1、Strictly Private&ConfidentialNSFocus Information Technology Co.Ltd.Windows系统安全系统安全徐毅徐毅 XTraining dept.,Customer Support CenterAugust 2005Strictly Private&Confidential1Strictly Private&ConfidentialStrictly Private&ConfidentialWindows安全模型安全模型2Strictly Private&ConfidentialStrictly Private&Confidential操
2、作系统安全定义操作系统安全定义 信息安全的五类服务,作为安全的操作系统时必须提供的信息安全的五类服务,作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的有些操作系统所提供的服务是不健全的、默认关闭的3Strictly Private&ConfidentialStrictly Private&Confidential信息安全评估标准信息安全评估标准ITSEC和和TCSECTCSEC描述的系统安全级别描述的系统安全级别 D-ACC(Common Critical)标准标准BS 7799:2000标准体系标准体系ISO 17799标准标准4Strictly Private
3、&ConfidentialStrictly Private&ConfidentialTCSEC定义的内容定义的内容没有安全性可言,例如没有安全性可言,例如MS DOS不区分用户,基本的访问控制不区分用户,基本的访问控制D 级级C1 级级C2 级级B1 级级B2 级级B3 级级A 级级有自主的访问安全性,区分用户有自主的访问安全性,区分用户标记安全保护,如标记安全保护,如System V等等结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护安全域,数据隐藏与分层、屏蔽安全域,数据隐藏与分层、屏蔽校验级保护,提供低级别手段校验级保护,提供低级别手段5Strictly Private&Conf
4、identialStrictly Private&ConfidentialC2级安全标准的要求级安全标准的要求自主的访问控制自主的访问控制对象再利用必须由系统控制对象再利用必须由系统控制用户标识和认证用户标识和认证审计活动审计活动 能够审计所有安全相关事件和个人活动能够审计所有安全相关事件和个人活动 只有管理员才有权限访问只有管理员才有权限访问6Strictly Private&ConfidentialStrictly Private&ConfidentialCC(Common Critical)标准标准CC的基本功能的基本功能 标准化叙述标准化叙述 技术实现基础叙述技术实现基础叙述CC的概念
5、的概念 维护文件维护文件 安全目标安全目标 评估目标评估目标7Strictly Private&ConfidentialStrictly Private&ConfidentialWindows 2000安全结构安全结构8Strictly Private&ConfidentialStrictly Private&ConfidentialWindows 安全子系统安全子系统WinlogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support ProviderSSPI加载GINA,监视认证顺
6、序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库9Strictly Private&ConfidentialStrictly Private&ConfidentialWindows账号管理账号管理10Strictly Private&ConfidentialStrictly Private&ConfidentialWindows采用的账号认证方案采用的账号认证方案LanManager认证认证(称为称为LM协议协议)早期版本早期版本NTLM v1 认证协议认证协议 NT 4.0 SP3之前的版本之前的版本NTLM v2 认证协议认证协议 N
7、T 4.0 SP4开始支持开始支持Kerberos v5认证协议认证协议 Windows 2000引进引进11Strictly Private&ConfidentialStrictly Private&Confidential用户类型用户类型Administrator(默认的超级管理员默认的超级管理员)系统帐号系统帐号(Print Operater、Backup Operator)Guest(默认来宾帐号默认来宾帐号)12Strictly Private&ConfidentialStrictly Private&Confidential帐户帐户(accounts)和组和组(groups)帐户帐
8、户(user accounts)定义了定义了Windows中一个用户所必要的信息,包括口令、安全中一个用户所必要的信息,包括口令、安全ID(SID)、组成员关系、组成员关系、登录限制登录限制.组:组:universal groups、global groups、local groupsAccount Identifier:Security identifier(SID)时间和空间唯一时间和空间唯一 S-1-N-Y1-Y2-Y3-Y4 Some well-known SIDs 字符串形式和二进制形式字符串形式和二进制形式的的SID13Strictly Private&ConfidentialSt
