吉林电信-Windows系统安全管理

Windows系统安全管理目录Windows系统安全基础Windows安全加固Windows安全配置规范Windows简介版本号MicrosoftWindows2000WindowsNT5.0MicrosoftWindowsXPWindowsNT5.1MicrosoftWindowsServer2003WindowsNT5.2MicrosoftWindowsVistaWindowsNT6.0MicrosoftWindowsServer2008WindowsNT6.0MicrosoftWindows7WindowsNT6.1MicrosoftWindowsServer2008R2WindowsNT6.1MicrosoftWindows8WindowsNT6.2MicrosoftWindowsPhone8WindowsNT6.2MicrosoftWindowsServer2012WindowsNT6.2MicrosoftWindows10WindowsNT10.0Windows管理好帮手常用命令查看系统版本ver查看SP版本wmicosgetServicePackMajorVersion查看Hotfixwmicqfegethotfixid,InstalledOn查看主机名hostname查看网络配置ipconfig/all查看用户netuser查看开放端口netstat-ano帐户安全用户和组用户：组：安全标识符SID：安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。Windows帐号的SID由字符“S”、SID版本号、颁发机构、子颁发机构、RID组成。例：S-1-5-21-310440588-250036847-580389505-500。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifierauthority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组。

举例：相关命令查看帐户abc的详细信息：netuserabc创建/删除

帐户abc：netuserabc/add[del]创建帐户abc,密码为123：netuserabc123/add把abc加入/退出管理员组：netlocalgroupadministratorsabc/add[del]启用/停用

帐户abc：netuserabc/active:yes[no]新建/删除

组admin:netlocalgroupadmin/add[del]帐号相关命令之netuser：WhoamiWhoami

/userWhoami/all帐号相关命令之whoami：帐号设置设置方法：“开始”->“运行”输入secpol.msc帐号安全设置：密码设置密码策略:密码必须满足：a、长度至少为6个字符；b、密码字符必须来自大写字母、小写字母、数字、非字母符号中的三个。密码复杂度要求:帐号设置帐号策略：帐号安全选项相关：帐户授权帐户授权：1.在本地安全设置中从远端系统强制关机只指派给Administrators组。2.在本地安全设置中关闭系统仅指派给Administrators组。3.在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。4.在本地安全设置中配置指定授权用户允许本地登陆此计算机。5.在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。SAM文件安全帐号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。sam文件是windowsNT的用户帐户数据库,所有2K03/2k/NT用户的登录名及口令等相关信息都会保存在这个文件中。sam文件可以认为类似于unix系统中的shadow文件,不过没有这么直观明了。

我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的

HKEY_LOCAL_MACHINE\SAM\SAMHKEY_LOCAL_MACHINE\SECURITY\SAM

保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。帐户数据库SAM文件：克隆帐号克隆administrator帐号：1.创建隐藏帐号netusermo$123456/add加入管理组netlocalgroupadministratorsmo$/add2.打开注册表编辑器，

展开HKEY_LOCAL_MAICHINE\SAM\SAM，修改SAM权限为administrator完全控制3.按F5刷新注册表，展开HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names，查看要克隆帐号的类型克隆帐号4.找到Names-mo$记住右边值的类型3ef，然后导出，命名为mo$.reg。5.在Users中找到mo$对应的项，导出为3ef.reg，1f4项也导出（默认administrator），将1f4导出reg文件中的F值替换到3ef.reg中。6.删除用户mo$，运行3ef.reg和mo$.reg。隐藏帐户就克隆好了。登陆后就是Adminstrator的桌面和权限克隆帐号快速检查克隆帐号：如果查注册表对比F值的话太慢了，我们采用工具快速查看是否存在克隆帐号。Mt和D盾弱口令检测：PWDUMPPASSWORD后面是一串星号，表示帐户没有设置密码Ophcrack利用彩虹表破解PWDUMP的SAM文件。文件权限控制前提条件NTFS(NewTechnologyFileSystem)，是WindowsNT环境的文件系统。NTFS是WindowsNT家族的限制级专用的文件系统（操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统）。NTFS取代了老式的FAT文件系统。NTFS对FAT作了若干改进，例如，支持元数据，并且使用了高级数据结构，以便于改善性能、可靠性和磁盘空间利用率，并提供了若干附加扩展功能。NTFS前提条件NTFS分区：NTFS权限既影响网络访问者也影响本地访问者。NTFS权限可以为驱动器、文件夹、注册表键值、打印机等进行设置。权限可以配置给用户或组，不同用户或组对同一个文件夹或文件可以有不同的权限分区转换：convertD:/fs:ntfs

