windows安全原理及安全管理課件

windows平安原理及平安管理內(nèi)容Windows平安原理篇Windows平安管理篇Windows平安原理篇Windows系統(tǒng)的平安架構(gòu)Windows的平安子系統(tǒng)Windows的密碼系統(tǒng)Windows的系統(tǒng)效勞和進(jìn)程Windows的日志系統(tǒng)Windows系統(tǒng)的平安架構(gòu)WindowsNT的平安包括6個(gè)主要的平安元素：Audit〔審計(jì)〕,Administration〔管理〕,Encryption〔加密〕,AccessControl〔訪問控制〕,UserAuthentication〔用戶認(rèn)證〕,CorporateSecurityPolicy〔公共平安策略〕。WindowsNT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問控制、管理、審核。Windows系統(tǒng)的平安組件 訪問控制的判斷〔Discretionaccesscontrol〕按照C2級(jí)別的定義，Windows支持對(duì)象的訪問控制的判斷。這些需求包括允許對(duì)象的所有者可以控制誰被允許訪問該對(duì)象以及訪問的方式。對(duì)象重用〔Objectreuse〕當(dāng)資源〔內(nèi)存、磁盤等〕被某應(yīng)用訪問時(shí)，Windows禁止所有的系統(tǒng)應(yīng)用訪問該資源。強(qiáng)制登陸〔Mandatorylogon〕與WindowsforWorkgroups，Windwows95，Windows98不同，Windows2K/NT要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源。審核〔Auditing〕WindowsNT在控制用戶訪問資源的同時(shí)，也可以對(duì)這些訪問作了相應(yīng)的記錄。對(duì)象的訪問控制〔Controlofaccesstoobject〕WindowsNT不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問。強(qiáng)制訪問控制Windows平安子系統(tǒng)的組件

平安標(biāo)識(shí)符〔SecurityIdentifiers〕: SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU消耗時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500 訪問令牌〔Accesstokens〕:。訪問令牌是用戶在通過驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。第一項(xiàng)S表示該字符串是SID

第二項(xiàng)是SID的版本號(hào)，對(duì)于2000來說，這個(gè)就是1

然后是標(biāo)志符的頒發(fā)機(jī)構(gòu)〔identifierauthority〕，對(duì)于2000內(nèi)的帳戶，頒發(fā)機(jī)構(gòu)就是NT，值是5然后表示一系列的子頒發(fā)機(jī)構(gòu)，前面幾項(xiàng)是標(biāo)志域的

最后一個(gè)標(biāo)志著域內(nèi)的帳戶和組

Windows平安子系統(tǒng)的組件平安描述符〔Securitydescriptors〕：WindowsNT中的任何對(duì)象的屬性都有平安描述符這局部。它保存對(duì)象的平安配置。訪問控制列表〔Accesscontrollists〕：在NT系統(tǒng)中，每當(dāng)請(qǐng)求一個(gè)對(duì)象或資源訪問時(shí)，就會(huì)檢查它的ACL，確認(rèn)給用戶授予了什么樣的權(quán)利。每創(chuàng)立一個(gè)對(duì)象，對(duì)應(yīng)的ACL也會(huì)創(chuàng)立。ACL包含一個(gè)頭部，其中包含有更新版本號(hào)、ACL的大小以及它所包含的ACE數(shù)量等信息。訪問控制項(xiàng)〔Accesscontrolentries〕：訪問控制項(xiàng)〔ACE〕包含了用戶或組的SID以及對(duì)象的權(quán)限。訪問控制項(xiàng)有兩種：允許訪問和拒絕訪問。拒絕訪問的級(jí)別高于允許訪問。當(dāng)你使用管理工具列出對(duì)象的訪問權(quán)限時(shí)，列表的排序是以文字為順序的，它并不象防火墻的規(guī)那么那樣由上往下的，不過好在并不會(huì)出現(xiàn)沖突，拒絕訪問總是優(yōu)先于允許訪問的。Windows平安子系統(tǒng)

Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)Windows子系統(tǒng)實(shí)現(xiàn)圖Winlogon,LocalSecurityAuthorit以及Netlogon效勞在任務(wù)管理器中都可以看到，其他的以DLL方式被這些文件調(diào)用。Windows平安子系統(tǒng)WinlogonandGina: Winlogon調(diào)用GINADLL，并監(jiān)視平安認(rèn)證序列。而GINADLL提供一個(gè)交互式的界面為用戶登陸提供認(rèn)證請(qǐng)求。GINADLL被設(shè)計(jì)成一個(gè)獨(dú)立的模塊，當(dāng)然我們也可以用一個(gè)更加強(qiáng)有力的認(rèn)證方式〔指紋、視網(wǎng)膜〕替換內(nèi)置的GINADLL。Winlogon在注冊(cè)表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL鍵，Winlogon將使用這個(gè)DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLLWindows平安子系統(tǒng)本地平安認(rèn)證〔LocalSecurityAuthority〕：調(diào)用所有的認(rèn)證包，檢查在注冊(cè)表重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)立用戶的訪問令牌。管理本地安裝的效勞所使用的效勞賬號(hào)。儲(chǔ)存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。Windows平安子系統(tǒng)平安支持提供者的接口〔SecuritySupportProvideInterface〕：微軟的SecuritySupportProvideInterface很簡單地遵循RFC2743和RFC2744的定義，提供一些平安效勞的API，為應(yīng)用程序和效勞提供請(qǐng)求平安的認(rèn)證連接的方法。認(rèn)證包〔AuthenticationPackage〕： 認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過GINADLL的可信認(rèn)證后，認(rèn)證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。Windows平安子系統(tǒng)平安支持提供者〔SecuritySupportProvider〕：平安支持提供者是以驅(qū)動(dòng)的形式安裝的，能夠?qū)崿F(xiàn)一些附加的平安機(jī)制，默認(rèn)情況下，WindowsNT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反響認(rèn)證模塊Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反響模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比方Verisign。這種認(rèn)證方式經(jīng)常在使用SSL〔SecureSocketsLayer〕和PCT〔PrivateCommunicationTechnology〕協(xié)議通信的時(shí)候用到。Windows平安子系統(tǒng)網(wǎng)絡(luò)登陸〔Netlogon〕：。平安賬號(hào)管理者〔SecurityAccountManager〕：平安賬號(hào)管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號(hào)和口令的數(shù)據(jù)庫。Windows2000本地登陸過程

GINALSASSPIKerberosNTLMWindows的密碼系統(tǒng)windowsNT及win2000中對(duì)用戶帳戶的平安管理使用了平安帳號(hào)管理器(securityaccountmanager)的機(jī)制,平安帳號(hào)管理器對(duì)帳號(hào)的管理是通過平安標(biāo)識(shí)進(jìn)行的，平安標(biāo)識(shí)在帳號(hào)創(chuàng)立時(shí)就同時(shí)創(chuàng)立，一旦帳號(hào)被刪除，平安標(biāo)識(shí)也同時(shí)被刪除。平安標(biāo)識(shí)是唯一的，即使是相同的用戶名，在每次創(chuàng)立時(shí)獲得的平安標(biāo)識(shí)都時(shí)完全不同的。Windows的密碼系統(tǒng)平安賬號(hào)管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件。 在正常設(shè)置下僅對(duì)system是可讀寫的。用戶權(quán)利、權(quán)限和共享權(quán)限網(wǎng)絡(luò)平安性依賴于給用戶或組授予的能力：權(quán)力:在系統(tǒng)上完成特定動(dòng)作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上。權(quán)限:可以授予用戶或組的文件系統(tǒng)能力。共享:用戶可以通過網(wǎng)絡(luò)使用的文件夾。Windows系統(tǒng)的用戶權(quán)利

