第二章 windowsxp系統(tǒng)的基本安全.ppt

1、第二章 Windowsxp系統(tǒng)的基本安全,安全是一種“買不到”的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護體系是不存在的。,本講的目標,了解WindowsXP系統(tǒng)缺省安裝會帶來的安全隱患； 理解和掌握Windows XP系統(tǒng)的啟動過程，能夠獨立解決啟動中碰到的疑難問題。 理解和掌握Windows XP系統(tǒng)帳戶的安全策略。 對Windows XP系統(tǒng)進行性能優(yōu)化。 掌握常見的系統(tǒng)安全措施。,授課建議,重點分析Windows XP系統(tǒng)的啟動過程。 簡要分析Windows XP系統(tǒng)帳戶的安全策略。 介紹WindowsXP系統(tǒng)缺省安裝會帶來的安全隱患 簡要介紹對Windows XP系統(tǒng)進行

2、性能優(yōu)化。 通過操作演示介紹常見的系統(tǒng)安全措施。,什么是操作系統(tǒng),操作系統(tǒng)是管理計算機系統(tǒng)的全部硬件、軟件及數(shù)據(jù)資源的管理控制程序，大致包括5 個方面的管理功能：進程管理、設備管理、文件管理、存儲管理和作業(yè)管理。 WindowsXP操作系統(tǒng)SP2的重大改進： 1安全中心 該工具提供了三個重要安全組件（反病毒軟件、網(wǎng)絡防火墻、自動更新功能）的監(jiān)控。如果這三個組件中的某個組件被禁用或者設置錯誤，系統(tǒng)提示區(qū)中會顯示出一個警告圖標。 2Windows 防火墻 該功能加強了對系統(tǒng)中數(shù)據(jù)訪問的過濾功能。 3無線網(wǎng)絡 使無線網(wǎng)絡的連接配置更加簡便，同時加強了無線網(wǎng)絡連接的安全保證。,系統(tǒng)啟動過程,1. 預引

3、導(Pre-Boot)階段； 2. 引導階段； 3. 加載內核階段； 4. 初始化內核階段； 5. 登陸。,預引導(Pre-Boot)階段,在計算機啟動加電之后，并且在Windows XP 操作系統(tǒng)啟動之前這段時間，稱之為預引導（Pre-Boot）階段。 在這個階段里，計算機首先運行Power On Self Test（POST），POST 檢測系統(tǒng)的總內存以及其他硬件設備的現(xiàn)狀。 如果計算機系統(tǒng)的BIOS(基礎輸入/輸出系統(tǒng))是即插即用的，那么計算機硬件設備將經(jīng)過檢驗以及完成配置。 計算機的基礎輸入/輸出系統(tǒng)（BIOS）定位計算機的引導設備，然后MBR(Master Boot Record)

4、 主引導記錄被加載并運行。在預引導階段，從引導扇區(qū)加載并初始化NTLDR 文件。 注：NTLDR 存放于C 盤根目錄下，是一個具有隱藏、只讀屬性的系統(tǒng)文件，主要職責是解析Boot.ini 文件。,引導階段,初始引導加載器階段 從實模式轉換為32位平面模式 操作系統(tǒng)選擇階段 設置boot.ini文件使系統(tǒng)提供操作系統(tǒng)選擇 硬件檢測階段 N將收集計算機硬件信息列表并將列表返回到NTLDR，便于以后將這些信息加入HKEY_LOCAL_MACHINE下的hardware 配置選擇階段,加載內核階段,ntldr 加載稱為Windows XP 內核的ntokrnl.exe。系統(tǒng)加載了WindowsXP 內

5、核但是沒有將它初始化。接著ntldr 加載硬件抽象層（HAL，hal.dll）。然后，系統(tǒng)繼續(xù)加載HKEY_LOCAL_MACHINEsystem鍵，NTLDR 讀取select鍵來決定哪一個Control Set將被加載?？刂萍邪O備的驅動程序以及需要加載的服務。NTLDR 加載HKEY_LOCAL_MACHINEsystemservice.下start 鍵值為0 的最底層設備驅動。當作為Control Set 的鏡像的Current Control Set被加載時，ntldr 傳遞控制給內核，初始化內核階段就開始了。 注：如果在啟動的時候按F8 鍵，那么我們將會在啟動菜單中看到多種選擇

