操作系統(tǒng)安全的概述

操作系統(tǒng)安全的概述第八章操作系統(tǒng)安全8.1Linux系統(tǒng)8.2Unix/Linux系統(tǒng)安全

8.3Windows系統(tǒng)8.4Windows安全機(jī)制8.5Windows系統(tǒng)安全配置操作系統(tǒng)概述目前服務(wù)器常用的操作系統(tǒng)：UnixLinuxWindowsNT/2000/2003Server。這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別的操作系統(tǒng)。都存在很多漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者。8.1Linux/Unix系統(tǒng)UNIX操作系統(tǒng)是由美國貝爾實(shí)驗(yàn)室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。UNIX誕生于20世紀(jì)60年代末期，貝爾實(shí)驗(yàn)室的研究人員于1969年開始在GE645計(jì)算機(jī)上實(shí)現(xiàn)一種分時(shí)操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機(jī)上。1970年給系統(tǒng)正式命名為Unix。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。主要特色UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，在發(fā)展過程中逐步形成了一些新的特色。（1）高可靠性（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)（4）強(qiáng)大的數(shù)據(jù)庫支持（5）開放性好Linux系統(tǒng)Linux是由全世界各地的成千上萬的程序員設(shè)計(jì)和實(shí)現(xiàn)的，為了建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux最早開始于名叫LinusTorvalds的計(jì)算機(jī)愛好者，是芬蘭赫爾辛基大學(xué)的學(xué)生。目的是設(shè)計(jì)一個(gè)代替Minix（是由AndrewTannebaum教授編寫的一個(gè)操作系統(tǒng)示教程序）的操作系統(tǒng)。該操作系統(tǒng)可用于386、486或奔騰處理器的個(gè)人計(jì)算機(jī)上，具有Unix操作系統(tǒng)的全部功能。Linux系統(tǒng)Linux是一個(gè)的開源操作系統(tǒng)，用戶可以獲得其源代碼，并能夠隨意修改。在共用許可證GPL(GeneralPublicLicense)保護(hù)下的自由軟件，有幾種版本，如RedHatLinux、Slackware，以及國內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是源于它的優(yōu)點(diǎn)：Linux典型的優(yōu)點(diǎn)（1）完全（2）完全兼容POSIX1.0標(biāo)準(zhǔn)（3）多用戶、多任務(wù)（4）良好的界面（5）豐富的網(wǎng)絡(luò)功能（6）可靠的安全、穩(wěn)定性能（7）支持多種平臺(tái)8.2Unix/Linux系統(tǒng)安全Unix/Linux的安全機(jī)制用戶標(biāo)識(shí)和身份鑒別每個(gè)用戶一個(gè)唯一的標(biāo)識(shí)符(UID);系統(tǒng)給每個(gè)用戶組也分配有一個(gè)唯一的標(biāo)識(shí)符(GID);登錄需要密碼口令；文件系統(tǒng)安全用戶：owner/group/other）訪問權(quán)限：read/write/executable。文件加密Unix用戶可以使用crypt命令加密文件，用戶選擇一個(gè)密鑰加密文件，再次使用此命令，用同一密鑰作用于加密后的文件，就可恢復(fù)文件內(nèi)容日志審計(jì)機(jī)制包括：連接時(shí)間日志、進(jìn)程統(tǒng)計(jì)和錯(cuò)誤日志。10Unix/Linux操作系統(tǒng)安全－弱點(diǎn)用戶數(shù)據(jù)保護(hù)機(jī)制并不能保證嚴(yán)格安全要求；超級(jí)用戶成為系統(tǒng)安全瓶頸；缺乏必要的系統(tǒng)審計(jì)機(jī)制；用戶認(rèn)證方面的要求不夠嚴(yán)格；系統(tǒng)自身的完整性保護(hù)問題，一旦加載惡意的核心模塊，整個(gè)系統(tǒng)可能完全被非法控制。11Unix/Linux安全配置合理設(shè)置系統(tǒng)的安全級(jí)別合理設(shè)置用戶權(quán)限指定主控臺(tái)及終端登錄的限制合理配置/etc/inetd.conf文件合理設(shè)置/etc/ftpusers文件合理設(shè)置網(wǎng)段及路由不設(shè)置UUCP刪除不用的軟件包及協(xié)議正確配置.profile文件創(chuàng)建匿名ftp應(yīng)用用戶同維護(hù)用戶分開8.3Windows系統(tǒng)1)高效直觀的面向?qū)ο蟮膱D形用戶界面，易學(xué)易用。2)多任務(wù)。3)用戶界面統(tǒng)一、友好、漂亮。4)豐富的與設(shè)備無關(guān)的圖形操作。8.4Windows安全機(jī)制1.活動(dòng)目錄服務(wù)2.認(rèn)證服務(wù)3.加密文件系統(tǒng)4.安全模版5.安全賬號(hào)管理器Windows安全子系統(tǒng)安全子系統(tǒng)包括：Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)Windows安全子系統(tǒng)WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加載GINA，監(jiān)視認(rèn)證順序加載認(rèn)證包支持額外的驗(yàn)證機(jī)制為認(rèn)證建立安全通道提供登陸接口提供真正的用戶校驗(yàn)管理用戶和用戶證書的數(shù)據(jù)庫Windows安全子系統(tǒng)WinlogonandGina:Winlogon調(diào)用GINADLL，監(jiān)視安全認(rèn)證序列。GINADLL提供一個(gè)交互式的界面為用戶登陸提供認(rèn)證請(qǐng)求。Winlogon在注冊(cè)表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL鍵，Winlogon將使用這個(gè)DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL。Windows安全子系統(tǒng)本地安全認(rèn)證（LocalSecurityAuthority）：

