windows安全原理及安全管理课件

windows安全原理及安全管理2022/12/19windows安全原理及安全管理windows安全原理及安全管理2022/12/12wind1内容Windows安全原理篇Windows安全管理篇windows安全原理及安全管理内容Windows安全原理篇windows安全原理及安全管理2Windows安全原理篇Windows系统的安全架构Windows的安全子系统Windows的密码系统Windows的系统服务和进程Windows的日志系统windows安全原理及安全管理Windows安全原理篇Windows系统的安全架构wind3Windows系统的安全架构

WindowsNT的安全包括6个主要的安全元素：Audit（审计）,Administration（管理）,Encryption（加密）,AccessControl（访问控制）,UserAuthentication（用户认证）,CorporateSecurityPolicy（公共安全策略）。WindowsNT系统内置支持用户认证、访问控制、管理、审核。windows安全原理及安全管理Windows系统的安全架构WindowsNT的4Windows系统的安全组件

访问控制的判断（Discretionaccesscontrol）按照C2级别的定义，Windows支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Objectreuse）当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源。强制登陆（Mandatorylogon）与WindowsforWorkgroups，Windwows95，Windows98不同，Windows2K/NT要求所有的用户必须登陆，通过认证后才可以访问资源。审核（Auditing）WindowsNT在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Controlofaccesstoobject）WindowsNT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。强制访问控制windows安全原理及安全管理Windows系统的安全组件 访问控制的判断（Discre5Windows安全子系统的组件

安全标识符（SecurityIdentifiers）:

SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（Accesstokens）:。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。第一项S表示该字符串是SID

第二项是SID的版本号，对于2000来说，这个就是1

然后是标志符的颁发机构（identifierauthority），对于2000内的帐户，颁发机构就是NT，值是5

然后表示一系列的子颁发机构，前面几项是标志域的

最后一个标志着域内的帐户和组

windows安全原理及安全管理Windows安全子系统的组件 第一项S表示该字符串是SID6Windows安全子系统的组件安全描述符（Securitydescriptors）：WindowsNT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Accesscontrollists）：在NT系统中，每当请求一个对象或资源访问时，就会检查它的ACL，确认给用户授予了什么样的权利。每创建一个对象，对应的ACL也会创建。ACL包含一个头部，其中包含有更新版本号、ACL的大小以及它所包含的ACE数量等信息。访问控制项（Accesscontrolentries）：访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。windows安全原理及安全管理Windows安全子系统的组件安全描述符（Security7Windows安全子系统

Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)windows安全原理及安全管理Windows安全子系统 windows安全原理及安全管理8Windows子系统实现图Winlogon,LocalSecurityAuthorit以及Netlogon服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用。windows安全原理及安全管理Windows子系统实现图Winlogon,LocalS9Windows安全子系统WinlogonandGina: Winlogon调用GINADLL，并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL。Winlogon在注册表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLLwindows安全原理及安全管理Windows安全子系统WinlogonandGina:10Windows安全子系统本地安全认证（LocalSecurityAuthority）：调用所有的认证包，检查在注册表重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。windows安全原理及安全管理Windows安全子系统本地安全认证（LocalSecur11Windows安全子系统安全支持提供者的接口（SecuritySupportProvideInterface）：

微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。认证包（AuthenticationPackage）：

认证包可以为真实用户提供认证。通过GINADLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。windows安全原理及安全管理Windows安全子系统安全支持提供者的接口（Securit12Windows安全子系统安全支持提供者（SecuritySupportProvider）：

安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）协议通信的时候用到。windows安全原理及安全管理Windows安全子系统安全支持提供者（SecurityS13Windows安全子系统网络登陆（Netlogon）：。安全账号管理者（SecurityAccountManager）：安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。windows安全原理及安全管理Windows安全子系统网络登陆（Netlogon）：。wi14Windows2000本地登陆过程

