第6章 Windows 的安全

深圳职业技术学院石淑华池瑞楠1第六章windows系统的安全深圳职业技术学院石淑华池瑞楠2主要内容•Windows的安全特性•Windows的安全配置•Windows注册表•Windows的安全审核•Windows攻击实例深圳职业技术学院石淑华池瑞楠3应具备的职业行动能力•了解windows系统的体系结构、启动过程和安全级别•掌握windows系统的安全架构和安全子系统•掌握windows系统的安全审计和安全配置•掌握windows系统常用的系统进程和服务•掌握windows系统的注册表深圳职业技术学院石淑华池瑞楠4Windows的安全特性•用户身份验证•访问控制•证书服务•加密传输IPSEC•EFS加密文件系统深圳职业技术学院石淑华池瑞楠5Windows系统体系结构深圳职业技术学院石淑华池瑞楠6安全策略：CorporateSecurityPolicy用户认证：UserAuthentication加密Encryption审计Audit权限控制AccessControl管理AdministrationWindows的安全包括6个主要的安全元素：1.审计：Audit,2.管理：Administration3.加密：Encryption4.权限控制：AccessControl5.用户认证：UserAuthentication6.安全策略：CorporateSecurityPolicy。WindowsNT/2K系统内置支持用户认证、访问控制、管理、审核。WindowsServer2003的安全模型深圳职业技术学院石淑华池瑞楠7WindowsServer2003的登录过程深圳职业技术学院石淑华池瑞楠8组策略ActiveDirectory服务用户本地安全策略Kerberos审核日志SRM内核MSV1_0NetlogonWindowsNT客户和服务器Windows2000客户和服务器SAM登录本地安全授权（LSA）提供Windows目录服务和复制。它支持轻量级目录访问协议（LDAP）和数据的管理部分Windows中默认的身份验证协议。它用于Windows2000计算机之间以及支持Kerberos身份验证的客户之间的所有身份验证。安全子系统的中心组件，它促使访问令牌、管理本地计算机上的安全策略并向用户登录提供身份验证用于WindowsNT身份验证的身份验证包。它用于为不支持Kerberos身份验证的Windows客户提供兼容支持一个内核模式组件，它可以避免任何用户或进程直接访问对象而且还可以验证所有对象访问，它还生成相应的审核消息是本地用户和工作组的一个数据库，用于对本地用户的登录身份进行验证以及对所有登录的用户权限进行设置Windows安全子系统结构深圳职业技术学院石淑华池瑞楠9安全标识符（SecurityIdentifiers）–就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装WindowsNT后，也会得到一个唯一的SID。–SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500深圳职业技术学院石淑华池瑞楠10WindowsServer的安全标识符深圳职业技术学院石淑华池瑞楠11Windows的安全标识符深圳职业技术学院石淑华池瑞楠121.安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。2.sam文件是windowsNT的用户帐户数据库,所有2K/NT用户的登录名及口令等相关信息都会保存在这个文件中。3.sam文件可以认为类似于unix系统中的passwd文件,不过没有这么直观明了。passwd使用的是存文本的格式保存信息，这是一个linuxpasswd文件内容的例子root:8L7v6:0:0:root:/root:/bin/bashmsql:!!:502:504::/home/msql:/bin/bashunix中的passwd文件中每一行都代表一个用户资料，每一个账号都有七部分资料,不同资料中使用:分割格式如下账号名称:密码:uid:gid:个人资料:用户目录:shell除了密码是加密的以外(这里的密码部分已经shadow了)其他项目非常清楚明了。而Windows中就不是这样,虽然也是用文件保存账号信息,不过如果我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的HKEY_LOCAL_MACHINE\SAM\SAMHKEY_LOCAL_MACHINE\SECURITY\SAM保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。