windows系统安全管理.pptx

《windows系统安全管理.pptx》由会员分享，可在线阅读，更多相关《windows系统安全管理.pptx（77页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 2014 绿盟科技Windows系统安全管理链接：http:/ 密码：ei5j目录Windows系统管理Windows简介及常用命令windows文件权限控制Windows系统管理Windows共享管理反射攻击实例Windows入侵调查常见工具介绍系统安全背景分析系统安全背景分析接口决定通路信息系统内网有线环境非法外联无线环境外网Web页面http（80）https（443）特定应用OA特定业务远程维护系统到底有多少个接口系统到底有多少个接口？基于服务器实现应用（windows、linux、unix等）前序-windows系统常用提权手段常见的windows系统提权漏洞有：MS08-067：

2、MS11-080：MS11-046：可直接获取最高权限密码的方式有：Mimikatz2.0PWDUMP+彩虹表可利用的操作系统后门：Shift后门反射攻击（MS12-063）等获取内网PC机器登录权限Mimikatz2.0输入法提权能否这么顺利可冒充目标单位信息中心的人员或第三方外包维护人员，获取PC使用者的信任；权限获取完成后直接植入免杀后门，反射外联即可；此类攻击较为极端，但是内网往往为安全的薄弱点，需要时刻留意；无意识的行为较多，日常所见的大多数均为病毒感染；直接连入网络楼层交换机可管理，登陆成功后开启端口连入内网；直接采用办公室内某台可连入网络的网线；可采用AP等将内网网络通过无线信号

3、转出；实施无线攻击的前提Linux环境：backtrack5r3/kalilinux支持的无线网卡：3COM/INTEL/artheros/ralink切记避免realtek芯片AP信号放大器强大的密码破解字典非法接入发现信号抓取目标SSID的握手包Airmon-ng开启网卡混杂模式kismet进入监控状况，抓取附近无线信号Airodump-ng，抓取握手包如短时间抓不到握手包，可用mdk3攻击AP，强制其客户端下线Miniewap也可实现上述功能攻击过程Windows简介及常用命令Windows版本发展MicrosoftWindows2000WindowsNT5.0MicrosoftWind

4、owsXPWindowsNT5.1MicrosoftWindowsServer2003WindowsNT5.2MicrosoftWindowsVistaWindowsNT6.0MicrosoftWindowsServer2008WindowsNT6.0MicrosoftWindows7WindowsNT6.1MicrosoftWindowsServer2008R2WindowsNT6.1MicrosoftWindows8WindowsNT6.2MicrosoftWindowsPhone8WindowsNT6.2MicrosoftWindowsServer2012WindowsNT6.2Wind

5、ows发展史个人操作系统发展史个人操作系统发展史1998年2001年2006年2009年2012年NT5.0服务器服务器操作系统发展史操作系统发展史系统信息命令介绍查看系统版本查看系统版本ver查看查看系统信息、系统信息、补丁数目补丁数目systeminfo查看查看共享情况共享情况Netshare查看主机名查看主机名hostname查查看用户看用户netuser查查看用户组、看用户组、SIDWhoami/user查看开放端口查看开放端口netstat-ano用户及用户组用户：组：SID定义介绍SID：安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。在Windo

6、ws系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。Windows帐号的SID由字符“S”、SID版本号、颁发机构、子颁发机构、RID组成。例：S-1-5-21-310440588-250036847-580389505-500。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifierauthority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后

7、一个标志着域内的帐户和组。举例：设置方法：“开始”-“运行”输入secpol.msc立即启用：gpupdate/force账号安全设置：账号策略帐号策略：帐号安全选项相关：密码策略密码策略:密码必须满足：a、长度至少为6个字符；b、密码字符必须来自大写字母、小写字母、数字、非字母符号中的三个。密码复杂度要求:克隆账号克隆帐号：当用Administrator的F项覆盖其他账号的F项后，就造成了账号是管理员权限，但查询还是原来状态的情况，这就是所谓的克隆账号。当系统用户一旦被克隆，配合终端服务，就等于向攻击者开启了一扇隐蔽的后门，让攻击者可以随时进入你的系统，这一扇门你看不到,因为它依靠的是微软的

