[电脑基础知识]Windows系统安全.ppt

《[电脑基础知识]Windows系统安全.ppt》由会员分享，可在线阅读，更多相关《[电脑基础知识]Windows系统安全.ppt（94页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows系统安全系统安全1Strictly Private&ConfidentialStrictly Private&ConfidentialWindows安全模型安全模型2Strictly Private&ConfidentialStrictly Private&Confidential操作系统安全定义操作系统安全定义 信息安全的五类服务，作为安全的操作系统时必须提供的信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的有些操作系统所提供的服务是不健全的、默认关闭的3Strictly Private&ConfidentialStrictly

2、 Private&Confidential信息安全评估标准信息安全评估标准ITSEC和和TCSECTCSEC描述的系统安全级别描述的系统安全级别D-ACC(CommonCritical)标准标准BS7799:2000标准体系标准体系ISO17799标准标准4Strictly Private&ConfidentialStrictly Private&ConfidentialTCSEC定义的内容定义的内容没有安全性可言，例如没有安全性可言，例如MSDOS不区分用户，基本的访问控制不区分用户，基本的访问控制D级级C1级级C2级级B1级级B2级级B3级级A级级有自主的访问安全性，区分用户有自主的访问安

3、全性，区分用户标记安全保护，如标记安全保护，如SystemV等等结构化内容保护，支持硬件保护结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽安全域，数据隐藏与分层、屏蔽校验级保护，提供低级别手段校验级保护，提供低级别手段5Strictly Private&ConfidentialStrictly Private&ConfidentialC2级安全标准的要求级安全标准的要求自主的访问控制自主的访问控制对象再利用必须由系统控制对象再利用必须由系统控制用户标识和认证用户标识和认证审计活动审计活动能够审计所有安全相关事件和个人活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问只有管理

4、员才有权限访问6Strictly Private&ConfidentialStrictly Private&ConfidentialCC(CommonCritical)标准标准CC的基本功能的基本功能标准化叙述标准化叙述技术实现基础叙述技术实现基础叙述CC的概念的概念维护文件维护文件安全目标安全目标评估目标评估目标7Strictly Private&ConfidentialStrictly Private&ConfidentialWindows2000安全结构安全结构8Strictly Private&ConfidentialStrictly Private&ConfidentialWindo

5、ws安全子系统安全子系统WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库9Strictly Private&ConfidentialStrictly Private&ConfidentialWindows账号管理账号管理10Strictly Private&ConfidentialStrictly Private&Confi

6、dentialWindows采用的账号认证方案采用的账号认证方案LanManager认证认证(称为称为LM协议协议)早期版本早期版本NTLMv1认证协议认证协议NT4.0SP3之前的版本之前的版本NTLMv2认证协议认证协议NT4.0SP4开始支持开始支持Kerberosv5认证协议认证协议Windows2000引进引进11Strictly Private&ConfidentialStrictly Private&Confidential用户类型用户类型Administrator(默认的超级管理员默认的超级管理员)系统帐号系统帐号(PrintOperater、BackupOperator)Gu

7、est(默认来宾帐号默认来宾帐号)12Strictly Private&ConfidentialStrictly Private&Confidential帐户帐户(accounts)和组和组(groups)帐户帐户(useraccounts)定定义义了了Windows中中一一个个用用户户所所必必要要的的信信息息，包包括括口口令令、安安全全ID(SID)、组组成成员员关关系系、登录限制登录限制.组：组：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一时间和空间唯一S-1

8、-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二进制形式字符串形式和二进制形式的的SID13Strictly Private&ConfidentialStrictly Private&ConfidentialWindows2000的默认账号的默认账号 账户名账户名注释注释System/localsystem 本地计算机的所有特权Administrator 同上；可以改名，但不能删除Guest 有限的权限，默认禁用IUER_计算机名 IIS的匿名访问，guests组成员IWAM_计算机名 IIS进程外应用程序运行的账号，Guests组成员TSInternetUser

9、 终端服务Krbtgt Kerberos密钥分发账号，只在DC上出现，默认禁用14Strictly Private&ConfidentialStrictly Private&ConfidentialWindows2000下的内建组下的内建组 组名组名注释注释Administrators 成员具有本地计算机的全部权限 Users 所有账号，较低的权限 Guests 有限的权限，与users相同Authenticated users 特殊的隐含组，包含所有已登录的用户 Replicator 用于域中的文件复制Backup Operators 没有administrators权限高，但十分接近Ser

