Windows系统安全-0-序章

2023/1/11

Windows系统安全课程简介：本次课程从理论知识、攻击/防护方法、开发基础三个方面，介绍windows操作系统的基础知识、安全威胁以及安全加固的方法。学习目标：熟悉windows的基本操作熟悉windows的各种安全威胁掌握windows系统的安全加固方法及简单的安全软件原理与开发使用常识学习宗旨：循序渐进交叉往复授课人：Cimer&IIP张梓雄南京君立华域课程概述信息安全网络安全：黑客、渗透测试啊。2023/1/11课程目录操作系统基础Windows背景知识与安全机制Windows常用命令介绍1.1计算机发展简史1946年2月14日，世界上第一台电脑ENIAC在美国宾夕法尼亚大学诞生，用于计算炮弹弹道。这部机器使用了18800个真空管，长50英尺，宽30英尺，占地1500平方英尺，重达30吨（大约是一间半的教室大，六只大象重）。第一代电子管时代(1946-1958)

第二代晶体管时代(1958-1965)

第三代中小规模集成电路时代(1965-1970)

第四代大规模集成电路时代(1971至今)摩尔定律：当价格不变时，集成电路上可容纳的晶体管数目，约每隔18个月便会增加一倍，性能也将提升一倍。1.2操作系统定义操作系统：是一种能让PC使用其它软件的系统软件。操作系统实际上是一组程序，用于管理计算机硬件、软件资源，合理地组织计算机的工作流程，协调计算机系统各部分之间、系统与用户之间、用户与用户之间的关系。是系统的资源管理者

硬件资源:中央处理器、存储器、输入输出设备

软件资源:以文件形式出现的程序和数据是用户与计算机的接口

在用户与计算机之间提供了一个良好的界面，用户可以通过操作系统最大限度地利用计算机的功能。实现对资源的合理调度和分配，改善资源的共享和利用1.2操作系统定义操作系统包含以下五个部分：存储器管理：内存分配、地址映射、内存保护和内存扩充处理机管理：作业和进程调度、进程控制和进程通信设备管理：缓冲区管理、设备分配、设备驱动和设备无关性文件管理：文件存储空间的管理、文件操作的一般管理、目录管理、文件的读/写管理和存取控制用户接口：提供图形界面、命令界面、程序界面1.3操作系统分类单用户操作系统：主要配置在微型计算机上，有单任务和多任务之分。单用户单任务操作系统每次只允许一个用户上机，且任意时刻只允许一个用户程序运行，如MS-DOS操作系统单用户多任务是指每次只允许一个用户上机，允许一次向系统提交多个任务，计算机可以在同一时间内运行多个应用程序。使这些任务同时“并发”地执行。Windows操作系统就属于单用户多任务操作系统。批处理系统:用户可以把作业一批批地输入系统，直到作业运行完毕后，才根据输出结果分析作业运行情况分时操作系统：将CPU的时间划分成时间片，轮流接收和处理各个用户从终端输入的命令。实时操作系统：对信号的输入、计算和输出都能在一定的时间范围内完成。网络操作系统：在单机操作系统的基础上发展起来，能够管理网络通信和网络上的共享资源，协调各个主机上任务的运行，并向用户提供统一、高效、方便易用的网络接口的一种操作系统1.4常用操作系统DOS(DiskOperatingSystem)是PC机上最早(1981)流行的单用户单任务操作系统，支持字符用户界面。Windows是基于图形界面的操作系统，是目前装机普及率最高的一种操作系统,诞生于1983年11月,有3.X、95/98/2000、XP、Me、NT、2003等版本。UNIX支持多任务、多处理、多用户和网络应用及网络管理，可运行于不同类型的计算机上，有较好的可靠性和安全性。有较大的市场份额。OS/21987年IBM公司推出PS/2的同时发布的系统。在20世纪90年代初，OS/2的整体水平曾超过当时的Windows3.X。1.4常用操作系统Linux是一种源代码开放的操作系统。用户可以通过Internet免费获取Linux及其生成工具的源代码，然后进行修改，建立一个自己的Linux开发平台，开发Linux软件。MacOS是在苹果公司的PowerMacintosh机及Macintosh一族计算机上使用的。它是最早成功的基于图形用户界面的操作系统。NovellNetWare是一个基于文件服务和目录服务的网络操作系统，主要用于构建局域网。1.5

