《電腦基礎(chǔ)知識Windows系統(tǒng)安全ppt課件》由會員分享，可在線閱讀，更多相關(guān)《電腦基礎(chǔ)知識Windows系統(tǒng)安全ppt課件（94頁珍藏版）》請在裝配圖網(wǎng)上搜索。

Windows系統(tǒng)安全,,0,,Windows安全模型,,1,操作系統(tǒng)安全定義,? 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時必須提供的 ? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認關(guān)閉的,2,信息安全評估標準,ITSEC和TCSEC TCSEC描述的系統(tǒng)安全級別 D------------?A CC(Common Critical)標準 BS 7799:2000標準體系 ISO 17799標準,3,TCSEC定義的內(nèi)容,沒有安全性可言，例如MS DOS,不區(qū)分用戶，基本的訪問控制,有自主的訪問安全性，區(qū)分用戶,標記安全保護，如System V等,結(jié)構(gòu)化內(nèi)容保護，支持硬件保護,安全域，數(shù)據(jù)隱藏與分層、屏蔽,校驗級保護，提供低級別手段,4,C2級安全標準的要求,自主的訪問控制 對象再利用必須由系統(tǒng)控制 用戶標識和認證 審計活動 能夠?qū)徲嬎邪踩嚓P(guān)事件和個人活動 只有管理員才有權(quán)限訪問,5,CC(Common Critical)標準,CC的基本功能 標準化敘述 技術(shù)實現(xiàn)基礎(chǔ)敘述 CC的概念 維護文件 安全目標 評估目標,6,Windows 2000安全結(jié)構(gòu),7,Windows 安全子系統(tǒng),Winlogon,加載GINA，監(jiān)視認證順序,加載認證包,支持額外的驗證機制,為認證建立安全通道,提供登陸接口,提供真正的用戶校驗,管理用戶和用戶證書的數(shù)據(jù)庫,8,,Windows賬號管理,,9,Windows采用的賬號認證方案,LanManager認證(稱為LM協(xié)議) 早期版本 NTLM v1 認證協(xié)議 NT 4.0 SP3之前的版本 NTLM v2 認證協(xié)議 NT 4.0 SP4開始支持 Kerberos v5認證協(xié)議 Windows 2000引進,10,用戶類型,Administrator(默認的超級管理員) 系統(tǒng)帳號(Print Operater、Backup Operator) Guest(默認來賓帳號),11,帳戶(accounts)和組(groups),帳戶(user accounts) 定義了Windows中一個用戶所必要的信息，包括口令、安全ID(SID)、組成員關(guān)系、登錄限制. 組：universal groups、global groups、local groups Account Identifier: Security identifier(SID) 時間和空間唯一 S-1-N-Y1-Y2-Y3-Y4 Some well-known SIDs 字符串形式和二進制形式的SID,12,Windows 2000的默認賬號,賬戶名 注釋 System/localsystem 本地計算機的所有特權(quán) Administrator 同上；可以改名，但不能刪除 Guest 有限的權(quán)限，默認禁用 IUER_計算機名 IIS的匿名訪問，guests組成員 IWAM_計算機名 IIS進程外應(yīng)用程序運行的賬號， Guests組成員 TSInternetUser 終端服務(wù) Krbtgt Kerberos密鑰分發(fā)賬號，只在DC上出現(xiàn)，默認禁用,13,Windows 2000下的內(nèi)建組,組名 注釋 Administrators 成員具有本地計算機的全部權(quán)限 Users 所有賬號，較低的權(quán)限 Guests 有限的權(quán)限，與users相同 Authenticated users 特殊的隱含組，包含所有已登錄的用戶 Replicator 用于域中的文件復(fù)制 Backup Operators 沒有administrators權(quán)限高，但十分接近 Server Operators 沒有administrators權(quán)限高，但十分接近 Account Operators 沒有administrators權(quán)限高，但十分接近 Print Operators 沒有administrators權(quán)限高，但十分接近,14,密碼存放位置,注冊表HKEY_LOCAL_MACHINE\SAM下 Winnt/system32/config/sam,15,添加/刪除帳戶,Win2000/XP下 管理工具—計算機管理—本地用戶和組 WinNT下 (域)用戶管理器 命令行方式 net user 用戶名 密碼 /add [/delete] 將用戶加入到組 net localgroup 組名 用戶名 /add [/delete],16,帳戶重命名,將Administrator重命名 將Guest來賓用戶重命名 新建一Administrator用戶，隸屬于Guest組,17,密碼策略的推薦設(shè)置,18,針對遠程破解的策略定制,密碼復(fù)雜性要求 