(精品)Windows系统原理及加固.ppt

《(精品)Windows系统原理及加固.ppt》由会员分享，可在线阅读，更多相关《(精品)Windows系统原理及加固.ppt（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows系统原理及加固成都天成都天融信公司融信公司陈立果：13880052644系统原理安全配置Windows安全原理篇Windows系统的安全架构Windows的安全子系统Windows的密码系统Windows的系统服务和进程Windows的日志系统Windows系统的安全架构WindowsNT系统内置支持用户认证,访问控制,管理,审核，加密Windows系统的安全主体用户用户、用户帐户、Administrator与SYSTEM用户组为简化用户管理而引入的一个概念（类似一个容器，里面是权限相同的用户），还可以同时为多个用户授权。计算机（机器帐户）当一个Windows系统加入某个域的时，

2、域控制器为它创建的一个计算机帐户。Windows安全子系统的组件安全标识符（SecurityIdentifiers）:就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。例：S-1-5-21-1763234323-3212657521-1234321321-500访问令牌（Accesstokens）:用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows系统，然后WindowsNT检查用户试图访问对象上的访问控制列表。

3、如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。Windows安全子系统的组件安全描述符（Securitydescriptors）：Windows系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Accesscontrollists）：访问控制列表有两种：任意访问控制列表（DiscretionaryACL）、系统访问控制列表（SystemACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Accesscontr

4、olentries）:访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。Windows安全子系统安全子系统包括安全子系统包括以下部分：以下部分：WinlogonGraphical Identification and Authentication DLL(GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon Se

5、rviceSecurity Account Manager(SAM)Windows安全子系统WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库Windows安全子系统WinlogonandGina:Winlogon调用GINADLL，并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL

6、被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL。Winlogon在注册表中查找HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLLWindows安全子系统本地安全认证（LocalSecurityAuthority）：本地安全认证（LSA）是一个被保护的子系统，它负责以下任务：调用所有的认证包，检查在注册表HKLMSYSTEMCurrentControlSetCo

7、ntrolLSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，WindowsNT会寻找HKLMSYSTEMCurrentControlSetControlLSA下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。Windows安全子系统安全支持提供者的接口安全支持提供者的接口（Security Support Provide Interface）：）：微软的微软的Securit

8、y Support Provide Interface很简单地很简单地遵循遵循RFC 2743和和RFC 2744的定义，提供一些安全服务的定义，提供一些安全服务的的API，为应用程序和服务，为应用程序和服务提供请求安全的认证连接的提供请求安全的认证连接的方法。方法。认证包（认证包（Authentication Package）：）：认证包可以为真实用户提认证包可以为真实用户提供认证。通过供认证。通过GINA DLL的可信认证后，认证包返的可信认证后，认证包返回用户的回用户的SIDs给给LSA，然，然后将其放在用户的访问令后将其放在用户的访问令牌中。牌中。Windows安全子系统安全支持提供者

9、（SecuritySupportProvider）：安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/响应认证模块Msapsspc.dll：分布式密码认证挑战/响应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）协议通信的时候用到。Windows安全子系统网络登

10、陆（Netlogon）网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。安全账号管理者（SecurityAccountManager）安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝。Windows系统的用户权利权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务

11、。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利：Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许用户在网络上安装和删除设备的驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。Sh

12、utdownthesystem允许用户关闭系统。Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。Windows系统的用户权限目录权限如果对目录有Execute(X)权限，表示可以穿越目录，

13、进入其子目录。权限级别RXWDPO允许的用户动作NoAccess用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限文件权限权限级别RXWDPO允许的用户动作NoAccess用户不能访问该文件ReadR

14、X用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的有权Windows的密码系统安全帐号管理器(securityaccountmanager)：安全帐号管理器对帐号的管理是通过安全标识进行的安全标识在帐号创建时就同时创建帐号被删除，安全标识也同时被删除安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的因此某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的权限。Windows的密码系统SAM和活动目录S

