《電腦基礎(chǔ)知識Windows系統(tǒng)安全ppt課件》由會員分享，可在線閱讀，更多相關(guān)《電腦基礎(chǔ)知識Windows系統(tǒng)安全ppt課件（94頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

Windows系統(tǒng)安全,,0,,Windows安全模型,,1,操作系統(tǒng)安全定義,? 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時(shí)必須提供的 ? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的,2,信息安全評估標(biāo)準(zhǔn),ITSEC和TCSEC TCSEC描述的系統(tǒng)安全級別 D------------?A CC(Common Critical)標(biāo)準(zhǔn) BS 7799:2000標(biāo)準(zhǔn)體系 ISO 17799標(biāo)準(zhǔn),3,TCSEC定義的內(nèi)容,沒有安全性可言，例如MS DOS,不區(qū)分用戶，基本的訪問控制,有自主的訪問安全性，區(qū)分用戶,標(biāo)記安全保護(hù)，如System V等,結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù),安全域，數(shù)據(jù)隱藏與分層、屏蔽,校驗(yàn)級保護(hù)，提供低級別手段,4,C2級安全標(biāo)準(zhǔn)的要求,自主的訪問控制 對象再利用必須由系統(tǒng)控制 用戶標(biāo)識和認(rèn)證 審計(jì)活動 能夠?qū)徲?jì)所有安全相關(guān)事件和個(gè)人活動 只有管理員才有權(quán)限訪問,5,CC(Common Critical)標(biāo)準(zhǔn),CC的基本功能 標(biāo)準(zhǔn)化敘述 技術(shù)實(shí)現(xiàn)基礎(chǔ)敘述 CC的概念 維護(hù)文件 安全目標(biāo) 評估目標(biāo),6,Windows 2000安全結(jié)構(gòu),7,Windows 安全子系統(tǒng),Winlogon,加載GINA，監(jiān)視認(rèn)證順序,加載認(rèn)證包,支持額外的驗(yàn)證機(jī)制,為認(rèn)證建立安全通道,提供登陸接口,提供真正的用戶校驗(yàn),管理用戶和用戶證書的數(shù)據(jù)庫,8,,Windows賬號管理,,9,Windows采用的賬號認(rèn)證方案,LanManager認(rèn)證(稱為LM協(xié)議) 早期版本 NTLM v1 認(rèn)證協(xié)議 NT 4.0 SP3之前的版本 NTLM v2 認(rèn)證協(xié)議 NT 4.0 SP4開始支持 Kerberos v5認(rèn)證協(xié)議 Windows 2000引進(jìn),10,用戶類型,Administrator(默認(rèn)的超級管理員) 系統(tǒng)帳號(Print Operater、Backup Operator) Guest(默認(rèn)來賓帳號),11,帳戶(accounts)和組(groups),帳戶(user accounts) 定義了Windows中一個(gè)用戶所必要的信息，包括口令、安全I(xiàn)D(SID)、組成員關(guān)系、登錄限制. 組：universal groups、global groups、local groups Account Identifier: Security identifier(SID) 時(shí)間和空間唯一 S-1-N-Y1-Y2-Y3-Y4 Some well-known SIDs 字符串形式和二進(jìn)制形式的SID,12,Windows 2000的默認(rèn)賬號,賬戶名 注釋 System/localsystem 本地計(jì)算機(jī)的所有特權(quán) Administrator 同上；可以改名，但不能刪除 Guest 有限的權(quán)限，默認(rèn)禁用 IUER_計(jì)算機(jī)名 IIS的匿名訪問，guests組成員 IWAM_計(jì)算機(jī)名 IIS進(jìn)程外應(yīng)用程序運(yùn)行的賬號， Guests組成員 TSInternetUser 終端服務(wù) Krbtgt Kerberos密鑰分發(fā)賬號，只在DC上出現(xiàn)，默認(rèn)禁用,13,Windows 2000下的內(nèi)建組,組名 注釋 Administrators 成員具有本地計(jì)算機(jī)的全部權(quán)限 Users 所有賬號，較低的權(quán)限 Guests 有限的權(quán)限，與users相同 Authenticated users 特殊的隱含組，包含所有已登錄的用戶 Replicator 用于域中的文件復(fù)制 Backup Operators 沒有administrators權(quán)限高，但十分接近 Server Operators 沒有administrators權(quán)限高，但十分接近 Account Operators 沒有administrators權(quán)限高，但十分接近 Print Operators 沒有administrators權(quán)限高，但十分接近,14,密碼存放位置,注冊表HKEY_LOCAL_MACHINE\SAM下 Winnt/system32/config/sam,15,添加/刪除帳戶,Win2000/XP下 管理工具—計(jì)算機(jī)管理—本地用戶和組 WinNT下 (域)用戶管理器 命令行方式 net user 用戶名 密碼 /add [/delete] 將用戶加入到組 net