權(quán)利適用于對(duì)整個(gè)系統(tǒng)范圍內(nèi)的對(duì)象和任務(wù)的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個(gè)具有某種權(quán)利的帳號(hào)時(shí)，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。下面列出了用戶的特定權(quán)利：Accessthiscomputerfromnetwork可使用戶通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。Addworkstationtoadomain允許用戶將工作站添加到域中。Backupfilesanddirectories授權(quán)用戶對(duì)計(jì)算機(jī)的文件和目錄進(jìn)行備份。Changethesystemtime用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。Loadandunloaddevicedrive允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動(dòng)程序。Restorefilesanddirectories允許用戶恢復(fù)以前備份的文件和目錄。Shutdownthesystem允許用戶關(guān)閉系統(tǒng)。Windows系統(tǒng)的用戶權(quán)限RWXDPOWindows系統(tǒng)的用戶權(quán)限權(quán)限適用于對(duì)特定對(duì)象如目錄和文件〔只適用于NTFS卷〕的操作，指定允許哪些用戶可以使用這些對(duì)象，以及如何使用〔如把某個(gè)目錄的訪問權(quán)限授予指定的用戶〕。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級(jí)別相關(guān)聯(lián)的。

Windows系統(tǒng)的用戶權(quán)限權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作NoAccess

用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)如果對(duì)目錄有Execute(X)權(quán)限，表示可以穿越目錄，進(jìn)入其子目。Windows系統(tǒng)的用戶權(quán)限權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作NoAccess

用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件FullcontrolRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán)Windows系統(tǒng)的共享權(quán)限共享只適用于文件夾〔目錄〕，如果文件夾不是共享的，那么在網(wǎng)絡(luò)上就不會(huì)有用戶看到它，也就更不能訪問。網(wǎng)絡(luò)上的絕大多數(shù)效勞器主要用于存放可被網(wǎng)絡(luò)用戶訪問的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問在NTServer效勞器上的文件和目錄，必須首先對(duì)它建立共享。共享權(quán)限建立了通過網(wǎng)絡(luò)對(duì)共享目錄訪問的最高級(jí)別。

Windows系統(tǒng)的共享權(quán)限共享權(quán)限級(jí)別允許的用戶動(dòng)作NoAccess(不能訪問)禁止對(duì)目錄和其中的文件及子目錄進(jìn)行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù)和運(yùn)行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)共享點(diǎn)一定要小心地分配。因?yàn)闄?quán)限僅僅是分配給共享點(diǎn)的，任何共享點(diǎn)下的文件：或目錄都足以和共享點(diǎn)本身相同的權(quán)限被訪問的。Windows的系統(tǒng)效勞單擊“開始〞，指向“設(shè)置〞，然后單擊“控制面板〞。雙擊“管理工具〞，然后雙擊“效勞〞。在列表框中顯示的是系統(tǒng)可以使用的效勞。Windows2k下可以在命令行中輸入services.msc翻開效勞列表。Windows的系統(tǒng)效勞效勞包括三種啟動(dòng)類型：自動(dòng)，手動(dòng)，已禁用。

自動(dòng)-Windows2000啟動(dòng)的時(shí)候自動(dòng)加載效勞

手動(dòng)-Windows2000啟動(dòng)的時(shí)候不自動(dòng)加載效勞，在需要的時(shí)候手動(dòng)開啟

已禁用-Windows2000啟動(dòng)的時(shí)候不自動(dòng)加載效勞，在需要的時(shí)候選擇手動(dòng)或者自動(dòng)方式開啟效勞，并重新啟動(dòng)電腦完成效勞的配置