GINALSASSPIKerberosNTLMwindows安全原理及安全管理Windows2000本地登陆过程GINA15Windows的密码系统

windowsNT及win2000中对用户帐户的安全管理使用了安全帐号管理器(securityaccountmanager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。windows安全原理及安全管理Windows的密码系统windowsNT及win20016Windows的密码系统安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。 在正常设置下仅对system是可读写的。windows安全原理及安全管理Windows的密码系统安全账号管理器的具体表现就是%Sys17用户权利、权限和共享权限

网络安全性依赖于给用户或组授予的能力：权力:在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。权限:可以授予用户或组的文件系统能力。共享:用户可以通过网络使用的文件夹。windows安全原理及安全管理用户权利、权限和共享权限网络安全性依赖于给用户或18Windows系统的用户权利权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许用户在网络上安装和删除设备的驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。windows安全原理及安全管理Windows系统的用户权利权利适用于对19Windows系统的用户权限RWXDPOwindows安全原理及安全管理Windows系统的用户权限RWXDPOwindows安全原20Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。

windows安全原理及安全管理Windows系统的用户权限权限适用于对特定对象如目录和文件21Windows系统的用户权限权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目。windows安全原理及安全管理Windows系统的用户权限RXWDPO允许的用户动作No22Windows系统的用户权限权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的有权windows安全原理及安全管理Windows系统的用户权限RXWDPO允许的用户动作No23Windows系统的共享权限共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NTServer服务器上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。

windows安全原理及安全管理Windows系统的共享权限共享只适用于文件夹（目录），如果24Windows系统的共享权限共享权限级别允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)共享点一定要小心地分配。因为权限仅仅是分配给共享点的，任何共享点下的文件：或目录都足以和共享点本身相同的权限被访问的。windows安全原理及安全管理Windows系统的共享权限允许的用户动作NoAccess25Windows的系统服务单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“服务”。在列表框中显示的是系统可以使用的服务。Windows2k下可以在命令行中输入services.msc打开服务列表。windows安全原理及安全管理Windows的系统服务单击“开始”26Windows的系统服务服务包括三种启动类型：自动，手动，已禁用。

自动-Windows2000启动的时候自动加载服务

手动-Windows2000启动的时候不自动加载服务，在需要的时候手动开启

已禁用-Windows2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置

双击需要进行配置的服务，出现下图所示的属性对话框：

windows安全原理及安全管理Windows的系统服务服务包括三种启动类型：自动，手动，已27Windows的系统服务KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容所记录的就是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。

windows安全原理及安全管理Windows的系统服务KEY_LOCAL_MACHINE\28Windows的系统进程基本的系统进程smss.exeSessionManager会话管理csrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法windows安全原理及安全管理Windows的系统进程基本的系统进程windows安全原理29Windows的Log系统Windows有三种类型的事件日志：系统日志跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。windows安全原理及安全管理Windows的Log系统Windows有三种类型的事件日30Windows的Log系统日志在系统的位置是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.EvtLOG文件在注册表的位置是：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogwindows安全原理及安全管理Windows的Log系统日志在系统的位置是：window31Windows的应用系统日志Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志FTP日志和WWW日志文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开Scheduler服务日志默认位置：%systemroot%schedlgu.txt

