系統(tǒng)安全技術(shù)課件

1、Windows系統(tǒng)安全技術(shù)祝曉光zhuxiaoguangnsfocus提綱系統(tǒng)安全模型服務(wù)安全性降低風(fēng)險Windows系統(tǒng)安全模型操作系統(tǒng)安全定義 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時必須提供的 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的信息安全評估標(biāo)準(zhǔn)ITSEC和TCSECTCSEC描述的系統(tǒng)安全級別D-ACC(Common Critical)標(biāo)準(zhǔn)BS 7799:2000標(biāo)準(zhǔn)體系ISO 17799標(biāo)準(zhǔn)TCSEC定義的內(nèi)容沒有安全性可言，例如MS DOS不區(qū)分用戶，基本的訪問控制D 級C1 級C2 級B1 級B2 級B3 級A 級有自主的訪問安全性，區(qū)分用戶標(biāo)記安全保護(hù)，如System

2、 V等結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)安全域，數(shù)據(jù)隱藏與分層、屏蔽校驗(yàn)級保護(hù)，提供低級別手段C2級安全標(biāo)準(zhǔn)的要求自主的訪問控制對象再利用必須由系統(tǒng)控制用戶標(biāo)識和認(rèn)證審計(jì)活動能夠?qū)徲?jì)所有安全相關(guān)事件和個人活動只有管理員才有權(quán)限訪問CC(Common Critical)標(biāo)準(zhǔn)CC的基本功能標(biāo)準(zhǔn)化敘述技術(shù)實(shí)現(xiàn)基礎(chǔ)敘述CC的概念維護(hù)文件安全目標(biāo)評估目標(biāo)Windows系統(tǒng)的安全架構(gòu) Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問 控制、管理、審核。Windows系統(tǒng)的安全組件訪問控制的判斷（Discretion access control） 允許對象所有者可以控制誰被允許訪問該對象以及訪問的方式。 對象重用

3、（Object reuse） 當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時，Windows 禁止所有的系統(tǒng)應(yīng)用訪問該資源，這也就是為什么無法恢復(fù)已經(jīng)被刪除的文件的原因。 強(qiáng)制登陸（Mandatory log on） 要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源審核（Auditing） 在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。對象的訪問控制（Control of access to object） 不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問。Windows安全子系統(tǒng)的組件安全標(biāo)識符（Security Identifiers）: 就是

4、我們經(jīng)常說的SID，每次當(dāng)我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給改用戶或組一個唯一SID，當(dāng)你重新安裝系統(tǒng)后，也會得到一個唯一的SID。 SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時間的總和三個參數(shù)決定以保證它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500訪問令牌（Access tokens）: 用戶通過驗(yàn)證后，登陸進(jìn)程會給用戶一個訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證，當(dāng)用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows 系統(tǒng)，然后Windows NT檢查用戶試圖訪問對象上的訪問控制列表

5、。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當(dāng)?shù)脑L問權(quán)限。 訪問令牌是用戶在通過驗(yàn)證的時候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。Windows安全子系統(tǒng)的組件安全描述符（Security descriptors）： Windows 系統(tǒng)中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。訪問控制列表（Access control lists）： 訪問控制列表有兩種：任意訪問控制列表（Discretionary ACL）、系統(tǒng)訪問控制列表（System ACL）。任意訪問控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個用戶或組在

6、任意訪問控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對象被訪問的時間。訪問控制項(xiàng)（Access control entries）: 訪問控制項(xiàng)（ACE）包含了用戶或組的SID以及對象的權(quán)限。訪問控制項(xiàng)有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。 Windows安全子系統(tǒng)安全子系統(tǒng)包括以下部分：WinlogonGraphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Auth

7、entication PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM)Windows 安全子系統(tǒng)WinlogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support ProviderSSPI加載GINA，監(jiān)視認(rèn)證順序加載認(rèn)證包支持額外的驗(yàn)證機(jī)制為認(rèn)證建立安全通道提供登陸接口提供真正的用戶校驗(yàn)管理用戶和用戶證書的數(shù)據(jù)庫Windows安全子系統(tǒng)Winlogon and Gina:

8、Winlogon調(diào)用GINA DLL，并監(jiān)視安全認(rèn)證序列。而GINA DLL提供一個交互式的界面為用戶登陸提供認(rèn)證請求。GINA DLL被設(shè)計(jì)成一個獨(dú)立的模塊，當(dāng)然我們也可以用一個更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINA DLL。 Winlogon在注冊表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ，如果存在GinaDLL鍵，Winlogon將使用這個DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLLWindows安全子系統(tǒng)本地安全認(rèn)證（Local Security Authority）：

