windows系統(tǒng)安全技術(shù)

1、Windows系統(tǒng)安全技術(shù),祝曉光zhuxiaoguang@nsfocus.com,提綱,系統(tǒng)安全模型服務(wù)安全性降低風(fēng)險(xiǎn),Windows系統(tǒng)安全模型,操作系統(tǒng)安全定義,? 信息安全的五類(lèi)服務(wù)，作為安全的操作系統(tǒng)時(shí)必須提供的? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的,信息安全評(píng)估標(biāo)準(zhǔn),ITSEC和TCSECTCSEC描述的系統(tǒng)安全級(jí)別D------------?ACC(Common Critical)標(biāo)準(zhǔn)BS

2、 7799:2000標(biāo)準(zhǔn)體系ISO 17799標(biāo)準(zhǔn),TCSEC定義的內(nèi)容,沒(méi)有安全性可言，例如MS DOS,不區(qū)分用戶，基本的訪問(wèn)控制,有自主的訪問(wèn)安全性，區(qū)分用戶,標(biāo)記安全保護(hù)，如System V等,結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù),安全域，數(shù)據(jù)隱藏與分層、屏蔽,校驗(yàn)級(jí)保護(hù)，提供低級(jí)別手段,C2級(jí)安全標(biāo)準(zhǔn)的要求,自主的訪問(wèn)控制對(duì)象再利用必須由系統(tǒng)控制用戶標(biāo)識(shí)和認(rèn)證審計(jì)活動(dòng)能夠?qū)徲?jì)所有安全相關(guān)事件和個(gè)人活動(dòng)只有管理員才有權(quán)限訪問(wèn)

3、,CC(Common Critical)標(biāo)準(zhǔn),CC的基本功能標(biāo)準(zhǔn)化敘述技術(shù)實(shí)現(xiàn)基礎(chǔ)敘述CC的概念維護(hù)文件安全目標(biāo)評(píng)估目標(biāo),Windows系統(tǒng)的安全架構(gòu),Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問(wèn) 控制、管理、審核。,Windows系統(tǒng)的安全組件,訪問(wèn)控制的判斷（Discretion access control） 允許對(duì)象所有者可以控制誰(shuí)被允許訪問(wèn)該對(duì)象以及訪問(wèn)的方式。 對(duì)象重用（Obje

4、ct reuse） 當(dāng)資源（內(nèi)存、磁盤(pán)等）被某應(yīng)用訪問(wèn)時(shí)，Windows 禁止所有的系統(tǒng)應(yīng)用訪問(wèn)該資源，這也就是為什么無(wú)法恢復(fù)已經(jīng)被刪除的文件的原因。 強(qiáng)制登陸（Mandatory log on） 要求所有的用戶必須登陸，通過(guò)認(rèn)證后才可以訪問(wèn)資源審核（Auditing） 在控制用戶訪問(wèn)資源的同時(shí)，也可以對(duì)這些訪問(wèn)作了相應(yīng)的記錄。對(duì)象的訪問(wèn)控制（Control of access to object

5、） 不允許直接訪問(wèn)系統(tǒng)的某些資源。必須是該資源允許被訪問(wèn)，然后是用戶或應(yīng)用通過(guò)第一次認(rèn)證后再訪問(wèn)。,Windows安全子系統(tǒng)的組件,安全標(biāo)識(shí)符（Security Identifiers）: 就是我們經(jīng)常說(shuō)的SID，每次當(dāng)我們創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶或組一個(gè)唯一SID，當(dāng)你重新安裝系統(tǒng)后，也會(huì)得到一個(gè)唯一的SID。 SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用

6、戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500訪問(wèn)令牌（Access tokens）: 用戶通過(guò)驗(yàn)證后，登陸進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌，該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證，當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，將訪問(wèn)令牌提供給Windows 系統(tǒng)，然后Windows NT檢查用戶試圖訪問(wèn)對(duì)象

