Windows2000系統(tǒng)安全管理(1)ppt課件

1、Windows 2000系統(tǒng)平安管理 系統(tǒng)帳號管理文件系統(tǒng)管理系統(tǒng)進(jìn)程效力系統(tǒng)平安根本配置用戶類型Administrator(默許的超級管理員)系統(tǒng)帳號(Print Operater、Backup Operator)Guest(默許來賓帳號)系統(tǒng)帳號管理本地用戶(accounts)和組(groups)帳戶(user accounts) -定義了Windows中一個(gè)用戶所必要的信息，包括 口令、平安ID(SID)、組成員關(guān)系、登錄限制， 組：Administrators、Backup Operators、Guest、 Power Users系統(tǒng)帳號管理密碼存放位置注冊表HKEY_LOCAL_MA

2、CHINESAM下Winnt/system32/config/sam系統(tǒng)帳號管理Windows下 管理工具計(jì)算機(jī)管理本地用戶和組Windows下 (域)用戶管理器命令行方式 net user 用戶名 密碼/add /delete 將用戶參與到組 net localgroup 組名 用戶名 /add /delete添加/刪除帳戶系統(tǒng)帳號管理Win2000的默許安裝允許任何用戶經(jīng)過空用戶得到系統(tǒng)一切賬號/共享列表，這是為了方便局域網(wǎng)用戶共享文件的。但是一個(gè)遠(yuǎn)程用戶也可以得到他的用戶列表并運(yùn)用暴力法破解用戶密碼?？梢越?jīng)過更改注冊表Local_MachineSystemCurrentControlSe

3、tControlLSA-RestrictAnonymous = 1來制止空銜接。同時(shí)Windows的本地平安戰(zhàn)略就有這樣的選項(xiàng)RestrictAnonymous匿名銜接的額外限制，這個(gè)選項(xiàng)有三個(gè)值： 0：None. Rely on default permissions無，取決于默許的權(quán)限 1：Do not allow enumeration of SAM accounts and shares不允許枚舉SAM帳號和共享 2：No access without explicit anonymous permissions沒有顯式匿名權(quán)限就不允許訪問 0，這個(gè)值是系統(tǒng)默許的，什么限制都沒有，遠(yuǎn)程

4、用戶可以知道他機(jī)器上一切的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等。1，這個(gè)值是只允許非NULL用戶存取SAM賬號信息和共享信息。 2，這個(gè)值需求留意的是，假設(shè)他一旦運(yùn)用了這個(gè)值，共享信息就全完了。本地帳戶系統(tǒng)帳號管理SAM數(shù)據(jù)庫與ADSAM中口令的保管采用單向函數(shù)(OWF)或散列算法實(shí)現(xiàn)在%systemroot%system32configsam中實(shí)現(xiàn)DC上，賬號與密碼散列保管在%systemroot%ntdsntds.dit中SYSKEY功能從NT4 sp3開場提供散 列128位隨鑰保管到SAM文件中保管隨鑰注冊表中注冊表中，同時(shí)運(yùn)用額外的口令

5、加密軟磁盤SID與令牌SID獨(dú)一標(biāo)示一個(gè)對象運(yùn)用User2sid和sid2user工具進(jìn)展雙向查詢令牌：經(jīng)過SID標(biāo)示賬號對象以及所屬的組SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544解讀SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修訂版本編號頒發(fā)機(jī)構(gòu)代碼，

6、Windows 2000總為5子頒發(fā)機(jī)構(gòu)代碼，共有4個(gè)；具有獨(dú)一性相對標(biāo)示符RID，普通為常數(shù)著名的SIDS-1-1-0 EveryoneS-1-2-0 Interactive用戶S-1-3-0 Creator OwnerS-1-3-1 Creator GroupWindows 2000認(rèn)證與授權(quán)訪問用戶AWinlogon運(yùn)用賬戶稱號/口令進(jìn)展認(rèn)證勝利令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544允許Read

