Windows系统安全

目录操作系统安全定义WINDOWS系统的安全架构WINDOWS系统的安全组件一次针对Windows2000Server的入侵入侵过程的分析我们该做些什么Windows系统安装注意事项Windows系统安全检查与加固Windows系统维护Windows系统异常监控与检查操作系统安全定义•信息安全的五类服务，作为安全的操作系统时必须提供的•有些操作系统所提供的服务是不健全的、默认关闭的Windows系统的安全架构WindowsNT系统内置支持用户认证、访问控制、管理、审核。Windows系统的安全组件访问控制的判断（Discretionaccesscontrol）允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Objectreuse）当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。强制登陆（Mandatorylogon）要求所有的用户必须登陆，通过认证后才可以访问资源审核（Auditing）在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Controlofaccesstoobject）不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。常见安全问题DOS/DDOS漏洞---溢出蠕虫木马、后门病毒口令窃取……一般入侵步骤针对Windows的入侵(1)探测选择攻击对象，了解部分简单的对象信息；针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试针对探测的安全建议对于网络：安装防火墙，禁止这种探测行为对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态针对Windows的入侵(2)扫描使用的扫描软件NAT、流光、Xscan、SSS扫描远程主机开放端口扫描操作系统识别主机漏洞分析扫描结果：端口扫描扫描结果：操作系统识别扫描结果：漏洞扫描针对Windows的入侵(3)查看目标主机的信息针对Windows的入侵(4)IIS攻击尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限Administrator口令强行破解这里我们使用NAT（NetBIOSAuditingTool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解Administrator口令破解情况针对Windows的入侵(5)巩固权力现在我们得到了Administrator的帐户，接下去我们需要巩固权力装载后门一般的主机为防范病毒，均会安装反病毒软件，如NortonAnti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而多数木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来我们使用NetCat作为后门程序进行演示安装后门程序(1)利用刚刚获取的Administrator口令，通过Netuse映射对方驱动器安装后门程序(2)将netcat主程序nc.exe复制到目标主机的系统目录下，可将程序名称改为容易迷惑对方的名字利用at命令远程启动NetCat安装后门程序(3)针对Windows的入侵(6)清除痕迹我们留下了痕迹了吗del*.evtechoxxx*.evt看看它的日志文件无安全日志记录本次入侵，我们都做了什么？踩点扫描渗透口令破解安装后门清除脚印•端口扫描•操作系统探测•漏洞扫描通过入侵来看Windows的防范安装防火墙软件，对安全规则库定期进行更新及时更新操作系统厂商发布的SP补丁程序停止主机上不必要的服务，各种服务打开的端口往往成为黑客攻击的入口使用安全的密码如果没有文件和打印机共享要求，最好禁止135、139和445端口上的空会话经常利用netsession、netstat查看本机连接情况Windows系统安装使用正版可靠安装盘将系统安装在NTFS分区上系统和数据要分开存放在不同的磁盘最小化安装组件安全补丁合集和相关的Hotfix装其它的服务和应用程序补丁防止病毒、正常安装补丁等进行文件系统安全设置最少建立两个分区，一个系统分区，一个应用程序分区，因为微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfix系统安全检查系统信息补丁安装情况帐号和口令网络与服务文件系统日志审核安全性增强系统信息检查服务器是否安装多系统，多系统无法保障文件系统的安全从“operatingsystems”字段可以查到允许启动的系统列表系统信息查看主机路由信息命令补丁安装情况检查当前主机所安装的ServicePack以及HotfixSP版本IE版本，请确认在Hotfix中是否存在IESP1补丁信息Hotfix信息补丁安装情况Mbsa(MicrosoftBaselineSecurityAnalyzer）帐号和口令是否有密码过期策略密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码#密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）#密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议1~7天）实施密码复杂性要求帐号和口令帐户锁定策略检查锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。