賬戶鎖定策略的推薦設(shè)置,,,19,SAM數(shù)據(jù)庫與AD,SAM中口令的保存采用單向函數(shù)(OWF)或散列算法實現(xiàn) 在%systemroot%\system32\config\sam中實現(xiàn) DC上，賬號與密碼散列保存在%systemroot%\ntds\ntds.dit中,20,SYSKEY功能,從NT4 sp3開始提供,21,SID與令牌,SID唯一標示一個對象 使用User2sid和sid2user工具進行雙向查詢 令牌：通過SID標示賬號對象以及所屬的組,SID S-1-5-21-1507001333-1204550764-1011284298-500,令牌 User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544,22,解讀SID,SID S-1-5-21-1507001333-1204550764-1011284298-500,修訂版本編號,頒發(fā)機構(gòu)代碼，Windows 2000總為5,,子頒發(fā)機構(gòu)代碼，共有4個；具有唯一性,相對標示符RID，一般為常數(shù),S-1-1-0 Everyone,S-1-2-0 Interactive用戶,S-1-3-0 Creator Owner,S-1-3-1 Creator Group,23,Windows 2000認證與授權(quán)訪問,用戶A,SRM,安全參考監(jiān)視器,24,,Windows文件系統(tǒng)管理,,25,Windows 2000默認共享,C$、D$… … Ipc$：遠程會話管理 Admin$：指向%WinDir%目錄，用于遠程管理,26,Windows系統(tǒng)的用戶權(quán)限,權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作， 指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個權(quán)級別都確定了一個執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級 別相關(guān)聯(lián)的,27,Windows系統(tǒng)的用戶權(quán)限,28,Windows系統(tǒng)的用戶權(quán)限,29,Windows系統(tǒng)的共享權(quán)限,30,復(fù)制和移動文件夾,從一個NTFS分區(qū)到另一個NTFS分區(qū) 復(fù)制/移動都是繼承權(quán)限(不同分區(qū)，移動=復(fù)制+刪除) 同一個NTFS分區(qū) 復(fù)制：繼承 移動：保留 復(fù)制/移動到FAT(32)分區(qū) NTFS權(quán)限丟失,31,Windows系統(tǒng)服務(wù),服務(wù)包括三種啟動類型：自動，手動，禁用 自動：啟動時自動加載服務(wù) 手動 :啟動時不自動加載服務(wù)，在需要的時候手動開啟 禁用：啟動的時候不自動加載服務(wù)，在需要的時候選擇手動或者自動方式開啟服務(wù)，并重新啟動電腦完成服務(wù)的配置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一筆 服務(wù)項目子項都有一個 Start 數(shù)值, 該 數(shù)值內(nèi)容所記錄的就是服務(wù)項目驅(qū)動程式該在何時被加載 目前微軟對 Start 內(nèi)容的定義有 0、1、2、3、4 等五種狀態(tài), 0、1、2 分別代表 Boot、 System、Auto Load 等叁種意義。而 Start 數(shù)值內(nèi)容為 3 的服務(wù)項目代表讓使用 者以手動的方式載入(Load on demand), 4 則是代表停用的狀態(tài), 也就是禁用,32,Windows的系統(tǒng)進程,基本的系統(tǒng)進程 smss.exe Session Manager csrss.exe 子系統(tǒng)服務(wù)器進程 winlogon.exe 管理用戶登錄 lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) svchost.exe 包含很多系統(tǒng)服務(wù) spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) explorer.exe 資源管理器 internat.exe 輸入法,33,Windows的系統(tǒng)進程,附加的系統(tǒng)進程（這些進程不是必要的） mstask.exe 允許程序在指定時間運行。(系統(tǒng)服務(wù)) regsvc.exe 允許遠程注冊表操作。(系統(tǒng)服務(wù)) winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。 inetinfo.exe 通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。