windows 系統(tǒng)安全-系統(tǒng)漏洞分析與防范

1、Windows 系統(tǒng)安全---------系統(tǒng)漏洞分析與防范,,Windows NT系統(tǒng)簡介,Windows NT/2000/XP都是基于WinNT內(nèi)核，安全性比Windows 9x明顯提高。主要體現(xiàn)在：提供了對安全性有影響的管理手段——用戶帳號和用戶密碼、域名管理、用戶組權(quán)限、共享資源的權(quán)限等。用戶帳號和用戶密碼 Windows NT的安全機(jī)制通過請求用戶帳號和用戶密碼來幫助保護(hù)計(jì)算機(jī)及其資源。給值得信任的使用

2、者，按其使用的要求和網(wǎng)絡(luò)所能給予的服務(wù)分配合適的用戶帳號，并且設(shè)定相應(yīng)的賬號密碼。,Windows NT系統(tǒng)簡介,域名管理 (1) 以Windows NT組建的網(wǎng)絡(luò)是一個(gè)局域網(wǎng)范圍的網(wǎng)。 (2) 域：指網(wǎng)絡(luò)服務(wù)器和其它計(jì)算機(jī)的邏輯分組，凡是在 共享域范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶帳 號信息。 (3)每個(gè)用戶有一個(gè)賬號，每次登錄的是一個(gè)域，而不是

3、 某一個(gè)服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上 可以在一個(gè)域上，這樣便于管理。 (4)域所用的安全機(jī)制信息或用戶帳號信息都存放在目 錄數(shù)據(jù)庫中（安全帳號管理器SAM數(shù)據(jù)庫）。,Windows NT系統(tǒng)簡介,域名管理 (5) 目錄數(shù)據(jù)庫存放在服務(wù)器中，并且復(fù)制到備份服務(wù)器中。 (6) 通過有規(guī)律的適當(dāng)處理，可以保證數(shù)據(jù)庫的安全性、有

4、 效性。 (7)在用戶每次登錄時(shí)，通過目錄數(shù)據(jù)庫檢查用戶的賬號和 密碼。所以在對NT進(jìn)行維護(hù)時(shí)應(yīng)該小心目錄數(shù)據(jù)庫的完 整性，一般只有管理員才有權(quán)限管理目錄數(shù)據(jù)庫。,Windows NT系統(tǒng)簡介,用戶組權(quán)限 （1）管理員根據(jù)用戶訪問網(wǎng)絡(luò)的類型和等級給用戶分組，組有全局組和本地組。 （2）全局組由一個(gè)域的幾個(gè)用戶帳號組成，所謂全局是指可以授予該組使用多個(gè)（全

5、局）域資源的權(quán)利和權(quán)限，全局組只能在域中創(chuàng)建。 域全局組： 成員范圍：自己所在的域 使用范圍：所有的域 （3）本地組由用戶帳號和一個(gè)或多個(gè)域中的全局組構(gòu)成 域本地組： 成員范圍：所有的域 使用范圍：自己所在的域,Windows NT系統(tǒng)簡介,共享資源的權(quán)限 （1）W

6、indows NT允許用戶指定共享的資源。資源共享后，可以通過網(wǎng)絡(luò)限制某些用戶對他的訪問權(quán)限，這稱為共享權(quán)限的限制。針對不同的用戶，可以利用資源共享及資源權(quán)限來創(chuàng)建不同的資源安全級別。 （2）Windows NT在其文件系統(tǒng)NTFS中，可以使用權(quán)限對單個(gè)文件進(jìn)行保護(hù)，并且可以把該權(quán)限應(yīng)用于本地訪問和網(wǎng)絡(luò)訪問中。 通過以上的四個(gè)管理手段，實(shí)行嚴(yán)格的用戶名密碼認(rèn)證，并根據(jù)操作需求賦予相應(yīng)的權(quán)限，從而獲得對系統(tǒng)訪問的嚴(yán)