雙擊需要進(jìn)行配置的效勞，出現(xiàn)以下圖所示的屬性對(duì)話框：

Windows的系統(tǒng)效勞KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一筆效勞工程子項(xiàng)都有一個(gè)Start數(shù)值,這個(gè)數(shù)值的內(nèi)容依照每一個(gè)效勞工程的狀況而又有不同。Start數(shù)值內(nèi)容所記錄的就是效勞工程驅(qū)動(dòng)程式該在何時(shí)被加載。目前微軟對(duì)Start內(nèi)容的定義有0、1、2、3、4等五種狀態(tài),0、1、2分別代表Boot、System、AutoLoad等叁種意義。而Start數(shù)值內(nèi)容為3的效勞工程代表讓使用者以手動(dòng)的方式載入(Loadondemand),4那么是代表停用的狀態(tài),也就是禁用。Windows的系統(tǒng)進(jìn)程根本的系統(tǒng)進(jìn)程smss.exeSessionManager會(huì)話管理csrss.exe子系統(tǒng)效勞器進(jìn)程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)效勞lsass.exe管理IP平安策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP平安驅(qū)動(dòng)程序。(系統(tǒng)效勞)svchost.exe包含很多系統(tǒng)效勞spoolsv.exe將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)效勞)explorer.exe資源管理器internat.exe輸入法Windows的Log系統(tǒng)Windows有三種類型的事件日志：系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件，比方跟蹤系統(tǒng)啟動(dòng)過程中的事件或者硬件和控制器的故障。應(yīng)用程序日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比方應(yīng)用程序產(chǎn)生的象裝載DLL〔動(dòng)態(tài)鏈接庫〕失敗的信息將出現(xiàn)在日志中。平安日志跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變?cè)L問權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉。注意：平安日志的默認(rèn)狀態(tài)是關(guān)閉的。Windows的Log系統(tǒng)日志在系統(tǒng)的位置是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.EvtLOG文件在注冊(cè)表的位置是：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventlogWindows的應(yīng)用系統(tǒng)日志Internet信息效勞FTP日志默認(rèn)位置：%systemroot%system32logfilesmsftpsvc1，默認(rèn)每天一個(gè)日志Internet信息效勞WWW日志默認(rèn)位置：%systemroot%system32logfilesw3svc1，默認(rèn)每天一個(gè)日志FTP日志和WWW日志文件名通常為ex〔年份〕〔月份〕〔日期〕，例如ex001023，就是2000年10月23日產(chǎn)生的日志，用記事本就可直接翻開Scheduler效勞日志默認(rèn)位置：%systemroot%schedlgu.txt