10、ver Operators 没有administrators权限高，但十分接近Account Operators 没有administrators权限高，但十分接近Print Operators 没有administrators权限高，但十分接近15Strictly Private&ConfidentialStrictly Private&Confidential密码存放位置密码存放位置注册表注册表HKEY_LOCAL_MACHINESAM下下Winnt/system32/config/sam16Strictly Private&ConfidentialStrictly Private&Con

11、fidential添加添加/删除帐户删除帐户Win2000/XP下下管理工具管理工具计算机管理计算机管理本地用户和组本地用户和组WinNT下下(域域)用户管理器用户管理器命令行方式命令行方式netuser用户名用户名密码密码/add/delete将用户加入到组将用户加入到组netlocalgroup组名组名用户名用户名/add/delete17Strictly Private&ConfidentialStrictly Private&Confidential帐户重命名帐户重命名将将Administrator重命名重命名将将Guest来宾用户重命名来宾用户重命名新建一新建一Administrat

12、or用户，隶属于用户，隶属于Guest组组18Strictly Private&ConfidentialStrictly Private&Confidential密码策略的推荐设置密码策略的推荐设置强制执行密码历史记录强制执行密码历史记录 密码最长期限密码最长期限密码最短期限密码最短期限密码必须符合复杂性要求密码必须符合复杂性要求为域中所有用户使用可还原为域中所有用户使用可还原的加密来储存密码的加密来储存密码24个密码个密码42天天2天天启启 用用禁禁 用用19Strictly Private&ConfidentialStrictly Private&Confidential针对远程破解的策略

13、定制针对远程破解的策略定制密码复杂性要求密码复杂性要求账户锁定策略的推荐设置账户锁定策略的推荐设置策策 略略默认设置默认设置推荐最低设置推荐最低设置帐户锁定时间帐户锁定时间未定义未定义30 30 分钟分钟帐户锁定阈值帐户锁定阈值0 05 5 次无效登录次无效登录复位帐户锁定计数器复位帐户锁定计数器未定义未定义30 30 分钟分钟20Strictly Private&ConfidentialStrictly Private&ConfidentialSAM数据库与数据库与ADSAM中口令的保存采用单向函数中口令的保存采用单向函数(OWF)或或散列算法实现散列算法实现在在%systemroot%sy

14、stem32configsam中实现中实现DC上，账号与密码散列保存在上，账号与密码散列保存在%systemroot%ntdsntds.dit中中21Strictly Private&ConfidentialStrictly Private&ConfidentialSYSKEY功能功能从从NT4 sp3开始提供开始提供散 列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘22Strictly Private&ConfidentialStrictly Private&ConfidentialSID与令牌与令牌SID唯一标示一个对象唯一标示一个对象使用使

15、用User2sid和和sid2user工具进行双向查询工具进行双向查询令牌：通过令牌：通过SID标示账号对象以及所属的组标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-54423Strictly Private&ConfidentialStrictly Private&Confidential解读解读

16、SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码，Windows 2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDvS-1-1-0 EveryonevS-1-2-0 Interactive用户vS-1-3-0 Creator OwnervS-1-3-1 Creator Group24Strictly Private&ConfidentialStrictly Private&ConfidentialWindows2000认证与授权访问认证与授权访问用户AWinlogon使用账户

17、名称/口令进行认证成功成功令牌令牌令牌令牌User=S-1-21-S-1-5-21-1507001333-User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-5001204550764-1011284298-500Group1=Group1=EveryOneEveryOneS-1-1-0S-1-1-0Group2=AdministratorsS-1-5-32-544Group2=AdministratorsS-1-5-32-544允许允许Read=AS-1-5-21Read=AS-1-5-21Write=administratorsS-1

18、-5-32-544Write=administratorsS-1-5-32-544File.txtSRM,安全参安全参考监视器考监视器访问25Strictly Private&ConfidentialStrictly Private&ConfidentialWindows文件系统管理文件系统管理26Strictly Private&ConfidentialStrictly Private&ConfidentialWindows2000默认共享默认共享C$、D$Ipc$：远程会话管理远程会话管理Admin$：指向指向%WinDir%目录，用于远程管理目录，用于远程管理27Strictly Pri