9、rictly Private&ConfidentialWindows 2000的默认账号的默认账号 账户名账户名 注释注释System/localsystem 本地计算机的所有特权Administrator 同上;可以改名,但不能删除Guest 有限的权限,默认禁用IUER_计算机名 IIS的匿名访问,guests组成员IWAM_计算机名 IIS进程外应用程序运行的账号,Guests组成员TSInternetUser 终端服务Krbtgt Kerberos密钥分发账号,只在DC上出现,默认禁用14Strictly Private&ConfidentialStrictly Private&Con
10、fidentialWindows 2000下的内建组下的内建组 组名组名 注释注释Administrators 成员具有本地计算机的全部权限 Users 所有账号,较低的权限 Guests 有限的权限,与users相同Authenticated users 特殊的隐含组,包含所有已登录的用户 Replicator 用于域中的文件复制Backup Operators 没有administrators权限高,但十分接近Server Operators 没有administrators权限高,但十分接近Account Operators 没有administrators权限高,但十分接近Print
11、Operators 没有administrators权限高,但十分接近15Strictly Private&ConfidentialStrictly Private&Confidential密码存放位置密码存放位置注册表注册表HKEY_LOCAL_MACHINESAM下下Winnt/system32/config/sam16Strictly Private&ConfidentialStrictly Private&Confidential添加添加/删除帐户删除帐户Win2000/XP下下 管理工具管理工具计算机管理计算机管理本地用户和组本地用户和组WinNT下下(域域)用户管理器用户管理器命令
12、行方式命令行方式 net user 用户名用户名 密码密码/add/delete 将用户加入到组将用户加入到组net localgroup 组名组名 用户名用户名/add/delete17Strictly Private&ConfidentialStrictly Private&Confidential帐户重命名帐户重命名将将Administrator重命名重命名将将Guest来宾用户重命名来宾用户重命名新建一新建一Administrator用户,隶属于用户,隶属于Guest组组18Strictly Private&ConfidentialStrictly Private&Confidenti
13、al密码策略的推荐设置密码策略的推荐设置强制执行密码历史记录强制执行密码历史记录 密码最长期限密码最长期限密码最短期限密码最短期限密码必须符合复杂性要求密码必须符合复杂性要求为域中所有用户使用可还原为域中所有用户使用可还原的加密来储存密码的加密来储存密码24个密码个密码42天天2天天启启 用用禁禁 用用19Strictly Private&ConfidentialStrictly Private&Confidential针对远程破解的策略定制针对远程破解的策略定制密码复杂性要求密码复杂性要求账户锁定策略的推荐设置账户锁定策略的推荐设置策策 略略默认设置默认设置推荐最低设置推荐最低设置帐户锁定时
14、间帐户锁定时间未定义未定义30 30 分钟分钟帐户锁定阈值帐户锁定阈值0 05 5 次无效登录次无效登录复位帐户锁定计数器复位帐户锁定计数器未定义未定义30 30 分钟分钟20Strictly Private&ConfidentialStrictly Private&ConfidentialSAM数据库与数据库与ADSAM中口令的保存采用单向函数中口令的保存采用单向函数(OWF)或或散列算法实现散列算法实现在在%systemroot%system32configsam中实现中实现DC上,账号与密码散列保存在上,账号与密码散列保存在%systemroot%ntdsntds.dit中中21Stri
15、ctly Private&ConfidentialStrictly Private&ConfidentialSYSKEY功能功能从从NT4 sp3开始提供开始提供散 列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中,同时使用额外的口令加密软磁盘22Strictly Private&ConfidentialStrictly Private&ConfidentialSID与令牌与令牌SID唯一标示一个对象唯一标示一个对象 使用使用User2sid和和sid2user工具进行双向查询工具进行双向查询令牌:通过令牌:通过SID标示账号对象以及所属的组标示账号对象以及所属的组SIDS-1
16、-5-21-1507001333-1204550764-1011284298-500令牌令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-54423Strictly Private&ConfidentialStrictly Private&Confidential解读解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码,Windows 2000
17、总为5子颁发机构代码,共有4个;具有唯一性相对标示符RID,一般为常数著名的SIDvS-1-1-0 EveryonevS-1-2-0 Interactive用户vS-1-3-0 Creator OwnervS-1-3-1 Creator Group24Strictly Private&ConfidentialStrictly Private&ConfidentialWindows 2000认证与授权访问认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功成功允许允许File.txtSRM,安全参安全参考监视器考监视器访问25Strictly Private&Confidentia