6、啟動模式，這時NTLDR 將根據(jù)用戶的選擇來使用啟動參數(shù)加載NT內核，用戶也可以在Boot.ini 文件里設置啟動參數(shù)。,初始化內核階段,系統(tǒng)完成了啟動的4項任務 內核使用在硬件檢測時收集到的數(shù)據(jù)來創(chuàng)建了HKEY_LOCAL_MACHINEHARDWARE鍵。 內核通過引用HKEY_LOCAL_MACHINEsystemCurrent的默認值復制Control Set來創(chuàng)建了Clone Control Set。Clone Control Set配置是計算機數(shù)據(jù)的備份，不包括啟動中的改變，也不會被修改。 系統(tǒng)完成初始化以及加載設備驅動程序，內核初始化那些在加載內核階段被加載的底層驅動程序，然后內

7、核掃描HKEY_LOCAL_MACHINEsystemCurrentControlSetservice.下start鍵值為1的設備驅動程序。 Session Manager啟動了Windows XP高級子系統(tǒng)以及服務，Session Manager啟動控制所有輸入、輸出設備以及訪問顯示器屏幕的Win32子系統(tǒng)以及Winlogon進程，初始化內核完畢。,登錄方式,交互式登錄 登錄界面的歡迎信息，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.編輯相應項值 網(wǎng)絡登錄 采用域帳號登錄 服務登錄 批處理登錄 通常被

8、執(zhí)行批處理操作的程序所使用,交互式登錄的系統(tǒng)組件,Winlogon,加載GINA，監(jiān)視認證順序,加載認證包,支持額外的驗證機制,為認證建立安全通道,提供登陸接口,提供真正的用戶校驗,管理用戶和用戶證書的數(shù)據(jù)庫,Winlogonexe,加載其他登錄組件；提供同安全相關的用戶操作圖形界面，以便用戶能進行登錄或注銷等相關操作。 如果用戶設置了“安全登錄”，在Winlogon 初始化時，會在系統(tǒng)中注冊一個SAS (Secure Attention Sequence-安全警告序列)。SAS 是一組組合鍵，默認情況下為Ctrl-Alt-Delete。它的作用是確保用戶交互式登錄時輸入的信息被系統(tǒng)所接受，而

9、不會被其他程序所獲取。所以說，使用“安全登錄”進行登錄，可以確保用戶的賬號和密碼不會被黑客盜取。要啟用“安全登錄”的功能，可以運行“Control userpasswords2”命令，打開“用戶賬戶”對話框，選擇“高級”。選中“要求用戶按Ctrl-Alt-Delete”選項后確定即可。以后，在每次登錄對話框出現(xiàn)前都有一個提示，要求用戶按Ctrl-Alt-Delete 組合鍵，目的是為了在登錄時出現(xiàn)Windows XP的GINA 登錄對話框，因為只有系統(tǒng)本身的GINA 才能截獲這個組合鍵信息。 Winlogon.exe的三種狀態(tài) 已登錄狀態(tài) 已注銷狀態(tài) 已鎖定狀態(tài),GINA,GINA 的全稱為“

10、Graphical Identification and Authentication”-圖形化識別和驗證，是幾個動態(tài)數(shù)據(jù)庫文件，被Winlogon.exe 所調用，為其提供能夠對用戶身份進行識別和驗證的函數(shù)，并把用戶的賬號和密碼反饋給Winlogon.exe。在登錄過程中，“歡迎屏幕”和“登錄對話框”就是GINA 顯示的。 Winlogon 調用了GINA 組文件，把用戶提供的賬號和密碼傳達給GINA，由GINA負責對賬號和密碼的有效性進行驗證，然后把驗證結果反饋給Winlogon程序。在與Winlogon.exe 對話時，GINA 會首先確定Winlogon.exe 的當前狀態(tài)，再根據(jù)不同

11、狀態(tài)來執(zhí)行不同的驗證工作。 用GINA 生成3 個桌面系統(tǒng) Winlogon 桌面 用戶桌面 屏幕保護桌面,LSA 服務,LSA 的全稱為“Local Security Authority”-本地安全授權，是Windows 系統(tǒng)中一個相當重要的服務，所有安全認證相關的處理都要通過這個服務。它從Winlogon.exe 中獲取用戶的賬號和密碼，然后經(jīng)過密鑰機制處理，并和存儲賬號數(shù)據(jù)庫中的密鑰進行對比，如果對比的結果匹配，LSA 就認為用戶的身份有效，允許用戶登錄計算機。如果對比的結果不匹配，LSA 就認為用戶的身份無效。這時用戶就無法登錄計算機。,SAM 數(shù)據(jù)庫,SAM 的全稱為“Securit