操作系统安全定义•信息安全的五类服务，作为安全的操作系统时必须提供的•有些操作系统所提供的服务是不健全的、默认关闭的

•WindowsNT系统内置支持用户认证、访问控制、管理、审核（C2）。•常用方法：日志监视

监视开放的端口和连接

监视共享

监视进程和系统信息2023/1/11课程目录操作系统基础Windows背景知识与安全机制Windows常用命令介绍2023/1/112Windows系统背景

从1975年比尔·盖茨与保罗·艾伦创立Microsoft公司至今，微软一路高歌猛进，雄踞IT行业，成为一方巨擘。除了在PC领域占据绝对优势，根据IDC的统计报告，WindowsServer在服务器操作系统市场上的份额已经达到34.2％，逼近了Unix的35％。同时，windows系统多平台发展，最新的surface平板电脑采用的是windowsRT操作系统

微软的windows操作系统也在不断升级，从16位、32位到64位操作系统。从最初的windows1.0到大家熟知的windows95、NT、97、98、2000、Me、XP、Server、Vista，Windows7，Windows8各种版本的持续更新，微软一直在尽力于Windows操作的开发和完善。

美国计算机应急反应小组最近发表的安全漏洞测评报告称，微软的Windows出现了250次安全漏洞，其中有39个安全漏洞的危险程度达到了40分或者40分以上。而RedHatLinux只有46次安全漏洞，其中只有3个安全漏洞的危险程度在40分以上。2.1Windows版本的发展Windows

NT（NewTechnology）是Microsoft推出的面向工作站、网络服务器和大型计算机的网络操作系统，也可做PC操作系统。它与通信服务紧密集成，提供文件和打印服务，能运行客户机／服务器应用程序，内置了Internet／Intranet功能，已逐渐成为企业组网的标准平台。2.1Windows版本的发展版本客户端服务器版运行平台PC服务器平板电脑：WindowsRT（ARM平台）手机：WindowsMobile、WindowsPhone嵌入式平台：WindowsCE2.2Windows基本框架分层+客户/服务器(微内核)结构Win32OS/2Posix2.2Windows基本框架Windows安全子系统组件图2.3Windows基本概念对象域&工作组信任关系微软管理控制器(MicrosoftManagerController,MMC)2.3.1对象(object)在Windows

2K操作系统中，系统的所有资源都被当做对象来处理。对象包括：文件、目录、设备、管道、进程、注册表键等。所有对对象的访问都必须通过操作系统的安全子系统的检查，由操作系统来完成对对象的访问，其他程序都无法直接访问对象。因此，操作系统是对象的保护层。2.3.1对象的安全描述符(securitydescriptor)每个对象都有一个安全描述符来描述他们的安全属性，安全描述符包括：对象所有者的SID。自定义访问控制列表(DACL)，它包含那些用户和组可以访问这个对象的信息。系统访问控制列表(SACL),它定义对对象的审核。所有组安全ID，由POSIX子系统(类似UNIX的环境)使用。2.3.1对象访问验证过程当用户(进程)希望访问一个对象时，安全参考监视器SRM将用户的访问令牌中的用户信息与对象的DACL中的信息进行比较，从而决定是否允许用户对对象进行某种操作访问。2.3.1访问令牌（Accesstokens）

访问令牌是用户在通过验证的时候由登陆进程所提供的，记录用户特权信息。所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。