windows安全原理及安全管理Windows的应用系统日志Internet信息服务FTP日32FTP日志分析FTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0（微软IIS5.0）#Version:1.0（版本1.0）#Date:2000102303:11:55（服务启动时间日期）03:11:55[1]USERadministator331（IP地址为用户名为administator试图登录）03:11:58[1]PASS–530（登录失败）03:12:04[1]USERnt331（IP地址为用户名为nt的用户试图登录）03:12:06[1]PASS–530（登录失败）03:12:32[1]USERadministrator331（IP地址为用户名为administrator试图登录）03:12:34[1]PASS–230（登录成功）03:12:41[1]MKDnt550（新建目录失败）03:12:45[1]QUIT–550（退出FTP程序）从日志里就能看出IP地址为的用户一直试图登录系统，换了3次用户名和密码才成功，管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。windows安全原理及安全管理FTP日志分析FTP日志分析，如下例：windows安全33HTTP的日志分析HTTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:316780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间windows安全原理及安全管理HTTP的日志分析HTTP日志分析，如下例：window34Windows安全管理篇windows安全原理及安全管理Windows安全管理篇windows安全原理及安全管理35Windows安全管理篇Windows系统安装系统安全检查系统安全配置IIS安全配置SQLServer口令和补丁windows安全原理及安全管理Windows安全管理篇Windows系统安装windows36Windows系统安装使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装服务安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁每次在安装其它程序之后，重新应用安全补丁防止病毒进行文件系统安全设置最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfixwindows安全原理及安全管理Windows系统安装使用正版可靠安装盘防止病毒进行文件系统37系统安全检查系统信息补丁安装情况帐号和口令网络与服务文件系统日志审核安全性增强windows安全原理及安全管理系统安全检查系统信息windows安全原理及安全管理38系统信息检查服务器是否安装多系统，多系统无法保障文件系统的安全从“operatingsystems”字段可以查到允许启动的系统列表

windows安全原理及安全管理系统信息检查服务器是否安装多系统，多系统无法保障文件系统的安39系统信息查看主机路由信息windows安全原理及安全管理系统信息查看主机路由信息windows安全原理及安全管理40补丁安装情况检查当前主机所安装的ServicePack以及Hotfix(Mbsa)SP版本IE版本，请确认在Hotfix中是否存在IESP1补丁信息Hotfix信息windows安全原理及安全管理补丁安装情况检查当前主机所安装的ServicePack以及41帐号和口令多数的系统，口令是进入系统的第一道防线，也是唯一防线；决大多数的口令算法是可靠的；获得口令的方式有多种；口令问题多数出在管理与安全意识的问题上。2022/12/19windows安全原理及安全管理42帐号和口令多数的系统，口令是进入系统的第一道防线，也是唯一防口令问题1：弱口令用户趋向于选择容易的口令，即空口令；用户会选择易于记住的东西做口令Test、Password、guest、username等名字、生日、简单数字等易于选择该系统的应用Ntserver、orancle等多数用户的安全意识薄弱2022/12/19windows安全原理及安全管理43口令问题1：弱口令用户趋向于选择容易的口令，即空口令；202口令问题2：明文传输使用明文密码传送的应用：FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上诉服务都容易成为攻击对象2022/12/19windows安全原理及安全管理44口令问题2：明文传输使用明文密码传送的应用：2022/12/口令攻击的方式手工猜测；方法：社会工程学、尝试默认口令自动猜测；工具：NAT、LC等窃听：登陆、网络截获、键盘监听工具：Dsniff、SnifferPro、IKS等2022/12/19windows安全原理及安全管理45口令攻击的方式手工猜测；2022/12/12windows安Windows常见的口令问题NT/2000的口令问题；用户教育的问题；管理员注意事项。2022/12/19windows安全原理及安全管理46Windows常见的口令问题2022/12/12windowNT/2000的口令问题SAM（SecurityAccountsManager)LanManager散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2）强加密、改良的身份认证和安全的会话机制自动降级2022/12/19windows安全原理及安全管理47NT/2000的口令问题SAM（SecurityAccouNT/2000的口令问题LanManager散列算法的问题口令都被凑成14个字符；不足14位的，用0补齐；全部转化为大写字母；分成两部分分别加密。举例：Ba01cK28tr－BA01CK2和8TR00002022/12/19windows安全原理及安全管理48NT/2000的口令问题LanManager散列算法的问题2NT/2000的口令问题SAM数据存放位置%systemroot%\system32\config\sam%systemroot%\repair\sam._(NT)Rdisk%systemroot%\repair\sam（2000）ntbackup注册表HKEY_LOCAL_MACHINE\SAM\SAM和

