Windows2000系统安全管理(1)

Windows2000系统安全管理•系统帐号管理•文件系统管理•系统进程服务•系统安全基本配置用户类型•Administrator(默认的超级管理员)•系统帐号(PrintOperater、BackupOperator)•Guest(默认来宾帐号)系统帐号管理本地用户(accounts)和组(groups)•帐户(useraccounts)-定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制，…•组：Administrators、BackupOperators、Guest、PowerUsers系统帐号管理密码存放位置•注册表HKEY_LOCAL_MACHINE\SAM下•Winnt/system32/config/sam系统帐号管理•Windows下管理工具—计算机管理—本地用户和组•Windows下(域)用户管理器•命令行方式netuser用户名密码/add[/delete]将用户加入到组netlocalgroup组名用户名/add[/delete]添加/删除帐户系统帐号管理Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这是为了方便局域网用户共享文件的。但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接。同时Windows的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：0：None.Relyondefaultpermissions（无，取决于默认的权限）1：DonotallowenumerationofSAMaccountsandshares（不允许枚举SAM帐号和共享）2：Noaccesswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）0，这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等。1，这个值是只允许非NULL用户存取SAM账号信息和共享信息。2，这个值需要注意的是，如果你一旦使用了这个值，共享信息就全完了。本地帐户系统帐号管理SAM数据库与AD•SAM中口令的保存采用单向函数(OWF)或散列算法实现•在%systemroot%\system32\config\sam中实现•DC上，账号与密码散列保存在%systemroot%\ntds\ntds.dit中SYSKEY功能从NT4sp3开始提供散列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘SID与令牌•SID唯一标示一个对象–使用User2sid和sid2user工具进行双向查询•令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码，Windows2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDS-1-1-0EveryoneS-1-2-0Interactive用户S-1-3-0CreatorOwnerS-1-3-1CreatorGroupWindows2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544允许Read=AS-1-5-21……Write=administratorsS-1-5-32-544…File.txtSRM,安全参考监视器访问文件系统管理Windows系统用户的特定权利：•Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。•Addworkstationtoadomain允许用户将工作站添加到域中。•Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。•Changethesystemtime用户可以设置计算机的系统时钟。•Loadandunloaddevicedrive允许在网络上安装和删除设备驱动程序。•Restorefilesanddirectories允许用户恢复以前备份的文件和目录。•Shutdownthesystem允许用户关闭系统。文件系统管理Windows系统的用户权限•权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。文件系统管理目录权限级别RXWDPO允许系统用户的操作NoAccessNone用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子目录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限目录权限文件权限Windows系统的用户权限权限级别RXWDPO允许系统用户的操作NoAccess用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权Windows系统的共享权限共享权限级别允许系统用户的操作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)•从一个NTFS分区到另一个NTFS分区复制或移动都是继承权限(不同分区，移动=复制+删除)•同一个NTFS分区复制：继承移动：保留•复制或移动到FAT(32)分区NTFS权限丢失文件转移权限文件系统管理系统进程和服务Windows系统服务•服务启动类型：自动，手动，禁用自动-Win2000启动时自动加载服务手动-Win2000启动时不自动加载服务，在需要的时候手动开启禁用-Win2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置•注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,该数值内容所记录的就是服务项目驱动程式该在何时被加载。•目前Windows系统对于Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等三种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表禁用状态。Windows系统进程基本的系统进程•smss.exeSessionManager•csrss.exe子系统服务器进程•winlogon.exe用户登录管理•services.exe包含很多的系统服务（DNS、NETBIOS…）•lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IPSEC安全驱动程序。•svchost.exe包含很多系统服务(RPC、红外设备、移动设备…)•spoolsv.exe将文件加载到内存中以便迟后打印。•explorer.exe资源管理器•winmgmt.exe提供系统管理信息。•internat.exe输入法附加的系统进程（这些进程不是必要的）•mstask.exe允许程序在指定时间运行，也叫任务服务。•regsvc.exe允许远程注册表操作。•inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。•tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序（telnet）。•termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。Windows系统进程系统安全基本配置系统安全基本配置•Windows系统安装•本地安全策略的设置•补丁库的更新•紧急修复Windows系统安装•将系统安装在NTFS分区上，系统、数据、应用程序应安装在不同的分区。初始化硬盘只有一个逻辑盘，建议最少建立三个分区，一个系统分区，两个应用程序分区。因为，Windows的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN权限。推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS或者FTP，第三个放其它应用程序或者数据。这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。Windows系统安装•组件的定制：Windows在默认情况下会安装一些常用的组件，但是正是这个默认安装是极度危险的，黑客可以进入任何一台默认安装的Windows。安装时应该确切的知道需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。例如：典型的WEB服务器需要的最小组件选择是：只安装IIS的ComFiles、IISSnap-In、组件。如果确实需要安装其它组件请慎重，特别是：IndexingService、FrontPage2000ServerExtensions、InternetServiceManager(HTML)这几个危险服务。•安装后网络接入：当Windows在安装时有一个漏洞，在你输入Administrator密码后，系统就自动会建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后。在此期间，任何人都可以通过ADMIN$进入你的机器。同时，只要安装一完成各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易被侵入。因此，在完全安装并配置好之前，一定不要把主机接入网络。Windows系统安装本地安全策略的设置•帐户安全策略设置•审核策略设置•其它安全参数设置帐户安全策略设置•将Administrator重命名•将Guest来宾用户重