件遍历和URL编码 空格 %20 加号 %2B 句号 %2E 斜线(/) %2F 冒号 %3A 问号 %3F 反斜线() %5C ASCII 编码IIS溢出问题(1).htr缓冲区溢出漏洞IPP(Internet Printing Protocol)缓冲区溢出(IPP是处理.printer文件的 C:winntsystem32msw3prt.dll)当以下调用

23、超过420字节时，问题就会发生对策：删除DLL和文件扩展之间的映射GET /NULL.printer HTTP/1.0Host : buffer删除DLL和文件扩展之间的映射IIS溢出问题(2)索引服务ISAPI扩展溢出(通常被称为ida/idq溢出)由idq.dll引起，当buffer长度超过240字节时，问题就会发生Null.ida为文件名，无需真的存在直至现在上没有漏洞利用代码Code Red的感染途径对策：删除idq.dll和文件扩展之间的映射GET /NULL.ida? HTTP/1.1 Host : bufferIIS溢出问题(3)Frontpage 2000服务扩展溢出最早由NS

24、Focus(中国安全研究小组)提出FPSE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的)收到超过258字节的URL请求时，问题就会出现漏洞利用工具：fpse2000ex对策：删除fp30reg.dll和fp4areg.dll文件IIS的Unicode问题问题产生的要义“%c0%af”和“%c1%9c”分别是“/”“”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9

25、v”、“%c0%af”、”%c1%8s”等对策安装MS00-086中的补丁由于没有实现分区跳转功能，可以在系统分区之外安装IIS设置严格的NTFS权限在服务器的Write和Excute ACL中删除Everyone和User组更近一步双解码/二次解码同样由NSFocus发布对策：应用MS01-26给出的补丁(不包括在sp2中)注意和Unicode的区别，包括相关日志GET /scripts/.%255c.255c%winnt/system32/cmd.exeIIS的其它问题源代码泄漏的危险.htr风险.htw/webhits风险权限提升的问题远程调用RevertToself的ISAPI DLL

26、向LSA本地注射代码Windows 2000终端服务TS(Terminal Service)工作于3389端口TS基于RDP(Remote Desktop Protocol)实现终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp值PortNumber REG_WORD 3389(默认)针对TS的攻击密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险RDP DoS攻击风险

27、走进MS客户端客户端风险评估恶意电子邮件MIME扩展Outlook缓冲区溢出Media Play缓冲区溢出VBS地址簿蠕虫恶意邮件实例Helo somedomainMail froam:hinobodyRcpt to:attacksomeoneDataSublect:Read meImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bitHi!.quit使用的开放SMTP邮件中继此处可以添加恶意客户端脚本通过下列命令执行：Type mail.txt |

28、telnet IP 25Outlook溢出起源于vCard(一种电子名片)Outlook直接打开并运行附件中的vCards而不提示用户vCards存储于.vcf文件中，也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时，就会出现溢出对策：应用IE 5.5 sp2Windows 2000的打印驱动以full control权限运行在OS级别面临的主要威胁默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动媒体元文件 问题所在带有超长path值的.asx文件试图自动浏览时，会导致资源管理器崩溃；另外，可以向path写入适当代码II

29、S服务安全配置禁用或删除所有的示例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 localhost 或 访问；但是，它们仍应被删除。下面 列出一些示例的默认位置。 示例 虚拟目录 位置IIS 示例 IISSamples c :inetpubiissamplesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadcIIS服务安全配置启用或删除不需要的 COM 组件 某些 COM 组件不是多数应用程序所必需的，应加以删除。特别

30、是，应考虑禁用文件系统对象组件，但要注意这将也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。如Site Server 3.0 使用 File System Object。以下命令将禁用 File System Object： regsvr32 scrrun.dll /u 删除 IISADMPWD 虚拟目录 该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下，并不作为 IIS 5 的一部分安装，但是 IIS 4 服务器升级到 IIS 5 时，它并不删除。如果您不使用 Intranet 或如果将服务器连接到 We

31、b 上，则应将其删除IIS服务安全配置删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器。 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 主目录 | 配置 |删除无用的.htr .ida .idq .printer .idc .stm .shtml等IIS服务安全配置禁用父路径 “父路径”选项允许在对诸如 MapPath 函数调用中使用“.”，禁用该选项的步骤如下： 右键单击该 W