localgroup 組名 用戶名 /add [/delete],16,帳戶重命名,將Administrator重命名 將Guest來賓用戶重命名 新建一Administrator用戶，隸屬于Guest組,17,密碼策略的推薦設(shè)置,18,針對遠(yuǎn)程破解的策略定制,密碼復(fù)雜性要求 賬戶鎖定策略的推薦設(shè)置,,,19,SAM數(shù)據(jù)庫與AD,SAM中口令的保存采用單向函數(shù)(OWF)或散列算法實(shí)現(xiàn) 在%systemroot%\system32\config\sam中實(shí)現(xiàn) DC上，賬號與密碼散列保存在%systemroot%\ntds\ntds.dit中,20,SYSKEY功能,從NT4 sp3開始提供,21,SID與令牌,SID唯一標(biāo)示一個(gè)對象 使用User2sid和sid2user工具進(jìn)行雙向查詢 令牌：通過SID標(biāo)示賬號對象以及所屬的組,SID S-1-5-21-1507001333-1204550764-1011284298-500,令牌 User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544,22,解讀SID,SID S-1-5-21-1507001333-1204550764-1011284298-500,修訂版本編號,頒發(fā)機(jī)構(gòu)代碼，Windows 2000總為5,,子頒發(fā)機(jī)構(gòu)代碼，共有4個(gè)；具有唯一性,相對標(biāo)示符RID，一般為常數(shù),S-1-1-0 Everyone,S-1-2-0 Interactive用戶,S-1-3-0 Creator Owner,S-1-3-1 Creator Group,23,Windows 2000認(rèn)證與授權(quán)訪問,用戶A,SRM,安全參考監(jiān)視器,24,,Windows文件系統(tǒng)管理,,25,Windows 2000默認(rèn)共享,C$、D$… … Ipc$：遠(yuǎn)程會話管理 Admin$：指向%WinDir%目錄，用于遠(yuǎn)程管理,26,Windows系統(tǒng)的用戶權(quán)限,權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作， 指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個(gè)目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級 別相關(guān)聯(lián)的,27,Windows系統(tǒng)的用戶權(quán)限,28,Windows系統(tǒng)的用戶權(quán)限,29,Windows系統(tǒng)的共享權(quán)限,30,復(fù)制和移動文件夾,從一個(gè)NTFS分區(qū)到另一個(gè)NTFS分區(qū) 復(fù)制/移動都是繼承權(quán)限(不同分區(qū)，移動=復(fù)制+刪除) 同一個(gè)NTFS分區(qū) 復(fù)制：繼承 移動：保留 復(fù)制/移動到FAT(32)分區(qū) NTFS權(quán)限丟失,31,Windows系統(tǒng)服務(wù),服務(wù)包括三種啟動類型：自動，手動，禁用 自動：啟動時(shí)自動加載服務(wù) 手動 :啟動時(shí)不自動加載服務(wù)，在需要的時(shí)候手動開啟 禁用：啟動的時(shí)候不自動加載服務(wù)，在需要的時(shí)候選擇手動或者自動方式開啟服務(wù)，并重新啟動電腦完成服務(wù)的配置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一筆 服務(wù)項(xiàng)目子項(xiàng)都有一個(gè) Start 數(shù)值, 該 數(shù)值內(nèi)容所記錄的就是服務(wù)項(xiàng)目驅(qū)動程式該在何時(shí)被加載 目前微軟對 Start 內(nèi)容的定義有 0、1、2、3、4 等五種狀態(tài), 0、1、2 分別代表 Boot、 System、Auto Load 等叁種意義。而 Start 數(shù)值內(nèi)容為 3 的服務(wù)項(xiàng)目代表讓使用 者以手動的方式載入(Load on demand), 4 則是代表停用的狀態(tài), 也就是禁用,32,Windows的系統(tǒng)進(jìn)程,基本的系統(tǒng)進(jìn)程 smss.exe Session Manager csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程 winlogon.exe 管理用戶登錄 lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) svchost.exe 包含很多系統(tǒng)服務(wù) spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) explorer.exe 資源管理器 internat.exe 輸入法,33,Windows的系統(tǒng)進(jìn)程,附加的系統(tǒng)進(jìn)程（這些進(jìn)程不是必要的） mstask.exe 允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù)) regsvc.exe 允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù)) winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。 