7、=A S-1-5-21 Write=administrators S-1-5-32-544File.txtSRM,平安參考監(jiān)視器訪問文件系統(tǒng)管理Windows系統(tǒng)用戶的特定權(quán)益：Access this computer from network 可運(yùn)用戶經(jīng)過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。Add workstation to a domain 允許用戶將任務(wù)站添加到域中。Backup files and directories 授權(quán)用戶對計(jì)算機(jī)的文件和目錄進(jìn)展備份。Change the system time 用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。Load and unload device drive 允許在網(wǎng)絡(luò)

8、上安裝和刪除設(shè)備驅(qū)動(dòng)程序。 Restore files and directories 允許用戶恢復(fù)以前備份的文件和目錄。Shutdown the system 允許用戶封鎖系統(tǒng)。文件系統(tǒng)管理Windows系統(tǒng)的用戶權(quán)限 權(quán)限適用于對特定對象如目錄和文件只適用于NTFS卷的操作， 指定允許哪些用戶可以運(yùn)用這些對象，以及如何運(yùn)用如把某個(gè)目錄的訪問權(quán)限授予指定的用戶。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級別都確定了一個(gè)執(zhí)行特定的義務(wù)組合的才干，這些義務(wù)是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership

9、(O)。文件系統(tǒng)管理目錄權(quán)限級別RXWDPO允許系統(tǒng)用戶的操作No AccessNone用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和 運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子目錄Add and ReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限， 另外還可以更改文件的內(nèi)容，刪除文件和子目錄Full controlRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)Windows系統(tǒng)的用戶權(quán)限 目錄權(quán)限文件權(quán)限Windows系統(tǒng)的用戶權(quán)限 權(quán)

10、限級別RXWDPO允許系統(tǒng)用戶的操作No Access用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件Full controlRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)Windows 系統(tǒng)的共享權(quán)限共享權(quán)限級別允許系統(tǒng)用戶的操作No Access(不能訪問)禁止對目錄和其中的文件及子目錄進(jìn)行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù) 和運(yùn)行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除

11、文件和子目錄Full control(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)從一個(gè)NTFS分區(qū)到另一個(gè)NTFS分區(qū) 復(fù)制或挪動(dòng)都是承繼權(quán)限 (不同分區(qū)，挪動(dòng)=復(fù)制+刪除)同一個(gè)NTFS分區(qū) 復(fù)制：承繼 挪動(dòng)：保管復(fù)制或挪動(dòng)到FAT(32)分區(qū) NTFS權(quán)限喪失文件轉(zhuǎn)移權(quán)限文件系統(tǒng)管理系統(tǒng)進(jìn)程和效力Windows系統(tǒng)效力效力啟動(dòng)類型：自動(dòng)，手動(dòng)，禁用自動(dòng) - Win 2000啟動(dòng)時(shí)自動(dòng)加載效力 手動(dòng) - Win 2000啟動(dòng)時(shí)不自動(dòng)加載效力，在需求的時(shí)候手動(dòng)開啟 禁用 - Win 2000啟動(dòng)的時(shí)候不自動(dòng)加載效力，在需求的

12、時(shí)候選擇手動(dòng)或者自動(dòng)方式開啟效力，并重新啟動(dòng)電腦完效果勞的配置注冊表項(xiàng)：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一筆 效力工程子項(xiàng)都有一個(gè) Start 數(shù)值, 該 數(shù)值內(nèi)容所記錄的就是效力工程驅(qū)動(dòng)程式該在何時(shí)被加載。目前Windows系統(tǒng)對于 Start 內(nèi)容的定義有 0、1、2、3、4 等五種形狀, 0、1、2 分別代表 Boot、System、Auto Load 等三種意義。而 Start 數(shù)值內(nèi)容為 3 的效力工程代表讓運(yùn)用 者以手動(dòng)的方式載入(Load on demand), 4 那么是代表禁用形狀。 Windows系統(tǒng)進(jìn)