HKEY_LOCAL_MACHINE\SECURITY\SAM仅对system是可读写的2022/12/19windows安全原理及安全管理49NT/2000的口令问题SAM数据存放位置2022/12/1NT/2000的口令问题获取SAM数据的方法使系统自举到另外的系统，copySAM文件；从repair目录攫取备份的SAM;窃听口令交换2022/12/19windows安全原理及安全管理50NT/2000的口令问题获取SAM数据的方法2022/12/口令策略使用密码强度及账户老化、锁定策略；设置最小的密码程度为8个字符，最短密码时间为1-7天，最长密码时间为42天，最小的密码历史轮回为6，失败登陆尝试为3，账户锁定为60分钟等。2022/12/19windows安全原理及安全管理51口令策略使用密码强度及账户老化、锁定策略；2022/12/1用户教育口令禁忌:不要选择可以在任何字典或语言中找到的口令不要选择简单字母组成的口令不要选择任何指明个人信息的口令 不要选择包含用户名或相似类容的口令不要选择短于6个字符或仅包含字母或数字的口令不要选择作为口令范例公布的口令2022/12/19windows安全原理及安全管理52用户教育口令禁忌:2022/12/12windows安全原理管理员注意事项确保每个用户都有一个有效的口令；对用户进行口令教育；使用防止用户选择弱口令的配置与工具；进行口令检查，确保没有弱口令；确保系统与网络设备没有缺省账号和口令；不要在多个机器上使用相同的口令；从不记录也不与他人共享密码；2022/12/19windows安全原理及安全管理53管理员注意事项确保每个用户都有一个有效的口令；2022/12管理员注意事项从不将网络登录密码用作其他用途；域Administrators账户和本地Administrators帐户使用不同的密码；小心地保护在计算机上保存密码的地方；对于特权用户强制30天更换一次口令，一般用户60天更换；使用VPN、SSH、一次性口令等安全机制.2022/12/19windows安全原理及安全管理54管理员注意事项从不将网络登录密码用作其他用途；2022/12NullSessionNullSession（空连接）连接也称为匿名登陆，这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如explorer.exe的应用来列举远程服务器上的共享。非授权主机可以是网络里所有的主机，即这个主机不需要有访问服务器的任何权限。任何一台主机都可以和服务器之间建立一个NULLsession，这个NULLsession在服务器里属于everyone组。缺省情况下所有的用户都属于everyone这个组。everyone组没有很大的权力。但是可以利用它获取系统的用户信息。windows安全原理及安全管理NullSessionNullSession（空连接）连55NullSessionnetuse\\server\IPC$""/user:""

此命令用来建立一个空会话

获得目标上的所有用户列表。包括服务器上有哪些组和用户。服务器的安全规则，包括帐户封锁、最小口令长度、口令使用周期、口令唯一性设置等。列出共享目录。读注册表。windows安全原理及安全管理NullSessionnetuse\\server\I56NullSessionnetview\\server

此命令用来查看远程服务器的共享资源

nettime\\server

此命令用来得到一个远程服务器的当前时间。

At\\server此命令用来得到一个远程服务器的调度作业windows安全原理及安全管理NullSessionnetview\\server

57防御办法屏蔽135-139，445端口（网络属性）去除NetBiosOverTCP/IP(在服务中去除server）修改注册表HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSAValueName: RestrictAnonymousDataType: REG_DWORDValue: 1（2Win2000)参考KBarticlesQ143474,Q143475,Q161372,Q155363，Q246261windows安全原理及安全管理防御办法屏蔽135-139，445端口（网络属性）windo58入侵实例通过NetBIOS入侵139端口是NetBIOSSession端口，用来进行文件和打印共享，是NT潜在的危险。1、用NBTSTAT命令，用来查询NetBIOS信息。C>nbtstat–Ax.x.x.x2、用netuse建立连接c:>netuse\\x.x.x.x\ipc$

