windows系統(tǒng)安全技術(shù)

1、Windows系統(tǒng)安全技術(shù),祝曉光zhuxiaoguang@nsfocus.com,提綱,系統(tǒng)安全模型服務(wù)安全性降低風險,Windows系統(tǒng)安全模型,操作系統(tǒng)安全定義,? 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時必須提供的? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認關(guān)閉的,信息安全評估標準,ITSEC和TCSECTCSEC描述的系統(tǒng)安全級別D------------?ACC(Common Critical)標準BS

2、 7799:2000標準體系ISO 17799標準,TCSEC定義的內(nèi)容,沒有安全性可言，例如MS DOS,不區(qū)分用戶，基本的訪問控制,有自主的訪問安全性，區(qū)分用戶,標記安全保護，如System V等,結(jié)構(gòu)化內(nèi)容保護，支持硬件保護,安全域，數(shù)據(jù)隱藏與分層、屏蔽,校驗級保護，提供低級別手段,C2級安全標準的要求,自主的訪問控制對象再利用必須由系統(tǒng)控制用戶標識和認證審計活動能夠?qū)徲嬎邪踩嚓P(guān)事件和個人活動只有管理員才有權(quán)限訪問

3、,CC(Common Critical)標準,CC的基本功能標準化敘述技術(shù)實現(xiàn)基礎(chǔ)敘述CC的概念維護文件安全目標評估目標,Windows系統(tǒng)的安全架構(gòu),Windows NT系統(tǒng)內(nèi)置支持用戶認證、訪問 控制、管理、審核。,Windows系統(tǒng)的安全組件,訪問控制的判斷（Discretion access control） 允許對象所有者可以控制誰被允許訪問該對象以及訪問的方式。 對象重用（Obje

4、ct reuse） 當資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時，Windows 禁止所有的系統(tǒng)應(yīng)用訪問該資源，這也就是為什么無法恢復已經(jīng)被刪除的文件的原因。 強制登陸（Mandatory log on） 要求所有的用戶必須登陸，通過認證后才可以訪問資源審核（Auditing） 在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。對象的訪問控制（Control of access to object

5、） 不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認證后再訪問。,Windows安全子系統(tǒng)的組件,安全標識符（Security Identifiers）: 就是我們經(jīng)常說的SID，每次當我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給改用戶或組一個唯一SID，當你重新安裝系統(tǒng)后，也會得到一個唯一的SID。 SID永遠都是唯一的，由計算機名、當前時間、當前用

6、戶態(tài)線程的CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500訪問令牌（Access tokens）: 用戶通過驗證后，登陸進程會給用戶一個訪問令牌，該令牌相當于用戶訪問系統(tǒng)資源的票證，當用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows 系統(tǒng)，然后Windows NT檢查用戶試圖訪問對象

7、上的訪問控制列表。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當?shù)脑L問權(quán)限。 訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。,Windows安全子系統(tǒng)的組件,安全描述符（Security descriptors）： Windows 系統(tǒng)中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。訪問控制列表（Access cont

8、rol lists）： 訪問控制列表有兩種：任意訪問控制列表（Discretionary ACL）、系統(tǒng)訪問控制列表（System ACL）。任意訪問控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個用戶或組在任意訪問控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對象被訪問的時間。訪問控制項（Access control entries）: 訪問控制項（ACE）包含了用戶或

9、組的SID以及對象的權(quán)限。訪問控制項有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。,Windows安全子系統(tǒng),安全子系統(tǒng)包括以下部分：WinlogonGraphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentica

10、tion PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM),Windows 安全子系統(tǒng),Winlogon,加載GINA，監(jiān)視認證順序,加載認證包,支持額外的驗證機制,為認證建立安全通道,提供登陸接口,提供真正的用戶校驗,管理用戶和用戶證書的數(shù)據(jù)庫,Windows安全子系統(tǒng),Winlogon and Gina:

11、Winlogon調(diào)用GINA DLL，并監(jiān)視安全認證序列。而GINA DLL提供一個交互式的界面為用戶登陸提供認證請求。GINA DLL被設(shè)計成一個獨立的模塊，當然我們也可以用一個更加強有力的認證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINA DLL。 Winlogon在注冊表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL鍵，Wi

12、nlogon將使用這個DLL，如果不存在該鍵，Winlogon將使用默認值MSGINA.DLL,Windows安全子系統(tǒng),本地安全認證（Local Security Authority）： 本地安全認證（LSA）是一個被保護的子系統(tǒng)，它負責以下任務(wù)：調(diào)用所有的認證包，檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該

13、DLL進行認證（MSV_1.DLL）。在4.0版里，Windows NT會尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并調(diào)用。重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號。儲存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。,Windows安全子系統(tǒng),安全支持提供者的接口（Secur