(系統(tǒng)服務(wù)) tlntsvr.exe 允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(系統(tǒng)服務(wù)) termsrv.exe 提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在服務(wù)器上的基于 Windows 的程序。(系統(tǒng)服務(wù)) dns.exe 應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù)),34,Windows的系統(tǒng)進程,tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統(tǒng)服務(wù)) ismserv.exe 允許在 Windows Advanced Server 站點間發(fā)送和接收消息。(系統(tǒng)服務(wù)) ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統(tǒng)服務(wù)) wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務(wù)。(系統(tǒng)服務(wù)) llssrv.exe License Logging Service(system service) ntfrs.exe 在多個服務(wù)器間維護文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù)) RsSub.exe 控制用來遠程儲存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù)) locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫。(系統(tǒng)服務(wù)) lserver.exe 注冊客戶端許可證。(系統(tǒng)服務(wù)) dfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù)),35,Windows的系統(tǒng)進程,msdtc.exe 并列事務(wù)，是分布于兩個以上的數(shù)據(jù)庫，消息隊列，文件系統(tǒng)，或其它事務(wù)保護資源管理器。(系統(tǒng)服務(wù)) faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù)) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù)) mnmsrvc.exe 允許有權(quán)限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統(tǒng)服務(wù)) netdde.exe 提供動態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡(luò)傳輸和安全特性。(系統(tǒng)服務(wù)) smlogsvc.exe 配置性能日志和警報。(系統(tǒng)服務(wù)) rsvp.exe 為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功能。(系統(tǒng)服務(wù)) RsEng.exe 協(xié)調(diào)用來儲存不常用數(shù)據(jù)的服務(wù)和管理工具。(系統(tǒng)服務(wù)) RsFsa.exe 管理遠程儲存的文件的操作。(系統(tǒng)服務(wù)),36,Windows的系統(tǒng)進程,grovel.exe 掃描零備份存儲(SIS)卷上的重復(fù)文件，并且將重復(fù)文件指向一個數(shù)據(jù)存儲點，以節(jié)省磁盤空間。(系統(tǒng)服務(wù)) SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統(tǒng)服務(wù)) snmp.exe 包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動并且向網(wǎng)絡(luò)控制臺工作站匯報。(系統(tǒng)服務(wù)) snmptrap.exe 接收由本地或遠程 SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運行在這臺計算機上 SNMP 管理程序。(系統(tǒng)服務(wù)) UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統(tǒng)服務(wù)) msiexec.exe 依據(jù) .MSI 文件中包含的命令來安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù)),37,,Windows安全風險,,38,基本HTTP請求,“ ”等價于HTTP命令“GET /files/index.html HTTP/1.0” CGI調(diào)用 “ ”表示將var1和var2提交給cgi.exe(“+”是分隔符) ASP調(diào)用 表示將X、Y分別作為兩個變量提交,39,HTTP文件遍歷和URL編碼,40,IIS溢出問題(1),.htr緩沖區(qū)溢出漏洞 