注意：不可逆，只能将FAT或FAT32系统转换为NTFS系统，不能将NTFS系统转换成FAT或FAT32系统。如果必须转换，一般需要重新格式化磁盘。文件权限细分ACL（accesscontrollist）访问控制列表ACE（Accesscontrolentry）访问控制条目Windows访问控制权限列表ACL指定授予哪些用户或系统进程访问对象，以及允许对给定对象执行哪些操作。[1]典型ACL中的每个条目都指定主题和操作。例如，如果文件对象具有包含（Alice：read，write;Bob：read）的ACL

，则这将使Alice具有读取和写入文件的权限，而Bob只能读取该文件Windows文件权限特性每种权限都有“允许”和“拒绝”两种设置方法。权限的来源有“直接设置”和“继承”两种。如果权限的设置出现矛盾，系统按下面的优先顺序确定权限：直接设置的拒绝→直接设置的允许→继承的拒绝→继承的允许权限的优先顺序：移动、复制对权限继承性的影响：在同一分区内移动文件或文件夹，权限保持不变。在不同分区间移动文件或文件夹，权限继承新位置的权限。复制文件或文件夹，权限会继承新位置的权限。把文件或文件夹移动或复制到FAT分区中时权限会丢失。共享权限共享权限：Windows2003的默认共享权限是Everyone读取；Windows2000的默认共享权限是Everyone完全控制。共享权限是控制用户通过网络访问共享文件夹的手段，共享权限仅当用户通过网络访问时才有效，本地用户不受此权限制约。相比NTFS权限(安全权限)，共享权限的设置要简单得多，共享权限只有三种：完全控制、更改、读取。凡是不通过共享的文件访问，就不受共享权限影响，例如FTP访问共享权限一、用户通过网络访问文件夹共享时有效权限为共享权限和NTFS权限的交集，即共享权限Everyone三种权限全打勾(完全控制、更改、读取)，后面就设置NTFS权限就是有效共享权限。二、删除共享文件夹安全权限中默认存在的Users组和CREATOROWNER组(winserver系统可能会出现这个组)，否则很多计划外的用户可能会从该组获得某些意外的权限。三、如果想要子文件夹不继承父文件夹的权限，可以在子文件夹右键属性---安全---高级---更改权限中设置。共享权限注意事项权限继承删除继承权限的方法：允许从父项继承权限的选项勾去掉在权限项目列表里删除父文件夹继承来的用户或组的权限即可。夺权：只有两种人员可以抢夺所有权：1、Administrators(管理员)组的用户；2、拥有“获得所有权”这一特别权限的用户。Windows系统管理服务、进程与日志服务服务属性注册表与服务的关联在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一服务项目子项都有一个Start数值,这个数值的内容就是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad。而Start数值内容为3的服务项目代表让使用者以手动的方式载入,4则是代表停用的状态,也就是禁用。服务与CMD命令Net命令netconfig：功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的命令参数参数：1./autodisconnect:time设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-1到65535分钟，默认值是15分钟。2./srvcomment:"text"为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。3./hidden:{yes|no}指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是no。开启和关闭服务netstart查看已经开启的服务netstopservername停止服务netstart/stopservername:服务带来的威胁建议将以下服务停止，并将启动方式修改为手动：AutomaticUpdates（不使用自动更新可以关闭）BackgroundIntelligentTransferService（不使用自动更新可以关闭）DHCPClientMessengerRemoteRegistryPrintSpoolerServer（不使用文件共享可以关闭）SimpleTCP/IPServiceSimpleMailTransportProtocol(SMTP)SNMPServiceTaskScheduleTCP/IPNetBIOSHelper