FTP日志分析FTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0〔微軟IIS5.0〕#Version:1.0〔版本1.0〕#Date:2000102303:11:55〔效勞啟動(dòng)時(shí)間日期〕03:11:55[1]USERadministator331〔IP地址為用戶名為administator試圖登錄〕03:11:58[1]PASS–530〔登錄失敗〕03:12:04[1]USERnt331〔IP地址為用戶名為nt的用戶試圖登錄〕03:12:06[1]PASS–530〔登錄失敗〕03:12:32[1]USERadministrator331〔IP地址為用戶名為administrator試圖登錄〕03:12:34[1]PASS–230〔登錄成功〕03:12:41[1]MKDnt550〔新建目錄失敗〕03:12:45[1]QUIT–550〔退出FTP程序〕從日志里就能看出IP地址為的用戶一直試圖登錄系統(tǒng)，換了3次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時(shí)間IP地址以及探測(cè)的用戶名。HTTP的日志分析HTTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:316780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通過分析第六行，可以看出2000年10月23日，IP地址為6的用戶通過訪問IP地址為7機(jī)器的80端口，查看了一個(gè)頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經(jīng)驗(yàn)的管理員就可通過平安日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時(shí)間Windows平安管理篇Windows平安管理篇Windows系統(tǒng)安裝系統(tǒng)平安檢查系統(tǒng)平安配置IIS平安配置SQLServer口令和補(bǔ)丁Windows系統(tǒng)安裝使用正版可靠安裝盤將系統(tǒng)安裝在NTFS分區(qū)上系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤最小化安裝效勞平安補(bǔ)丁合集和相關(guān)的Hotfix裝其它的效勞和應(yīng)用程序補(bǔ)丁每次在安裝其它程序之后，重新應(yīng)用平安補(bǔ)丁防止病毒進(jìn)行文件系統(tǒng)平安設(shè)置最少建立兩個(gè)分區(qū)，一個(gè)系統(tǒng)分區(qū)，一個(gè)應(yīng)用程序分區(qū)，因?yàn)槲④浀腎IS經(jīng)常會(huì)有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。NT安裝SP6a和相關(guān)的HotfixWIN2K安裝SP4和相關(guān)的HotfixWINXP安裝SP2和相關(guān)的HotfixWIN2003安裝相關(guān)的Hotfix系統(tǒng)平安檢查系統(tǒng)信息補(bǔ)丁安裝情況帳號(hào)和口令網(wǎng)絡(luò)與效勞文件系統(tǒng)日志審核平安性增強(qiáng)系統(tǒng)信息檢查效勞器是否安裝多系統(tǒng)，多系統(tǒng)無法保障文件系統(tǒng)的平安從“operatingsystems〞字段可以查到允許啟動(dòng)的系統(tǒng)列表系統(tǒng)信息查看主機(jī)路由信息補(bǔ)丁安裝情況檢查當(dāng)前主機(jī)所安裝的ServicePack以及Hotfix(Mbsa)SP版本IE版本，請(qǐng)確認(rèn)在Hotfix中是否存在IESP1補(bǔ)丁信息Hotfix信息2023/1/12口令破解與攻擊42帳號(hào)和口令多數(shù)的系統(tǒng)，口令是進(jìn)入系統(tǒng)的第一道防線，也是唯一防線；決大多數(shù)的口令算法是可靠的；獲得口令的方式有多種；口令問題多數(shù)出在管理與平安意識(shí)的問題上。2023/1/12口令破解與攻擊43口令問題1：弱口令用戶趨向于選擇容易的口令，即空口令；用戶會(huì)選擇易于記住的東西做口令Test、Password、guest、username等名字、生日、簡單數(shù)字等易于選擇該系統(tǒng)的應(yīng)用Ntserver、orancle等多數(shù)用戶的平安意識(shí)薄弱2023/1/12口令破解與攻擊44口令問題2：明文傳輸使用明文密碼傳送的應(yīng)用：FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上訴效勞都容易成為攻擊對(duì)象2023/1/12口令破解與攻擊45口令攻擊的方式手工猜測(cè)；方法：社會(huì)工程學(xué)、嘗試默認(rèn)口令自動(dòng)猜測(cè)；工具：NAT、LC等竊聽：登陸、網(wǎng)絡(luò)截獲、鍵盤監(jiān)聽工具：Dsniff、SnifferPro、IKS等2023/1/12口令破解與攻擊46Windows常見的口令問題NT/2000的口令問題；用戶教育的問題；管理員本卷須知。2023/1/12口令破解與攻擊47NT/2000的口令問題SAM〔SecurityAccountsManager)LanManager散列算法〔LM〕已被破解，但仍被保存NT散列算法〔NTLM/NTLMv2〕強(qiáng)加密、改進(jìn)的身份認(rèn)證和平安的會(huì)話機(jī)制自動(dòng)降級(jí)2023/1/12口令破解與攻擊48NT/2000的口令問題LanManager散列算法的問題口令都被湊成14個(gè)字符；缺乏14位的，用0補(bǔ)齊；全部轉(zhuǎn)化為大寫字母；分成兩局部分別加密。舉例：Ba01cK28tr－BA01CK2和8TR00002023/1/12口令破解與攻擊49NT/2000的口令問題SAM數(shù)據(jù)存放位置%systemroot%\system32\config\sam%systemroot%\repair\sam._(NT)Rdisk%systemroot%\repair\sam〔2000〕ntbackup注冊(cè)表HKEY_LOCAL_MACHINE\SAM\SAM和

HKEY_LOCAL_MACHINE\SECURITY\SAM僅對(duì)system是可讀寫的2023/1/12口令破解與攻擊50NT/2000的口令問題獲取SAM數(shù)據(jù)的方法使系統(tǒng)自舉到另外的系統(tǒng)，copySAM文件；從repair目錄攫取備份的SAM;竊聽口令交換2023/1/12口令破解與攻擊51口令策略使用密碼強(qiáng)度及賬戶老化、鎖定策略；設(shè)置最小的密碼程度為8個(gè)字符，最短密碼時(shí)間為1-7天，最長密碼時(shí)間為42天，最小的密碼歷史輪回為6，失敗登陸嘗試為3，賬戶鎖定為60分鐘等。2023/1/12口令破解與攻擊52用戶教育口令禁忌:

