电脑基础知识Windows系统安全

Windows系统平安0精选pptWindows平安模型1精选ppt操作系统平安定义•信息平安的五类效劳，作为平安的操作系统时必须提供的•有些操作系统所提供的效劳是不健全的、默认关闭的2精选ppt信息平安评估标准ITSEC和TCSECTCSEC描述的系统平安级别DACC(CommonCritical)标准BS7799:2000标准体系ISO17799标准3精选pptTCSEC定义的内容没有安全性可言，例如MSDOS不区分用户，基本的访问控制D级C1级C2级B1级B2级B3级A级有自主的访问安全性，区分用户标记安全保护，如SystemV等结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽校验级保护，提供低级别手段4精选pptC2级平安标准的要求自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有平安相关事件和个人活动只有管理员才有权限访问5精选pptCC(CommonCritical)标准CC的根本功能标准化表达技术实现根底表达CC的概念维护文件平安目标评估目标6精选pptWindows2000平安结构7精选pptWindows平安子系统WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立平安通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库8精选pptWindows账号管理9精选pptWindows采用的账号认证方案LanManager认证(称为LM协议)早期版本NTLMv1认证协议NT4.0SP3之前的版本NTLMv2认证协议NT4.0SP4开始支持Kerberosv5认证协议Windows2000引进10精选ppt用户类型Administrator(默认的超级管理员)系统帐号(PrintOperater、BackupOperator)Guest(默认来宾帐号)11精选ppt帐户(accounts)和组(groups)帐户(useraccounts)定义了Windows中一个用户所必要的信息，包括口令、平安ID(SID)、组成员关系、登录限制...组：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二进制形式的SID12精选pptWindows2000的默认账号账户名注释System/localsystem本地计算机的所有特权Administrator同上；可以改名，但不能删除Guest有限的权限，默认禁用IUER_计算机名IIS的匿名访问，guests组成员IWAM_计算机名IIS进程外应用程序运行的账号，Guests组成员TSInternetUser终端效劳KrbtgtKerberos密钥分发账号，只在DC上出现，默认禁用13精选pptWindows2000下的内建组

组名注释Administrators成员具有本地计算机的全部权限

Users所有账号，较低的权限

Guests有限的权限，与users相同Authenticatedusers特殊的隐含组，包含所有已登录的用户

Replicator用于域中的文件复制BackupOperators没有administrators权限高，但十分接近ServerOperators没有administrators权限高，但十分接近AccountOperators没有administrators权限高，但十分接近PrintOperators没有administrators权限高，但十分接近14精选ppt密码存放位置注册表HKEY_LOCAL_MACHINE\SAM下Winnt/system32/config/sam15精选ppt添加/删除帐户Win2000/XP下管理工具—计算机管理—本地用户和组WinNT下(域)用户管理器命令行方式netuser用户名密码/add[/delete]将用户参加到组netlocalgroup组名用户名/add[/delete]16精选ppt帐户重命名将Administrator重命名将Guest来宾用户重命名新建一Administrator用户，隶属于Guest组17精选ppt密码策略的推荐设置强制执行密码历史记录

密码最长期限密码最短期限密码必须符合复杂性要求为域中所有用户使用可还原的加密来储存密码24个密码42天2天启用禁用18精选ppt针对远程破解的策略定制密码复杂性要求账户锁定策略的推荐设置策略默认设置推荐最低设置帐户锁定时间未定义30分钟帐户锁定阈值05次无效登录复位帐户锁定计数器未定义30分钟19精选pptSAM数据库与ADSAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%\system32\config\sam中实现DC上，账号与密码散列保存在%systemroot%\ntds\ntds.dit中20精选pptSYSKEY功能从NT4sp3开始提供散列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘21精选pptSID与令牌SID唯一标示一个对象使用User2sid和sid2user工具进行双向查询令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-54422精选ppt解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码，Windows2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDS-1-1-0EveryoneS-1-2-0Interactive用户S-1-3-0CreatorOwnerS-1-3-1CreatorGroup23精选pptWindows2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544允许Read=AS-1-5-21……Write=administratorsS-1-5-32-544…File.txtSRM,平安参考监视器访问24精选pptWindows文件系统管理25精选pptWindows2000默认共享C$、D$…