12、y Account Manager”-安全賬號管理器，是一個被保護的子系統(tǒng)，它通過存儲在計算機注冊表中的安全賬號來管理用戶和用戶組的信息。我們可以把SAM 看成一個賬號數(shù)據(jù)庫。對于沒有加入到域的計算機來說，它存儲在本地，而對于加入到域的計算機，它存儲在域控制器上。,登錄到本機的過程,1. 用戶首先按Ctrl+Alt+Del 組合鍵。 2. Winlogon 檢測到用戶按下SAS 鍵，就調用GINA，由GINA 顯示登錄對話框，以便用戶輸入賬號和密碼。 3. 用戶輸入賬號和密碼，確定后，GINA 把信息發(fā)送給LSA 進行驗證。 4. 在用戶登錄到本機的情況下，LSA 會調用驗證程序包，把用戶信息

13、處理后生成密鑰，同SAM 數(shù)據(jù)庫中存儲的密鑰進行對比。 5. 如果對比后發(fā)現(xiàn)用戶有效，SAM 會把用戶的SID(Security Identifier-安全標識)，用戶所屬用戶組的SID，和其他一些相關信息發(fā)送給LSA。 6. LSA 把收到的SID 信息創(chuàng)建安全訪問令牌，然后把令牌的句柄和登錄信息發(fā)送給Winlogon.exe。 7. Winlogon.exe 對用戶登錄處理后，完成整個登錄過程。,登錄到域的過程,1. 用戶首先按Ctrl+Alt+Del 組合鍵。 2. Winlogon檢測到用戶按下SAS 鍵，就調用GINA，由GINA 顯示登錄對話框。 3. 用戶輸入所要登錄的域、賬號與

14、密碼，確定后，GINA 把相關信息發(fā)送給LSA 進行驗證。 4. 在用戶登錄到本機的情況下，LSA 把請求發(fā)送給Kerberos 驗證程序包。通過散列算法，根據(jù)用戶信息生成一個密鑰，并把密鑰存儲在證書緩存區(qū)中。 5. Kerberos 驗證程序向KDC(Key Distribution Center-密鑰分配中心)發(fā)送一個包含用戶身份信息和驗證預處理數(shù)據(jù)的驗證服務請求，其中包含用戶證書和散列算法加密時間的標記。 6. KDC 接收到數(shù)據(jù)后，利用自己的密鑰對請求中的時間標記進行解密，通過解密的時間標記是否正確，就可以判斷用戶是否有效。 7. 如果用戶有效，KDC 把向用戶發(fā)送一個TGT(Tick

15、et-Granting Ticket-票據(jù)授予票據(jù))。該TGT(AS_REP)把用戶的密鑰進行解密，其中包含會話密鑰、該會話密鑰指向的用戶名稱、該票據(jù)的最大生命期以及其他一些可能需要的數(shù)據(jù)和設置等。用戶所申請的票據(jù)在KDC 的密鑰中被加密，并附著在AS_REP 中。在TGT 的授權數(shù)據(jù)部分包含用戶賬號的SID 以及該用戶所屬的全局組和通用組的SID。注意，返回到LSA 的SID 包含用戶的訪問令牌。票據(jù)的最大生命期是由域策略決定的。如果票據(jù)在活動的會話中超過期限，用戶就必須申請新的票據(jù)。 8. 當用戶試圖訪問資源時，客戶系統(tǒng)使用TGT從域控制器上的Kerberos TGS 請求服務票據(jù))。然后

16、TGS 把服務票據(jù)發(fā)送給客戶。該服務票據(jù)是使用服務器的密鑰進行加密的。同時，SID 被Kerberos 服務從TGT 復制到所有的Kerberos服務包含的子序列服務票據(jù)中。 9. 客戶把票據(jù)直接提交到需要訪問的網(wǎng)絡服務上，通過服務票據(jù)就能證明用戶的標識和針對該服務的權限，以及服務對應用戶的標識。,自動登錄,運行“Control userpasswords2”，在“用戶賬戶”窗口中取消“要使用本機，用戶必須輸入用戶名和密碼”選項，確定后會出現(xiàn)一個對話框，輸入要自動登錄的賬號和密碼即可 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVer

17、sionWinlogon在右邊窗口中新建兩個字符串值DefaultUserName”和“DefaultPassword”，分別賦值為你想自動登錄的用戶名和密碼，DefaultUserName一般已有，然后再新建一個名為“AutoAdminLogon”的字符串并賦值為1,啟動密碼保護,Windows XP 還有一個更安全的“啟動密碼”，這個密碼顯示在用戶密碼前，而且還可以生成鑰匙盤，如果設置它，你的Windows XP 就更加安全了。Syskey命令設置啟動密碼的方式： 設置啟動密碼 制作“鑰匙盤”,windowsXP 安全模式的效用,修復連接狀態(tài)中斷 檢測不兼容的硬件 卸載不正確的驅動,啟動模

18、式,1.安全模式 只有基本文件和驅動程序、默認系統(tǒng)服務 2.帶網(wǎng)絡連接的安全模式 安全模式網(wǎng)絡連接 3.帶命令行提示符的安全模式 只有基本文件和驅動程序 4.啟用啟動日志 安全模式ntbtlog.txt日志 5.啟用VGA 模式 利用基本VGA模式 6.最后一次正確的配置 使用上一次關閉時所保存的注冊表信息和驅動程序來啟動 7.目錄服務恢復模式 用于恢復域控制器上的SYSVOL目錄和AD目錄服務，針對服務器操作系統(tǒng) 8.調試模式 啟動時通過串行電纜將調試信息發(fā)送到另一臺計算機。,禁用安全模式,通過修改注冊表，使用戶無法進入Windows XP帶有命令行的安全模式，避免他人在安全模式下利用net

19、 user 命令修改其他用戶的密碼，同時限制受限用戶訪問并修改注冊表，避免他人修改注冊表啟動安全模式。 使用管理員級別帳戶登錄Windows XP，在“運行”窗口中輸入“regedit”，打開注冊表編輯器，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot鍵值， 將SafeBoot下的“Minimal”及“Network”項，改名為“Minimal1”及“Network1”或其它與原鍵值不同的名稱，修改完成后，其他人在啟動時按F8 鍵進入任何一種安全模式，系統(tǒng)都會自動重啟。 在注冊表編輯器中，選中HKEY_LOCAL _MACH

20、INE，單擊右鍵，選擇菜單“權限”，打開“HKEY_ LOCAL_MACHINE的權限”窗口，選中“Users”，勾去“Users 的權限”下的“讀取”項。這樣就可以防止普通用戶修改注冊表使安全模式恢復正常。,啟動的隱藏之處（一）,1當前用戶專有的啟動文件夾 這是許多應用軟件自動啟動的常用位置，Windows 自動啟動放入該文件夾的所有快捷方式。用戶啟動文件夾一般在：Documents and Settings開始菜單程序啟動，其中“”是當前登錄的用戶帳戶名稱。 2對所有用戶有效的啟動文件夾 這是尋找自動啟動程序的第二個重要位置，不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動啟動這

21、是它與用戶專有的啟動文件夾的區(qū)別所在。該文件夾一般在：Documents and SettingsAll Users開始菜單程序啟動。 3 Load 注冊鍵 HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload 4Userinit 注冊鍵 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit 5ExplorerRun 注冊鍵HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurren

22、tVersionPoliciesExplorerRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun,啟動的隱藏之處（二）,6RunServicesOnce 注冊鍵，用來啟動服務程序，啟動時間在用戶登錄之前，先于其他通過注冊鍵啟動的程序 HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersio

23、nRunServicesOnce 7RunServices 注冊鍵，RunServices 注冊鍵指定的程序緊接RunServicesOnce 指定的程序之后運行，但兩者都在用戶登錄之前。 HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionRunServices， HKEY_LOCAL_MACHINESOFTWARE Microsoft Windows CurrentVersionRunServices。 8RunOnceSetup 注冊鍵，指定了用戶登錄之后運行的程序， HKEY_CURRENT_USERSoftwareMicr

24、osoftWindowsCurrentVersionRunOnceSetup HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup 9RunOnce 注冊鍵，指定自動運行程序 HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoft Windows CurrentVersionRunOnce HKEY_LOCAL_MACHINE 下面的RunOnce 鍵會在用戶登錄之后立

25、即運行程序，運行時機在其他Run 鍵指定的程序之前。HKEY_CURRENT_USER 下面的RunOnce 鍵在操作系統(tǒng)處理其他Run鍵以及“ 啟動” 文件夾的內容之后運行。如果是XP ， 還需要檢查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersion RunOnceEx。 10Run 注冊鍵，指定自動運行程序 HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun， HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Curre