不要選擇可以在任何字典或語言中找到的口令不要選擇簡單字母組成的口令不要選擇任何指明個(gè)人信息的口令 不要選擇包含用戶名或相似類容的口令不要選擇短于6個(gè)字符或僅包含字母或數(shù)字的口令不要選擇作為口令范例公布的口令2023/1/12口令破解與攻擊53管理員本卷須知確保每個(gè)用戶都有一個(gè)有效的口令；對(duì)用戶進(jìn)行口令教育；使用防止用戶選擇弱口令的配置與工具；進(jìn)行口令檢查，確保沒有弱口令；確保系統(tǒng)與網(wǎng)絡(luò)設(shè)備沒有缺省賬號(hào)和口令；不要在多個(gè)機(jī)器上使用相同的口令；從不記錄也不與他人共享密碼；2023/1/12口令破解與攻擊54管理員本卷須知從不將網(wǎng)絡(luò)登錄密碼用作其他用途；域Administrators賬戶和本地Administrators帳戶使用不同的密碼；小心地保護(hù)在計(jì)算機(jī)上保存密碼的地方；對(duì)于特權(quán)用戶強(qiáng)制30天更換一次口令，一般用戶60天更換；使用VPN、SSH、一次性口令等平安機(jī)制.NullSessionNullSession〔空連接〕連接也稱為匿名登陸，這種機(jī)制允許匿名用戶通過網(wǎng)絡(luò)獲得系統(tǒng)的信息或建立未授權(quán)的連接。它常被諸如explorer.exe的應(yīng)用來列舉遠(yuǎn)程效勞器上的共享。非授權(quán)主機(jī)可以是網(wǎng)絡(luò)里所有的主機(jī)，即這個(gè)主機(jī)不需要有訪問效勞器的任何權(quán)限。任何一臺(tái)主機(jī)都可以和效勞器之間建立一個(gè)NULLsession，這個(gè)NULLsession在效勞器里屬于everyone組。缺省情況下所有的用戶都屬于everyone這個(gè)組。everyone組沒有很大的權(quán)力。但是可以利用它獲取系統(tǒng)的用戶信息。NullSessionnetuse\\server\IPC$""/user:""

此命令用來建立一個(gè)空會(huì)話獲得目標(biāo)上的所有用戶列表。包括效勞器上有哪些組和用戶。效勞器的平安規(guī)那么，包括帳戶封鎖、最小口令長度、口令使用周期、口令唯一性設(shè)置等。列出共享目錄。讀注冊(cè)表。NullSessionnetview\\server

此命令用來查看遠(yuǎn)程效勞器的共享資源nettime\\server

此命令用來得到一個(gè)遠(yuǎn)程效勞器的當(dāng)前時(shí)間。At\\server此命令用來得到一個(gè)遠(yuǎn)程效勞器的調(diào)度作業(yè)防御方法屏蔽135-139，445端口〔網(wǎng)絡(luò)屬性〕去除NetBiosOverTCP/IP(在效勞中去除server〕修改注冊(cè)表HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSAValueName: RestrictAnonymousDataType: REG_DWORDValue: 1〔2Win2000)參考，入侵實(shí)例通過NetBIOS入侵139端口是NetBIOSSession端口，用來進(jìn)行文件和打印共享，是NT潛在的危險(xiǎn)。1、用NBTSTAT命令，用來查詢NetBIOS信息。C>nbtstat–2、用netuse建立連接c:>netuse\\x.x.x.x\ipc$“密碼〞/user:〞用戶名〞c:>netview\\x.x.x.xc:>netusex:\\x.x.x.x\c$c:>dirx:/p注意：通過IPC$連接會(huì)在Eventlog中留下記錄。copywinshell.exe\\\admin$\system32at\\11:55winshell.exe54088telnet54088帳號(hào)和口令是否有密碼過期策略密碼過期策略包括密碼最長存留期和最短存留期，最長存留期是指密碼在多久后過期，最短存留期是指在多久后才可以修改密碼開始|程序|管理工具|本地平安設(shè)置|平安設(shè)置|帳戶策略|密碼策略：#密碼最長存留期，以天為單位，MAXDAYS天后密碼過期，缺省為42天〔建議不超過42天〕#密碼最短存留期，以天為單位，MINDAYS天后才可以修改密碼，缺省為0〔建議1~7天〕帳號(hào)和口令檢查Guest帳號(hào)Guest帳號(hào)是一個(gè)容易無視的帳號(hào)，黑客可能修改該帳號(hào)權(quán)限，并利用該帳號(hào)登陸系統(tǒng)沒有激活帳號(hào)和口令系統(tǒng)是否使用默認(rèn)管理員帳號(hào)默認(rèn)管理員帳號(hào)可能被攻擊者用來進(jìn)行密碼暴力猜測(cè)，建議修改默認(rèn)管理員用戶名。Administrator用戶名已被修改帳號(hào)和口令是否存在可疑帳號(hào)查看系統(tǒng)是否存在攻擊者留下的可疑帳號(hào)，或檢查主機(jī)操作人員遺留下的尚未刪除的帳號(hào)。可禁用不需要帳號(hào)：帳號(hào)和口令檢查系統(tǒng)中是否存在脆弱口令系統(tǒng)存在脆弱口令帳號(hào)可能導(dǎo)致攻擊者輕易猜出帳號(hào)密碼。強(qiáng)壯口令要求：8位或以上口令長度、大小寫字母、數(shù)字、特殊符號(hào)網(wǎng)絡(luò)與效勞查看網(wǎng)絡(luò)開放端口查看監(jiān)聽端口網(wǎng)絡(luò)與效勞得到網(wǎng)絡(luò)流量信息網(wǎng)絡(luò)與效勞檢查主機(jī)端口、進(jìn)程對(duì)應(yīng)信息