“密码”/user:”用户名”c:>netview\\x.x.x.xc:>netusex:\\x.x.x.x\c$c:>dirx:/p注意：通过IPC$连接会在Eventlog中留下记录。windows安全原理及安全管理入侵实例通过NetBIOS入侵windows安全原理及安全管59copywinshell.exe\\\admin$\system32at\\11:55winshell.exe54088telnet54088windows安全原理及安全管理copywinshell.exe\\0帐号和口令是否有密码过期策略密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：#密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）#密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议1~7天）windows安全原理及安全管理帐号和口令是否有密码过期策略windows安全原理及安全管61帐号和口令检查Guest帐号Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统没有激活windows安全原理及安全管理帐号和口令检查Guest帐号没有激活windows安全原理62帐号和口令系统是否使用默认管理员帐号默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。Administrator用户名已被修改windows安全原理及安全管理帐号和口令系统是否使用默认管理员帐号Administrat63帐号和口令是否存在可疑帐号查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。可禁用不需要帐号：windows安全原理及安全管理帐号和口令是否存在可疑帐号windows安全原理及安全管理64帐号和口令检查系统中是否存在脆弱口令系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。强壮口令要求：8位或以上口令长度、大小写字母、数字、特殊符号windows安全原理及安全管理帐号和口令检查系统中是否存在脆弱口令windows安全原理65网络与服务查看网络开放端口查看监听端口windows安全原理及安全管理网络与服务查看网络开放端口查看监听端口windows安全原66网络与服务得到网络流量信息windows安全原理及安全管理网络与服务得到网络流量信息windows安全原理及安全管理67网络与服务检查主机端口、进程对应信息Fport--/soft/fport.exe

windows安全原理及安全管理网络与服务检查主机端口、进程对应信息windows安全原理68网络与服务查看系统已经启动的服务列表windows安全原理及安全管理网络与服务查看系统已经启动的服务列表windows安全原理69网络与服务查看主机是否开放了共享或管理共享未关闭。windows安全原理及安全管理网络与服务查看主机是否开放了共享或管理共享未关闭。wind70文件系统查看主机磁盘分区类型服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。开始|管理工具|计算机管理|磁盘管理windows安全原理及安全管理文件系统查看主机磁盘分区类型windows安全原理及安全管71文件系统检查特定文件的文件权限对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。仅适用于NTFS分区

windows安全原理及安全管理文件系统检查特定文件的文件权限仅适用于NTFS分区win72文件系统检查特定目录的权限在检查中一般检查各个磁盘根目录权限、Temp目录权限windows安全原理及安全管理文件系统检查特定目录的权限windows安全原理及安全管理73日志审核检查主机的审核情况开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略windows安全原理及安全管理日志审核检查主机的审核情况windows安全原理及安全管理74日志审核检查系统日志大小、覆盖天数开始|运行|eventvwr|右键“系统”

可设置更大的空间存储日志如果空间足够，建议手动清除日志windows安全原理及安全管理日志审核检查系统日志大小、覆盖天数可设置更大的空间存储日志75安全性增强保护注册表，防止匿名访问

默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限，因为默认情况下Windows2000注册表编辑工具支持远程访问。对匿名连接的额外限制

默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。

开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项

建议设置为“不允许枚举SAM帐号和共享”

windows安全原理及安全管理安全性增强保护注册表，防止匿名访问

默认权限并不限制对注册76安全性增强检查是否登陆时间用完后自动注销用户

开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项是否显示上次成功登陆的用户名

开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项windows安全原理及安全管理安全性增强检查是否登陆时间用完后自动注销用户

开始|运行|77安全性增强是否允许未登陆系统执行关机命令

开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项仅登陆用户允许使用光盘

开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项windows安全原理及安全管理安全性增强是否允许未登陆系统执行关机命令

