中科院-系统安全3

北邮•信息安全中心•崔宝江系统安全崔宝江副教授博导北京邮电大学信息安全中心cui_bj@sina.com.cn北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江•1.用户帐户和密码管理ˆ设定安全的密码€至少包含8个字符（获得最高的安全性，至少15个字符，使强硬破解方式成指数倍增长）€大小写、数字和符号的组合€不包含姓名、用户名或者常用单词€不与其他人共享€定期更换密码（1、2、3个月）Windows安全基础北邮•信息安全中心•崔宝江SAM(SecurityAccountsManager)•在独立的Windows计算机上，安全账户管理器负责保存用户账户名和口令的信息•口令通过散列散列并并被加密被加密，现有的技术不能将打乱的口令恢复(尽管如此，散列的口令是可以被猜出的)•SAM组成了注册表的5个配置单元之一，它在文件%systemroot%\system32\config\sam中实现•在Windows2000域控制器上，用户账户和散列的数据保存在活动目录中(默认为%systemroot%\ntds\ntds.dit)。散列是以相同的格式保存的，但是要访问它们必须通过不同的方法北邮•信息安全中心•崔宝江一.Windows安全基础WinlogonGINALSASSSecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库北邮•信息安全中心•崔宝江一.Windows安全基础ˆWinlogonˆGINA图形身份认证和验证动态链接库ˆLSA本地安全管理授权ˆAuthenticationPackages验证软件包ˆNetlogon服务ˆSAM安全帐户管理器北邮•信息安全中心•崔宝江Windows的身份验证机制•不同身份验证机制：ˆLanManager--LM口令散列算法win9XˆNTLM--更加强大的加密NT版winNTSP3ˆNTLMv2–第二版winNTSP4ˆKerberosV5–win2K之后的域环境北邮•信息安全中心•崔宝江LM口令加密方案•LM对口令的处理方法ˆ如果口令不足14位，就用0把口令补足14位ˆ把所有的字母转称大写字母ˆ将处理后的口令分成两组数字，每组是7位。ˆ由这两个7位的数字分别生成8位的DESKEYˆ每一个8位的DESKEY都使用一个魔法数字再进行散列加密形成64位的值ˆ将两组64位的值串连在一起，这就是最终的128位口令散列北邮•信息安全中心•崔宝江LanMan的缺陷与建议•缺陷ˆ如果口令长度在8-13位之间，则后面的7字符先破解，对前7个字符的破解可以提供某些信息•建议：使用较长的口令北邮•信息安全中心•崔宝江NTLM-加密NT版•NTLM(加密NT版)是将用户的口令转换成unicode编码，然后使用MD4算法将口令加密。ˆLANmanager口令使用了较弱的密钥和算法，比较容易破解。ˆ相比较之下，使用较强加密算法的NTLM要安全，而NTLMv2更加安全。北邮•信息安全中心•崔宝江•1.用户帐户和密码管理ˆ设定安全的密码€至少包含8个字符（获得最高的安全性，至少15个字符，使强硬破解方式成指数倍增长）€大小写、数字和符号的组合€不包含姓名、用户名或者常用单词€不与其他人共享€定期更换密码（1、2、3个月）Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理ˆ保护administrator帐户€修改名，不要使用它作为日常帐户€使用后不要保持登录状态€关闭此管理员帐户。Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理ˆ保护guest帐户€关闭、停用、改名€将guest列入拒绝从网络访问名单中（如果没有共享文件夹和打印机），防止guest从网络访问计算机、关闭计算机以及查看日志。Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理ˆ使用syskey增加额外的保护€保护SAM安全SAM:SecurityAccountsManager,包含有本地系统或者所控制域上所有用户的用户名和密文形式的密码，这是攻击者最感兴趣的部位™获取sam的手段从另一个文件系统进行拷贝从关键文件的备份中获取压缩之后的sam文件在线提取密码散列值™破解工具无论是字典破解，还是穷举攻击，往往很奏效Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理ˆ密码破解工具€Winternalslocksmith€Elcomsoftadancedntsecurityexplorer€L0phtcrack5€OffineNTpassword®istryeditor€WindowsXP/2000/NTkey€JohntheripperWindows安全基础北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江Windows安全基础•2.