9、 本地安全認(rèn)證（LSA）是一個被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)：調(diào)用所有的認(rèn)證包，檢查在注冊表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值，并調(diào)用該DLL進(jìn)行認(rèn)證（MSV_1.DLL）。在4.0版里，Windows NT會尋找HKLMSYSTEMCurrentControlSetControlLSA 下所有存在的SecurityPackages值并調(diào)用。重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號。儲存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。Windows

10、安全子系統(tǒng)安全支持提供者的接口（Security Support Provide Interface）： 微軟的Security Support Provide Interface很簡單地遵循RFC 2743和RFC 2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。認(rèn)證包（Authentication Package）：認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過GINA DLL的可信認(rèn)證后，認(rèn)證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。Windows安全子系統(tǒng)安全支持提供者（Security Support Provider）： 安全支持提供者

11、是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，Windows NT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）協(xié)議通信的時候用到。Windows安全子系統(tǒng)網(wǎng)絡(luò)登陸（Netlogon）： 網(wǎng)絡(luò)登陸服務(wù)必須在通過認(rèn)證后建

12、立一個安全的通道。要實(shí)現(xiàn)這個目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號管理者（Security Account Manager）： 安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。保存了注冊表中HKLMSecuritySam中的一部分內(nèi)容。不同的域有不同的Sam，在域復(fù)制的過程中，Sam包將會被拷貝。Windows的密碼系統(tǒng) Windows NT及Win2000中對用戶帳戶的安全管理使用了安全帳號管理器(security account manage

13、r)的機(jī)制,安全帳號管理器對帳號的管理是通過安全標(biāo)識進(jìn)行的，安全標(biāo)識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標(biāo)識也同時被刪除。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標(biāo)識都時完全不同的。因此，一旦某個帳號被刪除，它的安全標(biāo)識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標(biāo)識，不會保留原來的權(quán)限。 服務(wù)安全性IIS服務(wù)安全配置禁用或刪除所有的示例應(yīng)用程序 示例只是示例；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從 localhost 或 127.0.0.1 訪問；但是，它們?nèi)詰?yīng)被刪除。下面 列出一些示例的默認(rèn)位置。

14、示例 虛擬目錄 位置IIS 示例 IISSamples c :inetpubiissamplesIIS 文檔 IISHelp c:winnthelpiishelp數(shù)據(jù)訪問 MSADC c:program filescommon filessystemmsadcIIS服務(wù)安全配置啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對象組件，但要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File Syst

15、em Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級到 IIS 5 時，它并不刪除。如果您不使用 Intranet 或如果將服務(wù)器連接到 Web 上，則應(yīng)將其刪除。IIS服務(wù)安全配置刪除無用的腳本映射 IIS 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能

16、，則應(yīng)刪除該映射，步驟如下： 打開 Internet 服務(wù)管理器。 右鍵單擊 Web 服務(wù)器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 |刪除無用的.htr .ida .idq .printer .idc .stm .shtml等IIS服務(wù)安全配置禁用父路徑 “父路徑”選項(xiàng)允許在對諸如 MapPath 函數(shù)調(diào)用中使用“.”。禁用該選項(xiàng)的步驟如下： 右鍵單擊該 Web 站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。 單擊“主目錄”選項(xiàng)卡。 單擊“配置”。 單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。 取消選擇“啟用父路徑”復(fù)選框。 禁用-內(nèi)容位置中的 IP 地址 IIS4里的“內(nèi)容-位置”標(biāo)頭可暴露通常在

17、網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部 IP 地址。IIS服務(wù)安全配置設(shè)置適當(dāng)?shù)?IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。 設(shè)置適當(dāng)?shù)?虛擬目錄的權(quán)限 確保 IIS 虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄。 將IIS目錄重新定向 更改系統(tǒng)默認(rèn)路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置。使用專門的安全工具 微軟的

18、IIS安全設(shè)置工具：IIS Lock Tool；是針對IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置IIS安全屬性。終端服務(wù)安全輸入法漏洞造成的威脅net user abc 123 /addnet localgroup administrators abc /add注冊表DontDisplayLastUserName 1降低風(fēng)險安全修補(bǔ)程序Windows系列Service PackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序檢查補(bǔ)丁安裝情況hfnetchk.shavlik/default.asp服務(wù)和端口限制限制對外開放的端口: 在TCP/IP

19、的高級設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置。 禁用snmp服務(wù) 或者更改默認(rèn)的社區(qū)名稱和權(quán)限禁用terminal server服務(wù)將不必要的服務(wù)設(shè)置為手動 Alerter ClipBook Computer Browser Netbios的安全設(shè)置Win2000 取消綁定文件和共享綁定打開 控制面板網(wǎng)絡(luò)高級高級設(shè)置選擇網(wǎng)卡并將Microsoft 網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，禁止了139端口。注冊表修改HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParametersName: SMBDeviceEnabled T