访问令牌的内容：用户的SID、组的SID等。2.4域(domain)域(domain)：是windowsNT的功能核心，域是共享同一个认证数据库的一个或多个windows计算机的一个集合。对于用户的好处是他们登录到域上，可以访问域里的其他资源和服务，不需要再登录到每台服务器。域是winNT的安全管理边界。在WinNT中在创建一个域时，首先安装的第一台服务器应该是“主域控制器(PrimaryDomainController，PDC)”。PDC最主要的功能是保存整个域的认证数据库，这个数据库被称为“SAM数据库”，包括用户帐号的各种信息。另外，域中还可以有一个“备份域控制器(BDC)”,保存着域SAM数据库的备份。在NT中，PDC向BDC复制域SAM数据库，而在win2K中，所有域控制器(PDC,BDC)都是平等的。它们之间互相复制SAM数据库。2.4工作组(workgroup)工作组(workgroup)：是不属于域的一个独立单元。工作组中的每个计算机各自维护自己的组帐号、用户帐号及安全帐号数据库，不与其他系统共享用户信息。一个工作组组成的网络是一个“对等网”。2.4.1信任关系(trust)信任关系是一种使得一个域中的用户被其他域中的域控制器验证的机制。信任关系创建了域之间的隐含访问能力，它就像在域间建立了桥梁。信任可以是单向或双向信任。单向信任就是域A信任域B，但域B并不信任域A。双向信任就是域A和域B之间互相信任。信任关系可以是传递的或不可传递。默认情况下，winNT域之间，信任关系是不可传递的。win2K森林中所有域之间存在可传递的、双向信任关系。2.5微软管理控制台(MMC)MMC是一个用于创建、保存或打开管理单元的集成化管理平台。MMC并不执行具体的管理工作，而是由各种管理单元来(保存为MMC文件)实现具体的管理工作：管理硬件、软件和Windows系统的网络组件。MMC可以在Win2K、NT、9x上运行。在Win7中的运行-MMC命令可以打开MMC管理器。gpedit.msc计算机组策略compmgmt.msc计算机管理devmgmt.msc设备管理diskmgmt.msc磁盘管理fsmgmt.msc共享管理lusrmgr.msc本地用户管理notepad写字板writeservices.msc服务管理ZwCreateFile2.6Windows安全体系结构WindowsNT达到了TCSEC标准的C2级别，并符合B2级的两项标准Asecurelogonfacility：用户能唯一的鉴别，只有鉴别并授权后才能访问系统资源Discretionaryaccesscontrol：资源的所有者可以授权给其他的用户和组访问该资源Securityauditing：发现并记录安全相关事件Objectreuseprotection：资源的重用保护，如使用过内存分配前应该擦除Trustedpathfunctionality：用户登录时必须经过信任路径，如Ctrl+Alt+DeleteTrustedfacilitymanagement：基于帐户的管理权限2.6.1安全组件关系图2.6.2用户登录过程用户按下SAS(ctrl+alt+del)winlogon捕获到启动GINA，用户输入用户名和密码winlogon调用msgina.dll的函数将取得的用户名与密码通过LPC（localprocesscall）告之lsasslsass调用认证数据包msv1_0.dll的函数，将口令作Hash后与SAM数据库进行比对，相同则登录成功2023/1/11课程目录操作系统基础Windows背景知识与安全机制Windows常用命令介绍3Windows常用命令介绍cmd是command的缩写.即命令行。虽然随着计算机产业的发展，Windows操作系统的应用越来越广泛，DOS面临着被淘汰的命运，但是因为它运行安全、稳定，有的用户还在使用，所以一般Windows的各种版本都与其兼容，用户可以在Windows系统下运行DOS，中文版WindowsXP中的命令提示符进一步提高了与DOS下操作命令的兼容性，用户可以在命令提示符直接输入中文调用文件。在9x系统下输入command就可以打开命令行.而在NT系统上可以输入cmd来打开，在windows2003后被cmd替代，利用CMD命令查询系统的信息或者是判断网络的好坏。输入ctrl+c可以停止终止当前命令。3.1目录与文件切换当前目录：cd[目录路径]查看目录信息：dirdirc:\查看C盘根目录下全部文件夹和文件信息显示文件目录树：treetreec:\查看C盘文件目录树3.2用户whoami whoami查看当前登陆的用户