IPP(Internet Printing Protocol)緩沖區(qū)溢出(IPP是處理.printer文件的---- C:\winnt\system32\msw3prt.dll) 當以下調(diào)用超過420字節(jié)時，問題就會發(fā)生 對策：刪除DLL和文件擴展之間的映射,GET /NULL.printer HTTP/1.0 Host : [buffer],41,刪除DLL和文件擴展之間的映射,42,IIS溢出問題(2),索引服務(wù)ISAPI擴展溢出(通常被稱為ida/idq溢出) 由idq.dll引起，當buffer長度超過240字節(jié)時，問題就會發(fā)生 Null.ida為文件名，無需真的存在 直至現(xiàn)在上沒有漏洞利用代碼 Code Red的感染途徑 對策：刪除idq.dll和文件擴展之間的映射,GET /NULL.ida? HTTP/1.1 Host : [buffer],43,IIS溢出問題(3),Frontpage 2000服務(wù)擴展溢出 最早由NSFocus(中國安全研究小組)提出 FPSE在Windows 2000中的位置：C:\Program files\Commom Files\Microsoft Shared\Web Server Extensions 問題焦點是fp30reg.dll和fp4areg.dll(后者默認總是提供的) 收到超過258字節(jié)的URL請求時，問題就會出現(xiàn) 漏洞利用工具：fpse2000ex 對策：刪除fp30reg.dll和fp4areg.dll文件,44,IIS的Unicode問題,問題產(chǎn)生的要義 “%c0%af”和“%c1%9c”分別是“/”“\”的unicode表示 其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等 對策 安裝MS00-086中的補丁 由于沒有實現(xiàn)分區(qū)跳轉(zhuǎn)功能，可以在系統(tǒng)分區(qū)之外安裝IIS 設(shè)置嚴格的NTFS權(quán)限 在服務(wù)器的Write和Excute ACL中刪除Everyone和User組,45,更近一步---雙解碼/二次解碼,同樣由NSFocus發(fā)布 對策：應(yīng)用MS01-26給出的補丁(不包括在sp2中) 注意和Unicode的區(qū)別，包括相關(guān)日志,GET /scripts/%255c255c%winnt/system32/cmd.exe,46,IIS的其它問題,源代碼泄漏的危險 .htr風險 .htw/webhits風險 權(quán)限提升的問題 遠程調(diào)用RevertToself的ISAPI DLL 向LSA本地注射代碼,47,Windows 2000終端服務(wù),TS(Terminal Service)工作于3389端口 TS基于RDP(Remote Desktop Protocol)實現(xiàn) 終端服務(wù)不是使用HTTP或HTTPS的，而是通過RDP通道實現(xiàn) TS監(jiān)聽端口可以自己指定 \HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 值----PortNumber REG_WORD 3389(默認),48,針對TS的攻擊,密碼猜測攻擊風險(TSGrinder) 權(quán)限提升風險(PipeUpAdmin、GetAdmin) IME攻擊風險 RDP DoS攻擊風險,49,走進MS客戶端---客戶端風險評估,惡意電子郵件---MIME擴展 Outlook緩沖區(qū)溢出 Media Play緩沖區(qū)溢出 VBS地址簿蠕蟲,50,惡意郵件實例,Helo Mail froam:hi@ Rcpt to:attack@ Data Sublect:Read me Importance:high MIME-Version:1.0 Content-type:text/html;charset=us-ascii Content-Transfer-Encoding:7bit Hi! . quit,通過下列命令執(zhí)行： Type mail.txt | telnet IP 25,51,Outlook溢出,起源于vCard(一種電子名片) Outlook直接打開并運行附件中的vCards而不提示用戶 vCards存儲于.vcf文件中，也是沒有提示而直接運行的 當vCards的生日字段(BDAY)超過55字符時，就會出現(xiàn)溢出 對策：應(yīng)用IE 5.5 sp2,52,Windows 2000的打印驅(qū)動,以full control權(quán)限運行在OS級別 面臨的主要威脅---默認情況下任何人都可以安裝打印驅(qū)動 通過配置組策略或直接修改注冊表 攻擊者可能會使用木馬替換打印驅(qū)動,53,媒體元文件,,54,IIS服務(wù)安全配置,禁用或刪除所有的示例應(yīng)用程序,示例只是示例；在默認情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請注意一些示例安裝，它們只可從 http://localhost 或 127.0.0.1 訪問；但是，它們?nèi)詰?yīng)被刪除。下面 列出一些示例的默認位置。 