inetinfo.exe 通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。(系統(tǒng)服務(wù)) tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序。(系統(tǒng)服務(wù)) termsrv.exe 提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的 Windows 2000 Professional 桌面會話以及運(yùn)行在服務(wù)器上的基于 Windows 的程序。(系統(tǒng)服務(wù)) dns.exe 應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù)),34,Windows的系統(tǒng)進(jìn)程,tcpsvcs.exe 提供在 PXE 可遠(yuǎn)程啟動客戶計(jì)算機(jī)上遠(yuǎn)程安裝 Windows 2000 Professional 的能力。(系統(tǒng)服務(wù)) ismserv.exe 允許在 Windows Advanced Server 站點(diǎn)間發(fā)送和接收消息。(系統(tǒng)服務(wù)) ups.exe 管理連接到計(jì)算機(jī)的不間斷電源(UPS)。(系統(tǒng)服務(wù)) wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務(wù)。(系統(tǒng)服務(wù)) llssrv.exe License Logging Service(system service) ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù)) RsSub.exe 控制用來遠(yuǎn)程儲存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù)) locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫。(系統(tǒng)服務(wù)) lserver.exe 注冊客戶端許可證。(系統(tǒng)服務(wù)) dfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù)),35,Windows的系統(tǒng)進(jìn)程,msdtc.exe 并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫，消息隊(duì)列，文件系統(tǒng)，或其它事務(wù)保護(hù)資源管理器。(系統(tǒng)服務(wù)) faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù)) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù)) mnmsrvc.exe 允許有權(quán)限的用戶使用 NetMeeting 遠(yuǎn)程訪問 Windows 桌面。(系統(tǒng)服務(wù)) netdde.exe 提供動態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡(luò)傳輸和安全特性。(系統(tǒng)服務(wù)) smlogsvc.exe 配置性能日志和警報(bào)。(系統(tǒng)服務(wù)) rsvp.exe 為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功能。(系統(tǒng)服務(wù)) RsEng.exe 協(xié)調(diào)用來儲存不常用數(shù)據(jù)的服務(wù)和管理工具。(系統(tǒng)服務(wù)) RsFsa.exe 管理遠(yuǎn)程儲存的文件的操作。(系統(tǒng)服務(wù)),36,Windows的系統(tǒng)進(jìn)程,grovel.exe 掃描零備份存儲(SIS)卷上的重復(fù)文件，并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲點(diǎn)，以節(jié)省磁盤空間。(系統(tǒng)服務(wù)) SCardSvr.exe 對插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問控制。(系統(tǒng)服務(wù)) snmp.exe 包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動并且向網(wǎng)絡(luò)控制臺工作站匯報(bào)。(系統(tǒng)服務(wù)) snmptrap.exe 接收由本地或遠(yuǎn)程 SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運(yùn)行在這臺計(jì)算機(jī)上 SNMP 管理程序。(系統(tǒng)服務(wù)) UtilMan.exe 從一個(gè)窗口中啟動和配置輔助工具。