7、格控制。,Windows NT常見安全漏洞,通過NETBIOS實(shí)現(xiàn)信息收集與滲透 NETBIOS(網(wǎng)絡(luò)基本輸入輸出系統(tǒng)）：描述怎樣將網(wǎng)絡(luò)基本輸入輸出系統(tǒng)操作變換為等價(jià)的因特網(wǎng)操作的規(guī)則. 通過端口掃描程序掃描目標(biāo)機(jī)或網(wǎng)絡(luò)通過NETBIOS進(jìn)行信息收集 如端口掃描程序報(bào)告端口139在目標(biāo)機(jī)上是開放的，那么接下來就是一個(gè)很自然的過程。 發(fā)出Nbtstat命令。Nbtstat命令可以用來查詢目標(biāo)機(jī)的NETBIO

8、S信息。如: D:> nbtsta –A 10.111.179.159 (-a: 列出為其主機(jī)名提供的遠(yuǎn)程計(jì)算機(jī)名字表). 入侵者可以通過Nbtstat的輸出信息收集有關(guān)你的機(jī)器的信息，有了這些信息，入侵者就可能在一定程度上斷定有哪些服務(wù)正在目標(biāo)機(jī)上運(yùn)行，有時(shí)也能斷定已經(jīng)安裝了那些軟件包。一般來講，每個(gè)服務(wù)或主要的軟件包都具有一定的脆弱性，因此，這種類型的信息對入侵者是有用的。,Windows NT常見安全漏洞,猜測密碼

9、如果入侵者發(fā)現(xiàn)你的機(jī)器上的共享目錄，將會試圖進(jìn)入你的硬盤。有時(shí)共享可能設(shè)有口令，不過入侵者會繼續(xù)進(jìn)行Brute Force（強(qiáng)行）攻擊。 Brute Force 最常用的工具是NAT工具,這個(gè)工具讓用戶能夠通過可能的用戶/口令列表使網(wǎng)絡(luò)連接命令自動操作。NAT 將通過所提供的列表中的每個(gè)用戶名和每一個(gè)口令試著連接到遠(yuǎn)程機(jī)上。借助工具Ntscan進(jìn)行Brute Force攻擊，破解用戶名/口令對。,Windows NT常見安全漏洞,升

10、級權(quán)限 攻擊者獲得系統(tǒng)一定的訪問權(quán)限后通常要把自己的權(quán)限提升到管理員組，這樣就可以控制了該計(jì)算機(jī)系統(tǒng)。 獲得管理員密碼后，下次就可以用該密碼進(jìn)入系統(tǒng)。先建立一個(gè)用戶，然后把這個(gè)用戶添加到管理員組，或者直接把一個(gè)不起眼的用戶添加到管理員組。安裝后門。方法:下載系統(tǒng)的%windir%\repair\sam.*文件,然后用Lopht等軟件破解.,Windows NT常見安全漏洞,破解SAM文件 SAM中包含有本地系

11、統(tǒng)及所控制域的所有用戶信息和用戶名及密碼。SAM文件是經(jīng)過加密后的一個(gè)文檔. 其中破解SAM最為常用的工具就是L0pht,如果有一臺PII450，黑客們便可以利用L0pht在24小時(shí)內(nèi)破解出所有可能的數(shù)字與字母組合。,Windows NT常見安全漏洞,SAM文件的獲取 Windows NT把SAM存放在%systemroot%\system32\config目錄下,而且在服務(wù)器的NT系統(tǒng)運(yùn)行過程中SAM是被鎖死的,甚至

12、Administrator用戶也無權(quán)更改。 (1)啟動引導(dǎo)另一操作系統(tǒng) 不直接啟動NT系統(tǒng)，而用另一個(gè)引導(dǎo)服務(wù)器，SAM文件的保護(hù)顯然就失去了作用。黑客通常會使用System Internals公司的NTFSDOS的系統(tǒng)驅(qū)動來獲得對NTFS硬盤格式訪問的權(quán)限，然后將SAM文件提取。,Windows NT常見安全漏洞,SAM文件的獲取 (2)獲取備份的SAM NT中的修復(fù)磁盤工具會備份系統(tǒng)中的關(guān)鍵信息，其中也