保护注册表ˆ键－子键－键值ˆ键值项格式€键值名：数据类型：键值ˆ键值类型€字符串€二进制值€双字节值（DWORD）北邮•信息安全中心•崔宝江Windows安全基础•2.保护注册表ˆHKEY_CLASSES_ROOTˆHKEY_CURRENT_USERˆHKEY_LOCAL_MACHINEˆHKEY_USERSˆHKEY_CURRENT_CONFIG北邮•信息安全中心•崔宝江Windows安全基础•2.保护注册表ˆ限制注册表的访问权限ˆ监控注册表的变化€FileMon/RegMon™™实时监视文件和注册表的改变€ActiveRegistryMonitor™™获得注册表的快照北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江Windows安全基础•3.监视安全事件ˆ启用安全审核€本地安全策略北邮•信息安全中心•崔宝江Windows安全基础•3.监视安全事件ˆ查看安全日志€事件查看器€EventCombMT北邮•信息安全中心•崔宝江Windows安全基础动作•对登录/注销的失败审核•对登录/注销的成功审核•对用户权限、用户和组管理、安全更改策略、重新启动、关机和系统事件的成功审核•对敏感文件访问和对象访问事件的成功和失败审核•对R/W访问权限的成功和失败进行审核攻击攻击‹‹随机口令攻击随机口令攻击‹‹被盗窃的口令侵入被盗窃的口令侵入‹‹滥用特权滥用特权‹‹不适当的文件访问不适当的文件访问北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性ˆ常用端口和协议ˆ确定活动的端口及其应用程序ˆ限制对端口的访问ˆ关闭不需要的服务北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性ˆ常用端口和协议€IANA(internetassignednumbersauthority)™1~1023已知分配™1024～49151需注册端口™49152～65535自主使用FTP21文件传输协议telnet23使用字符的终端连接Smtp25简单邮件传输协议http80超文本传输协议Pop3110邮局协议版本3NNTP119网络新闻传输协议SNMP161简单网络管理协议HTTPS443安全HTTPRDP3389远端桌面协议（终端服务）Pcanywhere5631/5632PCanywhere7.52北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性ˆ确定活动的端口及其应用程序€任务管理器的进程菜单€tasklist™tasklist/svc™tasklist/v™tasklist/mdll名称€Tlist™Tlist–s™Tlist–t™Tlistpid™Tlist–mdll名称€netstat–aon北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性ˆ限制对端口的访问€TCP/IP筛选器™根据源或目标地址/端口/协议来拒绝或允许流量€InternetConnectionFirewall™组织除了由自己的自己计算机发起的通信的响应外所有进入的流量™防止黑客试图访问可能有监听程序运行的端口€IPSecurity™提供了通过加密和身份验证保护流量的能力北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性ˆ关闭不需要的服务€服务控制台€Services.msc€禁止的服务™Clipbooksever该服务允许通过网络取得系统剪贴版内容的访问权,因容易被非法滥用.所以应该禁止掉这样的服务.™Computerbrowser应该设置为关闭或者手工启动因为越来越多的主机运行这项服务,网上邻居就越不可靠.这就会引起网络性能下降以及名字解析的问题.™NetworkDDEandDDEDSDE如果不是动态数据库交换dde应该尽可能禁止这项服务™Telephony提供TAPI的支持，以便程序控制本地计算机，服务器以及LAN上的电话设备和基于IP的语音连接。™Indexingservice一个依赖rpc的系统服务,支持本地和远程计算机上文件索引,该服务曾经出现过漏洞™telnet允许远程用户登录到此计算机并运行程序™TCP/IPNetBIOSHelper允许对“TCP/IP上NetBIOS(NetBT)”服务以及NetBIOS名称解析的支持。™TaskScheduler使用户能在此计算机上配置和制定自动任务的日程。™RemoteRegistry使远程用户能修改此计算机上的注册表设置。™PrintSpooler将文件加载到内存中以便迟后打印。™Messenger传输客户端和服务器之间的NETSEND和Alerter服务消息。北邮•信息安全中心•崔宝江Q&A