26、ntVersion Run HKEY_CURRENT_USER 下面的Run 鍵緊接HKEY_LOCAL_MACHINE 下面的Run 鍵運行，但兩者都在處理“啟動”文件夾之前。,windowsXP 有兩類默認賬號,administrator Guest,加固系統(tǒng)賬戶,禁止枚舉賬號 禁用來賓賬戶,加強密碼安全,密碼復雜性要求,強壯密碼的組成 大寫字母 小寫字母 數(shù)字 非字母、數(shù)字的字符 密碼長度：不小于8字節(jié)長,強壯密碼應符合的規(guī)則,個人名字或呢稱,電話號碼、生日等敏感信息,輸入8字符以上密碼,記錄于紙上或放置于辦公處,使用重復的字符,=強壯的密碼,Windows2000口令破解的一個測試結果

27、,在一臺高端PC機(4個CPU)上強行破解 5.5小時內破解字母-數(shù)字口令 45小時破解字母-數(shù)字-部分符號口令 480小時破解字母-數(shù)字-全部符號口令 在200臺集群服務器上強行破解 15分鐘破解字母-數(shù)字-全部符號口令,帳號安全策略,禁用Guest帳號 限制不必要的用戶 創(chuàng)建兩個管理員帳號 把系統(tǒng)Administrator帳號改名 創(chuàng)建一個陷阱帳號 把共享文件的權限從Every組改成授權用戶 不讓系統(tǒng)顯示上次登錄的用戶名 HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Dont-DisplayLastUserName1,帳

28、號安全策略 讓指定的用戶只能在特定時間登錄,如果需要設置這個賬戶從周一到周五的早上9 點到晚上5 點才能登錄?？梢杂孟旅孢@個命令： net user Guest /time:M-F,08:00-17:00， 或者net user Guest /time:M-F,9am-5pm 如果需要依次指定每天的時間，那么也只需要按照下面這個格式： net user Guest /time:M,4am-5pm;T,1pm-3pm;W-F,8:00-17:00。 而net user Guest /time:all 這個命令則可以允許該用戶隨時登錄。,帳號安全策略 限制系統(tǒng)賬號/共享列表,Windows XP

29、的默認安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號/共享列表 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139 空連接。 在Windows XP 的本地安全策略（如果是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項RestrictAnonymous（匿名連接的額外限制）。,帳號安全策略 限制自動登錄的次數(shù),HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon右側窗格創(chuàng)建名為AutoLogonCount 的字

30、符串值，將其值設置為自動登錄的次數(shù)。,密碼策略的推薦設置,合理管理用戶密碼,密碼過期前顯示信息提示 從待機狀態(tài)恢復時不輸入密碼 退出帶密碼的屏保時出現(xiàn)登陸界面 若需要不讓密碼過期，可選中“密碼永不過期”復選框,缺省安全服務的問題,系統(tǒng)安裝好后，缺省會啟動很多服務。但是用戶平時使用到的服務組件是有限的，而哪些很少用到的組件不但占用了不少系統(tǒng)資源，會引起系統(tǒng)不穩(wěn)定外，還會為黑客的遠程入侵提供了多種途徑。,服務分為三種啟動類型,自動 手動 已禁用,十大必禁服務,可以禁止的服務,防范IPC服務的攻擊,第一步：將以下項設置為“1”，就能禁止空用戶連接。 HKEY_LOCAL _MACHINESYSTEM

31、CurrentControlSetControlLSA 的RestrictAnonymous 第二步：打開注冊表的項（如下）， HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesLanmanServerParameters。 對于服務器，添加鍵值“AutoShareServer”，類型為“REG_DWORD”，值為“0”。 對于客戶機，添加鍵值“AutoShareWks”，類型為“REG_DWORD”，值為“0”。,開機優(yōu)化（一）,加快關機速度 HKEY_CURRENT_USERControl PanelDesktop把AutoEndTasks

32、 的鍵值設置為1；然后在將“HungAppTimeout”的鍵值改為“4000(或更少)，默認為50000 HKEY_LOCAL_MACHINESystemCurrentControlSetControl將WaitToKillServiceTimeout 設置為“4000”； 提高寬帶速度 優(yōu)化網(wǎng)上鄰居 HKEY_LOCAL_MACHINEsofewareMicrosoftWindowsCurrent Version ExploreRemoteComputerNameSpace刪除其下的(打印機)和D6277990-4C6A-11CF8D87- 00AA0060F5BF(計劃任務)，重新啟動電腦，再次訪問