13、包括SAM文件。黑客一般會選擇L0pht進(jìn)行導(dǎo)入完成獲取備份的工作。 (3) 從SAM中導(dǎo)出散列加密值　如獲得Administrator訪問權(quán)限，黑客很容易獲取到NT在注冊表中存儲的SAM密碼散列．用L0pht或者Pwdump 這兩個(gè)工具都可以容易的獲取到這些加密值．,防范辦法,防范最好的辦法——安裝漏洞補(bǔ)丁 微軟已經(jīng)對發(fā)現(xiàn)的大多數(shù)安全漏洞提供了補(bǔ)丁，這些補(bǔ)丁可以在www.microsoft.com/security網(wǎng)站

14、下載。達(dá)到系統(tǒng)本身提供的安全能力 Windows NT資源工具箱軟件提供C2配置管理器c2config.exe, 運(yùn)行他可以核查你的系統(tǒng)配置，并指出為符合C2級安全標(biāo)準(zhǔn)，你必須修改什么配置。系統(tǒng)安全設(shè)置使用NTFS個(gè)格式分區(qū)。最好建立兩個(gè)邏輯分區(qū)，一個(gè)用作系統(tǒng)分區(qū)，一個(gè)用作應(yīng)用程序分區(qū)。盡量修改“我的文檔”及“Outlook Express”等應(yīng)用程序的默認(rèn)文件夾位置，使其位置不在系統(tǒng)分區(qū)。,防范辦法,(2) 運(yùn)行防病毒

15、軟件;關(guān)閉默認(rèn)共享；鎖住注冊表；禁止用戶從軟盤和光盤啟動系統(tǒng)；利用Windows NT安全配置工具來配置安全策略。服務(wù)安全配置關(guān)閉不必要的端口。關(guān)閉端口意味著減少功能。禁用NETBIOS。設(shè)置好安全紀(jì)錄的訪問權(quán)限;安全紀(jì)錄在默認(rèn)情況下是沒有保護(hù)的。把他設(shè)置成只有Administrators和系統(tǒng)帳戶才有權(quán)訪問。禁止建立空連接，默認(rèn)情況下，任何用戶都可通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。我們可以通過修改注冊表

16、來禁止建立空連接.關(guān)閉不需要的服務(wù)。,一個(gè)攻擊Windows NT系統(tǒng)過程(一),1. 收集信息對于Windows NT的主機(jī)，一般通過默認(rèn)的共享“Ipc$”進(jìn)行。Ipc$(進(jìn)程間通信)共享是NT主機(jī)上一個(gè)標(biāo)準(zhǔn)的隱藏共享,主要用于服務(wù)器到服務(wù)器的通信.如果主機(jī)啟動了Server服務(wù)，就可以建立了不需要賬號和密碼的空連接，通過“Ipc”, 就可以利用工具或者自己編寫的程序得到主機(jī)的賬號列表和共享（默認(rèn)和設(shè)置）列表。,2. 得到密碼

17、得到賬號列表后，可以通過Brute Force的方法得到密碼。,一個(gè)攻擊Windows NT系統(tǒng)過程(二),3. 破解出Administrator的密碼破解一個(gè)user賬號密碼后，進(jìn)步破解Administrator的密碼獲取\winnt\repair\sam ,然后用工具Pwdump破解。,4. 得到管理員特權(quán)后留后門用微軟的“Netsvc.exe”工具，它可以啟動遠(yuǎn)程計(jì)算機(jī)上的服務(wù)netsvc\\1.1.1.1 tlntsvr/

18、start,一般啟動“Schedule”服務(wù)。把“Netcat.exe” 放在遠(yuǎn)端計(jì)算機(jī)上，然后用“At”命令啟動他；,一個(gè)攻擊Windows NT系統(tǒng)過程(二),Telnet 1.1.1.1 99把Guest用戶激活：net user guest /active:yes把Guest用戶設(shè)置一個(gè)密碼：net user guest abcd把Guest加到Administrators 組中：net locatgroup admin