(系統(tǒng)服務(wù)) msiexec.exe 依據(jù) .MSI 文件中包含的命令來安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù)),37,,Windows安全風(fēng)險(xiǎn),,38,基本HTTP請求,“ ”等價(jià)于HTTP命令“GET /files/index.html HTTP/1.0” CGI調(diào)用 “ ”表示將var1和var2提交給cgi.exe(“+”是分隔符) ASP調(diào)用 表示將X、Y分別作為兩個(gè)變量提交,39,HTTP文件遍歷和URL編碼,40,IIS溢出問題(1),.htr緩沖區(qū)溢出漏洞 IPP(Internet Printing Protocol)緩沖區(qū)溢出(IPP是處理.printer文件的---- C:\winnt\system32\msw3prt.dll) 當(dāng)以下調(diào)用超過420字節(jié)時(shí)，問題就會發(fā)生 對策：刪除DLL和文件擴(kuò)展之間的映射,GET /NULL.printer HTTP/1.0 Host : [buffer],41,刪除DLL和文件擴(kuò)展之間的映射,42,IIS溢出問題(2),索引服務(wù)ISAPI擴(kuò)展溢出(通常被稱為ida/idq溢出) 由idq.dll引起，當(dāng)buffer長度超過240字節(jié)時(shí)，問題就會發(fā)生 Null.ida為文件名，無需真的存在 直至現(xiàn)在上沒有漏洞利用代碼 Code Red的感染途徑 對策：刪除idq.dll和文件擴(kuò)展之間的映射,GET /NULL.ida? HTTP/1.1 Host : [buffer],43,IIS溢出問題(3),Frontpage 2000服務(wù)擴(kuò)展溢出 最早由NSFocus(中國安全研究小組)提出 FPSE在Windows 2000中的位置：C:\Program files\Commom Files\Microsoft Shared\Web Server Extensions 問題焦點(diǎn)是fp30reg.dll和fp4areg.dll(后者默認(rèn)總是提供的) 收到超過258字節(jié)的URL請求時(shí)，問題就會出現(xiàn) 漏洞利用工具：fpse2000ex 對策：刪除fp30reg.dll和fp4areg.dll文件,44,IIS的Unicode問題,問題產(chǎn)生的要義 “%c0%af”和“%c1%9c”分別是“/”“\”的unicode表示 其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等 對策 安裝MS00-086中的補(bǔ)丁 由于沒有實(shí)現(xiàn)分區(qū)跳轉(zhuǎn)功能，可以在系統(tǒng)分區(qū)之外安裝IIS 設(shè)置嚴(yán)格的NTFS權(quán)限 在服務(wù)器的Write和Excute ACL中刪除Everyone和User組,45,更近一步---雙解碼/二次解碼,同樣由NSFocus發(fā)布 對策：應(yīng)用MS01-26給出的補(bǔ)丁(不包括在sp2中) 注意和Unicode的區(qū)別，包括相關(guān)日志,GET /scripts/%255c255c%winnt/system32/cmd.exe,46,IIS的其它問題,源代碼泄漏的危險(xiǎn) .htr風(fēng)險(xiǎn) .htw/webhits風(fēng)險(xiǎn) 權(quán)限提升的問題 遠(yuǎn)程調(diào)用RevertToself的ISAPI DLL 向LSA本地注射代碼,47,Windows 2000終端服務(wù),TS(Terminal Service)工作于3389端口 TS基于RDP(Remote Desktop Protocol)實(shí)現(xiàn) 終端服務(wù)不是使用HTTP或HTTPS的，而是通過RDP通道實(shí)現(xiàn) TS監(jiān)聽端口可以自己指定 \HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 值----PortNumber REG_WORD 3389(默認(rèn)),48,針對TS的攻擊,密碼猜測攻擊風(fēng)險(xiǎn)(TSGrinder) 權(quán)限提升風(fēng)險(xiǎn)(PipeUpAdmin、GetAdmin) IME攻擊風(fēng)險(xiǎn) RDP DoS攻擊風(fēng)險(xiǎn),49,走進(jìn)MS客戶端---客戶端風(fēng)險(xiǎn)評估,惡意電子郵件---MIME擴(kuò)展 Outlook緩沖區(qū)溢出 Media Play緩沖區(qū)溢出 VBS地址簿蠕蟲,50,惡意郵件實(shí)例,Helo Mail froam:hi@ Rcpt to:attack@ Data Sublect:Read me Importance:high MIME-Version:1.0 Content-type:text/html;charset=us-ascii Content-Transfer-Encoding:7bit Hi! . quit,通過下列命令執(zhí)行： Type mail.txt | telnet IP 25,51,Outlook溢出,起源于vCard(一種電子名片) Outlook直接打開并運(yùn)行附件中的vCards而不提示用戶 vCards存儲于.vcf文件中，也是沒有提示而直接運(yùn)行的 當(dāng)vCards的生日字段(BDAY)超過55字符時(shí)，就會出現(xiàn)溢出 對策：應(yīng)用IE 5.5 sp2,52,Windows 2000的打印驅(qū)動,以full control權(quán)限運(yùn)行在OS級別 面臨的主要威脅---默認(rèn)情況下任何人都可以安裝打印驅(qū)動 通過配置組策略或直接修改注冊表 攻擊者可能會使用木馬替換打印驅(qū)動,53,媒體元文件,,54,IIS服務(wù)安全配置,禁用或刪除所有的示例應(yīng)用程序,示例只是示例；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從 http://localhost 或 127.0.0.1 訪問；但是，它們?nèi)詰?yīng)被刪除。