示例 虛擬目錄 位置 IIS 示例 \IISSamples c :\inetpub\iissamples IIS 文檔 \IISHelp c:\winnt\help\iishelp 數(shù)據(jù)訪問 \MSADC c:\program files\common files\system\msadc,55,IIS服務(wù)安全配置,啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對象組件，但要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級到 IIS 5 時，它并不刪除。如果您不使用 Intranet 或如果將服務(wù)器連接到 Web 上，則應(yīng)將其刪除,56,IIS服務(wù)安全配置,刪除無用的腳本映射 IIS 被預(yù)先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應(yīng)刪除該映射，步驟如下： 打開 Internet 服務(wù)管理器。 右鍵單擊 Web 服務(wù)器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 | 刪除無用的.htr .ida .idq .printer .idc .stm .shtml等,57,IIS服務(wù)安全配置,禁用父路徑 “父路徑”選項允許在對諸如 MapPath 函數(shù)調(diào)用中使用“”，禁用該選項的步驟如下： 右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性” 單擊“主目錄”選項卡 單擊“配置” 單擊“應(yīng)用程序選項”選項卡 取消選擇“啟用父路徑”復(fù)選框 禁用-內(nèi)容位置中的 IP 地址 “內(nèi)容-位置”標頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部 IP 地址,58,IIS服務(wù)安全配置,設(shè)置適當?shù)?IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件 設(shè)置適當?shù)?虛擬目錄的權(quán)限 確保 IIS 虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄 將IIS目錄重新定向 更改系統(tǒng)默認路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置 使用專門的安全工具 微軟的IIS安全設(shè)置工具：IIS Lock Tool；是針對IIS的漏洞設(shè)計的，可以有效設(shè)置IIS安全屬性,59,終端服務(wù)安全,輸入法漏洞造成的威脅,net user abc 123 /add net localgroup administrators abc /add 注冊表 DontDisplayLastUserName 1,60,SMB連接與驗證過程,隨機生成一把加密密鑰key(8或16字節(jié)),采用DES的變形算法，使用key對密碼散列進行加密,61,SMB提供的服務(wù),SMB會話服務(wù) TCP 139和TCP 443端口 SMB數(shù)據(jù)報支持服務(wù) UDP 138和UDP 445端口 SMB名稱支持服務(wù) UDP 137端口 SMB通用命令支持服務(wù),62,開放SMB服務(wù)的危險,63,SMB名稱類型列表(1),64,SMB名稱類型列表(2),65,強化SMB會話安全,強制的顯式權(quán)限許可：限制匿名訪問 控制LAN Manager驗證 使用SMB的簽名 服務(wù)端和客戶端都需要配置注冊表,66,,降低Windows風險,,67,安全修補程序,Windows系列 Service Pack NT(SP6A)、2000(SP4)、XP(SP2) Hotfix Microsoft出品的hfnetchk程序 檢查補丁安裝情況 ,68,服務(wù)和端口限制,限制對外開放的端口: 在TCP/IP的高級設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置 禁用snmp服務(wù)或者更改默認的社區(qū)名稱和權(quán)限 禁用terminal server服務(wù) 將不必要的服務(wù)設(shè)置為手動 Alerter ClipBook Computer Browser ……,69,Netbios的安全設(shè)置,Windows 2000/2003 取消綁定文件和共享綁定 打開 控制面板－網(wǎng)絡(luò)－高級－高級設(shè)置 選擇網(wǎng)卡并將Microsoft 網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，即可以完全禁止 TCP 139 和445 Windows NT 在WinNT下取消NetBIOS與TCP/IP協(xié)議的綁定?？