操作系统安全概述

第八章操作系统安全8.1Linux系统8.2Unix/Linux系统安全

8.3Windows系统8.4Windows安全机制8.5Windows系统安全配置操作系统概述目前服务器常用的操作系统：UnixLinuxWindowsNT/2000/2003Server。这些操作系统都是符合C2级安全级别的操作系统。都存在很多漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。8.1Linux/Unix系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。UNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式命名为Unix。到1973年，Unix系统的绝大部分源代码都用C语言重新编写，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。主要特色UNIX操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，在发展过程中逐步形成了一些新的特色。（1）高可靠性（2）极强的伸缩性（3）网络功能强（4）强大的数据库支持（5）开放性好Linux系统Linux是由全世界各地的成千上万的程序员设计和实现的，为了建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于名叫LinusTorvalds的计算机爱好者，是芬兰赫尔辛基大学的学生。目的是设计一个代替Minix（是由AndrewTannebaum教授编写的一个操作系统示教程序）的操作系统。该操作系统可用于386、486或奔腾处理器的个人计算机上，具有Unix操作系统的全部功能。Linux系统Linux是一个免费的开源操作系统，用户可以免费获得其源代码，并能够随意修改。在共用许可证GPL(GeneralPublicLicense)保护下的自由软件，有几种版本，如RedHatLinux、Slackware，以及国内的XteamLinux、红旗Linux等等。Linux的流行是源于它的优点：Linux典型的优点（1）完全免费（2）完全兼容POSIX1.0标准（3）多用户、多任务（4）良好的界面（5）丰富的网络功能（6）可靠的安全、稳定性能（7）支持多种平台8.2Unix/Linux系统安全Unix/Linux的安全机制用户标识和身份鉴别每个用户一个唯一的标识符(UID);系统给每个用户组也分配有一个唯一的标识符(GID);登录需要密码口令；文件系统安全用户：owner/group/other）访问权限：read/write/executable。文件加密Unix用户可以使用crypt命令加密文件，用户选择一个密钥加密文件，再次使用此命令，用同一密钥作用于加密后的文件，就可恢复文件内容日志审计机制包括：连接时间日志、进程统计和错误日志。9Unix/Linux操作系统统安全－－弱点用户数据据保护机机制并不不能保证证严格安安全要求求；超级用户户成为系系统安全全瓶颈；；缺乏必要要的系统统审计机机制；用户认证证方面的的要求不不够严格格；系统自身身的完整整性保护护问题，，一旦加加载恶意意的核心心模块，，整个系系统可能能完全被被非法控控制。10Unix/Linux安全配配置合理设置置系统的的安全级级别合理设置置用户权权限指定主控控台及终终端登录录的限制制合理配置置/etc/inetd.conf文件合理设置置/etc/ftpusers文件件合理设置置网段及及路由不设置UUCP删除不用用的软件件包及协协议正确配置置.profile文文件创建匿名名ftp应用用户户同维护护用户分分开8.3Windows系统统1)高高效直观观的面向向对象的的图形用用户界面面，易学学易用。。2)多多任务。。3)用用户界面面统一、、友好、、漂亮。。4)丰丰富的与与设备无无关的图图形操作作。8.4Windows安全全机制1.活活动目录录服务2.认认证服务务3.加加密文件件系统4.安全全模版5.安安全账号号管理器器Windows安全子子系统安全子系系统包括括：WinlogonGraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)Windows安全全子系统统WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA，，监视认认证顺序序加载认证证包支持额外外的验证证机制为认证建建立安全全通道提供登陆陆接口提供真正正的用户户校验管理用户户和用户户证书的的数据库库Windows安全子系统WinlogonandGina:Winlogon调用用GINADLL，，监视安安全认证证序列。。GINADLL提供供一个交交互式的的界面为为用户登登陆提供供认证请请求。Winlogon在注注册表中中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存存在GinaDLL键键，Winlogon将使用用这个DLL，，如果不不存在该该键，Winlogon将使使用默认认值MSGINA.DLL。。