下面 列出一些示例的默認(rèn)位置。 示例 虛擬目錄 位置 IIS 示例 \IISSamples c :\inetpub\iissamples IIS 文檔 \IISHelp c:\winnt\help\iishelp 數(shù)據(jù)訪問 \MSADC c:\program files\common files\system\msadc,55,IIS服務(wù)安全配置,啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對象組件，但要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級到 IIS 5 時(shí)，它并不刪除。如果您不使用 Intranet 或如果將服務(wù)器連接到 Web 上，則應(yīng)將其刪除,56,IIS服務(wù)安全配置,刪除無用的腳本映射 IIS 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時(shí)，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，步驟如下： 打開 Internet 服務(wù)管理器。 右鍵單擊 Web 服務(wù)器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 | 刪除無用的.htr .ida .idq .printer .idc .stm .shtml等,57,IIS服務(wù)安全配置,禁用父路徑 “父路徑”選項(xiàng)允許在對諸如 MapPath 函數(shù)調(diào)用中使用“”，禁用該選項(xiàng)的步驟如下： 右鍵單擊該 Web 站點(diǎn)的根，然后從上下文菜單中選擇“屬性” 單擊“主目錄”選項(xiàng)卡 單擊“配置” 單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡 取消選擇“啟用父路徑”復(fù)選框 禁用-內(nèi)容位置中的 IP 地址 “內(nèi)容-位置”標(biāo)頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部 IP 地址,58,IIS服務(wù)安全配置,設(shè)置適當(dāng)?shù)?IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件 設(shè)置適當(dāng)?shù)?虛擬目錄的權(quán)限 確保 IIS 虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄 將IIS目錄重新定向 更改系統(tǒng)默認(rèn)路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置 使用專門的安全工具 微軟的IIS安全設(shè)置工具：IIS Lock Tool；是針對IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置IIS安全屬性,59,終端服務(wù)安全,輸入法漏洞造成的威脅,net user abc 123 /add net localgroup administrators abc /add 注冊表 DontDisplayLastUserName 1,60,SMB連接與驗(yàn)證過程,隨機(jī)生成一把加密密鑰key(8或16字節(jié)),采用DES的變形算法，使用key對密碼散列進(jìn)行加密,61,SMB提供的服務(wù),SMB會話服務(wù) TCP 139和TCP 443端口 SMB數(shù)據(jù)報(bào)支持服務(wù) UDP 138和UDP 445端口 SMB名稱支持服務(wù) UDP 137端口 SMB通用命令支持服務(wù),62,開放SMB服務(wù)的危險(xiǎn),63,SMB名稱類型列表(1),64,SMB名稱類型列表(2),65,強(qiáng)化SMB會話安全,強(qiáng)制的顯式權(quán)限許可：限制匿名訪問 控制LAN Manager驗(yàn)證 使用SMB的簽名 服務(wù)端和客戶端都需要配置注冊表,66,,降低Windows風(fēng)險(xiǎn),,67,安全修補(bǔ)程序,Windows系列 Service Pack NT(SP6A)、2000(SP4)、XP(SP2) Hotfix Microsoft出品的hfnetchk程序 檢查補(bǔ)丁安裝情況 ,68,服務(wù)和端口限制,限制對外開放的端口: 在TCP/IP的高級設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置 禁用snmp服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限 禁用terminal server服務(wù) 將不必要的服務(wù)設(shè)置為手動 Alerter ClipBook Computer Browser ……,69,Netbios的安全設(shè)置,Windows 2000/2003 取消綁定文件和共享綁定 打開 控制面板－網(wǎng)絡(luò)－高級－高級設(shè)置 選擇網(wǎng)卡并將Microsoft 網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，即可以完全禁止 TCP 139 和445 Windows NT 在WinNT下取消NetBIOS與TCP/IP協(xié)議的綁定?？