开始|运行|gp78系统安全配置补丁安装帐号、口令策略修改网络与服务安全性增强文件系统安全性增强日志审核增强安全性增强windows安全原理及安全管理系统安全配置补丁安装windows安全原理及安全管理79补丁安装使用Windowsupdate安装最新补丁手工安装补丁：

/zhcn/default.asp?corporate=truewindows安全原理及安全管理补丁安装使用Windowsupdate安装最新补丁win80帐号、口令策略修改

推荐修改为：设置帐号策略后可能导致不符合帐号策略的帐号无法登陆，需修改帐号密码（注：管理员不受帐号策略限制，但管理员密码应复杂）密码长度最小值7字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟windows安全原理及安全管理帐号、口令策略修改

推荐修改为：密码长度最小值7字符密码最81网络与服务安全性增强卸载不需要的服务开始|设置|控制面板|添加/删除程序|Windows组件，卸载不需要的服务避免未知漏洞给主机带来的风险windows安全原理及安全管理网络与服务安全性增强卸载不需要的服务windows安全原理82网络与服务安全性增强将暂时不需要开放的服务停止开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务避免未知漏洞给主机带来的风险windows安全原理及安全管理网络与服务安全性增强将暂时不需要开放的服务停止window83文件系统安全性增强限制特定执行文件的权限未对敏感执行文件设置合适的权限建议禁止Guest组用户访问资源：xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCopy.execacls.exeipconfig.exercp.execmd.exedebug.exeregedt32.exeregedit.exe

telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exenbtstat.exeTracert.exenetstat.exewindows安全原理及安全管理文件系统安全性增强限制特定执行文件的权限xcopy.exe84日志审核增强建议安全策略文件修改下述值：对系统事件进行审核，在日后出现故障时用于排查故障。审核策略更改成功审核登录事件无审核审核对象访问成功,失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功,失败审核帐户登录事件成功,失败审核帐户管理成功,失败windows安全原理及安全管理日志审核增强建议安全策略文件修改下述值：审核策略更改成功审核85日志审核增强调整事件日志的大小、覆盖策略增大日志大小，避免由于日志文件容量过小导致日志记录不全大小覆盖方式应用日志16382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件windows安全原理及安全管理日志审核增强调整事件日志的大小、覆盖策略大小覆盖方式应用日志86安全性增强禁止匿名用户连接

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous”的值为0，将该值修改为“1”

可以禁止匿名用户列举主机上所有用户、组、共享资源删除主机管理共享

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，增加“Autoshareserver”项，并设置该值为“1”

删除主机因为管理而开放的共享windows安全原理及安全管理安全性增强禁止匿名用户连接

HKLM\SYSTEM\Cur87安全性增强禁止匿名用户连接

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous”的值为0，修改为“1”

可以禁止匿名用户列举主机上所有用户、组、共享资源限制Guest用户权限

禁止Guest帐号本地登录和网络登录的权限。

避免Guest帐号被黑客激活作为后门windows安全原理及安全管理安全性增强禁止匿名用户连接

HKLM\SYSTEM\Cur88IIS服务安全配置禁用或删除所有的示例应用程序

示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从http://localhost或访问；但是，它们仍应被删除。下面列出一些示例的默认位置。示例虚拟目录位置