網(wǎng)絡(luò)與效勞查看系統(tǒng)已經(jīng)啟動(dòng)的效勞列表網(wǎng)絡(luò)與效勞查看主機(jī)是否開放了共享或管理共享未關(guān)閉。文件系統(tǒng)查看主機(jī)磁盤分區(qū)類型效勞器應(yīng)使用具有平安特性的NTFS格式，而不應(yīng)該使用FAT或FAT32分區(qū)。開始|管理工具|計(jì)算機(jī)管理|磁盤管理文件系統(tǒng)檢查特定文件的文件權(quán)限對(duì)于一些敏感文件權(quán)限需要進(jìn)行修改，防止文件被惡意用戶執(zhí)行。僅適用于NTFS分區(qū)

文件系統(tǒng)檢查特定目錄的權(quán)限在檢查中一般檢查各個(gè)磁盤根目錄權(quán)限、Temp目錄權(quán)限日志審核檢查主機(jī)的審核情況開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|審核策略日志審核檢查系統(tǒng)日志大小、覆蓋天數(shù)開始|運(yùn)行|eventvwr|右鍵“系統(tǒng)〞可設(shè)置更大的空間存儲(chǔ)日志如果空間足夠，建議手動(dòng)去除日志平安性增強(qiáng)保護(hù)注冊(cè)表，防止匿名訪問

默認(rèn)權(quán)限并不限制對(duì)注冊(cè)表的遠(yuǎn)程訪問。只有管理員才應(yīng)具有對(duì)注冊(cè)表的遠(yuǎn)程訪問權(quán)限，因?yàn)槟J(rèn)情況下Windows2000注冊(cè)表編輯工具支持遠(yuǎn)程訪問。對(duì)匿名連接的額外限制

默認(rèn)情況下，Windows系統(tǒng)允許匿名用戶枚舉主機(jī)帳號(hào)列表，獲得一些敏感信息。

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|平安選項(xiàng)

建議設(shè)置為“不允許枚舉SAM帳號(hào)和共享〞平安性增強(qiáng)檢查是否登陸時(shí)間用完后自動(dòng)注銷用戶

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|平安選項(xiàng)是否顯示上次成功登陸的用戶名

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|平安選項(xiàng)平安性增強(qiáng)是否允許未登陸系統(tǒng)執(zhí)行關(guān)機(jī)命令

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|平安選項(xiàng)僅登陸用戶允許使用光盤

開始|運(yùn)行|gpedit.msc|計(jì)算機(jī)配置|Windows設(shè)置|本地策略|平安選項(xiàng)系統(tǒng)平安配置補(bǔ)丁安裝帳號(hào)、口令策略修改網(wǎng)絡(luò)與效勞平安性增強(qiáng)文件系統(tǒng)平安性增強(qiáng)日志審核增強(qiáng)平安性增強(qiáng)補(bǔ)丁安裝使用Windowsupdate安裝最新補(bǔ)丁手工安裝補(bǔ)?。?/p>

