Windows系统安全-系统漏洞分析与防范课件

Windows系统安全

---------系统漏洞分析与防范Windows系统安全

---------系统漏洞分析与防1Windows

NT系统简介

WindowsNT/2000/XP都是基于WinNT内核，安全性比Windows9x明显提高。主要体现在：提供了对安全性有影响的管理手段——用户帐号和用户密码、域名管理、用户组权限、共享资源的权限等。用户帐号和用户密码

WindowsNT的安全机制通过请求用户帐号和用户密码来帮助保护计算机及其资源。给值得信任的使用者，按其使用的要求和网络所能给予的服务分配合适的用户帐号，并且设定相应的账号密码。Windows

NT系统简介

WindowsNT/20002Windows

NT系统简介

域名管理

(1)以WindowsNT组建的网络是一个局域网范围的网。(2)域：指网络服务器和其它计算机的逻辑分组，凡是在共享域范围内的用户都使用公共的安全机制和用户帐号信息。(3)每个用户有一个账号，每次登录的是一个域，而不是某一个服务器。即使在物理上相隔较远，但在逻辑上可以在一个域上，这样便于管理。(4)域所用的安全机制信息或用户帐号信息都存放在目录数据库中（安全帐号管理器SAM数据库）。Windows

NT系统简介

域名管理3Windows

NT系统简介域名管理

(5)目录数据库存放在服务器中，并且复制到备份服务器中。(6)通过有规律的适当处理，可以保证数据库的安全性、有效性。(7)在用户每次登录时，通过目录数据库检查用户的账号和密码。所以在对NT进行维护时应该小心目录数据库的完整性，一般只有管理员才有权限管理目录数据库。

Windows

NT系统简介域名管理4Windows

NT系统简介

用户组权限

（1）管理员根据用户访问网络的类型和等级给用户分组，组有全局组和本地组。（2）全局组由一个域的几个用户帐号组成，所谓全局是指可以授予该组使用多个（全局）域资源的权利和权限，全局组只能在域中创建。

域全局组：

成员范围：自己所在的域

使用范围：所有的域

（3）本地组由用户帐号和一个或多个域中的全局组构成

域本地组：

成员范围：所有的域

使用范围：自己所在的域

Windows

NT系统简介用户组权限5Windows

NT系统简介

共享资源的权限

（1）WindowsNT允许用户指定共享的资源。资源共享后，可以通过网络限制某些用户对他的访问权限，这称为共享权限的限制。针对不同的用户，可以利用资源共享及资源权限来创建不同的资源安全级别。（2）WindowsNT在其文件系统NTFS中，可以使用权限对单个文件进行保护，并且可以把该权限应用于本地访问和网络访问中。

通过以上的四个管理手段，实行严格的用户名密码认证，并根据操作需求赋予相应的权限，从而获得对系统访问的严格控制。Windows

NT系统简介共享资源的权限6WindowsNT常见安全漏洞

通过NETBIOS实现信息收集与渗透

NETBIOS(网络基本输入输出系统）：描述怎样将网络基本输入输出系统操作变换为等价的因特网操作的规则.

通过端口扫描程序扫描目标机或网络通过NETBIOS进行信息收集

如端口扫描程序报告端口139在目标机上是开放的，那么接下来就是一个很自然的过程。发出Nbtstat命令。Nbtstat命令可以用来查询目标机的NETBIOS信息。如:D:>nbtsta–A59(-a:列出为其主机名提供的远程计算机名字表).入侵者可以通过Nbtstat的输出信息收集有关你的机器的信息，有了这些信息，入侵者就可能在一定程度上断定有哪些服务正在目标机上运行，有时也能断定已经安装了那些软件包。一般来讲，每个服务或主要的软件包都具有一定的脆弱性，因此，这种类型的信息对入侵者是有用的。

WindowsNT常见安全漏洞通过NETBIOS实现信息7WindowsNT常见安全漏洞猜测密码如果入侵者发现你的机器上的共享目录，将会试图进入你的硬盘。有时共享可能设有口令，不过入侵者会继续进行BruteForce（强行）攻击。BruteForce最常用的工具是NAT工具,这个工具让用户能够通过可能的用户/口令列表使网络连接命令自动操作。NAT将通过所提供的列表中的每个用户名和每一个口令试着连接到远程机上。借助工具Ntscan进行BruteForce攻击，破解用户名/口令对。WindowsNT常见安全漏洞猜测密码8WindowsNT常见安全漏洞升级权限