18、lStrictly Private&ConfidentialWindows文件系统管理文件系统管理26Strictly Private&ConfidentialStrictly Private&ConfidentialWindows 2000默认共享默认共享C$、D$Ipc$:远程会话管理远程会话管理Admin$:指向指向%WinDir%目录,用于远程管理目录,用于远程管理27Strictly Private&ConfidentialStrictly Private&ConfidentialWindows系统的用户权限系统的用户权限权限适用于对特定对象如目录和文件(只适用于权限适用于对特定对象
19、如目录和文件(只适用于NTFS卷)的操作,卷)的操作,指定允许哪些用指定允许哪些用户可以使用这些对象,以及如何使用(如把某个目录的访问权限授予指定的用户)。户可以使用这些对象,以及如何使用(如把某个目录的访问权限授予指定的用户)。权限分为目录权限和文件权限,每一个权级别都确定了一个执行特定的任务组合的能权限分为目录权限和文件权限,每一个权级别都确定了一个执行特定的任务组合的能力,这些任务是:力,这些任务是:Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和和 Take Ownership(O)。下表显示了这些任务是如何与各种权限级下
20、表显示了这些任务是如何与各种权限级 别别相关联的相关联的28Strictly Private&ConfidentialStrictly Private&ConfidentialWindows系统的用户权限系统的用户权限目录权限级别RXWDPO允许的用户动作No Access 用户不能访问该目录用户不能访问该目录ListRX可以查看目录中的子目录和文件名,也可以进入其子目可以查看目录中的子目录和文件名,也可以进入其子目录录ReadRX具有具有List权限,用户可以读取目录中的文件和权限,用户可以读取目录中的文件和 运行目录运行目录中的应用程序中的应用程序AddXW用户可以添加文件和子录用户可以添
21、加文件和子录Add and ReadRXW具有具有Read和和Add的权限的权限ChangeRXWD有有Add和和Read的权限,的权限,另外还可以更改文件的内容,删另外还可以更改文件的内容,删除文件和子目录除文件和子目录Full controlRXWDPO有有Change的权限,另外用户可以更改权限和获取目录的的权限,另外用户可以更改权限和获取目录的所有权所有权29Strictly Private&ConfidentialStrictly Private&ConfidentialWindows系统的用户权限系统的用户权限权限级别RXWDPO允许的用户动作No Access 用户不能访问该文件
22、用户不能访问该文件ReadRX用户可以读取该文件,如果是应用程序可以运行用户可以读取该文件,如果是应用程序可以运行ChangeRXWD有有Read的权限,还可用修和删除文件的权限,还可用修和删除文件Full controlRXWDPO包含包含Change的权限,还可以更改权限和获取文件的所有权的权限,还可以更改权限和获取文件的所有权30Strictly Private&ConfidentialStrictly Private&ConfidentialWindows系统的共享权限系统的共享权限共享权限级别共享权限级别允许的用户动作允许的用户动作No Access(不能访问不能访问)禁止对目录和其
23、中的文件及子目录进行访问但允许查看文件名和子目录禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名,改变共享名,改变共享Read(读读)目录的子目录,还允许查看文件的数据目录的子目录,还允许查看文件的数据 和运行应用程序和运行应用程序Change(更改更改)具有具有“读读”权限中允许的操作,另外允许往目录中添加文件和子目录,权限中允许的操作,另外允许往目录中添加文件和子目录,更改文数据,删除文件和子目录更改文数据,删除文件和子目录Full control(完全控制完全控制)具有具有“更改更改”权限中允许的操作,另外还允许更改权限权限中允许的操作,另外还允许更改权限(只适用于只适用
24、于NTFS卷卷)和获所有权和获所有权(只适用于只适用于NTFS卷卷)31Strictly Private&ConfidentialStrictly Private&Confidential复制和移动文件夹复制和移动文件夹从一个从一个NTFS分区到另一个分区到另一个NTFS分区分区 复制复制/移动都是继承权限移动都是继承权限(不同分区,移动不同分区,移动=复制复制+删除删除)同一个同一个NTFS分区分区 复制:继承复制:继承 移动:保留移动:保留复制复制/移动到移动到FAT(32)分区分区 NTFS权限丢失权限丢失32Strictly Private&ConfidentialStrictly P
25、rivate&ConfidentialWindows系统服务系统服务服务包括三种启动类型:自动,手动,禁用服务包括三种启动类型:自动,手动,禁用 自动:启动时自动加载服务自动:启动时自动加载服务 手动手动:启动时不自动加载服务,在需要的时候手动开启启动时不自动加载服务,在需要的时候手动开启 禁用:启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服务,禁用:启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服务,并重新启动电脑完成服务的配置并重新启动电脑完成服务的配置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下