13、程根本的系統(tǒng)進(jìn)程smss.exe Session Manager csrss.exe 子系統(tǒng)效力器進(jìn)程 winlogon.exe 用戶登錄管理 services.exe 包含很多的系統(tǒng)效力DNS、NETBIOS lsass.exe 管理 IP 平安戰(zhàn)略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IPSEC平安驅(qū)動(dòng)程序。 svchost.exe 包含很多系統(tǒng)效力 (RPC、紅外設(shè)備、挪動(dòng)設(shè)備)spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。 explorer.exe 資源管理器 winmgmt.exe 提供系統(tǒng)管理信息。 internat.exe 輸入法 附加的系統(tǒng)進(jìn)程這些進(jìn)程

14、不是必要的 mstask.exe 允許程序在指定時(shí)間運(yùn)轉(zhuǎn)，也叫義務(wù)效力。regsvc.exe 允許遠(yuǎn)程注冊表操作。 inetinfo.exe 經(jīng)過 Internet 信息效力的管理單元提供 FTP 銜接和管理。 tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且運(yùn)用命令行運(yùn)轉(zhuǎn)控制臺(tái)程序telnet。 termsrv.exe 提供多會(huì)話環(huán)境允許客戶端設(shè)備訪問虛擬的 Windows 2000 Professional 桌面會(huì)話以及運(yùn)轉(zhuǎn)在效力器上的基于 Windows 的程序。 Windows系統(tǒng)進(jìn)程系統(tǒng)平安根本配置系統(tǒng)平安根本配置Windows系統(tǒng)安裝本地平安戰(zhàn)略的設(shè)置補(bǔ)丁庫的更新緊急修復(fù)Wind

15、ows 系統(tǒng)安裝將系統(tǒng)安裝在NTFS分區(qū)上，系統(tǒng)、數(shù)據(jù)、運(yùn)用程序應(yīng)安裝在不同的分區(qū)。 初始化硬盤只需一個(gè)邏輯盤，建議最少建立三個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，兩個(gè)運(yùn)用程序分區(qū)。由于，Windows的IIS經(jīng)常會(huì)有走漏源碼/溢出的破綻，假設(shè)把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的走漏甚至入侵者遠(yuǎn)程獲取ADMIN權(quán)限。引薦的平安配置是建立三個(gè)邏輯驅(qū)動(dòng)器，第一個(gè)大于2G，用來裝系統(tǒng)和重要的日志文件，第二個(gè)放IIS或者FTP ，第三個(gè)放其它運(yùn)用程序或者數(shù)據(jù)。這樣無論IIS或FTP出了平安破綻都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。要知道，IIS和FTP是對外效力的，比較容易出問題。而把IIS和FTP分開主要是

16、為了防止入侵者上傳程序并從IIS中運(yùn)轉(zhuǎn)。 Windows 系統(tǒng)安裝 組件的定制： Windows在默許情況下會(huì)安裝一些常用的組件，但是正是這個(gè)默許安裝是極度危險(xiǎn)的，黑客可以進(jìn)入任何一臺(tái)默許安裝的Windows 。安裝時(shí)應(yīng)該確切的知道需求哪些效力，而且僅僅安裝他確實(shí)需求的效力，根據(jù)平安原那么，最少的效力+最小的權(quán)限=最大的平安。例如：典型的WEB效力器需求的最小組件選擇是：只安裝IIS的Com Files、IIS Snap-In、WWW Server組件。假設(shè)確實(shí)需求安裝其它組件請慎重，特別是：Indexing Service、FrontPage 2000 Server Extensions、

17、Internet Service Manager (HTML)這幾個(gè)危險(xiǎn)效力。 安裝后網(wǎng)絡(luò)接入： 當(dāng)Windows在安裝時(shí)有一個(gè)破綻，在他輸入Administrator密碼后，系統(tǒng)就自動(dòng)會(huì)建立了ADMIN$的共享，但是并沒有用他剛剛輸入的密碼來維護(hù)它，這種情況不斷繼續(xù)到他再次啟動(dòng)后。在此期間，任何人都可以經(jīng)過ADMIN$進(jìn)入他的機(jī)器。同時(shí)，只需安裝一完成各種效力就會(huì)自動(dòng)運(yùn)轉(zhuǎn)，而這時(shí)的效力器是滿身破綻，非常容易被侵入。因此，在完全安裝并配置好之前，一定不要把主機(jī)接入網(wǎng)絡(luò)。 Windows 系統(tǒng)安裝本地平安戰(zhàn)略的設(shè)置帳戶平安戰(zhàn)略設(shè)置審核戰(zhàn)略設(shè)置其它平安參數(shù)設(shè)置帳戶平安戰(zhàn)略設(shè)置將Administra

