Windows系统安全管理

Windows系统安全管理1提纲帐号管理文件管理Windows攻击介绍安全基本配置2帐号管理3用户类型Administrator(默认的超级管理员)系统帐号(PrintOperater、BackupOperator)Guest(默认来宾帐号)4帐户(accounts)和组(groups)帐户(useraccounts)定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制，…组：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二进制形式的SID5密码存放位置注册表HKEY_LOCAL_MACHINE\SAM下Winnt/system32/config/sam6添加/删除帐户Win2000/XP下管理工具—计算机管理—本地用户和组WinNT下(域)用户管理器命令行方式netuser用户名密码/add[/delete]将用户加入到组netlocalgroup组名用户名/add[/delete]7帐户重命名将Administrator重命名将Guest来宾用户重命名新建一Administrator用户，隶属于Guest组8密码策略的推荐设置强制执行密码历史记录

密码最长期限密码最短期限密码必须符合复杂性要求为域中所有用户使用可还原的加密来储存密码24个密码42天2天启用禁用9针对远程破解的策略定制密码复杂性要求账户锁定策略的推荐设置策略默认设置推荐最低设置帐户锁定时间未定义30分钟帐户锁定阈值05次无效登录复位帐户锁定计数器未定义30分钟10SAM数据库与ADSAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%\system32\config\sam中实现DC上，账号与密码散列保存在%systemroot%\ntds\ntds.dit中11SYSKEY功能从NT4sp3开始提供散列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘12SID与令牌SID唯一标示一个对象使用User2sid和sid2user工具进行双向查询令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-15070098-500令牌User=S-1-21-S-1-5-21-15070098-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-54413解读SIDSIDS-1-5-21-15070098-500修订版本编号颁发机构代码，Windows2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDS-1-1-0EveryoneS-1-2-0Interactive用户S-1-3-0CreatorOwnerS-1-3-1CreatorGroup14Windows2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功令牌User=S-1-21-S-1-5-21-15070098-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544允许Read=AS-1-5-21……Write=administratorsS-1-5-32-544…SRM,安全参考监视器访问15文件管理16Windows系统的用户权利

下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许在网络上安装和删除设备驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。17Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。

18Windows系统的用户权限19Windows系统的用户权限20Windows系统的共享权限共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NTServer服务器上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。

21Windows系统的共享权限共享权限级别允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)22复制和移动文件夹从一个NTFS分区到另一个NTFS分区复制/移动都是继承权限(不同分区，移动=复制+删除)同一个NTFS分区复制：继承移动：保留复制/移动到FAT(32)分区NTFS权限丢失23Windows系统服务服务包括三种启动类型：自动，手动，禁用

自动-Win2000启动时自动加载服务

手动-Win2000启动时不自动加载服务，在需要的时候手动开启

禁用-Win2000启动的时候不自动加载服务，在需要的时候选择手 动或者自动方式开启服务，并重新启动电脑完成服务的配置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,该数值内容所记录的就是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。

24Windows的系统进程基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法25Windows的系统进程附加的系统进程（这些进程不是必要的）

mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

26Windows的系统进程tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服务)ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)

lserver.exe注册客户端许可证。(系统服务)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)27Windows的系统进程msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)RsFsa.exe管理远程储存的文件的操作。(系统服务)28Windows的系统进程grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)29Windows攻击介绍30踩点---扫描主机扫描网络扫描端口扫描共享扫描31主机扫描探测主机相关信息系统命令Pingtelnetwhoistracertnslookup扫描工具Ws_pingpropack、Pinger…..32Traceroute路由跟踪原理TTL=1数据???TTL-1>0小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址AB33Traceroute路由跟踪原理TTL=1数据小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址AB我知道路由器A存在于这个路径上路由器A的IP地址34BTraceroute路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=2数据???TTL-1>02-1=1>0TTL=1数据小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址???TTL-1>0我知道路由器B存在于这个路径上路由器B的IP地址35BTraceroute路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=3数据???TTL-1>03-1=2>0TTL=2数据我知道路由器B存在于这个路径上路由器B的IP地址???TTL-1>02-1=1>0TTL=1数据portnumber是一个一般应用程序都不会用的号码（30000以上），所以当此数据包到达目的地后该主机会送回一个「ICMPportunreachable」的消息，而当源主机收到这个消息时，便知道目的地已经到达了。ICMPportunreachable我到达了目的地36Firewalking攻击使用类似于路由跟踪的IP数据包分析方法来测定一个特殊的数据包能否从攻击者传送到位于数据包过滤设备后的主机用于探测网关上打开（open）或允许通过（passthrough）端口能构测定带有各种控制信息的数据包能否通过给定的网关能够探测位于数据包过滤设备后的路由器37使用ICMP的Traceroute原理由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2起始端口号＝（ftp端口－两机间的跳数*默认的每轮跳数)－1＝（21－2*3）-1＝15－1＝1438网络扫描探测网络拓扑结构，存活主机列表等系统命令tracert(traceroute)nslookup工具NmapPingpropackXscan流光39端口扫描端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口

Netscantools扫描结果

40端口扫描原理一个端口就是一个潜在的通信通道，即入侵通道。对目标计算机进行端口扫描，得到有用的信息。扫描的方法手工进行扫描熟悉各种命令。对命令执行后的输出进行分析端口扫描软件

许多扫描器软件都有分析数据的功能。通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞。41TCP/IP相关问题

一个TCP头包含6个标志位。它们的意义分别为：SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接；FIN：表示发送端已经没有数据要求传输了，希望释放连接；RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包；URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时