它負(fù)責(zé)以下任務(wù)：調(diào)用所有的認(rèn)證包，檢查在注冊(cè)表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該DLL進(jìn)行認(rèn)證（MSV_1.DLL）。在4.0版里，WindowsNT會(huì)尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA下所有存在的SecurityPackages值并調(diào)用。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)。儲(chǔ)存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。Windows安全子系統(tǒng)網(wǎng)絡(luò)登陸（Netlogon）：網(wǎng)絡(luò)登陸服務(wù)必須在通過認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號(hào)管理器（SecurityAccountManager）：安全賬號(hào)管理器，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號(hào)和口令的數(shù)據(jù)庫。不同的域有不同的Sam，在域復(fù)制的過程中，Sam包將會(huì)被拷貝。Windows的密碼系統(tǒng)WindowsNT及Win2000中對(duì)用戶帳戶的安全管理使用了安全帳號(hào)管理器(securityaccountmanager)的機(jī)制,安全帳號(hào)管理器對(duì)帳號(hào)的管理是通過安全標(biāo)識(shí)進(jìn)行的，安全標(biāo)識(shí)在帳號(hào)創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦帳號(hào)被刪除，安全標(biāo)識(shí)也同時(shí)被刪除。安全標(biāo)識(shí)是唯一的，即使是相同的用戶名，在每次創(chuàng)建時(shí)獲得的安全標(biāo)識(shí)都時(shí)完全不同的。因此，一旦某個(gè)帳號(hào)被刪除，它的安全標(biāo)識(shí)就不再存在了，即使用相同的用戶名重建帳號(hào)，也會(huì)被賦予不同的安全標(biāo)識(shí)，不會(huì)保留原來的權(quán)限。Windows平臺(tái)上的共享資源在Windows平臺(tái)上，共享資源是受攻擊的入侵點(diǎn)文件資源的共享打印服務(wù)的共享IPC$也是一個(gè)共享資源在網(wǎng)絡(luò)環(huán)境下，又離不開共享功能對(duì)策使用隱藏共享設(shè)置好權(quán)限控制Windows9x/ME它本身就不是一個(gè)安全的操作系統(tǒng)主要的危險(xiǎn)直接連接到共享資源上遠(yuǎn)程訪問注冊(cè)表安裝后門服務(wù)程序利用現(xiàn)有服務(wù)程序的漏洞拒絕服務(wù)本地系統(tǒng)的不安性重新啟動(dòng)口令的不安全WindowsNTWindowsNT是一個(gè)安全操作系統(tǒng)雖然已經(jīng)發(fā)現(xiàn)了大量的漏洞但是總算補(bǔ)丁來得很及時(shí)兩個(gè)顯著的安全性特點(diǎn)操作系統(tǒng)本身并不提供遠(yuǎn)程運(yùn)行代碼的能力對(duì)于控制臺(tái)的交互登錄權(quán)力僅限于少數(shù)帳號(hào)安全現(xiàn)狀對(duì)于WindowsNT的大量攻擊都是通過應(yīng)用服務(wù)器進(jìn)行的(比如IISWebServer)。盡快升級(jí)到Windows2000WindowsNT的Administrator這是攻擊者最期望得到的權(quán)限手段遠(yuǎn)程密碼猜測(cè)找到一個(gè)共享點(diǎn)，使用netuse命令行Nat工具從NT的認(rèn)證協(xié)議(LanMan、NTLM)著手防護(hù)禁止NIC的NetBIOS功能帳戶的管理策略：設(shè)定lockout功能、強(qiáng)制使用強(qiáng)口令失敗類型的審計(jì)總是需要的SAM數(shù)據(jù)庫SAM:SecurityAccountsManager,包含有本地系統(tǒng)或者所控制域上所有用戶的用戶名和密文形式的密碼這是攻擊者最感興趣的部位獲取sam數(shù)據(jù)庫，然后進(jìn)行破解在系統(tǒng)運(yùn)行期間，sam數(shù)據(jù)庫是上鎖的獲取sam的手段從另一個(gè)文件系統(tǒng)進(jìn)行拷貝從關(guān)鍵文件的備份中獲取壓縮之后的sam文件在線提取密碼散列值從網(wǎng)絡(luò)上進(jìn)行監(jiān)聽破解工具無論是字典破解，還是窮舉攻擊，往往很奏效兩種手段結(jié)合起來使用使用syskey保護(hù)IIS服務(wù)安全配置刪除無用的腳本映射