19、istrators guest/add使用Telnet管理工具“WinNT\system32\tlnadmn.exe”在注冊表選項(xiàng)把NTLM設(shè)置為“0”，防止Telnet服務(wù)要求NTLM認(rèn)證。用管理員身份建立遠(yuǎn)程計(jì)算機(jī)的Ipc連接后，可以用事件查看器、注冊表編輯器等各種管理工具連接到遠(yuǎn)程計(jì)算機(jī)進(jìn)行管理。獲取遠(yuǎn)程計(jì)算機(jī)上“WinNT\repair”下的sam文件，用工具破解。,針對此類攻擊的防御方法,停止“Server”服務(wù)。該服務(wù)

20、提供RPC（遠(yuǎn)程過程控制）支持、文件、打印以及命名管道共享。用“Net Share”命令確認(rèn)默認(rèn)的共享已經(jīng)刪除，查看手工設(shè)置的共享，刪除不需要的共享。停止TCP/IP Services 服務(wù)，該服務(wù)支持以下的TCP/IP服務(wù)。Character Generator, Daytime, Discard, Rcho, Quote of the Day 服務(wù)。此服務(wù)對應(yīng)多個(gè)端口，如“７，９，１７”等，可能導(dǎo)致DDOS攻擊.用“Net S

21、tart”命令查看啟動的服務(wù)。確認(rèn)停止所有不必要的服務(wù)，特別是停止“Telnet, Ftp”服務(wù)等。用net user和net localgroup命令查看異常的用戶和本地組,刪除或僅用不必要的賬號.如Guest等。用掃描工具檢查開放的可疑端口,查找木馬。禁止一般用戶從網(wǎng)絡(luò)訪問計(jì)算機(jī)。,一次針對Windows 2000的入侵過程(一),1. 探測選擇攻擊對象，了解部分簡單的對象信息。這里，針對具體的攻擊目標(biāo)，隨便選擇了一組IP

22、地址，進(jìn)行測試，選擇處于活動狀態(tài)的主機(jī)，進(jìn)行攻擊嘗試；Pinger程序查找IP地址針對探測的安全建議對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為對于主機(jī)：安裝個(gè)人防火墻軟件，禁止外部主機(jī)的ping包，使對方無法獲知主機(jī)當(dāng)前正確的活動狀態(tài),一次針對Windows 2000的入侵過程(二),2. 掃描使用的掃描軟件這里選擇的掃描軟件是SSS（Shadow Security Scanner），目前的最高版本是5.3.1，SSS是俄羅斯的

23、一套非常專業(yè)的安全漏洞掃描軟件，能夠掃描目標(biāo)服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測、賬號掃描等等，而且漏洞數(shù)據(jù)可以隨時(shí)更新。掃描遠(yuǎn)程主機(jī) 開放端口掃描 操作系統(tǒng)識別 SSS本身就提供了強(qiáng)大的操作系統(tǒng)識別能力，也可以使用其他工具進(jìn)行主機(jī)操作系統(tǒng)檢測。 主機(jī)漏洞分析,掃描結(jié)果：端口掃描,可以看出幾個(gè)比較知名的端口均處于打開狀態(tài)，如139、80等 嘗試使用Unicode漏洞攻擊，無效。可能主機(jī)已經(jīng)使用了SP進(jìn)

24、行補(bǔ)丁或未開放遠(yuǎn)程訪問權(quán)限,掃描結(jié)果：操作系統(tǒng)識別,掃描結(jié)果：漏洞掃描,SSS可對遠(yuǎn)程主機(jī)進(jìn)行漏洞檢測分析，這更方便了我們了解遠(yuǎn)程主機(jī)的狀態(tài)，選擇合適的攻擊入口點(diǎn)，進(jìn)行遠(yuǎn)程入侵 主機(jī)的帳號密碼使用的是“永不過期”方式，我們可以接下去進(jìn)行帳號密碼的強(qiáng)行破解,一次針對Windows 2000的入侵過程(四),4. 滲透Administrator口令強(qiáng)行破解 目標(biāo)主機(jī)是一臺個(gè)人主機(jī)，絕大部分情況下，均使用Administrator帳號