IIS示例\IISSamplesc:\inetpub\iissamples

IIS文档\IISHelpc:\winnt\help\iishelp

数据访问\MSADCc:\programfiles\commonfiles\system\msadc

windows安全原理及安全管理IIS服务安全配置禁用或删除所有的示例应用程序window89IIS服务安全配置启用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但是要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。例如，SiteServer3.0使用FileSystemObject。以下命令将禁用FileSystemObject：regsvr32scrrun.dll/u删除IISADMPWD虚拟目录该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下，并不作为IIS5的一部分安装，但是IIS4服务器升级到IIS5时，它并不删除。如果您不使用Intranet或如果将服务器连接到Web上，则应将其删除。windows安全原理及安全管理IIS服务安全配置启用或删除不需要的COM组件wind90IIS服务安全配置删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开Internet服务管理器。右键单击Web服务器，然后从上下文菜单中选择“属性”。主属性选择WWW服务|编辑|主目录|配置windows安全原理及安全管理IIS服务安全配置删除无用的脚本映射windows安全原理91IIS服务安全配置基于Web的密码重设.htrInternet数据库连接器（所有的IIS5Web站点应使用ADO或类似的技术）.idc服务器端包括.stm、.shtm和.shtmlInternet打印.printer索引服务器.htw、.ida和.idqwindows安全原理及安全管理IIS服务安全配置基于Web的密码重设.htrwi92IIS服务安全配置设置适当的IIS日志文件ACL请确保IIS产生的日志文件(%systemroot%\system32\LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)这有助于防止恶意用户为隐藏他们的踪迹而删除文件。设置适当的虚拟目录的权限请确保IIS的虚拟目录如scripts等权限设置是否最小化，删除不需要的目录。将iis目录重新定向不要使用系统默认的路径，自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具微软的IIS安全设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。windows安全原理及安全管理IIS服务安全配置设置适当的IIS日志文件ACLwi93SQLServer口令设置强壮的SQLServerSA口令口令策略：8位或更高位数口令，包含大小写字母、数字和特殊符号windows安全原理及安全管理SQLServer口令设置强壮的SQLServerSA94SQLServer补丁查询用Isql或者SQL查询分析器登录到SQLServer，如果是用Isql，请在cmd窗口输入isql-Usa,然后输入密码，进入；如果是用SQL查询分析器，请从程序中启动，输入sa和密码（也可以用windows验证）。在ISQL中输入：

Select@@Version；

go或者SQL查询分析器中输入(其实如果不想输入，只要打开帮助的关于就可以了)

Select@@Version；

然后按执行；windows安全原理及安全管理SQLServer补丁查询用Isql或者SQL查询分析器登95SQLServer补丁查询返回SQL的版本信息，如下：

MicrosoftSQLServer2000-8.00.760(IntelX86)Dec17200214:22:05Copyright(c)1988-2003MicrosoftCorporationEnterpriseEditiononWindowsNT5.0(Build2195:ServicePack3)其中的8.00.760就是SQLServer的版本和补丁号。对应关系如下：

8.00.194——————SQLServer2000RTM

8.00.384——————(SP1)

8.00.534——————(SP2)

8.00.760——————(SP3)windows安全原理及安全管理SQLServer补丁查询返回SQL的版本信息，如下：

M96演讲完毕，谢谢听讲!再见，seeyouagain2022/12/19windows安全原理及安全管理演讲完毕，谢谢听讲!再见，seeyouagain202297windows安全原理及安全管理2022/12/19windows安全原理及安全管理windows安全原理及安全管理2022/12/12wind98内容Windows安全原理篇Windows安全管理篇windows安全原理及安全管理内容Windows安全原理篇windows安全原理及安全管理99Windows安全原理篇Windows系统的安全架构Windows的安全子系统Windows的密码系统Windows的系统服务和进程Windows的日志系统windows安全原理及安全管理Windows安全原理篇Windows系统的安全架构wind100Windows系统的安全架构

WindowsNT的安全包括6个主要的安全元素：Audit（审计）,Administration（管理）,Encryption（加密）,AccessControl（访问控制）,UserAuthentication（用户认证）,CorporateSecurityPolicy（公共安全策略）。WindowsNT系统内置支持用户认证、访问控制、管理、审核。windows安全原理及安全管理Windows系统的安全架构WindowsNT的101Windows系统的安全组件