开始|程序|管理工具|本地安全设置|安全设置|帐户策略：帐户锁定计数器：（建议为30分钟）帐户锁定时间：（建议为30分钟）帐户锁定阀值：（建议5次）确定帐户锁定策略，作为内部网主机，建议使用推荐值；作为互联网服务器建议不要设置该值，因为设置该值可能导致一些服务的拒绝服务。账户锁定帐号和口令检查Guest帐号Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统没有激活禁用闲置账户帐号和口令系统是否使用默认管理员帐号默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。(系统刚装完)Administrator用户名已被修改命令帐号和口令是否存在可疑帐号查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。可禁用不需要帐号：命令命令帐号和口令帐号和口令检查系统中是否存在脆弱口令系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。强壮口令要求：8位或以上口令长度、大小写字母、数字、特殊符号工具：常用扫描工具X-SCAN、流光等。口令破解工具：LC、smbcrack、NAT网络与服务查看网络开放端口查看监听端口网络与服务得到网络流量信息命令网络与服务检查主机端口、进程对应信息Fport--网络与服务查看系统已经启动的服务列表网络与服务查看主机是否开放了共享或管理共享未关闭。默认的共享文件系统查看主机磁盘分区类型服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。开始|管理工具|计算机管理|磁盘管理NTFS分区文件系统检查特定文件的文件权限对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。仅适用于NTFS分区文件系统检查特定目录的权限在检查中一般检查各个磁盘根目录权限、Temp目录权限日志审核检查主机的审核情况开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略日志审核检查系统日志大小、覆盖天数开始|运行|eventvwr|右键“系统”可设置更大的空间存储日志如果空间足够，建议手动清除日志安全性增强—安全选项对匿名连接的额外限制默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项建议设置为“不允许枚举SAM帐号和共享”安全性增强—安全选项安全性增强—安全选项安全性增强—安全选项对匿名连接的额外限制默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项LANManager身份验证级别建议设置为“仅发送NTLMV2响应”安全性增强—安全选项安全性增强—安全选项如果有Windows9x的机器要连接到本机器，则不能做此操作。Win2K支持的认证方法安全性增强—安全选项检查是否登陆时间用完后自动注销用户开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项设置项安全性增强—安全选项是否显示上次成功登陆的用户名开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项设置项安全性增强—安全选项是否允许未登陆系统执行关机命令开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项设置项安全性增强—安全选项仅登陆用户允许使用光盘开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项设置项安全性增强—用户权利指派在“控制面板/管理工具/本地安全策略”中，在左边的选项树中选择“安全设置/本地策略/安全选项”，查看并记录以下参数的设置：从网络访问此计算机：在本地登录：从远端系统强制关机：关闭系统：取得文件或其它对象的所有权：安全性增强—用户权利指派从网络访问此计算机安全性增强—用户权利指派在本地登录安全性增强—用户权利指派从远端系统强制关机安全性增强—用户权利指派关闭系统安全性增强—用户权利指派取得文件或其它对象的所有权系统安全配置补丁安装帐号、口令策略修改网络与服务安全性增强文件系统安全性增强日志审核增强安全性增强补丁安装使用Windowsupdate安装最新补丁手工安装补丁：=trueSUS补丁自动分发系统SUS简介SUS服务的英文全名叫SOFTWAREUPDATESERVICES，就是软件更新服务，它是STPP（StrategicTechnologyProtectionProgram）的一个有效组成部分。它是建立在MicrosoftWindowsUpdate技术上的针对企业用户的一项定制服务。它提供了企业管理和发布重要更新、安全更新的解决方案。通过SUS，用户可以不必再经常查看安全更新并手工下载人工安装。SUS可以提供动态的部署、发布安全更新的功能。帐号、口令策略修改推荐修改为：设置帐号策略后可能导致不符合帐号策略的帐号无法登陆，需修改帐号密码（注：管理员不受帐号策略限制，但管理员密码应复杂）密码长度最小值8字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟网络与服务安全性增强卸载不需要的服务开始|设置|控制面板|添加/删除程序|Windows组件，卸载不需要的服务避免未知漏洞给主机带来的风险网络与服务安全性增强将暂时不需要开放的服务停止开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务避免未知漏洞给主机带来的风险Windows的系统服务单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后