攻击者获得系统一定的访问权限后通常要把自己的权限提升到管理员组，这样就可以控制了该计算机系统。

获得管理员密码后，下次就可以用该密码进入系统。先建立一个用户，然后把这个用户添加到管理员组，或者直接把一个不起眼的用户添加到管理员组。安装后门。方法:下载系统的%windir%\repair\sam.*文件,然后用Lopht等软件破解.WindowsNT常见安全漏洞升级权限9WindowsNT常见安全漏洞破解SAM文件

SAM中包含有本地系统及所控制域的所有用户信息和用户名及密码。SAM文件是经过加密后的一个文档.其中破解SAM最为常用的工具就是L0pht,如果有一台PII450，黑客们便可以利用L0pht在24小时内破解出所有可能的数字与字母组合。WindowsNT常见安全漏洞破解SAM文件10WindowsNT常见安全漏洞

SAM文件的获取WindowsNT把SAM存放在%systemroot%\system32\config目录下,而且在服务器的NT系统运行过程中SAM是被锁死的,甚至Administrator用户也无权更改。

(1)启动引导另一操作系统不直接启动NT系统，而用另一个引导服务器，SAM文件的保护显然就失去了作用。黑客通常会使用SystemInternals公司的NTFSDOS的系统驱动来获得对NTFS硬盘格式访问的权限，然后将SAM文件提取。WindowsNT常见安全漏洞SAM文件的获取11WindowsNT常见安全漏洞

SAM文件的获取

(2)获取备份的SAM

NT中的修复磁盘工具会备份系统中的关键信息，其中也包括SAM文件。黑客一般会选择L0pht进行导入完成获取备份的工作。(3)从SAM中导出散列加密值如获得Administrator访问权限，黑客很容易获取到NT在注册表中存储的SAM密码散列．用L0pht或者Pwdump这两个工具都可以容易的获取到这些加密值．WindowsNT常见安全漏洞SAM文件的获取12防范办法防范最好的办法——安装漏洞补丁微软已经对发现的大多数安全漏洞提供了补丁，这些补丁可以在/security网站下载。达到系统本身提供的安全能力

WindowsNT资源工具箱软件提供C2配置管理器c2config.exe,运行他可以核查你的系统配置，并指出为符合C2级安全标准，你必须修改什么配置。系统安全设置使用NTFS个格式分区。最好建立两个逻辑分区，一个用作系统分区，一个用作应用程序分区。尽量修改“我的文档”及“OutlookExpress”等应用程序的默认文件夹位置，使其位置不在系统分区。防范办法防范最好的办法——安装漏洞补丁13

防范办法(2)

运行防病毒软件;关闭默认共享；锁住注册表；禁止用户从软盘和光盘启动系统；利用WindowsNT安全配置工具来配置安全策略。服务安全配置关闭不必要的端口。关闭端口意味着减少功能。禁用NETBIOS。设置好安全纪录的访问权限;安全纪录在默认情况下是没有保护的。把他设置成只有Administrators和系统帐户才有权访问。禁止建立空连接，默认情况下，任何用户都可通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接.关闭不需要的服务。防范办法(2)运行防病毒软件;14一个攻击WindowsNT系统过程(一)1.收集信息对于WindowsNT的主机，一般通过默认的共享“Ipc$”进行。Ipc$(进程间通信)共享是NT主机上一个标准的隐藏共享,主要用于服务器到服务器的通信.如果主机启动了Server服务，就可以建立了不需要账号和密码的空连接，通过“Ipc”,就可以利用工具或者自己编写的程序得到主机的账号列表和共享（默认和设置）列表。2.得到密码得到账号列表后，可以通过BruteForce的方法得到密码。一个攻击WindowsNT系统过程(一)1.收集信息2.15一个攻击WindowsNT系统过程(二)3.破解出Administrator的密码破解一个user账号密码后，进步破解Administrator的密码获取\winnt\repair\sam,然后用工具Pwdump破解。4.得到管理员特权后留后门用微软的“Netsvc.exe”工具，它可以启动远程计算机上的服务netsvc\\tlntsvr/start,一般启动“Schedule”服务。把“Netcat.exe”放在远端计算机上，然后用“At”命令启动他；一个攻击WindowsNT系统过程(二)3.破解出Adm16一个攻击WindowsNT系统过程(二)Telnet99把Guest用户激活：netuserguest/active:yes把Guest用户设置一个密码：netuserguestabcd把Guest加到Administrators组中：netlocatgroupadministratorsguest/add使用Telnet管理工具“WinNT\system32\tlnadmn.exe”在注册表选项把NTLM设置为“0”，防止Telnet服务要求NTLM认证。用管理员身份建立远程计算机的Ipc连接后，可以用事件查看器、注册表编辑器等各种管理工具连接到远程计算机进行管理。获取远程计算机上“WinNT\repair”下的sam文件，用工具破解。

