Windows系统安全管理.ppt

Windows系统安全管理祝晓光zhuxiaoguang@nsfocus.com提纲帐号管理文件管理Windows攻击介绍安全基本配置帐号管理用户类型Administrator(默认的超级管理员)系统帐号(PrintOperater、BackupOperator)Guest(默认来宾帐号)帐户(accounts)和组(groups)帐户(useraccounts)定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制，…组：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二进制形式的SID密码存放位置注册表HKEY_LOCAL_MACHINE\SAM下Winnt/system32/config/sam添加/删除帐户Win2000/XP下管理工具—计算机管理—本地用户和组WinNT下(域)用户管理器命令行方式netuser用户名密码/add[/delete]将用户加入到组netlocalgroup组名用户名/add[/delete]帐户重命名将Administrator重命名将Guest来宾用户重命名新建一Administrator用户，隶属于Guest组密码策略的推荐设置强制执行密码历史记录密码最长期限密码最短期限密码必须符合复杂性要求为域中所有用户使用可还原的加密来储存密码24个密码42天2天启用禁用针对远程破解的策略定制密码复杂性要求账户锁定策略的推荐设置策略默认设置推荐最低设置帐户锁定时间未定义30分钟帐户锁定阈值05次无效登录复位帐户锁定计数器未定义30分钟SAM数据库与ADSAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%\system32\config\sam中实现DC上，账号与密码散列保存在%systemroot%\ntds\ntds.dit中SYSKEY功能从NT4sp3开始提供散列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘SID与令牌SID唯一标示一个对象使用User2sid和sid2user工具进行双向查询令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码，Windows2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDS-1-1-0EveryoneS-1-2-0Interactive用户S-1-3-0CreatorOwnerS-1-3-1CreatorGroupWindows2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544允许Read=AS-1-5-21……Write=administratorsS-1-5-32-544…File.txtSRM,安全参考监视器访问文件管理Windows系统的用户权利下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许在网络上安装和删除设备驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Shutdownthesystem允许用户关闭系统。Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。Windows系统的用户权限目录权限级别RXWDPO允许的用户动作NoAccess用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限权限级别RXWDPO允许的用户动作NoAccess用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权Windows系统的共享权限共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NTServer服务器上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。Windows系统的共享权限共享权限级别允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)复制和移动文件夹从一个NTFS分区到另一个NTFS分区复制/移动都是继承权限(不同分区，移动=复制+删除)同一个NTFS分区复制：继承移动：保留复制/移动到FAT(32)分区NTFS权限丢失Windows系统服务服务包括三种启动类型：自动，手动，禁用自动-Win2000启动时自动加载服务手动-Win2000启动时不自动加载服务，在需要的时候手动开启禁用-Win2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,该数值内容所记录的就是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。Windows的系统进程基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法Windows的系统进程附加的系统进程（这些进程不是必要的）mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)Windows的系统进程tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服务)ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)lserver.exe注册客户端许可证。(系统服务)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)Windows的系统进程msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)RsFsa.exe管理远程储存的文件的操作。(系统服务)Windows的系统进程grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网