…Ipc$：远程会话管理Admin$：指向%WinDir%目录，用于远程管理26精选pptWindows系统的用户权限权限适用于对特定对象如目录和文件〔只适用于NTFS卷〕的操作，指定允许哪些用户可以使用这些对象，以及如何使用〔如把某个目录的访问权限授予指定的用户〕。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的27精选pptWindows系统的用户权限目录权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权28精选pptWindows系统的用户权限权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权29精选pptWindows系统的共享权限共享权限级别允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)30精选ppt复制和移动文件夹从一个NTFS分区到另一个NTFS分区复制/移动都是继承权限(不同分区，移动=复制+删除)同一个NTFS分区复制：继承移动：保存复制/移动到FAT(32)分区NTFS权限丧失31精选pptWindows系统效劳效劳包括三种启动类型：自动，手动，禁用自动：启动时自动加载效劳手动:启动时不自动加载效劳，在需要的时候手动开启禁用：启动的时候不自动加载效劳，在需要的时候选择手动或者自动方式开启效劳，并重新启动电脑完成效劳的配置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔效劳工程子项都有一个Start数值,该数值内容所记录的就是效劳工程驱动程式该在何时被加载目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的效劳工程代表让使用者以手动的方式载入(Loadondemand),4那么是代表停用的状态,也就是禁用32精选pptWindows的系统进程根本的系统进程smss.exeSessionManagercsrss.exe子系统效劳器进程winlogon.exe管理用户登录lsass.exe管理IP平安策略以及启动ISAKMP/Oakley(IKE)和IP平安驱动程序。(系统效劳)svchost.exe包含很多系统效劳spoolsv.exe将文件加载到内存中以便迟后打印。(系统效劳)explorer.exe资源管理器internat.exe输入法33精选pptWindows的系统进程附加的系统进程〔这些进程不是必要的〕mstask.exe允许程序在指定时间运行。(系统效劳)regsvc.exe允许远程注册表操作。(系统效劳)winmgmt.exe提供系统管理信息(系统效劳)。inetinfo.exe通过Internet信息效劳的管理单元提供FTP连接和管理。(系统效劳)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统效劳)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在效劳器上的基于Windows的程序。(系统效劳)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统效劳)34精选pptWindows的系统进程tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统效劳)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统效劳)ups.exe管理连接到计算机的不间断电源(UPS)。(系统效劳)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称效劳。(系统效劳)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个效劳器间维护文件目录内容的文件同步。(系统效劳)RsSub.exe控制用来远程储存数据的媒体。(系统效劳)locator.exe管理RPC名称效劳数据库。(系统效劳)lserver.exe注册客户端许可证。(系统效劳)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统效劳)35精选pptWindows的系统进程msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统效劳)faxsvc.exe帮助您发送和接收。(系统效劳)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理效劳。(系统效劳)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统效劳)netdde.exe提供动态数据交换(DDE)的网络传输和平安特性。(系统效劳)smlogsvc.exe配置性能日志和警报。(系统效劳)rsvp.exe为依赖质量效劳(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统效劳)RsEng.exe协调用来储存不常用数据的效劳和管理工具。(系统效劳)RsFsa.exe管理远程储存的文件的操作。(系统效劳)36精选pptWindows的系统进程grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统效劳)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统效劳)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统效劳)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。(系统效劳)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统效劳)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统效劳)37精选pptWindows平安风险38精选ppt根本HTTP请求“://webmaster/files/index.html〞等价于HTTP命令“GET/files/index.htmlHTTP/1.0〞CGI调用“://webmaster/scripts/cgi.exe?var1+var2〞表示将var1和var2提交给cgi.exe(“+〞是分隔符)ASP调用://webmaster/scripts/cgi.exe?var1=X&var2=Y表示将X、Y分别作为两个变量提交39精选pptHTTP文件遍历和URL编码空格%20