梢园慈缦虏襟E進(jìn)行： 點(diǎn)擊“控制面板-網(wǎng)絡(luò)-NetBIOS接口-WINS客戶（TCP/IP)-禁用”，再點(diǎn)“確定”，然后重啟 這樣NT的計(jì)算機(jī)名和工作組名也隱藏了,70,Netbios的安全設(shè)置,禁止匿名連接列舉帳戶名需要對注冊表做以下修改 運(yùn)行注冊表編輯器（Regedt32.exe） 定位在注冊表中的下列鍵上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 在編輯菜單欄中選取加一個(gè)鍵值： Value Name:RestrictAnonymous DataType:REG_DWORD Value:1（Windows 2000下為2）,71,Netbios的安全設(shè)置,Windows 2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項(xiàng)，提供三個(gè)值可選 0：None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享） 2：No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問）,72,Windows 2000注冊表,所有的配置和控制選項(xiàng)都存儲在注冊表中 分為五個(gè)子樹，分別是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config Hkey_local_machine包含所有本機(jī)相關(guān)配置信息,73,注冊表安全,74,注冊表的默認(rèn)權(quán)限,75,注冊表的審計(jì),對注冊表的審計(jì)是必需的 審計(jì)內(nèi)容的選擇 注冊表每秒被訪問500-1500次 任何對象都有可能訪問注冊表 默認(rèn)的注冊表審計(jì)策略為空,76,禁止對注冊表的遠(yuǎn)程訪問,77,禁止和刪除服務(wù),通過services.msc禁止服務(wù) 使用Resource Kit徹底刪除服務(wù) Sc命令行工具 Instsrv工具 舉例 OS/2和Posix系統(tǒng)僅僅為了向后兼容 Server服務(wù)僅僅為了接受netbios請求,78,針對Windows 2000的入侵 (1),探測 選擇攻擊對象，了解部分簡單的對象信息；針對具體的攻擊目標(biāo)，隨便選擇了一組IP地址，進(jìn)行測試，選擇處于活動狀態(tài)的主機(jī)，進(jìn)行攻擊嘗試 針對探測的安全建議 對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為 對于主機(jī)：安裝個(gè)人防火墻軟件，禁止外部主機(jī)的ping包，使對方無法獲知主機(jī)當(dāng)前正確的活動狀態(tài),79,針對Windows 2000的入侵 (2),掃描 使用的掃描軟件 NAT、流光、Xscan、SSS 掃描遠(yuǎn)程主機(jī) 開放端口掃描 操作系統(tǒng)識別 主機(jī)漏洞分析,80,掃描結(jié)果：端口掃描,81,掃描結(jié)果：操作系統(tǒng)識別,82,掃描結(jié)果：漏洞掃描,83,針對Windows 2000的入侵(3),查看目標(biāo)主機(jī)的信息,84,針對Windows 2000的入侵(4),IIS攻擊 嘗試?yán)肐IS中知名的Unicode和“Translate:f”漏洞進(jìn)行攻擊，沒有成功。目標(biāo)主機(jī)可能已修復(fù)相應(yīng)漏洞，或沒有打開遠(yuǎn)程訪問權(quán)限 Administrator口令強(qiáng)行破解 這里我們使用NAT（NetBIOS Auditing Tool）進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶帳戶表，以及簡單的密碼字典，然后用NAT進(jìn)行破解,85,Administrator口令破解情況,86,針對Windows 2000的入侵(5),鞏固權(quán)力 現(xiàn)在我們得到了Administrator的帳戶，接下去我們需要鞏固權(quán)力 裝載后門 一般的主機(jī)為防范病毒，均會安裝反病毒軟件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及時(shí)更新病毒庫，而多數(shù)木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。所以，這為我們增加了難度。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來 我們使用NetCat作為后門程序進(jìn)行演示,87,安裝后門程序(1),利用剛剛獲取的Administrator口令，通過Net use映射對方驅(qū)動器,88,安裝后門程序(2),將netcat主程序nc.exe復(fù)制到目標(biāo)主機(jī)的系統(tǒng)目錄下，可將程序名稱改為容易迷惑對方的名字 利用at命令遠(yuǎn)程啟動NetCat,89,安裝后門程序(3),90,針對Windows 2000的入侵(6),清除痕跡 我們留下了痕跡了嗎 del *.evt echo xxx *.evt 看看它的日志文件 無安全日志記錄,91,通過入侵來看Win 2000的防范,安裝防火墻軟件，對安全規(guī)則庫定期進(jìn)行更新 及時(shí)更新操作系統(tǒng)廠商發(fā)布的SP補(bǔ)丁程序 停止主機(jī)上不必要的服務(wù)，各種服務(wù)打開的端口往往成為黑客攻擊的入口 使用安全的密碼 如果沒有文件和打印機(jī)共享要求，最好禁止135、139和445端口上的空會話 經(jīng)常利用net session、netstat查看本機(jī)連接情況,92,Q&A,感謝聆聽！ Thank you for attending！,93,