26、每一笔底下每一笔 服务项目服务项目子项都有一个子项都有一个 Start 数值数值,该该 数值内容所记录的就是服务项目驱动程式该在何时被加载数值内容所记录的就是服务项目驱动程式该在何时被加载 目前微软对目前微软对 Start 内容的定义有内容的定义有 0、1、2、3、4 等五种状态等五种状态,0、1、2 分别代表分别代表 Boot、System、Auto Load 等叁种意义。而等叁种意义。而 Start 数值内容为数值内容为 3 的服务项目代表让使用的服务项目代表让使用 者以手者以手动的方式载入动的方式载入(Load on demand),4 则是代表停用的状态则是代表停用的状态,也就是禁用也
27、就是禁用33Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程基本的系统进程基本的系统进程smss.exe Session Manager csrss.exe 子系统服务器进程子系统服务器进程 winlogon.exe 管理用户登录管理用户登录 lsass.exe 管理管理 IP 安全策略以及启动安全策略以及启动 ISAKMP/Oakley(IKE)和和 IP 安全驱动程序。安全驱动程序。(系统服务系统服务)svchost.exe 包含很多系统服务包含很多系统服务 spoolsv.exe 将文件
28、加载到内存中以便迟后打印。将文件加载到内存中以便迟后打印。(系统服务系统服务)explorer.exe 资源管理器资源管理器 internat.exe 输入法输入法 34Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程附加的系统进程(这些进程不是必要的)附加的系统进程(这些进程不是必要的)mstask.exe 允许程序在指定时间运行。允许程序在指定时间运行。(系统服务系统服务)regsvc.exe 允许远程注册表操作。允许远程注册表操作。(系统服务系统服务)winmgmt.exe 提供系统管理
29、信息提供系统管理信息(系统服务系统服务)。inetinfo.exe 通过通过 Internet 信息服务的管理单元提供信息服务的管理单元提供 FTP 连接和管理。连接和管理。(系统服务系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务系统服务)termsrv.exe 提供多会话环境允许客户端设备访问虚拟的提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于桌面会话以及运行在服务器上的基于 Windows 的程序。的程序。(系统
30、服务系统服务)dns.exe 应答对域名系统应答对域名系统(DNS)名称的查询和更新请求。名称的查询和更新请求。(系统服务系统服务)35Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程tcpsvcs.exe 提供在提供在 PXE 可远程启动客户计算机上远程安装可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。的能力。(系统服务系统服务)ismserv.exe 允许在允许在 Windows Advanced Server 站点间发送和接收消息。站点间发送
31、和接收消息。(系统服务系统服务)ups.exe 管理连接到计算机的不间断电源管理连接到计算机的不间断电源(UPS)。(系统服务系统服务)wins.exe 为注册和解析为注册和解析 NetBIOS 型名称的型名称的 TCP/IP 客户提供客户提供 NetBIOS 名称服务。名称服务。(系统服务系统服务)llssrv.exe License Logging Service(system service)ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。在多个服务器间维护文件目录内容的文件同步。(系统服务系统服务)RsSub.exe 控制用来远程储存数据的媒体。控制用来远程储存数据的媒体
32、。(系统服务系统服务)locator.exe 管理管理 RPC 名称服务数据库。名称服务数据库。(系统服务系统服务)lserver.exe 注册客户端许可证。注册客户端许可证。(系统服务系统服务)dfssvc.exe 管理分布于局域网或广域网的逻辑卷。管理分布于局域网或广域网的逻辑卷。(系统服务系统服务)36Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。并列事务,是分布于两个以上的数据库,消
33、息队列,文件系统,或其它事务保护资源管理器。(系统服系统服务务)faxsvc.exe 帮助您发送和接收传真。帮助您发送和接收传真。(系统服务系统服务)cisvc.exe Indexing Service(system service)dmadmin.exe 磁盘管理请求的系统管理服务。磁盘管理请求的系统管理服务。(系统服务系统服务)mnmsrvc.exe 允许有权限的用户使用允许有权限的用户使用 NetMeeting 远程访问远程访问 Windows 桌面。桌面。(系统服务系统服务)netdde.exe 提供动态数据交换提供动态数据交换(DDE)的网络传输和安全特性。的网络传输和安全特性。(系