18、tor重命名將Guest來賓用戶重命名封鎖和更改其它用戶設(shè)置 如：IUSR_HOSTNAME (匿名訪問Internet 信息效力的內(nèi)置帳號)在本地平安戰(zhàn)略-平安選項(xiàng)中-啟用登錄屏幕上不要顯示上次的登錄的用戶名這條戰(zhàn)略。這樣系統(tǒng)不會(huì)自動(dòng)顯示上次的登錄用戶名。密碼戰(zhàn)略的引薦設(shè)置強(qiáng)迫執(zhí)行密碼歷史記錄 密碼最長期限密碼最短期限密碼必需符合復(fù)雜性要求24個(gè)密碼42天2天啟 用6位密碼長度最小值為域中一切用戶運(yùn)用可復(fù)原的加密來儲(chǔ)存密碼禁 用賬戶鎖定戰(zhàn)略的引薦設(shè)置策 略默認(rèn)設(shè)置推薦最低設(shè)置帳戶鎖定時(shí)間未定義30 分鐘帳戶鎖定閾值03 次無效登錄復(fù)位帳戶鎖定計(jì)數(shù)器未定義30 分鐘針對遠(yuǎn)程訪問的密碼戰(zhàn)略定制戰(zhàn)

19、略Win2000的默許安裝是不開任何平安審核的，引薦的審核是：審核工程太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致管理員根本沒有時(shí)間去詳細(xì)查看，這樣就失去了審核的意義。審核戰(zhàn)略設(shè)置策 略本地設(shè)置有效設(shè)置帳戶管理成功失敗登錄事件成功失敗策略更改成功失敗特權(quán)使用失敗無審核系統(tǒng)事件成功失敗目錄服務(wù)訪問失敗無審核帳戶登錄事件成功失敗對象訪問失敗無審核其它平安參數(shù)設(shè)置Windows系統(tǒng)自帶的平安模板C:winntsecuritytemplates目錄下其它平安參數(shù)設(shè)置平安模板運(yùn)用運(yùn)轉(zhuǎn) - mmc 控制臺(tái)-添加/刪除管理單元。 添加-平安配置和分析、平安模版。創(chuàng)建新數(shù)據(jù)庫-右擊 “平安配置和分析 領(lǐng)域項(xiàng)-選擇 “翻開

20、數(shù)據(jù)庫 -鍵入新的數(shù)據(jù)庫名，按“翻開。 選擇要導(dǎo)入的平安配置文件，然后按“翻開。右擊“平安配置和分析-立刻配置計(jì)算機(jī)。其它平安參數(shù)設(shè)置處理Windows 2000 的共享引起的平安破綻 方法一、修正注冊表，詳細(xì)步驟如下： 1、刪除2000啟動(dòng)時(shí)沒有默許共享c$,d$，WINNT$ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 下建立一個(gè)dword類型數(shù)據(jù) 2000 professional 是 autosharewks=0 2、刪除ipc$，admin$的共享 在注冊表的自動(dòng)運(yùn)轉(zhuǎn)選項(xiàng)里新建一個(gè)工程,可以恣意改名,然后修正鍵值為 net share ipc$ /del或是多新建幾個(gè)運(yùn)轉(zhuǎn)工程,分別在每個(gè)工程里修正為 net share admin$ /del 其它平安參數(shù)設(shè)置方法二實(shí)踐去除過程可以經(jīng)過創(chuàng)建批處置文件delshare.bat來實(shí)現(xiàn)： echo 修正注冊表項(xiàng)，修正系統(tǒng)默許共享屬性 echo. echo 生成 delshare.reg