15、AM构成Windows注册表里五大分支之一，具体内容保存在%systemroot%system32configsam里；在Windows域控制器上，账户和口令字密文保存在活动目录（ActiveDirectory,AD）里，对应文件是：%systemroot%ntdsntds.dit。Windows的密码系统安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。sam文件是windowsNT的用户帐户数据库,所有2K/NT用户的登录名及口令等相关信息都会保存在这个文件中。Windows中用文件保存账号信息,不过如果我们用编辑器打开这些NT的sam文件，除了乱

16、码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的HKEY_LOCAL_MACHINESAMSAMHKEY_LOCAL_MACHINESECURITYSAM保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。Windows的系统服务命令行中输入services.msc打开服务列表。Windows的系统服务在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService底下每一笔服务项目子项都有一个Start数值这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容所记录的就

17、是服务项目驱动程式该在何时被加载。目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。Windows的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序svchost.exe包含很多系统服

18、务explorer.exe资源管理器Windows的系统进程Windows的Log系统Windows有三种类型的事件日志：系统日志跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。Windows的Log系统日志在系统的位置是：%SYSTEMROOT%system32configSysEvent.Evt%SYSTEMROOT%system32configSecEven

19、t.Evt%SYSTEMROOT%system32configAppEvent.EvtLOG文件在注册表的位置是：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogWindows的应用系统日志Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日志Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志FTP日志和WWW日志文件名通常为ex（年份）（月份）（日期），例如ex001

20、023，就是2000年10月23日产生的日志，用记事本就可直接打开Scheduler服务日志默认位置：%systemroot%schedlgu.txtHTTP的日志分析HTTP日志分析：#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:31192.168.1.26192.168.1.3

21、780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:34192.168.1.26192.168.1.3780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行，可以看出2000年10月23日，IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面iisstart.asp,这位用户的浏览器为compati

22、ble;+MSIE+5.0;+Windows+98+DigExt，有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间系统原理安全配置Windows安全配置安全配置安装安装审核系统安全性审核系统安全性访问控制访问控制 账号安全策略账号安全策略 管理员权限管理员权限网络服务安全设置网络服务安全设置文件系统安全文件系统安全安全日志安全日志其它的安全设置其它的安全设置安装使用正版可靠安装盘：如果语言不成为障碍，建议使用英文版操作系统，因为微软的产品都是“Bug&Patch”而著称，中文版的Bug多于英文版,补丁发布时间也较迟。(win7及后续无关)将系统安装在NT

23、FS分区上：NTFS比FAT、FAT32更有优势。系统和数据要分开存放在不同的磁盘组件的定制和最小化安装服务：“最小的服务+最小的权限=最大的安全”，只定制安装必需的服务和协议，留心系统默认安装的组件。安装管理应用程序的选择WIN2K安装SP4和相关的HotfixWINXP安装SP3和相关的HotfixWIN2003安装SP2和相关的HotfixWinVista&Win2008安装SP2Win7安装SP1帐户安全策略密码安全是最重要也是必须要提及的。NT系统上的密码安全可以通过以下方式来改进：检查密码策略:查看你的密码策略确定其中的密码是否是有期限的.当设置密码的时候，应该考虑到密码老化的问题

24、。最长的时间应为90天。密码的最短长度应该至少为8个字符，三次错误登录就应该锁住该帐号,还有密码的唯一性（如记录三次的密码）。这样都可以防止攻击者通过猜测密码来实施攻击。删除无用或过期帐号:查看哪些帐号是没有用的或者是已经过期了的，然后将他们删除。检查是否存在空密码的帐号:查看所有帐号是否有空密码。其中Administrator和Guest帐号要留意。屏幕保护使用密码保护:用密码屏幕保护来增加NT服务器的物理保护。屏幕保护的时间建议是5分钟或更少。管理员权限配置重命名管理员帐号:将Administrator帐号名更名为和其他普通帐号名一样。这可以增加攻击者攻击的复杂度，这样可以避免攻击者猜测管