一个攻击WindowsNT系统过程(二)Telnet1.17针对此类攻击的防御方法停止“Server”服务。该服务提供RPC（远程过程控制）支持、文件、打印以及命名管道共享。用“NetShare”命令确认默认的共享已经删除，查看手工设置的共享，删除不需要的共享。停止TCP/IPServices服务，该服务支持以下的TCP/IP服务。CharacterGenerator,Daytime,Discard,Rcho,QuoteoftheDay服务。此服务对应多个端口，如“７，９，１７”等，可能导致DDOS攻击.用“NetStart”命令查看启动的服务。确认停止所有不必要的服务，特别是停止“Telnet,Ftp”服务等。用netuser和netlocalgroup命令查看异常的用户和本地组,删除或仅用不必要的账号.如Guest等。用扫描工具检查开放的可疑端口,查找木马。禁止一般用户从网络访问计算机。针对此类攻击的防御方法停止“Server”服务。该服务提供R18一次针对Windows2000的入侵过程(一)1.探测选择攻击对象，了解部分简单的对象信息。这里，针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试；Pinger程序查找IP地址针对探测的安全建议对于网络：安装防火墙，禁止这种探测行为对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态一次针对Windows2000的入侵过程(一)1.探测19一次针对Windows2000的入侵过程(二)2.扫描使用的扫描软件这里选择的扫描软件是SSS（ShadowSecurityScanner），目前的最高版本是5.3.1，SSS是俄罗斯的一套非常专业的安全漏洞扫描软件，能够扫描目标服务器上的各种漏洞，包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等，而且漏洞数据可以随时更新。扫描远程主机

开放端口扫描

操作系统识别

SSS本身就提供了强大的操作系统识别能力，也可以使用其他工具进行主机操作系统检测。

主机漏洞分析

一次针对Windows2000的入侵过程(二)2.扫描20扫描结果：端口扫描可以看出几个比较知名的端口均处于打开状态，如139、80等

尝试使用Unicode漏洞攻击，无效。可能主机已经使用了SP进行补丁或未开放远程访问权限

扫描结果：端口扫描可以看出几个比较知名的端口均处于打开状态，21扫描结果：操作系统识别

扫描结果：操作系统识别22扫描结果：漏洞扫描SSS可对远程主机进行漏洞检测分析，这更方便了我们了解远程主机的状态，选择合适的攻击入口点，进行远程入侵

主机的帐号密码使用的是“永不过期”方式，我们可以接下去进行帐号密码的强行破解

扫描结果：漏洞扫描SSS可对远程主机进行漏洞检测分析，这更方23一次针对Windows2000的入侵过程(四)4.渗透Administrator口令强行破解

目标主机是一台个人主机，绝大部分情况下，均使用Administrator帐号进行登陆，且个人防范意识较差的话，选择的密码一般都较简单，如“主机名”、“11111”、“12345”之类的简单密码（方便自己的快速登陆）。所以考虑利用NetBIOS会话服务（TCP139）进行远程密码猜测。

这里我们使用NAT（NetBIOSAuditingTool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解。成功一次针对Windows2000的入侵过程(四)4.渗透24Administrator口令破解情况Administrator口令破解情况25一次针对Windows2000的入侵过程(五)5.巩固权力现在我们得到了Administrator的帐户，接下去我们需要巩固权力添加一个迷惑性的帐户，并加入administrators组，将来通过新帐户进入装载后门装载后门一般的个人主机为防范病毒，均会安装反病毒软件，如NortonAnti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而大部分的木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来我们使用NetCat作为后门程序进行演示一次针对Windows2000的入侵过程(五)5.巩固权26安装后门程序(一)利用刚刚获取的Administrator口令，通过Netuse映射对方驱动器

安装后门程序(一)利用刚刚获取的Administrator口27安装后门程序(二)然后将netcat主程序nc.exe复制到目标主机的系统目录下（便于隐藏），可将程序名称改为容易迷惑对方的名字，如rundl132.exe、ddedll32.exe等

安装后门程序(二)然后将netcat主程序nc.exe复制到28安装后门程序(三)远程NetCat服务程序启动后，我们可以在本地进行远程连接，运行命令（在远程主机上），这时，我们已经完全控制了这台机器了利用at命令远程启动NetCat，供我们