20、ype: REG_DWORDValue: 0禁止445端口。Netbios的安全設(shè)置禁止匿名連接列舉帳戶名需要對注冊表做以下修改。注：不正確地修改注冊表會導(dǎo)致嚴(yán)重的系統(tǒng)錯誤，請慎重行事！1運(yùn)行注冊表編輯器（Regedt32.exe）。 2定位在注冊表中的下列鍵上： HKEY_LOCAL_MACHINESystemtCurrentControlLSA 3在編輯菜單欄中選取加一個鍵值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（Windows2000下為2） 4退出注冊表編輯器并重啟計(jì)算機(jī)，使改動生效。Netbios的安全設(shè)置

21、Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項(xiàng)，提供三個值可選 0：None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享） 2：No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） Windows 2000注冊表所有的配置和控制選項(xiàng)都存儲在注冊表中分為五個子樹，分別是Hkey_loca

22、l_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本機(jī)相關(guān)配置信息注冊表安全 查詢數(shù)值 允許用戶和組從注冊表中讀取數(shù)值 設(shè)置數(shù)值 允許用戶和組從注冊表中設(shè)置數(shù)值 創(chuàng)建子項(xiàng) 允許用戶和組在給定的注冊項(xiàng)中創(chuàng)建子項(xiàng) 計(jì)數(shù)子項(xiàng) 允許用戶和組識別某注冊項(xiàng)的子項(xiàng) 通 知 允許用戶和組從注冊表中審計(jì)通知事件 創(chuàng)建鏈接 允許用戶和組在特定項(xiàng)中建立符號鏈接 刪 除 允許用戶和組在刪除選定的注冊項(xiàng) 寫入DAC 允許用戶和組將DAC寫入注冊表項(xiàng) 寫入所有者 允許用戶和組獲

23、得注冊表項(xiàng)的所有權(quán) 讀取控制 允許用戶和組具有訪問選定注冊表項(xiàng)的安全信息 權(quán) 限 解 釋注冊表的默認(rèn)權(quán)限注冊表的審計(jì)對注冊表的審計(jì)是必需的審計(jì)內(nèi)容的選擇注冊表每秒被訪問500-1500次任何對象都有可能訪問注冊表默認(rèn)的注冊表審計(jì)策略為空禁止對注冊表的遠(yuǎn)程訪問禁止和刪除服務(wù)通過services.msc禁止服務(wù)使用Resource Kit徹底刪除服務(wù)Sc命令行工具Instsrv工具舉例OS/2和Posix系統(tǒng)僅僅為了向后兼容Server服務(wù)僅僅為了接受netbios請求SMB連接與驗(yàn)證過程ClientServer1.建立TCP連接2.客戶端類型、支持的服務(wù)方式列表等3.服務(wù)器認(rèn)證方式、加密用的ke

24、y等4.用戶名、加密后密碼5.認(rèn)證結(jié)果隨機(jī)生成一把加密密鑰key(8或16字節(jié))采用DES的變形算法，使用key對密碼散列進(jìn)行加密SMB提供的服務(wù)SMB會話服務(wù)TCP 139和TCP 445端口 SMB數(shù)據(jù)報(bào)支持服務(wù)UDP 138和UDP 445端口SMB名稱支持服務(wù)UDP 137端口開放SMB服務(wù)的危險強(qiáng)化SMB會話安全強(qiáng)制的顯式權(quán)限許可：限制匿名訪問控制LAN Manager驗(yàn)證使用SMB的簽名服務(wù)端和客戶端都需要配置注冊表 或在本地安全策略中針對Windows 2000的入侵 (1)探測選擇攻擊對象，了解部分簡單的對象信息；針對具體的攻擊目標(biāo)，隨便選擇了一組IP地址，進(jìn)行測試，選擇處于活動狀態(tài)的主機(jī)，進(jìn)行攻擊嘗試針對探測的安全建議對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為對于主機(jī)：安裝個人防火墻軟件，禁止外部主機(jī)的ping包，使對方無法獲知主機(jī)當(dāng)前正確的活動狀態(tài)針對Windows 2000的入侵 (2)掃描使用的掃描軟件NAT、流光、Xscan、SSS掃描遠(yuǎn)程主機(jī) 開放端口掃描 操作系統(tǒng)識別 主機(jī)漏洞分析掃描結(jié)果：端口掃描掃描結(jié)果：操作系統(tǒng)識別掃描結(jié)果：漏洞掃描