25、理员密码。检查管理员组成员:确认只有授权的管理组成员可以使用该帐号。尽量减少使用管理员权限的帐号数量。确认密码强度足够:使用一个不会被猜出的密码或是不会被暴力破解轻易破解出来的密码。密码应该是随意组合的，没有规律，有大小写字符、数字或着是特殊字符，用8个以上个字符的密码。网络服务安全配置限制对外开放的端口:系统可以使用ipsec的端口限制功能，或者是第三方的防火墙；网络服务安全配置强化snmp服务：限制访问范围，或者更改默认的读写字串与权限限制terminalserver服务的访问计算机将不必要的服务设置为手动Alert、ClipBook、ComputerBrowser、remoteregis

26、try、Ssdp.文件系统安全EFS-加密文件系统EFS全称是-EncryptingFileSystem加密文件系统，是Windows2000及以上Windows版本中，磁盘格式化为NTFS的文件加密功能。EFS对用户是透明的EFS加密速度很快启用后记得备份证书，否则重装系统后原加密文件无法读取文件系统安全目录和文件权限：细致的设置目录和文件的访问权限可以大幅提高系统的安全性。在默认的情况下，大多数的文件夹（包括所有的根目录）对所有用户（Everyone这个组）是完全敞开的（FullControl），需要根据应用的需要进行权限重设。在进行权限控制时，请记住以下几个原则l权限是累计的：如果一个用

27、户同时属于两个组，那么他就有了这两个组所允许的所有权限l拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行l文件权限比文件夹权限高l仅给用户真正需要的权限，权限的最小化原则是安全的重要保障重要的系统命令安全将下列等可执行文件放到一个新建的目录D:XXX下cmd.exeping.exeftp.exeroute.exenet.exewscript.execscript.exearp.execacls.exenetstat

28、.exeregedit.exeregedt32.exenslookup.exetracert.exeipconfig.exesyskey.exeissync.exetskill.exepoledit.exeregsvr32.exetelnet.exeat.exe将此目录进行权限设置有选择的删除系统中的如下可执行文件finger.exeedlin.exerunonce.exenetsh.exeregini.exefind.exe其他的安全设置关闭自动打开的管理共享HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParame

29、ters键值AutoShareServer类型REG_DWORD数据0不显示最后登录用户姓名HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon增添键值DontDisplayLastUserName类型REG_SZ数值1SYSKEY机制在NT里，口令字密文保存在SAM文件里。NT4SP3以后，微软又对保存在SAM文件里口令字密文增加了一层加密保护机制，这就是SYSKEY机制。可以在开始-运行键入“SYSKEY”命令，得到如下窗口，手动激活SYSKEY机制：其他的安全设置IIS服务安全配置禁用或删除所有的示例应用程序

30、示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从http:/localhost或127.0.0.1访问；但是，它们仍应被删除。下面列出一些示例的默认位置。示例虚拟目录位置IIS示例IISSamplesc:inetpubiissamplesIIS文档IISHelpc:winnthelpiishelp数据访问MSADCc:programfilescommonfilessystemmsadcIIS服务安全配置删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您

31、不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开Internet服务管理器。右键单击Web服务器，然后从上下文菜单中选择“属性”。主属性选择WWW服务|编辑|主目录|配置IIS服务安全配置禁用父路径“父路径”选项允许在对诸如MapPath函数调用中使用“.”。在默认情况下，该选项处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该Web站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。禁用-内容位置中的IP地址“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理服务器后面隐藏或屏蔽

32、的内部IP地址。IIS服务安全配置设置适当的IIS日志文件ACL请确保IIS产生的日志文件(%systemroot%system32LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RX)这有助于防止恶意用户为隐藏他们的踪迹而删除文件。设置适当的虚拟目录的权限请确保IIS的虚拟目录如scripts等权限设置是否最小化，删除不需要的目录。将iis目录重新定向不要使用系统默认的路径，自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具微软的IIS安全设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。安全日志Windows的默认安装是不开安全审核本地安全策略-审核策略中打开相应的审核推荐的审核是：账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败长期的系统维护时刻注意安全漏洞和补丁发布定期分析日志系统，发现潜在攻击注意账号和口令的安全问题注意观察系统异常定期进行安全检查管理员才是关键!安全任重道远