19、vate&ConfidentialStrictly Private&ConfidentialWindows系统的用户权限系统的用户权限权权限限适适用用于于对对特特定定对对象象如如目目录录和和文文件件（只只适适用用于于NTFS卷卷）的的操操作作，指指定定允允许许哪哪些些用用户户可可以以使使用用这这些些对对象象，以以及及如如何何使使用用（如如把把某某个个目目录录的的访访问问权权限限授授予予指指定定的的用用户户）。权权限限分分为为目目录录权权限限和和文文件件权权限限，每每一一个个权权级级别别都都确确定定了了一一个个执执行行特特定定的的任任务务组组合合的的能能力力，这这 些些 任任 务务 是是：Rea

20、d(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和和TakeOwnership(O)。下下表表显显示示了了这这些些任任务务是是如如何何与与各各种种权权限限级级别别相关联的相关联的28Strictly Private&ConfidentialStrictly Private&ConfidentialWindows系统的用户权限系统的用户权限目录权限级别RXWDPO允许的用户动作NoAccess用户不能访问该目录用户不能访问该目录ListRX可可以以查查看看目目录录中中的的子子目目录录和和文文件件名名，也也可可以以进进入入其其子子目录目录Rea

21、dRX具具有有List权权限限，用用户户可可以以读读取取目目录录中中的的文文件件和和运运行行目录中的应用程序目录中的应用程序AddXW用户可以添加文件和子录用户可以添加文件和子录AddandReadRXW具有具有Read和和Add的权限的权限ChangeRXWD有有Add和和Read的的权权限限，另另外外还还可可以以更更改改文文件件的的内内容容，删除文件和子目录删除文件和子目录FullcontrolRXWDPO有有Change的的权权限限，另另外外用用户户可可以以更更改改权权限限和和获获取取目目录的所有权录的所有权29Strictly Private&ConfidentialStrictly

22、Private&ConfidentialWindows系统的用户权限系统的用户权限权限级别RXWDPO允许的用户动作NoAccess用户不能访问该文件用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有有Read的权限，还可用修和删除文件的权限，还可用修和删除文件FullcontrolRXWDPO包包含含Change的的权权限限，还还可可以以更更改改权权限限和和获获取取文文件件的的所所有有权权30Strictly Private&ConfidentialStrictly Private&Confidential

23、Windows系统的共享权限系统的共享权限共享权限级别共享权限级别允许的用户动作允许的用户动作NoAccess(不能访问不能访问)禁禁止止对对目目录录和和其其中中的的文文件件及及子子目目录录进进行行访访问问但但允允许许查查看看文文件件名名和和子子目目录录名，改变共享名，改变共享Read(读读)目录的子目录，还允许查看文件的数据目录的子目录，还允许查看文件的数据和运行应用程序和运行应用程序Change(更改更改)具具有有“读读”权权限限中中允允许许的的操操作作，另另外外允允许许往往目目录录中中添添加加文文件件和和子子目目录录，更改文数据，删除文件和子目录更改文数据，删除文件和子目录Fullcon

24、trol(完全控制完全控制)具具有有“更更改改”权权限限中中允允许许的的操操作作，另另外外还还允允许许更更改改权权限限(只只适适用用于于NTFS卷卷)和获所有权和获所有权(只适用于只适用于NTFS卷卷)31Strictly Private&ConfidentialStrictly Private&Confidential复制和移动文件夹复制和移动文件夹从一个从一个NTFS分区到另一个分区到另一个NTFS分区分区复制复制/移动都是继承权限移动都是继承权限(不同分区，移动不同分区，移动=复制复制+删除删除)同一个同一个NTFS分区分区复制：继承复制：继承移动：保留移动：保留复制复制/移动到移动到F

25、AT(32)分区分区NTFS权限丢失权限丢失32Strictly Private&ConfidentialStrictly Private&ConfidentialWindows系统服务系统服务服务包括三种启动类型：自动，手动，禁用服务包括三种启动类型：自动，手动，禁用自动：启动时自动加载服务自动：启动时自动加载服务手动手动:启动时不自动加载服务，在需要的时候手动开启启动时不自动加载服务，在需要的时候手动开启禁禁用用：启启动动的的时时候候不不自自动动加加载载服服务务，在在需需要要的的时时候候选选择择手手动动或或者者自自动动方方式式开开启启服服务务，并重新启动电脑完成服务的配置并重新启动电脑完成

26、服务的配置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService底底下下每每一一笔笔服服务务项项目目子项都有一个子项都有一个Start数值数值,该该数值内容所记录的就是服务项目驱动程式该在何时被加载数值内容所记录的就是服务项目驱动程式该在何时被加载目目前前微微软软对对Start内内容容的的定定义义有有0、1、2、3、4等等五五种种状状态态,0、1、2分分别别代代表表Boot、System、AutoLoad等等叁叁种种意意义义。而而Start数数值值内内容容为为3的的服服务务项项目目代代表表让让使使用用者者以以手手动的方式载入动的方式载入(Loadond