14、ity Support Provide Interface）： 微軟的Security Support Provide Interface很簡單地遵循RFC 2743和RFC 2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認證連接的方法。認證包（Authentication Package）：認證包可以為真實用戶提供認證。通過GINA DLL的可信認證后，認證包返回用戶的SIDs給LSA，然后將

15、其放在用戶的訪問令牌中。,Windows安全子系統(tǒng),安全支持提供者（Security Support Provider）： 安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機制，默認情況下，Windows NT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認證模塊Msapsspc.dll：分布式密碼認證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認證模塊使

16、用某些證書頒發(fā)機構(gòu)提供的證書來進行驗證，常見的證書機構(gòu)比如Verisign。這種認證方式經(jīng)常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）協(xié)議通信的時候用到。,Windows安全子系統(tǒng),網(wǎng)絡(luò)登陸（Netlogon）： 網(wǎng)絡(luò)登陸服務(wù)必須在通過認證后建立一個安全的通道。要實現(xiàn)這個目標，必須通過安全通道與域中的域控制器建立連接，然后

17、，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號管理者（Security Account Manager）： 安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。保存了注冊表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容。不同的域有不同的Sam，在域復制的過程中，Sam包將會被拷貝。,Windows的密碼系統(tǒng),Windo

18、ws NT及Win2000中對用戶帳戶的安全管理使用了安全帳號管理器(security account manager)的機制,安全帳號管理器對帳號的管理是通過安全標識進行的，安全標識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標識也同時被刪除。安全標識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標識都時完全不同的。因此，一旦某個帳號被刪除，它的安全標識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標識，不會保留

19、原來的權(quán)限。,服務(wù)安全性,IIS服務(wù)安全配置,禁用或刪除所有的示例應(yīng)用程序 示例只是示例；在默認情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從 http://localhost 或 127.0.0.1 訪問；但是，它們?nèi)詰?yīng)被刪除。下面 列出一些示例的默認位置。 示例 虛擬目錄 位置IIS 示例

20、 \IISSamples c :\inetpub\iissamplesIIS 文檔 \IISHelp c:\winnt\help\iishelp數(shù)據(jù)訪問 \MSADC c:\program files\common files\system\msadc,IIS服務(wù)安全配置,啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)

21、加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對象組件，但要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 200

22、0 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級到 IIS 5 時，它并不刪除。如果您不使用 Intranet 或如果將服務(wù)器連接到 Web 上，則應(yīng)將其刪除。,IIS服務(wù)安全配置,刪除無用的腳本映射 IIS 被預(yù)先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴展

23、或功能，則應(yīng)刪除該映射，步驟如下： 打開 Internet 服務(wù)管理器。 右鍵單擊 Web 服務(wù)器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 |刪除無用的.htr .ida .idq .printer .idc .stm .shtml等,IIS服務(wù)安全配置,禁用父路徑 “父路徑”選項允許在對諸如 MapPath 函數(shù)調(diào)用中使用“..”。禁用該選項的步驟如下： 右鍵單擊該 Web 站點的根，然后從上

24、下文菜單中選擇“屬性”。 單擊“主目錄”選項卡。 單擊“配置”。 單擊“應(yīng)用程序選項”選項卡。 取消選擇“啟用父路徑”復選框。 禁用-內(nèi)容位置中的 IP 地址 IIS4里的“內(nèi)容-位置”標頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部 IP 地址。,IIS服務(wù)安全配置,設(shè)置適當?shù)?IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%\system

25、32\LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。 設(shè)置適當?shù)?虛擬目錄的權(quán)限 確保 IIS 虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄。 將IIS目錄重新定向 更改系統(tǒng)默認路徑，自定義WEB主目錄路徑并作相應(yīng)的

26、權(quán)限設(shè)置。使用專門的安全工具 微軟的IIS安全設(shè)置工具：IIS Lock Tool；是針對IIS的漏洞設(shè)計的，可以有效設(shè)置IIS安全屬性。,終端服務(wù)安全,輸入法漏洞造成的威脅,net user abc 123 /addnet localgroup administrators abc /add注冊表　DontDisplayLastUserName 1,降低風險,安全修補程序,Windows系列Serv

27、ice PackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序檢查補丁安裝情況http://hfnetchk.shavlik.com/default.asp,服務(wù)和端口限制,限制對外開放的端口: 在TCP/IP的高級設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置。 禁用snmp服務(wù) 或者更改默認的社區(qū)名稱和權(quán)限禁用termi

28、nal server服務(wù)將不必要的服務(wù)設(shè)置為手動 Alerter     ClipBook   Computer Browser ……,Netbios的安全設(shè)置,Win2000 取消綁定文件和共享綁定打開 控制面板－網(wǎng)絡(luò)－高級－高級設(shè)置選擇網(wǎng)卡并將Microsoft 網(wǎng)絡(luò)的文件和打印共享的復選框取消，禁止了139端口。注冊表修改HKE