IIS被預(yù)先配置為支持常用的文件名擴(kuò)展如.asp和.shtm文件。IIS接收到這些類型的文件請(qǐng)求時(shí)，該調(diào)用由DLL處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，步驟如下：

打開Internet服務(wù)管理器。右鍵單擊Web服務(wù)器，然后從上下文菜單中選擇“屬性”。主目錄|配置|刪除無用的.htr.ida.idq.printer.idc.stm.shtml等終端服務(wù)安全輸入法漏洞造成的威脅Windows2000的危險(xiǎn)服務(wù)剪貼簿查看器Messenger（Netsend）RemoteRegistryServiceServer(支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享)TerminalServices(允許多位用戶連接并控制一臺(tái)機(jī)器，并且在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序。這是遠(yuǎn)程桌面(包括管理員的遠(yuǎn)程桌面)、快速用戶轉(zhuǎn)換、遠(yuǎn)程協(xié)助和終端服務(wù)器的基礎(chǔ)結(jié)構(gòu)。)禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問禁止和刪除服務(wù)通過services.msc禁止服務(wù)使用ResourceKit徹底刪除服務(wù)Sc命令行工具Instsrv工具舉例OS/2和Posix系統(tǒng)僅僅為了向后兼容Server服務(wù)僅僅為了接受netbios請(qǐng)求針對(duì)Windows的入侵示例1.探測(cè)選擇攻擊對(duì)象，了解部分簡單的對(duì)象信息。針對(duì)具體的攻擊目標(biāo)，隨便選擇一組IP地址，進(jìn)行測(cè)試，選擇處于活動(dòng)狀態(tài)的主機(jī)；針對(duì)探測(cè)的安全建議對(duì)于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測(cè)行為對(duì)于主機(jī)：安裝個(gè)人防火墻軟件，禁止外部主機(jī)的ping包，使對(duì)方無法獲知主機(jī)當(dāng)前正確的活動(dòng)狀態(tài)針對(duì)Windows2000的入侵過程(一)針對(duì)Windows2000的入侵過程(二)2.掃描使用的掃描軟件這里選擇的掃描軟件是SSS（ShadowSecurityScanner），SSS是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件，能夠掃描目標(biāo)服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測(cè)、賬號(hào)掃描等等，而且漏洞數(shù)據(jù)可以隨時(shí)更新。掃描遠(yuǎn)程主機(jī)