梢园慈缦虏襟E進行： 點擊“控制面板-網(wǎng)絡(luò)-NetBIOS接口-WINS客戶（TCP/IP)-禁用”，再點“確定”，然后重啟 這樣NT的計算機名和工作組名也隱藏了,70,Netbios的安全設(shè)置,禁止匿名連接列舉帳戶名需要對注冊表做以下修改 運行注冊表編輯器（Regedt32.exe） 定位在注冊表中的下列鍵上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA 在編輯菜單欄中選取加一個鍵值： Value Name:RestrictAnonymous DataType:REG_DWORD Value:1（Windows 2000下為2）,71,Netbios的安全設(shè)置,Windows 2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項，提供三個值可選 0：None. Rely on default permissions（無，取決于默認的權(quán)限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號和共享） 2：No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問）,72,Windows 2000注冊表,所有的配置和控制選項都存儲在注冊表中 分為五個子樹，分別是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config Hkey_local_machine包含所有本機相關(guān)配置信息,73,注冊表安全,74,注冊表的默認權(quán)限,75,注冊表的審計,對注冊表的審計是必需的 審計內(nèi)容的選擇 注冊表每秒被訪問500-1500次 任何對象都有可能訪問注冊表 默認的注冊表審計策略為空,76,禁止對注冊表的遠程訪問,77,禁止和刪除服務(wù),通過services.msc禁止服務(wù) 使用Resource Kit徹底刪除服務(wù) Sc命令行工具 Instsrv工具 舉例 OS/2和Posix系統(tǒng)僅僅為了向后兼容 Server服務(wù)僅僅為了接受netbios請求,78,針對Windows 2000的入侵 (1),探測 選擇攻擊對象，了解部分簡單的對象信息；針對具體的攻擊目標，隨便選擇了一組IP地址，進行測試，選擇處于活動狀態(tài)的主機，進行攻擊嘗試 針對探測的安全建議 對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為 對于主機：安裝個人防火墻軟件，禁止外部主機的ping包，使對方無法獲知主機當前正確的活動狀態(tài),79,針對Windows 2000的入侵 (2),掃描 使用的掃描軟件 NAT、流光、Xscan、SSS 掃描遠程主機 開放端口掃描 操作系統(tǒng)識別 主機漏洞分析,80,掃描結(jié)果：端口掃描,81,掃描結(jié)果：操作系統(tǒng)識別,82,掃描結(jié)果：漏洞掃描,83,針對Windows 2000的入侵(3),查看目標主機的信息,84,針對Windows 2000的入侵(4),IIS攻擊 嘗試利用IIS中知名的Unicode和“Translate:f”漏洞進行攻擊，沒有成功。目標主機可能已修復(fù)相應(yīng)漏洞，或沒有打開遠程訪問權(quán)限 Administrator口令強行破解 這里我們使用NAT（NetBIOS Auditing Tool）進行強行破解：構(gòu)造一個可能的用戶帳戶表，以及簡單的密碼字典，然后用NAT進行破解,85,Administrator口令破解情況,86,針對Windows 2000的入侵(5),鞏固權(quán)力 現(xiàn)在我們得到了Administrator的帳戶，接下去我們需要鞏固權(quán)力 裝載后門 一般的主機為防范病毒，均會安裝反病毒軟件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及時更新病毒庫，而多數(shù)木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。所以，這為我們增加了難度。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來 我們使用NetCat作為后門程序進行演示,87,安裝后門程序(1),利用剛剛獲取的Administrator口令，通過Net use映射對方驅(qū)動器,88,安裝后門程序(2),將netcat主程序nc.exe復(fù)制到目標主機的系統(tǒng)目錄下，可將程序名稱改為容易迷惑對方的名字 利用at命令遠程啟動NetCat,89,安裝后門程序(3),90,針對Windows 2000的入侵(6),清除痕跡 我們留下了痕跡了嗎 del *.evt echo xxx *.evt 看看它的日志文件 無安全日志記錄,91,通過入侵來看Win 2000的防范,安裝防火墻軟件，對安全規(guī)則庫定期進行更新 及時更新操作系統(tǒng)廠商發(fā)布的SP補丁程序 停止主機上不必要的服務(wù)，各種服務(wù)打開的端口往往成為黑客攻擊的入口 使用安全的密碼 如果沒有文件和打印機共享要求，最好禁止135、139和445端口上的空會話 經(jīng)常利用net session、netstat查看本機連接情況,92,Q&A,感謝聆聽！ Thank you for attending！,93,