27、emand),4则是代表停用的状态则是代表停用的状态,也就是禁用也就是禁用33Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程基本的系统进程基本的系统进程smss.exe Session Manager csrss.exe 子系统服务器进程子系统服务器进程 winlogon.exe 管理用户登录管理用户登录 lsass.exe 管理管理 IP 安全策略以及启动安全策略以及启动 ISAKMP/Oakley(IKE)和和 IP 安全驱动程序。安全驱动程序。(系统服务系统服务)svchost.exe

28、 包含很多系统服务包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。将文件加载到内存中以便迟后打印。(系统服务系统服务)explorer.exe 资源管理器资源管理器 internat.exe 输入法输入法 34Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程附加的系统进程（这些进程不是必要的）附加的系统进程（这些进程不是必要的）mstask.exe 允许程序在指定时间运行。允许程序在指定时间运行。(系统服务系统服务)regsvc.exe 允许远程注册表操作。允许远程注

29、册表操作。(系统服务系统服务)winmgmt.exe 提供系统管理信息提供系统管理信息(系统服务系统服务)。inetinfo.exe 通过通过 Internet 信息服务的管理单元提供信息服务的管理单元提供 FTP 连接和管理。连接和管理。(系统服务系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务系统服务)termsrv.exe 提提供供多多会会话话环环境境允允许许客客户户端端设设备备访访问问虚虚拟拟的的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于桌面会

30、话以及运行在服务器上的基于 Windows 的程序。的程序。(系统服务系统服务)dns.exe 应答对域名系统应答对域名系统(DNS)名称的查询和更新请求。名称的查询和更新请求。(系统服务系统服务)35Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程tcpsvcs.exe 提供在提供在 PXE 可远程启动客户计算机上远程安装可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。的能力。(系统服务系统服务)ismserv.exe 允许在允许在 Windows

31、 Advanced Server 站点间发送和接收消息。站点间发送和接收消息。(系统服务系统服务)ups.exe 管理连接到计算机的不间断电源管理连接到计算机的不间断电源(UPS)。(系统服务系统服务)wins.exe 为注册和解析为注册和解析 NetBIOS 型名称的型名称的 TCP/IP 客户提供客户提供 NetBIOS 名称服务。名称服务。(系统服务系统服务)llssrv.exe License Logging Service(system service)ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。在多个服务器间维护文件目录内容的文件同步。(系统服务系统服务)RsSu

32、b.exe 控制用来远程储存数据的媒体。控制用来远程储存数据的媒体。(系统服务系统服务)locator.exe 管理管理 RPC 名称服务数据库。名称服务数据库。(系统服务系统服务)lserver.exe 注册客户端许可证。注册客户端许可证。(系统服务系统服务)dfssvc.exe 管理分布于局域网或广域网的逻辑卷。管理分布于局域网或广域网的逻辑卷。(系统服务系统服务)36Strictly Private&ConfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程msdtc.exe 并并列列事事务务，是是分分布布于于两两个个以以上上的的

33、数数据据库库，消消息息队队列列，文文件件系系统统，或或其其它它事事务务保保护护资资源源管管理理器器。(系系统统服服务务)faxsvc.exe 帮助您发送和接收传真。帮助您发送和接收传真。(系统服务系统服务)cisvc.exe Indexing Service(system service)dmadmin.exe 磁盘管理请求的系统管理服务。磁盘管理请求的系统管理服务。(系统服务系统服务)mnmsrvc.exe 允许有权限的用户使用允许有权限的用户使用 NetMeeting 远程访问远程访问 Windows 桌面。桌面。(系统服务系统服务)netdde.exe 提供动态数据交换提供动态数据交换(

34、DDE)的网络传输和安全特性。的网络传输和安全特性。(系统服务系统服务)smlogsvc.exe 配置性能日志和警报。配置性能日志和警报。(系统服务系统服务)rsvp.exe 为依赖质量服务为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务系统服务)RsEng.exe 协调用来储存不常用数据的服务和管理工具。协调用来储存不常用数据的服务和管理工具。(系统服务系统服务)RsFsa.exe 管理远程储存的文件的操作。管理远程储存的文件的操作。(系统服务系统服务)37Strictly Private&Co