34、统服务系统服务)smlogsvc.exe 配置性能日志和警报。配置性能日志和警报。(系统服务系统服务)rsvp.exe 为依赖质量服务为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务系统服务)RsEng.exe 协调用来储存不常用数据的服务和管理工具。协调用来储存不常用数据的服务和管理工具。(系统服务系统服务)RsFsa.exe 管理远程储存的文件的操作。管理远程储存的文件的操作。(系统服务系统服务)37Strictly Private&ConfidentialStrictly Private&C
35、onfidentialWindows的系统进程的系统进程grovel.exe 扫描零备份存储扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。以节省磁盘空间。(系统服务系统服务)SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务系统服务)snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统系统服务服务)snmptr
36、ap.exe 接收由本地或远程接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上行在这台计算机上 SNMP 管理程序。管理程序。(系统服务系统服务)UtilMan.exe 从一个窗口中启动和配置辅助工具。从一个窗口中启动和配置辅助工具。(系统服务系统服务)msiexec.exe 依据依据.MSI 文件中包含的命令来安装、修复以及删除软件。文件中包含的命令来安装、修复以及删除软件。(系统服务系统服务)38Strictly Private&ConfidentialStrictly Private&Confidential
37、Windows安全风险安全风险39Strictly Private&ConfidentialStrictly Private&Confidential基本基本HTTP请求请求“http:/ HTTP/1.0”CGI调用调用“http:/ 表示将表示将X、Y分别作为两分别作为两个变量提交个变量提交40Strictly Private&ConfidentialStrictly Private&ConfidentialHTTP文件遍历和文件遍历和URL编码编码 ASCII 编码编码41Strictly Private&ConfidentialStrictly Private&Confidential
38、IIS溢出问题溢出问题(1).htr缓冲区溢出漏洞缓冲区溢出漏洞IPP(Internet Printing Protocol)缓冲区溢出缓冲区溢出(IPP是是处理处理.printer文件的文件的-C:winntsystem32msw3prt.dll)当以下调用超过当以下调用超过420字节时,问题就会发生字节时,问题就会发生 对策:删除对策:删除DLL和文件扩展之间的映射和文件扩展之间的映射42Strictly Private&ConfidentialStrictly Private&Confidential删除删除DLL和文件扩展之间的映射和文件扩展之间的映射43Strictly Privat
39、e&ConfidentialStrictly Private&ConfidentialIIS溢出问题溢出问题(2)索引服务索引服务ISAPI扩展溢出扩展溢出(通常被称为通常被称为ida/idq溢出溢出)由由idq.dll引起,当引起,当buffer长度超过长度超过240字节时,问题就会发生字节时,问题就会发生 Null.ida为文件名,无需真的存在为文件名,无需真的存在 直至现在上没有漏洞利用代码直至现在上没有漏洞利用代码 Code Red的感染途径的感染途径对策:删除对策:删除idq.dll和和文件扩展之间的映射文件扩展之间的映射44Strictly Private&Confidential
40、Strictly Private&ConfidentialIIS溢出问题溢出问题(3)Frontpage 2000服务扩展溢出服务扩展溢出最早由最早由NSFocus(中国安全研究小组中国安全研究小组)提出提出FPSE在在Windows 2000中的位置:中的位置:C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions问题焦点是问题焦点是fp30reg.dll和和fp4areg.dll(后者默认总是提供的后者默认总是提供的)收到超过收到超过258字节的字节的URL请求时,问题就会出现请求时,问题就会出现漏洞利用工具:漏洞利
41、用工具:fpse2000ex对策:删除对策:删除fp30reg.dll和和fp4areg.dll文件文件45Strictly Private&ConfidentialStrictly Private&ConfidentialIIS的的Unicode问题问题问题产生的要义问题产生的要义“%c0%af”和和“%c1%9c”分别是分别是“/”“”的的unicode表示表示 其它的非法表示法:其它的非法表示法:“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等等对策对策 安装安装MS00-086中的补丁中的补丁 由于没有实现分区跳转功能,可以在系统分区之外安装由
42、于没有实现分区跳转功能,可以在系统分区之外安装IIS 设置严格设置严格的的NTFS权限权限 在服务器在服务器的的Write和和Excute ACL中删除中删除Everyone和和User组组46Strictly Private&ConfidentialStrictly Private&Confidential更近一步更近一步-双解码双解码/二次解码二次解码同样由同样由NSFocus发布发布对策:应用对策:应用MS01-26给出的补丁给出的补丁(不包括在不包括在sp2中中)注意和注意和Unicode的区别,包括相关日志的区别,包括相关日志47Strictly Private&Confidenti