Windows安全子子系统本地安全全认证（（LocalSecurityAuthority）：它负责以以下任务务：调用所有有的认证证包，检检查在注注册表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下下AuthenticationPAckages下的的值，并并调用该该DLL进行认认证（MSV_1.DLL））。在4.0版版里，WindowsNT会寻找找\HKLM\SYSTEM\CurrentControlSet\Control\LSA下所所有存在在的SecurityPackages值值并调用用。创建用户户的访问问令牌。。管理本地地安装的的服务所所使用的的服务账账号。储存和映映射用户户权限。。管理审核核的策略略和设置置。管理信任任关系。。Windows安全子子系统网络登陆陆（Netlogon）：网络登陆陆服务必必须在通通过认证证后建立立一个安安全的通通道。要要实现这这个目标标，必须须通过安安全通道道与域中中的域控控制器建建立连接接，然后后，再通通过安全全的通道道传递用用户的口口令，在在域的域域控制器器上响应应请求后后，重新新取回用用户的SIDs和用户户权限。。安全账号号管理器器（SecurityAccountManager）：安全账号号管理器器，也就就是我们们经常所所说的SAM，，它是用用来保存存用户账账号和口口令的数数据库。。不同的的域有不不同的Sam，，在域复复制的过过程中，，Sam包将会会被拷贝贝。Windows的密码码系统WindowsNT及Win2000中中对用户户帐户的的安全管管理使用用了安全全帐号管管理器(securityaccountmanager)的机机制,安安全帐号号管理器器对帐号号的管理理是通过过安全标标识进行行的，安安全标识识在帐号号创建时时就同时时创建，，一旦帐帐号被删删除，安安全标识识也同时时被删除除。安全标识识是唯一一的，即即使是相相同的用用户名，，在每次次创建时时获得的的安全标标识都时时完全不不同的。。因此，，一旦某某个帐号号被删除除，它的的安全标标识就不不再存在在了，即即使用相相同的用用户名重重建帐号号，也会会被赋予予不同的的安全标标识，不不会保留留原来的的权限。。Windows平台上上的共享享资源在Windows平台台上，共共享资源源是受攻攻击的入入侵点文件资源源的共享享打印服务务的共享享IPC$也是一一个共享享资源在网络环环境下，，又离不不开共享享功能对策使用隐藏藏共享设置好权权限控制制Windows9x/ME它本身就就不是一一个安全全的操作作系统主要的危危险直接连接接到共享享资源上上远程访问问注册表表安装后门门服务程程序利用现有有服务程程序的漏漏洞拒绝服务务本地系统统的不安安性重新启动动口令的不不安全WindowsNTWindowsNT是一个个安全操操作系统统虽然已经经发现了了大量的的漏洞但是总算算补丁来来得很及及时两个显著著的安全全性特点点操作系统统本身并并不提供供远程运运行代码码的能力力对于控制制台的交交互登录录权力仅仅限于少少数帐号号安全现状状对于WindowsNT的的大量攻攻击都是是通过应应用服务务器进行行的(比比如IISWebServer)。尽快升级级到Windows2000WindowsNT的Administrator这是攻击击者最期期望得到到的权限限手段远程密码码猜测找到一个个共享点点，使用用netuse命令令行Nat工工具从NT的的认证协协议(LanMan、、NTLM)着着手防护禁止NIC的NetBIOS功能帐户的管管理策略略：设定定lockout功能能、强制制使用强强口令失败类型型的审计计总是需需要的SAM数数据库SAM:SecurityAccountsManager,包含含有本地地系统或或者所控控制域上上所有用用户的用用户名和和密文形形式的密密码这是攻击击者最感感兴趣的的部位获取sam数据据库，然然后进行行破解在系统运运行期间间，sam数据据库是上上锁的获取sam的手手段从另一个个文件系系统进行行拷贝从关键文文件的备备份中获获取压缩缩之后的的sam文件在线提取取密码散散列值从网络上上进行监监听破解工具具无论是字字典破解解，还是是穷举攻攻击，往往往很奏奏效两种手段段结合起起来使用用使用syskey保护护IIS服服务安全全配置删除无用用的脚本本映射IIS被被预先先配置为为支持常常用的文文件名扩扩展如.asp和和.shtm文件件。IIS接接收到这这些类型型的文件件请求时时，该调调用由DLL处理理。如果果您不使使用其中中的某些些扩展或或功能，，则应删删除该映映射，步步骤如下下：打开Internet服务管理理器。右键单击Web服务务器，然后从从上下文菜单单中选择“属属性”。主目录|配配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等等终端服务安全全输入法漏洞造造成的威胁Windows2000的危险服务务剪贴簿查看器器Messenger（（Netsend）RemoteRegistryServiceServer(支持此此计算机通过过网络的文件件、打印、和和命名管道共共享)TerminalServices(允许多位用户户连接并控制制一台机器，，并且在远程程计算机上显显示桌面和应应用程序。这这是远程桌面面(包括管理理员的远程桌桌面)、快速速用户转换、、远程协助和和终端服务器器的基础结构构。)禁止对注册表表的远程访问问禁止和删除服服务通过services.msc禁止止服务使用ResourceKit彻底底删除服务Sc命令行工工具Instsrv工具举例OS/2和Posix系系统仅仅为了了向后兼容Server服务仅仅为为了接受netbios请求针对Windows的的入侵示例1.