7、上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象，系統(tǒng)將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。 訪問(wèn)令牌是用戶在通過(guò)驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷(xiāo)后重新登陸，重新獲取訪問(wèn)令牌。,Windows安全子系統(tǒng)的組件,安全描述符（Security descriptors）： Windows 系統(tǒng)中的任何對(duì)象的屬性都有安全描述符這部分。它保存對(duì)象的安全配置。訪問(wèn)控制列表（Access cont

8、rol lists）： 訪問(wèn)控制列表有兩種：任意訪問(wèn)控制列表（Discretionary ACL）、系統(tǒng)訪問(wèn)控制列表（System ACL）。任意訪問(wèn)控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個(gè)用戶或組在任意訪問(wèn)控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問(wèn)控制列表是為審核服務(wù)的，包含了對(duì)象被訪問(wèn)的時(shí)間。訪問(wèn)控制項(xiàng)（Access control entries）: 訪問(wèn)控制項(xiàng)（ACE）包含了用戶或

9、組的SID以及對(duì)象的權(quán)限。訪問(wèn)控制項(xiàng)有兩種：允許訪問(wèn)和拒絕訪問(wèn)。拒絕訪問(wèn)的級(jí)別高于允許訪問(wèn)。,Windows安全子系統(tǒng),安全子系統(tǒng)包括以下部分：WinlogonGraphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentica

10、tion PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM),Windows 安全子系統(tǒng),Winlogon,加載GINA，監(jiān)視認(rèn)證順序,加載認(rèn)證包,支持額外的驗(yàn)證機(jī)制,為認(rèn)證建立安全通道,提供登陸接口,提供真正的用戶校驗(yàn),管理用戶和用戶證書(shū)的數(shù)據(jù)庫(kù),Windows安全子系統(tǒng),Winlogon and Gina:

11、Winlogon調(diào)用GINA DLL，并監(jiān)視安全認(rèn)證序列。而GINA DLL提供一個(gè)交互式的界面為用戶登陸提供認(rèn)證請(qǐng)求。GINA DLL被設(shè)計(jì)成一個(gè)獨(dú)立的模塊，當(dāng)然我們也可以用一個(gè)更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINA DLL。 Winlogon在注冊(cè)表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL鍵，Wi

12、nlogon將使用這個(gè)DLL，如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL,Windows安全子系統(tǒng),本地安全認(rèn)證（Local Security Authority）： 本地安全認(rèn)證（LSA）是一個(gè)被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)：調(diào)用所有的認(rèn)證包，檢查在注冊(cè)表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該

13、DLL進(jìn)行認(rèn)證（MSV_1.DLL）。在4.0版里，Windows NT會(huì)尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并調(diào)用。重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建用戶的訪問(wèn)令牌。管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)。儲(chǔ)存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。,Windows安全子系統(tǒng),安全支持提供者的接口（Secur

14、ity Support Provide Interface）： 微軟的Security Support Provide Interface很簡(jiǎn)單地遵循RFC 2743和RFC 2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請(qǐng)求安全的認(rèn)證連接的方法。認(rèn)證包（Authentication Package）：認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過(guò)GINA DLL的可信認(rèn)證后，認(rèn)證包返回用戶的SIDs給LSA，然后將

15、其放在用戶的訪問(wèn)令牌中。,Windows安全子系統(tǒng),安全支持提供者（Security Support Provider）： 安全支持提供者是以驅(qū)動(dòng)的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，Windows NT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認(rèn)證模塊使

16、用某些證書(shū)頒發(fā)機(jī)構(gòu)提供的證書(shū)來(lái)進(jìn)行驗(yàn)證，常見(jiàn)的證書(shū)機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）協(xié)議通信的時(shí)候用到。,Windows安全子系統(tǒng),網(wǎng)絡(luò)登陸（Netlogon）： 網(wǎng)絡(luò)登陸服務(wù)必須在通過(guò)認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過(guò)安全通道與域中的域控制器建立連接，然后