43、alStrictly Private&ConfidentialIIS的其它问题的其它问题源代码泄漏的危险源代码泄漏的危险.htr风险风险.htw/webhits风险风险权限提升的问题权限提升的问题 远程调用远程调用RevertToself的的ISAPI DLL 向向LSA本地注射代码本地注射代码48Strictly Private&ConfidentialStrictly Private&ConfidentialWindows 2000终端服务终端服务TS(Terminal Service)工作于工作于3389端口端口TS基于基于RDP(Remote Desktop Protocol)实现实现
44、终端服务不是使用终端服务不是使用HTTP或或HTTPS的,而是通过的,而是通过RDP通道实现通道实现TS监听端口可以自己指定监听端口可以自己指定 H K L M S y s t e m C u r r e n t C o n t r o l S e t C o n t r o l Te r m i n a l ServerWinStationsRDP-Tcp 值值-PortNumber REG_WORD 3389(默认默认)49Strictly Private&ConfidentialStrictly Private&Confidential针对针对TS的攻击的攻击密码猜测攻击风险密码猜测攻击
45、风险(TSGrinder)权限提升风险权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险攻击风险RDP DoS攻击风险攻击风险50Strictly Private&ConfidentialStrictly Private&Confidential走进走进MS客户端客户端-客户端风险评估客户端风险评估恶意电子邮件恶意电子邮件-MIME扩展扩展Outlook缓冲区溢出缓冲区溢出Media Play缓冲区溢出缓冲区溢出VBS地址簿蠕虫地址簿蠕虫51Strictly Private&ConfidentialStrictly Private&Confidential恶意邮件实例恶意邮
46、件实例52Strictly Private&ConfidentialStrictly Private&ConfidentialOutlook溢出溢出起源于起源于vCard(一种电子名片一种电子名片)Outlook直接打开并运行附件中的直接打开并运行附件中的vCards而不提示用户而不提示用户vCards存储于存储于.vcf文件中,也是没有提示而直接运行的文件中,也是没有提示而直接运行的当当vCards的生日字段的生日字段(BDAY)超过超过55字符时,就会出现溢出字符时,就会出现溢出对策:应用对策:应用IE 5.5 sp253Strictly Private&ConfidentialStric
47、tly Private&ConfidentialWindows 2000的打印驱动的打印驱动以以full control权限运行权限运行在在OS级别级别面临的主要威胁面临的主要威胁-默认情况下任何人都可以安装打印驱动默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动攻击者可能会使用木马替换打印驱动54Strictly Private&ConfidentialStrictly Private&Confidential媒体元文件媒体元文件 55Strictly Private&ConfidentialStrictly Pr
48、ivate&ConfidentialIIS服务安全配置服务安全配置禁用或删除所有的示例应用程序禁用或删除所有的示例应用程序 示例只是示例;在默认情况下,并不安装它们,且从不在生产服务器上安装。示例只是示例;在默认情况下,并不安装它们,且从不在生产服务器上安装。请注意一些示例安装,它们只可从请注意一些示例安装,它们只可从 http:/localhost 或或 127.0.0.1 访问;但是访问;但是,它们仍应被删除。下面,它们仍应被删除。下面 列出一些示例的默认位置。列出一些示例的默认位置。示例 虚拟目录 位置IIS 示例示例 IISSamples c:inetpubiissamplesIIS
49、文档文档 IISHelp c:winnthelpiishelp数据访问数据访问 MSADC c:program filescommon filessystemmsadc56Strictly Private&ConfidentialStrictly Private&ConfidentialIIS服务安全配置服务安全配置启用或删除不需要的启用或删除不需要的 COM 组件组件 某些某些 COM 组件不是多数应用程序所必需的,应加以删除。特别是,应考虑禁用文件系组件不是多数应用程序所必需的,应加以删除。特别是,应考虑禁用文件系统对象组件,但要注意这将也会删除统对象组件,但要注意这将也会删除 Dicti
50、onary 对象。切记某些程序可能需要您禁用对象。切记某些程序可能需要您禁用的组件。如的组件。如Site Server 3.0 使用使用 File System Object。以下命令将禁用以下命令将禁用 File System Object:regsvr32 scrrun.dll/u 删除删除 IISADMPWD 虚拟目录虚拟目录 该目录可用于重置该目录可用于重置 Windows NT 和和 Windows 2000 密码。它主要用于密码。它主要用于 Intranet 情况下,并不作为情况下,并不作为 IIS 5 的一部分安装,但是的一部分安装,但是 IIS 4 服务器升级到服务器升级到 I