安全账号管理器：SAM观察：注册表中的SAM内容深圳职业技术学院石淑华池瑞楠13SAM数据库•LC5的介绍•使用L0phtCrack5审计WindowsServer2003本地账户实验•使用Cain审计WindowsServer2008本地账户实验•账户安全防护深圳职业技术学院石淑华池瑞楠14本地安全策略*****帐户策略—密码策略：•密码:复杂性启用•密码长度：最小6位•强制密码历史：5次•最长存留：30天*****帐户策略—帐户锁定策略：•帐户锁定3次错误登录•锁定时间20分钟•复位锁定计数20分钟深圳职业技术学院石淑华池瑞楠15Windows注册表•注册表由来•注册表的结构•Windows注册表的根键、主键与子键•注册表的数据类型（3种）•注册表备份•应用举例深圳职业技术学院石淑华池瑞楠16注册表的结构•1.HKEY_LOCAL_MACHINE主键保存的是与“本地”机器相关的信息。•2.HKEY_USER主键保存的是针对所有用户的数据信息。•3.HKEY_CURRENT_USER主键保存的是当前用户用到的信息。•4.HKEY_CLASSES_ROOT主键保存着各种文件的关联信息（即打开方式），还有一些类标识和OLE、DDE之类的信息．•5.HKEY_CURRENT_CONFIG主键保存着当前用户的配置信息．深圳职业技术学院石淑华池瑞楠17注册表的根键、主键与子键•根键：“HKEY”作为前缀开头（5个）•主键•子键•编辑主键与键值深圳职业技术学院石淑华池瑞楠18注册表的数据类型（3种）•二进制(BINARY)：在注册表中，二进制是没有长度限制的，可以是任意个字节的长度。DWORD值(DWORD)：4个字节，系统以十六进制的方式显示DWORD值字符串值(SZ)：通常它由字母和数字组成。深圳职业技术学院石淑华池瑞楠19注册表备份、还原•注册表文件的位置（5个文件）•Ntbackup方式备份•注册表中--导出注册表文件备份•Ntbackup方式还原•注册表中--导入注册表文件还原•用安装光盘深圳职业技术学院石淑华池瑞楠20应用举例•删除管理共享（C$,D$...)•预防BackDoor、木马的破坏•禁止建立空连接深圳职业技术学院石淑华池瑞楠216.5WindowsServer常用的系统进程和服务深圳职业技术学院石淑华池瑞楠22进程（Process）•进程是一个实体。每一个进程都有它自己的地址空间，一般情况下，包括文本区域、数据区域和堆栈。文本区域存储处理器执行的代码；数据区域存储变量和进程执行期间使用的动态分配的内存；堆栈区域存储着活动过程调用的指令和本地变量。•第二，进程是一个“执行中的程序”。程序是一个没有生命的实体，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为进程。•同一程序可产生多个进程深圳职业技术学院石淑华池瑞楠23基本的系统进程1.smss.exeSessionManager2.csrss.exe子系统服务器进程3.winlogon.exe管理用户登录4.services.exe包含很多系统服务5.lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)6.svchost.exe包含很多系统服务7.spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)8.explorer.exe资源管理器9.internat.exe输入法Windows基本的系统进程深圳职业技术学院石淑华池瑞楠24Windows和WindowsVista体系结构深圳职业技术学院石淑华池瑞楠25进程管理实验•IceSword的操作深圳职业技术学院石淑华池瑞楠26Windows的系统服务什么是系统服务优化服务实验深圳职业技术学院石淑华池瑞楠27Windows的系统服务服务包括三种启动类型：自动，手动，已禁用。自动-Windows启动的时候自动加载服务手动-Windows启动的时候不自动加载服务，在需要的时候手动开启已禁用-Windows启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置双击需要进行配置的服务，出现下图所示的属性对话框：深圳职业技术学院石淑华池瑞楠28Windows的系统服务–在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容所记录的就是服务项目驱动程式该在何时被加载。–目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。深圳职业技术学院石淑华池瑞楠29WindowsServer系统的安全模板•安全模板的意义•安全模板的使用•安全配置和分析