8、终端服务，并没有释放病毒文件，所以也不会被杀毒软件所查杀。克隆账号1.安全账号管理器的具体表现就是%SystemRoot%system32configsam文件。2.sam文件是windowsNT的用户帐户数据库,所有2K03/2k/NT用户的登录名及口令等相关信息都会保存在这个文件中。3.sam文件可以认为类似于unix系统中的shadow文件,不过没有这么直观明了。我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的HKEY_LOCAL_MACHINESAMSAMHKEY_LOCAL_MAC

9、HINESECURITYSAM保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。帐户数据库SAM文件：克隆账号克隆administrator帐号：1.创建隐藏帐号2.打开注册表编辑器修改SAM权限3.按F5刷新注册表，查看克隆账号类型4.分别查看administrator的类型的F值和需要克隆的帐号类型的F值，并将administrator的F值复制覆盖要克隆的帐号的F值5.注销计算机，用克隆帐号登录，netlocalgroupadministrators查看克隆帐号是否在administrators组里6.测试是否真实具有administrator的权限，新建用户并将其加入

10、administrator组弱口令检测：弱口令检测：PWDUMPOphcrack利用彩虹表破解PWDUMP的SAM文件密码抓取工具mimikatz2.0文件权限控制前提条件NTFS分区：1.NTFS权限既影响网络访问者也影响本地访问者。2.NTFS权限可以为驱动器、文件夹、注册表键值、打印机等进行设置。3.权限可以配置给用户或组，不同用户或组对同一个文件夹或文件可以有不同的权限分区转换：convertD:/fs:ntfs注意：不可逆，只能将FAT或FAT32系统转换为NTFS系统，不能将NTFS系统转换成FAT或FAT32系统。如果必须转换，一般需要重新格式化磁盘。文件权限细分ACL（acce

11、sscontrollist）访问控制列表ACE（Accesscontrolentry）访问控制记录Windows文件权限特性每种权限都有“允许”和“拒绝”两种设置方法。权限的来源有“直接设置”和“继承”两种。如果权限的设置出现矛盾，系统按下面的优先顺序确定权限：直接设置的拒绝直接设置的允许继承的拒绝继承的允许权限的优先顺序：移动、复制对权限继承性的影响：1.在同一分区内移动文件或文件夹，权限保持不变。在不同分区间移动文件或文件夹，权限继承新位置的权限。2.复制文件或文件夹，权限会继承新位置的权限。3.把文件或文件夹移动或复制到FAT分区中时权限会丢失。删除继承权限删除继承权限的方法：夺权：只有

12、两种人员可以抢夺所有权：1、Administrators(管理员)组的用户；2、拥有“获得所有权”这一特别权限的用户。Windows共享管理默认共享、共享权限Windows共享资源计算机管理界面查看共享资源计算机管理界面查看共享资源共享与CMD命令netshare：功能：文件或目录共享相关设置默认共享默认共享（默认共享（C$、D$、E$）1.IPC$(InternetProcessConnection)可以被理解为一种“专用管道”，可以在连接双方建立一条安全的通道，实现对远程计算机的访问。WindowsNT/2000/XP提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑

13、共享(C$,D$,E$)和系统目录(ADMIN$)共享。2.所有这些共享共享的目的，都是为了方便管理员的管理，只要服务器服务”Server”正在运行当中，就不可能删除IPC$。试图删除只会出现”拒绝访问”的错误提示。当你停止了Server服务后。IPC$会自动消失。但在有意无意中，导致了系统安全性的隐患。3.默认共享不是个漏洞。造成安全隐患的并不是默认共享本身。而是系统使用者本身。自定义共享自定义共享自定义共享1.相关用户启用2.相关用户权限设置3.网络工作组设置4.共享文件夹设置访问共享访问共享资源的方法访问共享资源的方法访问WindowsXP默认共享共享非常简单：一是通过“开始”“运行”，

14、输入“计算机名或IP地址D$或admin$”（不包括两侧的引号，下同）；二是使用IE等浏览器，在地址栏中输入上述格式或“file:/127.0.0.1/d$”（如图）：共享权限“共享”选项卡：共享权限：Windows2003的默认共享权限是Everyone读取；Windows2000的默认共享权限是Everyone完全控制。CMD共享命令Netshare：1.sharename：指共享资源的网络名。如果此名字后面加上“$”字符则此共享就会成为隐含的。2.drive:path：指定将被共享的文件夹的绝对路径（包括驱动器名）。如：C:MyDocuments。3./USERS：设置可以同时访问共享资