35、nfidentialStrictly Private&ConfidentialWindows的系统进程的系统进程grovel.exe扫扫描描零零备备份份存存储储(SIS)卷卷上上的的重重复复文文件件，并并且且将将重重复复文文件件指指向向一一个个数数据据存存储储点点，以节省磁盘空间。以节省磁盘空间。(系统服务系统服务)SCardSvr.exe对对插插入入在在计计算算机机智智能能卡卡阅阅读读器器中中的的智智能能卡卡进进行行管管理理和和访访问问控控制制。(系系统统服服务务)snmp.exe包包含含代代理理程程序序可可以以监监视视网网络络设设备备的的活活动动并并且且向向网网络络控控制制台台工工作作站站

36、汇汇报报。(系系统统服服务务)snmptrap.exe接接收收由由本本地地或或远远程程SNMP代代理理程程序序产产生生的的陷陷阱阱消消息息，然然后后将将消消息息传传递递到到运运行在这台计算机上行在这台计算机上SNMP管理程序。管理程序。(系统服务系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。从一个窗口中启动和配置辅助工具。(系统服务系统服务)msiexec.exe依据依据.MSI文件中包含的命令来安装、修复以及删除软件。文件中包含的命令来安装、修复以及删除软件。(系统服务系统服务)38Strictly Private&ConfidentialStrictly Private&

37、ConfidentialWindows安全风险安全风险39Strictly Private&ConfidentialStrictly Private&Confidential基本基本HTTP请求请求“http:/ 价价 于于 HTTP命命 令令“GET/files/index.htmlHTTP/1.0”CGI调用调用“http:/ Private&ConfidentialStrictly Private&ConfidentialHTTP文件遍历和文件遍历和URL编码编码 空格空格空格空格%20%20 加号加号加号加号%2B%2B 句号句号句号句号%2E%2E 斜线斜线斜线斜线(/)%2F(/)

38、%2F 冒号冒号冒号冒号%3A%3A 问号问号问号问号%3F%3F 反斜线反斜线反斜线反斜线()%5C()%5CASCII编码编码41Strictly Private&ConfidentialStrictly Private&ConfidentialIIS溢出问题溢出问题(1).htr缓冲区溢出漏洞缓冲区溢出漏洞IPP(Internet Printing Protocol)缓缓冲冲区区溢溢出出(IPP是是处处理理.printer文文件件的的-C:winntsystem32msw3prt.dll)当以下调用超过当以下调用超过420字节时，问题就会发生字节时，问题就会发生对策：删除对策：删除DLL

39、和文件扩展之间的映射和文件扩展之间的映射GET/NULL.printerHTTP/1.0GET/NULL.printerHTTP/1.0Host:bufferHost:buffer42Strictly Private&ConfidentialStrictly Private&Confidential删除删除DLL和文件扩展之间的映射和文件扩展之间的映射43Strictly Private&ConfidentialStrictly Private&ConfidentialIIS溢出问题溢出问题(2)索引服务索引服务ISAPI扩展溢出扩展溢出(通常被称为通常被称为ida/idq溢出溢出)由由idq

40、.dll引起，当引起，当buffer长度超过长度超过240字节时，问题就会发生字节时，问题就会发生Null.ida为文件名，无需真的存在为文件名，无需真的存在直至现在上没有漏洞利用代码直至现在上没有漏洞利用代码CodeRed的感染途径的感染途径对策：删除对策：删除idq.dll和和文件扩展之间的映射文件扩展之间的映射GET/GET/NULL.idaNULL.ida?HTTP/1.1Host:buffer?HTTP/1.1Host:buffer44Strictly Private&ConfidentialStrictly Private&ConfidentialIIS溢出问题溢出问题(3)Fro

41、ntpage2000服务扩展溢出服务扩展溢出最早由最早由NSFocus(中国安全研究小组中国安全研究小组)提出提出FPSE在在 Windows2000中中 的的 位位 置置：C:ProgramfilesCommomFilesMicrosoftSharedWebServerExtensions问题焦点是问题焦点是fp30reg.dll和和fp4areg.dll(后者默认总是提供的后者默认总是提供的)收到超过收到超过258字节的字节的URL请求时，问题就会出现请求时，问题就会出现漏洞利用工具：漏洞利用工具：fpse2000ex对策：删除对策：删除fp30reg.dll和和fp4areg.dll文件

