安全协议与标准08-Windows安全

ΓВ安全协议与标准linfb@sdu.edu.cn2011,10ΓВWindows安全•Windows体系结构↓•用户与登录↓•文件与NTFS↓•系统文件保护↓•事件与审计↓•防火墙ICF↓•IIS↓•漏洞与补丁↓•Vista安全↓•域安全↓•ISA↓•Office安全↓•Apix:DDK/WDK↓ΓВWindows体系结构•ΓВWindows2000architecture•ΓВWindows2008withHyper-V•ΓВWindows安全性•设计目标–一致的、健壮的、基于对象的安全模型–满足商业用户的安全需求–一台机器上多个用户之间安全地共享资源•进程，内存，设备，文件，网络•安全模型–服务器管理和保护各种对象–客户通过服务器访问对象•服务器扮演客户，访问对象•访问的结果返回给服务器ΓВ用户与登录•商业系统的最高安全等级一般是C2兼顾易用性和安全性•WindowsNT具有C2级安全等级认证–C2权限控制保护：–用户对自己的行为负责；–系统可以跟踪所有过程和记录某个用户的行为。防止对象重引用，并保证系统安全性监视器的效力。–用户可以设定别人对自己数据的权限。*TrustedComputerSystemEvaluationCriteria–TheTCSEC,frequentlyreferredtoastheOrangeBook,isthecenterpieceoftheDoDRainbowSeriespublications.–TCSECwasreplacedwiththedevelopmentoftheCommonCriteriainternationalstandardoriginallypublishedin2005.ΓВ帐户与组•帐户useraccounts–定义一个用户所必要的信息，包括口令、组成员关系、登录限制、安全ID(SID)、…•组groups–Administrators、guests、backupoperators、remotedesktopusers、users、powerusers、…•AccountIdentifier:Securityidentifier(SID)–时间和空间唯一–S-1-N-Y1-Y2-Y3-Y4–字符串形式和二进制形式的SID•“sysprep.exe”ΓВ用户组•ΓВ用户密码•口令、通行字（password/passwd）•选择合适的口令–要便于记忆，但是不能让别人猜到•不要使用常用单词、短语、缩写、生日、证件号码、默认口令等等–要足够长，否则容易被穷举攻击•8位字符以上–不要不同的帐号使用一个口令•关于空白口令，以及自动登录•智能卡–USBtokenΓВ一种口令攻击方法：利用Google•MD5ΓВCTL-ALT-DEL•为了安全•为了方便，可以从策略中禁止•其他安全策略–in“本地安全设置”ΓВ输入法漏洞•第一次–Windows2000系列–标准输入法–远程桌面登录时亦存在•第二次–Vista–Google输入法–锁定状态时ΓВ远程桌面连接•RDP-remotedesktopprotocol•连接到XP–只能单用户•连接到WindowsServer–用户权限：组RemoteDesktopUsers–支持多用户•速度和颜色–可以调整到32位颜色(gpedit.msc)•可以从Linux中连接到Windows桌面ΓВ文件与NTFS•FAT：FAT16，FAT32，VFAT•NTFS–长文件名、加密与压缩、安全性、能力与性能–stream•扩展名–查看扩展名•隐藏文件–查看隐藏文件•图标ΓВ文件安全属性•用户之间文件访问隔离–实验验证•管理员的全能权限•日常使用不应该以管理员权限ΓВ系统文件保护•系统文件–windows/system32–*.sys/.dll/.ocx/.ttf/.fon/.exe等•文件校验机制(签名)–sigverif.exe•监控•恢复•D:\WINDOWS\system32\dllcache–光盘ΓВ使用SignTool对安装文件进行签名为WindowsInstaller文件(.msi)签名•在开发计算机上，安装您希望用于对文件进行签名的证书。•打开VisualStudio命令提示。•转到包含.msi文件的目录。•利用以下命令为.msi文件签名：•signtoolsign/sha1CertificateHashSetupFile.msiΓВFinalData•1.ImproveDataProtectionandIntegritybyPre-InstallingFINALDATA–DeleteProtection:Protectsagainstthedeletionofimportantfilesanddirectories–FileDeleteManager:AutomaticBackupoffilesbeingdeleted•2.EasyandUsefulRecoveryTools–FilePreview:CheckthecontentsofImagesfiles,MSOfficedocuments,orHTMLfilesbeforerecovering–FileViewer:Extractthetextcontainedinadamagedfile•3.DamagedCD-ROMRecovery–RecoverdatafromdamagedsectorsofCD-RWandCD-Rmedia–SupportCDFS,UDF•4.FullyCompatiblewithMicrosoftWindowsOS–FullycompatiblewithWindows9x/ME/NT4.0/2000/XP–SupportforFAT12/16/32andNTFSΓВEFS-EncryptingFileSystem•EFS的机制–在磁盘上密文存储（而不仅仅靠访问限制）•EFS的证书和私钥管理–创建、备份、恢复•EFS文件加密的教训–加密的文件和分区在系统重装后将不可用，除非恢复先前的证书和私钥•EFS中的关系：用户、管理员、备份员ΓВWindowsDefender•WindowsDefender，曾用名MicrosoftAntiSpyware，是一个用来移除、隔离和预防间谍软件的程序，可以运行在Windows2000、WindowsXP和WindowsServer2003操作系统上，并已内置在WindowsVista。