加号%2B

句号%2E

斜线(/)%2F

冒号%3A

问号%3F

反斜线(\)%5C

ASCII编码40精选pptIIS溢出问题(1).htr缓冲区溢出漏洞IPP(InternetPrintingProtocol)缓冲区溢出(IPP是处理.printer文件的C:\winnt\system32\msw3prt.dll)当以下调用超过420字节时，问题就会发生对策：删除DLL和文件扩展之间的映射GET/NULL.printerHTTP/1.0Host:[buffer]41精选ppt删除DLL和文件扩展之间的映射42精选pptIIS溢出问题(2)索引效劳ISAPI扩展溢出(通常被称为ida/idq溢出)由idq.dll引起，当buffer长度超过240字节时，问题就会发生Null.ida为文件名，无需真的存在直至现在上没有漏洞利用代码CodeRed的感染途径对策：删除idq.dll和文件扩展之间的映射GET/NULL.ida?HTTP/1.1Host:[buffer]43精选pptIIS溢出问题(3)Frontpage2000效劳扩展溢出最早由NSFocus(中国平安研究小组)提出FPSE在Windows2000中的位置：C:\Programfiles\CommomFiles\MicrosoftShared\WebServerExtensions问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的)收到超过258字节的URL请求时，问题就会出现漏洞利用工具：fpse2000ex对策：删除fp30reg.dll和fp4areg.dll文件44精选pptIIS的Unicode问题问题产生的要义“%c0%af〞和“%c1%9c〞分别是“/〞“\〞的unicode表示其它的非法表示法：“%c1%1c〞、“%c1%9c〞、“%c0%9v〞、“%c0%af〞、〞%c1%8s〞等对策安装MS00-086中的补丁由于没有实现分区跳转功能，可以在系统分区之外安装IIS设置严格的NTFS权限在效劳器的Write和ExcuteACL中删除Everyone和User组45精选ppt更近一步双解码/二次解码同样由NSFocus发布对策：应用MS01-26给出的补丁(不包括在sp2中)注意和Unicode的区别，包括相关日志GET/scripts/..%255c..255c%winnt/system32/cmd.exe46精选pptIIS的其它问题源代码泄漏的危险.htr风险.htw/webhits风险权限提升的问题远程调用RevertToself的ISAPIDLL向LSA本地注射代码47精选pptWindows2000终端效劳TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)实现终端效劳不是使用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp值PortNumberREG_WORD3389(默认)48精选ppt针对TS的攻击密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险RDPDoS攻击风险49精选ppt走进MS客户端客户端风险评估恶意电子邮件MIME扩展Outlook缓冲区溢出MediaPlay缓冲区溢出VBS地址簿蠕虫50精选ppt恶意邮件实例HelosomedomainMailfroam:hi@nobodyRcptto:attack@someoneDataSublect:ReadmeImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<html>Hi!</html>.quit使用的开放SMTP邮件中继此处可以添加恶意客户端脚本通过以下命令执行：Typemail.txt|telnetIP2551精选pptOutlook溢出起源于vCard(一种电子名片)Outlook直接翻开并运行附件中的vCards而不提示用户vCards存储于.vcf文件中，也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时，就会出现溢出对策：应用IE5.5sp252精选pptWindows2000的打印驱动以fullcontrol权限运行在OS级别面临的主要威胁默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动53精选ppt媒体元文件<ASXVersion=“3.0〞><Entry><refHREF=“path〞/></Entry></ASX>问题所在带有超长path值的.asx文件试图自动浏览时，会导致资源管理器崩溃；另外，可以向path写入适当代码54精选pptIIS效劳平安配置禁用或删除所有的例如应用程序

例如只是例如；在默认情况下，并不安装它们，且从不在生产效劳器上安装。请注意一些例如安装，它们只可从://localhost或访问；但是，它们仍应被删除。下面列出一些例如的默认位置。例如虚拟目录位置