17、，再通過(guò)安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號(hào)管理者（Security Account Manager）： 安全賬號(hào)管理者，也就是我們經(jīng)常所說(shuō)的SAM，它是用來(lái)保存用戶賬號(hào)和口令的數(shù)據(jù)庫(kù)。保存了注冊(cè)表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容。不同的域有不同的Sam，在域復(fù)制的過(guò)程中，Sam包將會(huì)被拷貝。,Windows的密碼系統(tǒng),Windo

18、ws NT及Win2000中對(duì)用戶帳戶的安全管理使用了安全帳號(hào)管理器(security account manager)的機(jī)制,安全帳號(hào)管理器對(duì)帳號(hào)的管理是通過(guò)安全標(biāo)識(shí)進(jìn)行的，安全標(biāo)識(shí)在帳號(hào)創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦帳號(hào)被刪除，安全標(biāo)識(shí)也同時(shí)被刪除。安全標(biāo)識(shí)是唯一的，即使是相同的用戶名，在每次創(chuàng)建時(shí)獲得的安全標(biāo)識(shí)都時(shí)完全不同的。因此，一旦某個(gè)帳號(hào)被刪除，它的安全標(biāo)識(shí)就不再存在了，即使用相同的用戶名重建帳號(hào)，也會(huì)被賦予不同的安全標(biāo)識(shí)，不會(huì)保留

19、原來(lái)的權(quán)限。,服務(wù)安全性,IIS服務(wù)安全配置,禁用或刪除所有的示例應(yīng)用程序 示例只是示例；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請(qǐng)注意一些示例安裝，它們只可從 http://localhost 或 127.0.0.1 訪問(wèn)；但是，它們?nèi)詰?yīng)被刪除。下面 列出一些示例的默認(rèn)位置。 示例 虛擬目錄 位置IIS 示例

20、 \IISSamples c :\inetpub\iissamplesIIS 文檔 \IISHelp c:\winnt\help\iishelp數(shù)據(jù)訪問(wèn) \MSADC c:\program files\common files\system\msadc,IIS服務(wù)安全配置,啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)

21、加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對(duì)象組件，但要注意這將也會(huì)刪除 Dictionary 對(duì)象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 200

22、0 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級(jí)到 IIS 5 時(shí)，它并不刪除。如果您不使用 Intranet 或如果將服務(wù)器連接到 Web 上，則應(yīng)將其刪除。,IIS服務(wù)安全配置,刪除無(wú)用的腳本映射 IIS 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類(lèi)型的文件請(qǐng)求時(shí)，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展

23、或功能，則應(yīng)刪除該映射，步驟如下： 打開(kāi) Internet 服務(wù)管理器。 右鍵單擊 Web 服務(wù)器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 |刪除無(wú)用的.htr .ida .idq .printer .idc .stm .shtml等,IIS服務(wù)安全配置,禁用父路徑 “父路徑”選項(xiàng)允許在對(duì)諸如 MapPath 函數(shù)調(diào)用中使用“..”。禁用該選項(xiàng)的步驟如下： 右鍵單擊該 Web 站點(diǎn)的根，然后從上

24、下文菜單中選擇“屬性”。 單擊“主目錄”選項(xiàng)卡。 單擊“配置”。 單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。 取消選擇“啟用父路徑”復(fù)選框。 禁用-內(nèi)容位置中的 IP 地址 IIS4里的“內(nèi)容-位置”標(biāo)頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部 IP 地址。,IIS服務(wù)安全配置,設(shè)置適當(dāng)?shù)?IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%\system

25、32\LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。 設(shè)置適當(dāng)?shù)?虛擬目錄的權(quán)限 確保 IIS 虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄。 將IIS目錄重新定向 更改系統(tǒng)默認(rèn)路徑，自定義WEB主目錄路徑并作相應(yīng)的