29、Y_LOCAL_MACHINE\System\Controlset\Services\NetBT\ParametersName: SMBDeviceEnabled Type: REG_DWORDValue: 0禁止445端口。,Netbios的安全設(shè)置,禁止匿名連接列舉帳戶名需要對注冊表做以下修改。注：不正確地修改注冊表會導致嚴重的系統(tǒng)錯誤，請慎重行事！　　1．運行注冊表編輯器（Regedt32.exe）?！?2．定

30、位在注冊表中的下列鍵上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA　　 3．在編輯菜單欄中選取加一個鍵值：　　 Value Name:RestrictAnonymous　　 Data Type:REG_DWORD　　 Value:1（Windows2000下為2） 　 4．退出注冊表編輯器并重啟計算機，使改動生效。,Netbios

31、的安全設(shè)置,Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項，提供三個值可選 0：None. Rely on default permissions（無，取決于默認的權(quán)限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享） 2：No access without explicit a

32、nonymous permissions（沒有顯式匿名權(quán)限就不允許訪問）,Windows 2000注冊表,所有的配置和控制選項都存儲在注冊表中分為五個子樹，分別是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本機相關(guān)配置信息,注冊表安全,注冊表的默認權(quán)限,注冊表的審計

33、,對注冊表的審計是必需的審計內(nèi)容的選擇注冊表每秒被訪問500-1500次任何對象都有可能訪問注冊表默認的注冊表審計策略為空,禁止對注冊表的遠程訪問,禁止和刪除服務(wù),通過services.msc禁止服務(wù)使用Resource Kit徹底刪除服務(wù)Sc命令行工具Instsrv工具舉例OS/2和Posix系統(tǒng)僅僅為了向后兼容Server服務(wù)僅僅為了接受netbios請求,SMB連接與驗證過程,隨機生成一把加密密鑰key(8或1

34、6字節(jié)),采用DES的變形算法，使用key對密碼散列進行加密,SMB提供的服務(wù),SMB會話服務(wù)TCP 139和TCP 445端口

35、

36、

37、

38、

39、 SMB數(shù)據(jù)報支持服務(wù)UDP 138和UDP 445端口SMB名稱支持服務(wù)UDP 137端口,開放SMB服務(wù)的危險,強化SMB會話安全,強制的顯式權(quán)限許可：限制匿名訪問控制LAN Manager驗證使用SMB的簽名服務(wù)端和客戶端都需要配置注冊表 或在本地安全策略中,針對Windows 2000的入侵 (1),探測選擇攻擊對象，了解部分簡單的對象信息；針對具體的攻擊目標，隨便選擇了一組IP地址，進行測試，選

40、擇處于活動狀態(tài)的主機，進行攻擊嘗試針對探測的安全建議對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為對于主機：安裝個人防火墻軟件，禁止外部主機的ping包，使對方無法獲知主機當前正確的活動狀態(tài),針對Windows 2000的入侵 (2),掃描使用的掃描軟件NAT、流光、Xscan、SSS掃描遠程主機 開放端口掃描 操作系統(tǒng)識別 主機漏洞分析,掃描結(jié)果：端口掃描,掃描結(jié)果：操作系統(tǒng)識別,掃描結(jié)果：漏洞掃描,針對Windows 20

41、00的入侵(3),查看目標主機的信息,針對Windows 2000的入侵(4),IIS攻擊嘗試利用IIS中知名的Unicode和“Translate:f”漏洞進行攻擊，沒有成功。目標主機可能已修復相應(yīng)漏洞，或沒有打開遠程訪問權(quán)限Administrator口令強行破解這里我們使用NAT（NetBIOS Auditing Tool）進行強行破解：構(gòu)造一個可能的用戶帳戶表，以及簡單的密碼字典，然后用NAT進行破解,Administrat

42、or口令破解情況,針對Windows 2000的入侵(5),鞏固權(quán)力現(xiàn)在我們得到了Administrator的帳戶，接下去我們需要鞏固權(quán)力裝載后門一般的主機為防范病毒，均會安裝反病毒軟件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及時更新病毒庫，而多數(shù)木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。所以，這為我們增加了難度。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來我們使用NetCa

43、t作為后門程序進行演示,安裝后門程序(1),利用剛剛獲取的Administrator口令，通過Net use映射對方驅(qū)動器,安裝后門程序(2),將netcat主程序nc.exe復制到目標主機的系統(tǒng)目錄下，可將程序名稱改為容易迷惑對方的名字利用at命令遠程啟動NetCat,安裝后門程序(3),針對Windows 2000的入侵(6),清除痕跡我們留下了痕跡了嗎del *.evt echo xxx > *.evt看看它的日