whoami/user查看当前登陆的用户及SID号3.3NetServicesNetServices概述: 许多服务使用的网络命令都以词net开头。这些net命令有一些公用属性：要看到所有可用的net命令的列表，可以在命令提示行键入net/?在命令行键入nethelpcommand，可以在命令行获得net命令的语法帮助。例如，关于netaccounts命令的帮助信息，请键入： nethelpaccounts Tips: (1)所有net命令都接受/y（是）和/n（否）命令行选项。例如，netstopserver命令将提示用户确认停止所有依赖的服务器服务，而netstopserver/y通过自动回答“是”而无需确认并关闭服务器服务。 (2)如果服务名包含空格，请使用引号将文本引起来（例如，"ServiceName"）。例如，下面的命令将启动网络登录服务：netstart"netlogon"3.3Windows下常用命令分析：net（1）Netaccounts将用户帐户数据库升级并修改所有帐户的密码和登录请求。语法：netaccounts[/forcelogoff:{minutes|no}][/minpwlen:length][/maxpwage:{days|unlimited}][/minpwagescreen.width-300)this.width=screen.width-300'>ays][/uniquepw:number][/domain]范例:要显示当前设置、密码要求以及服务器的服务器角色，请键入：netaccounts要设置不少于7个字符的用户帐户密码，请键入：netaccounts/minpwlen:7要指定用户只有在五次更改密码后才可以重新使用密码，请键入：netaccounts/uniquepw:53.3Windows下常用命令分析：net（2）Netview

显示域、计算机或由指定计算机共享资源的列表。如果在没有参数的情况下使用，则netview显示当前域中的计算机列表。要查看由\\Production计算机共享的资源列表，请键入：

netview\\production要查看NetWare服务器\\Marketing上的可用资源，请键入：

netview/network:nw\\marketing

NetShare 管理共享资源。使用不带参数的netshare将显示本地计算机上所有共享资源的信息。3.3Windows下常用命令分析：net（3）Netuse 将计算机与共享资源连接或断开，或者显示关于计算机连接的信息。该命令还控制持久网络连接。如果在没有参数的情况下使用，则netuse检索网络连接列表。建立空连接: netuse\\IP\ipc$""/user:""(一定要注意:这一行命令中包含了3个空格)建立非空连接: netuse\\IP\ipc$"用户名"/user:"密码"(同样有3个空格)映射默认共享: netusez:\\IP\c$"密码"/user:"用户名"(即可将对方的c盘映射为自己的z盘，其他盘类推) 如果已经和目标建立了ipc$，则可以直接用IP+盘符+$访问,具体命令netusez:\\IP\c$删除一个ipc$连接 netuse\\IP\ipc$/del3.3Windows下常用命令分析：netstat

Netstat是控制台命令,是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。 该命令的一般格式为：

netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval] netstat-a

——本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。

netstat-n

——显示所有已建立的有效连接。3.4.1网络辅助命令——nslookup

nslookup最简单的用法就是查询域名对应的IP地址，包括A记录和CNAME记录，如果查到的是CNAME记录还会返回别名记录的设置情况。其用法是：

nslookup域名

[Tips]:CNAME指别名记录也被称为规范名字。这种记录允许您将多个名字映射到同一台计算机。通常用于同时提供WWW和MAIL服务的计算机。例如，有一台计算机名为“”（A记录）。它同时提供WWW和MAIL服务，为了便于用户访问服务。可以为该计算机设置两个别名（CNAME）：WWW和MAIL。这两个别名的全称就是“”和“”。实际上他们都指向“”。3.4.2pingPING(PacketInternetGrope)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。3.4.2ping使用Ping命令来验证连通性开始——运行——cmd键入ping，回车，显示所有的命令符编号 参数 描述1 -t Ping指定的计算机直到中断。2 -a 将地址解析为计算机名。3 -ncount 发送count指定的ECHO数据包数。默认值为4。4 -llength 发送包含由length指定的数据量的ECHO数据包。默认为32字节；最大值是65,527。5 -f 在数据包中发送“不要分段”标志。数据包就不会被路由上的网关分段。6 -ittl 将“生存时间”字段设置为ttl指定的值。7