26、權(quán)限設(shè)置。使用專門(mén)的安全工具 微軟的IIS安全設(shè)置工具：IIS Lock Tool；是針對(duì)IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置IIS安全屬性。,終端服務(wù)安全,輸入法漏洞造成的威脅,net user abc 123 /addnet localgroup administrators abc /add注冊(cè)表　DontDisplayLastUserName 1,降低風(fēng)險(xiǎn),安全修補(bǔ)程序,Windows系列Serv

27、ice PackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序檢查補(bǔ)丁安裝情況http://hfnetchk.shavlik.com/default.asp,服務(wù)和端口限制,限制對(duì)外開(kāi)放的端口: 在TCP/IP的高級(jí)設(shè)置中選擇只允許開(kāi)放特定端口，或者可以考慮使用路由或防火墻來(lái)設(shè)置。 禁用snmp服務(wù) 或者更改默認(rèn)的社區(qū)名稱和權(quán)限禁用termi

28、nal server服務(wù)將不必要的服務(wù)設(shè)置為手動(dòng) Alerter     ClipBook   Computer Browser ……,Netbios的安全設(shè)置,Win2000 取消綁定文件和共享綁定打開(kāi) 控制面板－網(wǎng)絡(luò)－高級(jí)－高級(jí)設(shè)置選擇網(wǎng)卡并將Microsoft 網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，禁止了139端口。注冊(cè)表修改HKE

29、Y_LOCAL_MACHINE\System\Controlset\Services\NetBT\ParametersName: SMBDeviceEnabled Type: REG_DWORDValue: 0禁止445端口。,Netbios的安全設(shè)置,禁止匿名連接列舉帳戶名需要對(duì)注冊(cè)表做以下修改。注：不正確地修改注冊(cè)表會(huì)導(dǎo)致嚴(yán)重的系統(tǒng)錯(cuò)誤，請(qǐng)慎重行事！　　1．運(yùn)行注冊(cè)表編輯器（Regedt32.exe）?！?2．定

30、位在注冊(cè)表中的下列鍵上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA　　 3．在編輯菜單欄中選取加一個(gè)鍵值：　　 Value Name:RestrictAnonymous　　 Data Type:REG_DWORD　　 Value:1（Windows2000下為2） 　 4．退出注冊(cè)表編輯器并重啟計(jì)算機(jī)，使改動(dòng)生效。,Netbios

31、的安全設(shè)置,Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項(xiàng)，提供三個(gè)值可選 0：None. Rely on default permissions（無(wú)，取決于默認(rèn)的權(quán)限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號(hào)和共享） 2：No access without explicit a

32、nonymous permissions（沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)）,Windows 2000注冊(cè)表,所有的配置和控制選項(xiàng)都存儲(chǔ)在注冊(cè)表中分為五個(gè)子樹(shù)，分別是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本機(jī)相關(guān)配置信息,注冊(cè)表安全,注冊(cè)表的默認(rèn)權(quán)限,注冊(cè)表的審計(jì)

33、,對(duì)注冊(cè)表的審計(jì)是必需的審計(jì)內(nèi)容的選擇注冊(cè)表每秒被訪問(wèn)500-1500次任何對(duì)象都有可能訪問(wèn)注冊(cè)表默認(rèn)的注冊(cè)表審計(jì)策略為空,禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問(wèn),禁止和刪除服務(wù),通過(guò)services.msc禁止服務(wù)使用Resource Kit徹底刪除服務(wù)Sc命令行工具Instsrv工具舉例OS/2和Posix系統(tǒng)僅僅為了向后兼容Server服務(wù)僅僅為了接受netbios請(qǐng)求,SMB連接與驗(yàn)證過(guò)程,隨機(jī)生成一把加密密鑰key(8或1