42、文件45Strictly Private&ConfidentialStrictly Private&ConfidentialIIS的的Unicode问题问题问题产生的要义问题产生的要义“%c0%af”和和“%c1%9c”分别是分别是“/”“”的的unicode表示表示其其 它它 的的 非非 法法 表表 示示 法法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等等对策对策安装安装MS00-086中的补丁中的补丁由于没有实现分区跳转功能，可以在系统分区之外安装由于没有实现分区跳转功能，可以在系统分区之外安装IIS设置严格设置严格的的NTFS权限权限在服务

43、器在服务器的的Write和和ExcuteACL中删除中删除Everyone和和User组组46Strictly Private&ConfidentialStrictly Private&Confidential更近一步更近一步-双解码双解码/二次解码二次解码同样由同样由NSFocus发布发布对策：应用对策：应用MS01-26给出的补丁给出的补丁(不包括在不包括在sp2中中)注意和注意和Unicode的区别，包括相关日志的区别，包括相关日志GET/scripts/.%255c.255c%winnt/system32/cmd.exeGET/scripts/.%255c.255c%winnt/sys

44、tem32/cmd.exe47Strictly Private&ConfidentialStrictly Private&ConfidentialIIS的其它问题的其它问题源代码泄漏的危险源代码泄漏的危险.htr风险风险.htw/webhits风险风险权限提升的问题权限提升的问题远程调用远程调用RevertToself的的ISAPIDLL向向LSA本地注射代码本地注射代码48Strictly Private&ConfidentialStrictly Private&ConfidentialWindows2000终端服务终端服务TS(TerminalService)工作于工作于3389端口端口T

45、S基于基于RDP(RemoteDesktopProtocol)实现实现终端服务不是使用终端服务不是使用HTTP或或HTTPS的，而是通过的，而是通过RDP通道实现通道实现TS监听端口可以自己指定监听端口可以自己指定HKLMSystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp值值-PortNumberREG_WORD3389(默认默认)49Strictly Private&ConfidentialStrictly Private&Confidential针对针对TS的攻击的攻击密码猜测攻击风险密码猜测攻击风险(TSGrind

46、er)权限提升风险权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险攻击风险RDPDoS攻击风险攻击风险50Strictly Private&ConfidentialStrictly Private&Confidential走进走进MS客户端客户端-客户端风险评估客户端风险评估恶意电子邮件恶意电子邮件-MIME扩展扩展Outlook缓冲区溢出缓冲区溢出MediaPlay缓冲区溢出缓冲区溢出VBS地址簿蠕虫地址簿蠕虫51Strictly Private&ConfidentialStrictly Private&Confidential恶意邮件实例恶意邮件实例HeloHelo

47、Mail Mail froam:froam:Rcpt to:Rcpt to:DataDataSublect:ReadSublect:Read me meImportance:highImportance:highMIME-Version:1.0MIME-Version:1.0Content-Content-type:text/html;charsettype:text/html;charset=us-=us-asciiasciiContent-Transfer-Encoding:7bitContent-Transfer-Encoding:7bitHi!Hi!.quitquit使用的开放使用的开

48、放SMTPSMTP邮件中继邮件中继此处可以添加恶意此处可以添加恶意客户端脚本客户端脚本通过下列命令执行：通过下列命令执行：Type mail.txt|telnet IP 25Type mail.txt|telnet IP 2552Strictly Private&ConfidentialStrictly Private&ConfidentialOutlook溢出溢出起源于起源于vCard(一种电子名片一种电子名片)Outlook直接打开并运行附件中的直接打开并运行附件中的vCards而不提示用户而不提示用户vCards存储于存储于.vcf文件中，也是没有提示而直接运行的文件中，也是没有提示而直

49、接运行的当当vCards的生日字段的生日字段(BDAY)超过超过55字符时，就会出现溢出字符时，就会出现溢出对策：应用对策：应用IE5.5sp253Strictly Private&ConfidentialStrictly Private&ConfidentialWindows2000的打印驱动的打印驱动以以fullcontrol权限运行权限运行在在OS级别级别面临的主要威胁面临的主要威胁-默认情况下任何人都可以安装打印驱动默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动攻击者可能会使用木马替换打印驱动54Stric

50、tly Private&ConfidentialStrictly Private&Confidential媒体元文件媒体元文件问题所在问题所在带有超长带有超长pathpath值的值的.asxasx文件试图自动浏文件试图自动浏览时，会导致资源管理器崩溃；另外，览时，会导致资源管理器崩溃；另外，可以向可以向pathpath写入适当代码写入适当代码55Strictly Private&ConfidentialStrictly Private&ConfidentialIIS服务安全配置服务安全配置禁用或删除所有的示例应用程序禁用或删除所有的示例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不