访问控制的判断（Discretionaccesscontrol）按照C2级别的定义，Windows支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Objectreuse）当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源。强制登陆（Mandatorylogon）与WindowsforWorkgroups，Windwows95，Windows98不同，Windows2K/NT要求所有的用户必须登陆，通过认证后才可以访问资源。审核（Auditing）WindowsNT在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Controlofaccesstoobject）WindowsNT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。强制访问控制windows安全原理及安全管理Windows系统的安全组件 访问控制的判断（Discre102Windows安全子系统的组件

安全标识符（SecurityIdentifiers）:

SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（Accesstokens）:。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。第一项S表示该字符串是SID

第二项是SID的版本号，对于2000来说，这个就是1

然后是标志符的颁发机构（identifierauthority），对于2000内的帐户，颁发机构就是NT，值是5

然后表示一系列的子颁发机构，前面几项是标志域的

最后一个标志着域内的帐户和组

windows安全原理及安全管理Windows安全子系统的组件 第一项S表示该字符串是SID103Windows安全子系统的组件安全描述符（Securitydescriptors）：WindowsNT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Accesscontrollists）：在NT系统中，每当请求一个对象或资源访问时，就会检查它的ACL，确认给用户授予了什么样的权利。每创建一个对象，对应的ACL也会创建。ACL包含一个头部，其中包含有更新版本号、ACL的大小以及它所包含的ACE数量等信息。访问控制项（Accesscontrolentries）：访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。windows安全原理及安全管理Windows安全子系统的组件安全描述符（Security104Windows安全子系统

Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)windows安全原理及安全管理Windows安全子系统 windows安全原理及安全管理105Windows子系统实现图Winlogon,LocalSecurityAuthorit以及Netlogon服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用。windows安全原理及安全管理Windows子系统实现图Winlogon,LocalS106Windows安全子系统WinlogonandGina: Winlogon调用GINADLL，并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL。Winlogon在注册表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLLwindows安全原理及安全管理Windows安全子系统WinlogonandGina:107Windows安全子系统本地安全认证（LocalSecurityAuthority）：调用所有的认证包，检查在注册表重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。windows安全原理及安全管理Windows安全子系统本地安全认证（LocalSecur108Windows安全子系统安全支持提供者的接口（SecuritySupportProvideInterface）：

微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。认证包（AuthenticationPackage）：

认证包可以为真实用户提供认证。通过GINADLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。windows安全原理及安全管理Windows安全子系统安全支持提供者的接口（Securit109Windows安全子系统安全支持提供者（SecuritySupportProvider）：

安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）协议通信的时候用到。windows安全原理及安全管理Windows安全子系统安全支持提供者（SecurityS110Windows安全子系统网络登陆（Netlogon）：。安全账号管理者（SecurityAccountManager）：安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。windows安全原理及安全管理Windows安全子系统网络登陆（Netlogon）：。wi111Windows2000本地登陆过程

GINALSASSPIKerberosNTLMwindows安全原理及安全管理Windows2000本地登陆过程GINA112Windows的密码系统

windowsNT及win2000中对用户帐户的安全管理使用了安全帐号管理器(securityaccountmanager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。windows安全原理及安全管理Windows的密码系统windowsNT及win200113Windows的密码系统安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。 在正常设置下仅对system是可读写的。windows安全原理及安全管理Windows的密码系统安全账号管理器的具体表现就是%Sys114用户权利、权限和共享权限

网络安全性依赖于给用户或组授予的能力：权力:在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。权限:可以授予用户或组的文件系统能力。共享:用户可以通过网络使用的文件夹。windows安全原理及安全管理用户权利、权限和共享权限网络安全性依赖于给用户或115Windows系统的用户权利权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许用户在网络上安装和删除设备的驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。windows安全原理及安全管理Windows系统的用户权利权利适用于对116Windows系统的用户权限RWXDPOwindows安全原理及安全管理Windows系统的用户权限RWXDPOwindows安全原117Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于