它的测试版于2005年1月6日发布，在2005年6月23日、2006年2月17日微软又发布了更新的测试版本。WindowsDefender的定义库更新很频繁。•WindowsDefender不像其他同类免费产品一样只能扫描系统，它还可以对系统进行实时监控，移除已安装的ActiveX插件，清除大多数微软的程序和其他常用程序的历史纪录。ΓВAdvancedfeatures•Real-timeprotection•InternetExplorerintegration•SoftwareExplorer•WindowsVista-specificfunctionality–blocksallstartupitemsthatrequireadministratorprivilegesΓВWindowsLiveOneCare•WindowsLiveOneCare（或onecare、LIVEONECARE。中文名称未定，Onecare意一份关心）是微软WindowsLive旗下的杀毒软件，也是微软进入安全防护领域的第一个杀毒软件。•其功能包括ProtectionPlus(杀毒，防间谍，防火墙，自动更新)，PerformancePlus(硬盘整理，垃圾清理，自动备份)，BackupandRestore(备份+回复)。同时OneCare也与WindowsUpdate合作，以提供自动视窗系统更新。OneCare也备有即时帮助(24小时/7天)。•discontinuedΓВMicrosoftSecurityEssentials•MicrosoftSecurityEssentials(MSE)isafreeantivirussoftwareproductforMicrosoftWindowsoperatingsystemsthatprovidesprotectionagainstdifferenttypesofmalwaresuchascomputervirus,spyware,rootkitsandtrojanhorses.•UnliketheMicrosoftForefrontfamilyofenterprise-orientedsecurityproducts,MicrosoftSecurityEssentialsisgearedforconsumeruse.•MicrosoftSecurityEssentialsreceivedpositivereviewsuponitsrelease.InSeptember2011,itwasthemostpopularantivirussoftwareproductinNorthAmericaandthesecondmostpopularintheworld.ΓВAutorun•自动播放机制–autorun.inf•自动播放的安全问题•关闭自动播放ΓВ事件与审计•日志服务–启动Windows时，EventLog服务会自动启动。–所有用户都可以查看应用程序和系统日志。只有管理员才能访问安全日志。–在默认情况下，安全日志是关闭的。可以使用组策略来启用安全日志。管理员也可在注册表中设置审核策略，以便当安全日志满出时使系统停止响应。•事件查看器–留意特殊的事件，如登录、登录失败。ΓВ定制要记录的安全事件•“本地安全设置”ΓВ三类事件/日志•应用程序日志–由应用程序或系统程序记录的事件。例如，数据库程序可在应用日志中记录文件错误。程序开发员决定记录哪一个事件。•系统日志–包含Windows的系统组件记录的事件。例如，在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows预先确定由系统组件记录的事件类型。•安全日志–记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。管理器可以指定在安全日志中记录什么事件。例如，如果您已启用登录审核，登录系统的尝试将记录在安全日志里。ΓВ四种类型•错误–重要的问题，如数据丢失或功能丧失。例如，如果在启动过程中某个服务加载失败，这个错误将会被记录下来。•警告–并不是非常重要，但有可能说明将来的潜在问题的事件。例如，当磁盘空间不足时，将会记录警告。•信息–描述了应用程序、驱动程序或服务的成功操作的事件。例如，当网络驱动程序加载成功时，将会记录一个信息事件。•成功审核–成功的审核安全访问尝试。例如，用户试图登录系统成功会被作为成功审核事件记录下来。•失败审核–失败的审核安全登录尝试。例如，如果用户试图访问网络驱动器并失败了，则该尝试将会作为失败审核事件记录下来。ΓВ任务管理器•留意异常进程–svch0st.exe–wsript.exe•taskmgr/tasklist/taskkill–tasklist/mΓВ注册表•Register–C:\Windows\System32\Config\–User’shomedir•Regedit.exe•对注册表的修改–手工修改–hack/crack方式–优化调整ΓВ自动运行的程序启动点•\DocumentsandSettings\用户名字\“开始”菜单\程序\启动•\DocumentsandSettings\AllUsers\“开始”菜单\程序\启动•HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load•HKEY_CURRENT_USER\Software\Microsoft\Window