帳號(hào)、口令策略修改

推薦修改為：設(shè)置帳號(hào)策略后可能導(dǎo)致不符合帳號(hào)策略的帳號(hào)無法登陸，需修改帳號(hào)密碼〔注：管理員不受帳號(hào)策略限制，但管理員密碼應(yīng)復(fù)雜〕密碼長度最小值7字符密碼最長存留期90天密碼最短存留期30天帳號(hào)鎖定計(jì)數(shù)器5次帳戶鎖定時(shí)間5分鐘帳戶鎖定閥值1分鐘網(wǎng)絡(luò)與效勞平安性增強(qiáng)卸載不需要的效勞開始|設(shè)置|控制面板|添加/刪除程序|Windows組件，卸載不需要的效勞防止未知漏洞給主機(jī)帶來的風(fēng)險(xiǎn)網(wǎng)絡(luò)與效勞平安性增強(qiáng)將暫時(shí)不需要開放的效勞停止開始|運(yùn)行|services.msc|將上述效勞的啟動(dòng)類型設(shè)置為手動(dòng)并停止上述效勞防止未知漏洞給主機(jī)帶來的風(fēng)險(xiǎn)文件系統(tǒng)平安性增強(qiáng)限制特定執(zhí)行文件的權(quán)限未對(duì)敏感執(zhí)行文件設(shè)置適宜的權(quán)限建議禁止Guest組用戶訪問資源：xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCopy.execacls.exeipconfig.exercp.execmd.exedebug.exeregedt32.exeregedit.exe

telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exenbtstat.exeTracert.exenetstat.exe日志審核增強(qiáng)建議平安策略文件修改下述值：對(duì)系統(tǒng)事件進(jìn)行審核，在日后出現(xiàn)故障時(shí)用于排查故障。審核策略更改成功審核登錄事件無審核審核對(duì)象訪問成功,失敗審核過程追蹤無審核審核目錄服務(wù)訪問無審核審核特權(quán)使用無審核審核系統(tǒng)事件成功,失敗審核帳戶登錄事件成功,失敗審核帳戶管理成功,失敗日志審核增強(qiáng)調(diào)整事件日志的大小、覆蓋策略增大日志大小，防止由于日志文件容量過小導(dǎo)致日志記錄不全大小覆蓋方式應(yīng)用日志16382K覆蓋早于30天的事件安全日志16384K覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件平安性增強(qiáng)禁止匿名用戶連接

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous〞的值為0，將該值修改為“1〞

可以禁止匿名用戶列舉主機(jī)上所有用戶、組、共享資源刪除主機(jī)管理共享

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，增加“Autoshareserver〞項(xiàng)，并設(shè)置該值為“1〞

刪除主機(jī)因?yàn)楣芾矶_放的共享平安性增強(qiáng)禁止匿名用戶連接

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous〞的值為0，修改為“1〞

可以禁止匿名用戶列舉主機(jī)上所有用戶、組、共享資源限制Guest用戶權(quán)限

禁止Guest帳號(hào)本地登錄和網(wǎng)絡(luò)登錄的權(quán)限。

防止Guest帳號(hào)被黑客激活作為后門IIS效勞平安配置禁用或刪除所有的例如應(yīng)用程序

例如只是例如；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)效勞器上安裝。請(qǐng)注意一些例如安裝，它們只可從://localhost或訪問；但是，它們?nèi)詰?yīng)被刪除。下面列出一些例如的默認(rèn)位置。例如虛擬目錄位置

IIS例如\IISSamplesc:\inetpub\iissamples

IIS文檔\IISHelpc:\winnt\help\iishelp

數(shù)據(jù)訪問\MSADCc:\programfiles\commonfiles\system\msadc

IIS效勞平安配置啟用或刪除不需要的COM組件某些COM組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對(duì)象組件，但是要注意這將也會(huì)刪除Dictionary對(duì)象。切記某些程序可能需要您禁用的組件。例如，SiteServer3.0使用FileSystemObject。以下命令將禁用FileSystemObjec