34、6字節(jié)),采用DES的變形算法，使用key對(duì)密碼散列進(jìn)行加密,SMB提供的服務(wù),SMB會(huì)話服務(wù)TCP 139和TCP 445端口

35、

36、

37、

38、

39、 SMB數(shù)據(jù)報(bào)支持服務(wù)UDP 138和UDP 445端口SMB名稱支持服務(wù)UDP 137端口,開(kāi)放SMB服務(wù)的危險(xiǎn),強(qiáng)化SMB會(huì)話安全,強(qiáng)制的顯式權(quán)限許可：限制匿名訪問(wèn)控制LAN Manager驗(yàn)證使用SMB的簽名服務(wù)端和客戶端都需要配置注冊(cè)表 或在本地安全策略中,針對(duì)Windows 2000的入侵 (1),探測(cè)選擇攻擊對(duì)象，了解部分簡(jiǎn)單的對(duì)象信息；針對(duì)具體的攻擊目標(biāo)，隨便選擇了一組IP地址，進(jìn)行測(cè)試，選

40、擇處于活動(dòng)狀態(tài)的主機(jī)，進(jìn)行攻擊嘗試針對(duì)探測(cè)的安全建議對(duì)于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測(cè)行為對(duì)于主機(jī)：安裝個(gè)人防火墻軟件，禁止外部主機(jī)的ping包，使對(duì)方無(wú)法獲知主機(jī)當(dāng)前正確的活動(dòng)狀態(tài),針對(duì)Windows 2000的入侵 (2),掃描使用的掃描軟件NAT、流光、Xscan、SSS掃描遠(yuǎn)程主機(jī) 開(kāi)放端口掃描 操作系統(tǒng)識(shí)別 主機(jī)漏洞分析,掃描結(jié)果：端口掃描,掃描結(jié)果：操作系統(tǒng)識(shí)別,掃描結(jié)果：漏洞掃描,針對(duì)Windows 20

41、00的入侵(3),查看目標(biāo)主機(jī)的信息,針對(duì)Windows 2000的入侵(4),IIS攻擊嘗試?yán)肐IS中知名的Unicode和“Translate:f”漏洞進(jìn)行攻擊，沒(méi)有成功。目標(biāo)主機(jī)可能已修復(fù)相應(yīng)漏洞，或沒(méi)有打開(kāi)遠(yuǎn)程訪問(wèn)權(quán)限Administrator口令強(qiáng)行破解這里我們使用NAT（NetBIOS Auditing Tool）進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶帳戶表，以及簡(jiǎn)單的密碼字典，然后用NAT進(jìn)行破解,Administrat

42、or口令破解情況,針對(duì)Windows 2000的入侵(5),鞏固權(quán)力現(xiàn)在我們得到了Administrator的帳戶，接下去我們需要鞏固權(quán)力裝載后門(mén)一般的主機(jī)為防范病毒，均會(huì)安裝反病毒軟件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及時(shí)更新病毒庫(kù)，而多數(shù)木馬程序在這類(lèi)軟件的病毒庫(kù)中均被視為T(mén)rojan木馬病毒。所以，這為我們?cè)黾恿穗y度。除非一些很新的程序或自己編寫(xiě)的程序才能夠很好地隱藏起來(lái)我們使用NetCa

43、t作為后門(mén)程序進(jìn)行演示,安裝后門(mén)程序(1),利用剛剛獲取的Administrator口令，通過(guò)Net use映射對(duì)方驅(qū)動(dòng)器,安裝后門(mén)程序(2),將netcat主程序nc.exe復(fù)制到目標(biāo)主機(jī)的系統(tǒng)目錄下，可將程序名稱改為容易迷惑對(duì)方的名字利用at命令遠(yuǎn)程啟動(dòng)NetCat,安裝后門(mén)程序(3),針對(duì)Windows 2000的入侵(6),清除痕跡我們留下了痕跡了嗎del *.evt echo xxx > *.evt看看它的日