開放端口掃描

操作系統(tǒng)識(shí)別

SSS本身就提供了強(qiáng)大的操作系統(tǒng)識(shí)別能力，也可以使用其他工具進(jìn)行主機(jī)操作系統(tǒng)檢測(cè)。

主機(jī)漏洞分析

掃描結(jié)果：端口掃描可以看出幾個(gè)比較知名的端口均處于打開狀態(tài)，如139、80等

嘗試使用Unicode漏洞攻擊，無效?？赡苤鳈C(jī)已經(jīng)使用了SP進(jìn)行補(bǔ)丁或未開放遠(yuǎn)程訪問權(quán)限

掃描結(jié)果：操作系統(tǒng)識(shí)別

結(jié)果顯示該主機(jī)操作系統(tǒng)為Windows2000，正是我們期望的操作系統(tǒng)類型掃描結(jié)果：漏洞掃描SSS可對(duì)遠(yuǎn)程主機(jī)進(jìn)行漏洞檢測(cè)分析，選擇合適的攻擊入口點(diǎn)，進(jìn)行遠(yuǎn)程入侵；

該主機(jī)存在的漏洞較多，我們可以確定選擇該主機(jī)作為攻擊對(duì)象。另外，主機(jī)的帳號(hào)密碼使用的是“永不過期”方式，我們可以在下面進(jìn)行帳號(hào)密碼的強(qiáng)行破解

針對(duì)Windows2000的入侵過程(三)3.查看目標(biāo)主機(jī)的信息在完成對(duì)目標(biāo)主機(jī)的掃描后，可以利用WindowsNT/2000對(duì)NetBIOS的缺省信賴，對(duì)目標(biāo)主機(jī)上的用戶帳號(hào)、共享資源等進(jìn)行檢查。這里，再利用Windows2000的IPC空會(huì)話查詢遠(yuǎn)程主機(jī)

針對(duì)Windows2000的入侵過程(四)4.滲透IIS攻擊嘗試?yán)肐IS中知名的Unicode和“Translate:f”漏洞進(jìn)行攻擊，沒有成功。目標(biāo)主機(jī)可能已修復(fù)相應(yīng)漏洞，或沒有打開遠(yuǎn)程訪問權(quán)限Administrator口令強(qiáng)行破解

目標(biāo)主機(jī)是一臺(tái)個(gè)人主機(jī)，絕大部分情況下，均使用Administrator帳號(hào)進(jìn)行登陸，且個(gè)人防范意識(shí)較差的話，選擇的密碼一般都較簡單，如“主機(jī)名”、“11111”、“12345”之類的簡單密碼。所以考慮利用NetBIOS會(huì)話服務(wù)（TCP139）進(jìn)行遠(yuǎn)程密碼猜測(cè)。

這里使用NAT（NetBIOSAuditingTool）進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶帳戶表，以及簡單的密碼字典，然后用NAT進(jìn)行破解。成功Administrator口令破解情況針對(duì)Windows2000的入侵過程(五)5.鞏固權(quán)力現(xiàn)在得到了Administrator的帳戶，接下去需要鞏固權(quán)力添加一個(gè)迷惑性的帳戶，并加入administrators組，將來通過新帳戶進(jìn)入裝載后門裝載后門一般的個(gè)人主機(jī)為防范病毒，均會(huì)安裝反病毒軟件，如NortonAnti-Virus、金山毒霸等，并且大部分人也能及時(shí)更新病毒庫，而大部分的木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來我們使用NetCat作為后門程序進(jìn)行演示安裝后門程序(一)利用剛剛獲取的Administrator口令，通過Netuse映射