探测选择攻击对象象，了解部分分简单的对象象信息。针对具体的攻攻击目标，随随便选择一组组IP地址，，进行测试，，选择处于活活动状态的主主机；针对探测的安安全建议对于网络：安安装防火墙，，禁止这种探探测行为对于主机：安安装个人防火火墙软件，禁禁止外部主机机的ping包，使对方方无法获知主主机当前正确确的活动状态态针对Windows2000的入入侵过程(一一)针对Windows2000的入入侵过程(二二)2.扫描使用的扫描软软件这里选择的扫扫描软件是SSS（ShadowSecurityScanner），SSS是俄罗斯的一一套非常专业业的安全漏洞洞扫描软件，，能够扫描目目标服务器上上的各种漏洞洞，包括很多多漏洞扫描、、端口扫描、、操作系统检检测、账号扫扫描等等，而而且漏洞数据据可以随时更更新。扫描远程主机机开放端口扫描描操作系统识别别SSS本身就提供了了强大的操作作系统识别能能力，也可以以使用其他工工具进行主机机操作系统检检测。主机漏洞分析析扫描结果：端端口扫描可以看出几个个比较知名的的端口均处于于打开状态，，如139、80等尝试使用Unicode漏洞攻击，无无效。可能主主机已经使用用了SP进行补丁或未未开放远程访访问权限扫描结果：操作系统识别别结果显示该主主机操作系统统为Windows2000，正是我们期期望的操作系系统类型扫描结果：漏漏洞扫描SSS可对远程主机机进行漏洞检检测分析，选选择合适的攻攻击入口点，，进行远程入入侵；该主机存在的的漏洞较多，，我们可以确确定选择该主主机作为攻击击对象。另外外，主机的帐帐号密码使用用的是“永不不过期”方式式，我们可以以在下面进行行帐号密码的的强行破解针对Windows2000的入入侵过程(三三)3.查看目目标主机的信信息在完成对目标标主机的扫描描后，可以利利用WindowsNT/2000对NetBIOS的缺省信赖，，对目标主机机上的用户帐帐号、共享资资源等进行检检查。这里，，再利用Windows2000的IPC空会话查询询远程主机机针对Windows2000的入侵侵过程(四四)4.渗透透IIS攻击尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行行攻击，没没有成功。。目标主机机可能已修修复相应漏漏洞，或没没有打开远远程访问权权限Administrator口令强行行破解目标主机是是一台个人人主机，绝绝大部分情情况下，均均使用Administrator帐号进行登登陆，且个个人防范意意识较差的的话，选择择的密码一一般都较简简单，如““主机名””、“11111”、“12345”之类的简简单密码。。所以考虑虑利用NetBIOS会话服务（（TCP139）进行远程程密码猜测测。这里使用NAT（NetBIOSAuditingTool）进行强行行破解：构造一个个可能的用用户帐户表表，以及简简单的密码码字典，然然后用NAT进行破破解。成功功Administrator口令破解解情况针对Windows2000的入侵侵过程(五五)5.巩固固权力现在得到了了Administrator的帐户户，接下去去需要巩固固权力添加一个迷迷惑性的帐帐户，并加加入administrators组组，将来通通过新帐户户进入装载后门装载后门一般的个人人主机为防防范病毒，，均会安装装反病毒软软件，如NortonAnti-Virus、金山毒毒霸等，并并且大部分分人也能及及时更新病病毒库，而而大部分的的木马程序序在这类软软件的病毒毒库中均被被视为Trojan木马病毒毒。除非一一些很新的的程序或自自己编写的的程序才能能够很好地地隐藏起来来我们使用NetCat作为后后门程序进进行演示安装后门程程序(一)利用刚刚获获取的Administrator口令，通过过Netuse映射对方驱驱动器安装后门程程序(二)然后将netcat主程序nc.exe复制到目标标主机的系系统目录下下（便于隐隐藏），可可将程序名名称改为容容易迷惑对对方的名字字，如rundl132.exe、ddedll32.exe等利用at命令令远远程程启启动动NetCat，供供我我们们远远程程连连接接使使用用。。还还添添加加了了每每日日运运行行计计划划，，供供以以后后使使用用。安装装后后门门程程序序(三三)远程程NetCat服务务程程序序启启动动后后，，我我们们可可以以在在本本地地进进行行远远程程连连接接，，运运行行命命令令，，这这时时，，我我们们已已经经完完全全控控制制了了这这台台机机器器了了针对对Windows2000的的入入侵侵过过程程(六六)6.清清除除痕痕迹迹我们们留留下下了了痕痕迹迹了了吗吗用eventviewer看看一一看看没有有成成功功看看看它它的的日日志志文文件件无安安全全日日志志记记录录通过过入入侵侵过过程程来来看看Win2k的的防防范范尽量量安安装装防防火火墙墙软软件件，，并并对对安安全全规规则则库库定定期期进进行行更更新新；；及时时更更新新操操作作系系统统厂厂商商发发布布的的ServicePack补丁丁程程序序；停止止主主机机上上不不必必要要的的服服务务，，各各种种服服务务打打开开的的端端口口往往往往成成为为黑黑客客攻攻击击的的入入口口使用用安安全全的的密密码码，，最最起起码码不不要要直直接接使使用用常常见见的的单单词词、、数数字字串串