25、進(jìn)行登陸，且個(gè)人防范意識較差的話，選擇的密碼一般都較簡單，如“主機(jī)名”、“11111”、“12345”之類的簡單密碼（方便自己的快速登陸）。所以考慮利用NetBIOS會話服務(wù)（TCP 139）進(jìn)行遠(yuǎn)程密碼猜測。 這里我們使用NAT（NetBIOS Auditing Tool）進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶帳戶表，以及簡單的密碼字典，然后用NAT進(jìn)行破解。成功,Administrator口令破解情況,一次針對Windows 2000的

26、入侵過程(五),5. 鞏固權(quán)力現(xiàn)在我們得到了Administrator的帳戶，接下去我們需要鞏固權(quán)力添加一個(gè)迷惑性的帳戶，并加入administrators組，將來通過新帳戶進(jìn)入裝載后門裝載后門一般的個(gè)人主機(jī)為防范病毒，均會安裝反病毒軟件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及時(shí)更新病毒庫，而大部分的木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。所以，這為我們增加了難度。除非一些很新的

27、程序或自己編寫的程序才能夠很好地隱藏起來我們使用NetCat作為后門程序進(jìn)行演示,安裝后門程序(一),利用剛剛獲取的Administrator口令，通過Net use映射對方驅(qū)動器,安裝后門程序(二),然后將netcat主程序nc.exe復(fù)制到目標(biāo)主機(jī)的系統(tǒng)目錄下（便于隱藏），可將程序名稱改為容易迷惑對方的名字，如rundl132.exe、ddedll32.exe等,,安裝后門程序(三),遠(yuǎn)程N(yùn)etCat服務(wù)程序啟動后，我們可以在本地

28、進(jìn)行遠(yuǎn)程連接，運(yùn)行命令（在遠(yuǎn)程主機(jī)上），這時(shí)，我們已經(jīng)完全控制了這臺機(jī)器了,利用at命令遠(yuǎn)程啟動NetCat，供我們遠(yuǎn)程連接使用。,一次針對Windows 2000的入侵過程(六),6. 清除痕跡我們留下了痕跡了嗎用event viewer看一看沒有成功看看它的日志文件無安全日志記錄,通過入侵過程來看Win2k的防范,盡量安裝防火墻軟件，并對安全規(guī)則庫定期進(jìn)行更新 及時(shí)更新操作系統(tǒng)廠商發(fā)布的Service Pack補(bǔ)丁程序

29、停止主機(jī)上不必要的服務(wù)，各種服務(wù)打開的端口往往成為黑客攻擊的入口 使用安全的密碼，最起碼不要直接使用常見的單詞、數(shù)字串以及可能暴露的主機(jī)信息(比如主機(jī)名、用戶名等)如果沒有文件和打印機(jī)共享要求，最好禁止139和445端口上的空會話 經(jīng)常利用net session、netstat查看本機(jī)連接情況，并利用Task Manager查看本機(jī)運(yùn)行的進(jìn)程，及早發(fā)現(xiàn)異常情況 可以利用一些安全工具(如LockDown、BlackICE等)提供

30、的本機(jī)程序安全管理功能，監(jiān)控本機(jī)程序的異常狀態(tài)(主動連接外部陌生的地址)，增強(qiáng)主機(jī)對木馬程序的監(jiān)控能力 ……,參考資料,書“黑客大曝光”(第二版)，清華出版社“Hackers Beware”，中文版《黑客——攻擊透析與防范》，電子工業(yè)出版社David Chappell, Understanding Microsoft Windows 2000 Distributed Services, 中文版(清華大學(xué)出版社，潘愛民譯), 20