32、eb 站点的根，然后从上下文菜单中选择“属性” 单击“主目录”选项卡单击“配置”单击“应用程序选项”选项卡取消选择“启用父路径”复选框禁用-内容位置中的 IP 地址 “内容-位置”标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址IIS服务安全配置设置适当的 IIS 日志文件 ACL 确保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 这有助于防止恶意用户为隐藏他们的踪迹而删除文件设置适当的 虚拟目录的权

33、限 确保 IIS 虚拟目录如scripts等权限设置是否最小化，删除不需要目录 将IIS目录重新定向 更改系统默认路径，自定义WEB主目录路径并作相应的权限设置使用专门的安全工具 微软的IIS安全设置工具：IIS Lock Tool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性终端服务安全输入法漏洞造成的威胁net user abc 123 /addnet localgroup administrators abc /add注册表DontDisplayLastUserName 1SMB连接与验证过程ClientServer1.建立TCP连接2.客户端类型、支持的服务方式列表等3.服务器

34、认证方式、加密用的key等4.用户名、加密后密码5.认证结果随机生成一把加密密钥key(8或16字节)采用DES的变形算法，使用key对密码散列进行加密SMB提供的服务SMB会话服务TCP 139和TCP 443端口 SMB数据报支持服务UDP 138和UDP 445端口SMB名称支持服务UDP 137端口SMB通用命令支持服务开放SMB服务的危险SMB名称类型列表(1) 00 U Workstation Service 01 U Messenger Service 01 G Master Browser 03 U Messenger Service 06 U RAS Server Servi

35、ce 1F U NetDDE Service 20 U File Server Service 21 U RAS Client Service 22 U Exchange Interchange 23 U Exchange Store 24 U Exchange Directory 30 U Modem Sharing Server Service 31 U Modem Sharing Client Service 43 U SMS Client Remote Control 44 U SMS Admin Remote Control Tool名称列表1SMB名称类型列表(2) 45 U SM

36、S Client Remote Chat 46 U SMS Client Remote Transfer 4C U DEC Pathworks TCPIP Service 52 U DEC Pathworks TCPIP Service 87 U Exchange MTA 6A U Exchange IMC BE U Network Monitor Agent BF U Network Monitor Apps 03 U Messenger Service 00 G Domain Name 1B U Domain Master Browser 1C G Domain Controllers 1

37、D U Master Browser 1E G Browser Service Elections 1C G Internet Information Server 00 U Internet Information Server名称列表2强化SMB会话安全强制的显式权限许可：限制匿名访问控制LAN Manager验证使用SMB的签名服务端和客户端都需要配置注册表降低Windows风险安全修补程序Windows系列Service PackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序检查补丁安装情况hfnetchk.shavlik/

38、default.asp服务和端口限制限制对外开放的端口: 在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置 禁用snmp服务或者更改默认的社区名称和权限禁用terminal server服务将不必要的服务设置为手动 Alerter ClipBook Computer Browser Netbios的安全设置Windows 2000/2019 取消绑定文件和共享绑定打开 控制面板网络高级高级设置选择网卡并将Microsoft 网络的文件和打印共享的复选框取消，即可以完全禁止 TCP 139 和445 Windows NT在WinNT下取消NetBIOS与TCP

39、/IP协议的绑定。可以按如下步骤进行：点击“控制面板-网络-NetBIOS接口-WINS客户（TCP/IP)-禁用”，再点“确定”，然后重启这样NT的计算机名和工作组名也隐藏了Netbios的安全设置禁止匿名连接列举帐户名需要对注册表做以下修改运行注册表编辑器（Regedt32.exe）定位在注册表中的下列键上：HKEY_LOCAL_MACHINESystemtCurrentControlLSA在编辑菜单栏中选取加一个键值：Value Name:RestrictAnonymousDataType:REG_DWORDValue:1（Windows 2000下为2）Netbios的安全设置Wind

40、ows 2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） Windows 2000注册表所有的配置和控制选项都存储在注册表中分为五个子树，分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本机相关配置信息注册表安全 查询数值 允许用户和组从注册表中读取数值 设置数值 允许用户和组从注册表中设置数值 创建子项 允许用户和组在给定的注册项中创建子项 计数子项 允许用户和组识别某注册项的子项 通 知 允许用户和组从注册表中审计通知事件 创建链接 允许用户和组在特定项中建立符号链接 删 除 允许用户和组在删除选定的注册项 写入DAC 允许用户和组将DAC写入注册