IIS例如\IISSamplesc:\inetpub\iissamples

IIS文档\IISHelpc:\winnt\help\iishelp

数据访问\MSADCc:\programfiles\commonfiles\system\msadc

55精选pptIIS效劳平安配置启用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。如SiteServer3.0使用FileSystemObject。以下命令将禁用FileSystemObject：regsvr32scrrun.dll/u删除IISADMPWD虚拟目录该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下，并不作为IIS5的一局部安装，但是IIS4效劳器升级到IIS5时，它并不删除。如果您不使用Intranet或如果将效劳器连接到Web上，那么应将其删除56精选pptIIS效劳平安配置删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展或功能，那么应删除该映射，步骤如下：翻开Internet效劳管理器。右键单击Web效劳器，然后从上下文菜单中选择“属性〞。主目录|配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等57精选pptIIS效劳平安配置禁用父路径“父路径〞选项允许在对诸如MapPath函数调用中使用“..〞，禁用该选项的步骤如下：右键单击该Web站点的根，然后从上下文菜单中选择“属性〞单击“主目录〞选项卡单击“配置〞单击“应用程序选项〞选项卡取消选择“启用父路径〞复选框禁用-内容位置中的IP地址“内容-位置〞标头可暴露通常在网络地址转换(NAT)防火墙或代理效劳器后面隐藏或屏蔽的内部IP地址58精选pptIIS效劳平安配置设置适当的IIS日志文件ACL确保IIS日志文件(%systemroot%\system32\LogFiles)上的ACL是Administrators〔完全控制〕System〔完全控制〕Everyone(RWC)这有助于防止恶意用户为隐藏他们的踪迹而删除文件设置适当的虚拟目录的权限确保IIS虚拟目录如scripts等权限设置是否最小化，删除不需要目录将IIS目录重新定向更改系统默认路径，自定义WEB主目录路径并作相应的权限设置使用专门的平安工具微软的IIS平安设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS平安属性59精选ppt终端效劳平安输入法漏洞造成的威胁netuserabc123/addnetlocalgroupadministratorsabc/add注册表DontDisplayLastUserName160精选pptSMB连接与验证过程ClientServer1.建立TCP连接2.客户端类型、支持的服务方式列表等3.服务器认证方式、加密用的key等4.用户名、加密后密码5.认证结果随机生成一把加密密钥key(8或16字节)采用DES的变形算法，使用key对密码散列进行加密61精选pptSMB提供的效劳SMB会话效劳TCP139和TCP443端口SMB数据报支持效劳UDP138和UDP445端口SMB名称支持效劳UDP137端口SMB通用命令支持效劳62精选ppt开放SMB效劳的危险63精选pptSMB名称类型列表(1)

00UWorkstationService

01UMessengerService

01GMasterBrowser

03UMessengerService

06URASServerService

1FUNetDDEService

20UFileServerService

21URASClientService

22UExchangeInterchange

23UExchangeStore

24UExchangeDirectory

30UModemSharingServerService

31UModemSharingClientService

43USMSClientRemoteControl

44USMSAdminRemoteControlTool名称列表164精选pptSMB名称类型列表(2)

45USMSClientRemoteChat

46USMSClientRemoteTransfer

4CUDECPathworksTCPIPService

52UDECPathworksTCPIPService

87UExchangeMTA

6AUExchangeIMC

BEUNetworkMonitorAgent

BFUNetworkMonitorApps

03UMessengerService

00GDomainName

1BUDomainMasterBrowser

1CGDomainControllers

1DUMasterBrowser

1EGBrowserServiceElections

1CGInternetInformationServer

00UInternetInformationServer名称列表265精选ppt强化SMB会话平安强制的显式权限许可：限制匿名访问控制LANManager验证使用SMB的签名效劳端和客户端都需要配置注册表66精选ppt降低Windows风险67精选ppt平安修补程序Windows系列ServicePackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序检查补丁安装情况://hfnetchk.shavlik/default.asp68精选ppt效劳和端口限制限制对外开放的端口:在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置禁用snmp效劳或者更改默认的社区名称和权限禁用terminalserver效劳将不必要的效劳设置为手动Alerter

ClipBook

ComputerBrowser……69精选pptNetbios的平安设置Windows2000/2003取消绑定文件和共享绑定翻开控制面板－网络－高级－高级设置选择网卡并将Microsoft网络的文件和打印共享的复选框取消，即可以完全禁止TCP139和445WindowsNT在WinNT下取消NetBIOS与TCP/IP协议的绑定。可以按如下步骤进行：点击“控制面板->网络->NetBIOS接口->WINS客户〔TCP/IP)->禁用〞，再点“确定〞，然后重启这样NT的计算机名和工作组名也隐藏了70精选pptNetbios的平安设置禁止匿名连接列举帐户名需要对注册表做以下修改运行注册表编辑器〔Regedt32.exe〕定位在注册表中的以下键上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA在编辑菜单栏中选取加一个键值：ValueName:RestrictAnonymousDataType:REG_DWORDValue:1〔Windows2000下为2〕71精选pptNetbios的平安设置Windows2000的本地平安策略〔或域平安策略中〕中有RestrictAnonymous〔匿名连接的额外限制〕选项，提供三个值可选0：None.Relyondefaultpermissions〔无，取决于默认的权限〕1：DonotallowenumerationofSAMaccountsandshares〔不允许枚举SAM帐号和共享〕2：Noaccesswithoutexplicitanonymouspermissions〔没有显式匿名权限就不允许访问〕72精选pptWindows2000注册表所有的配置和控制选项都存储在注册表中分为五个子树，分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本机相关配置信息73精选ppt注册表平安查询数值允许用户和组从注册表中读取数值设置数值允许用户和组从注册表中设置数值创建子项允许用户和组在给定的注册项中创