15、源的最大用户数，“number”指具体的用户数。4./UNLIMITED：指不限定同时访问共享资源的用户数。5./REMARK：添加一个有关共享资源的描述性注释，注释内容的文本应该包含在引号(“)中。6./DELETE：关闭共享。CMD共享命令关闭共享：关闭共享：shareD$/del含义：关闭名D$的共享。Windows系统管理服务、进程服务服务属性注册表与服务的关联在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一服务项目子项都有一个 Start 数值,这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的

16、就是服务项目驱动程式该在何时被加载。目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态,0、1、2 分别代表 Boot、System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand),4 则是代表停用的状态,也就是禁用。服务与CMD命令Net命令netconfig：功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的参数：1./autodisconnect:time设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-1到6553

17、5分钟，默认值是15分钟。2./srvcomment:text为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。3./hidden:yes|no指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是no。netstart/stopservername:netstart查看已经开启的服务netstopservername停止服务服务带来的威胁建议将以下服务停止，并将启动方式修改为手动：AutomaticUpdates（不使用自动更新可以关闭）BackgroundIntelligentTransferServ

18、ice（不使用自动更新可以关闭）DHCPClientMessengerRemoteRegistryPrintSpoolerServer（不使用文件共享可以关闭）SimpleTCP/IPServiceSimpleMailTransportProtocol(SMTP)SNMPServiceTaskScheduleTCP/IPNetBIOSHelperMS06040/MS08067MS10061服务与CMD命令Net命令netconfig：功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的参数：1./autodisconnect:time设置在断开连接前用户会话可以

19、不活动的最大分钟数。可以指定-1不断开连接。范围从-1到65535分钟，默认值是15分钟。2./srvcomment:text为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。3./hidden:yes|no指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是no。netstart/stopservername:netstart查看已经开启的服务netstopservername停止服务进程基本的系统进程基本的系统进程1.1.smss.exe Session Manager smss.exe Sessi

20、on Manager 2.2.csrss.exe csrss.exe 子系统服务器进程子系统服务器进程 3.3.winlogon.exe winlogon.exe 管理用户登录管理用户登录 4.4.services.exe services.exe 包含很多系统服务包含很多系统服务 5.5.lsass.exe lsass.exe 管理管理 IP IP 安全策略以安全策略以及启动及启动 ISAKMP/Oakley(IKE)ISAKMP/Oakley(IKE)和和 IP IP 安全驱动程序。安全驱动程序。(系统服务系统服务)6.6.svchost.exe svchost.exe 包含很多系统服务包

21、含很多系统服务 7.7.spoolsv.exespoolsv.exe 将文件加载到内存将文件加载到内存中以便迟后打印。中以便迟后打印。(系统服务系统服务)8.8.explorer.exe explorer.exe 资源管理器资源管理器 9.9.internat.exe internat.exe 输入法输入法 端口与进程进程与CMD进程管理命令Tasklist查看进程列表查看进程列表Tasktkill结束进程结束进程Ie浏览器浏览器的进程号（的进程号（PID）为）为1636和和4892Tasktkill/f/pid1636/pid4892结束结束ie浏览器进程浏览器进程日志Windows日志文件

22、默认位置是“%systemroot%system32config安全日志文件：%systemroot%system32configSecEvent.EVT系统日志文件：%systemroot%system32configSysEvent.EVT应用程序日志文件：%systemroot%system32configAppEvent.EVTFTP连接日志和HTTPD事务日志：%systemroot%system32LogFiles日志在哪？日志在哪？反射攻击实例渗透测试实例MS12-063漏洞影响范围：IE 7 on Windows XP SP3IE 8 on Windows XP SP3IE 7

23、 on Windows VistaIE 8 on Windows VistaIE 8 on Windows 7IE 9 on Windows 7IE的execCommand函数在实现上存在释放后重用漏洞，远程攻击者可能利用此漏洞通过诱使用户访问恶意网页执行挂马攻击，控制用户系统。该函数在执行一个命令时，会先触发相应的事件函数，恶意攻击者可在事件函数中重写html页面，致使某个对象被释放掉，但此时execCommand的操作还没完成，这就导致了释放后重用漏洞。攻击者通过精心构造的页面，并诱使受害用户访问，就可以达到在受害用户系统中执行任意指令的目的。所用的攻击环境跨站攻击平台，可实现对被攻击目标

24、进行web访问时，对其访问地址进行跳转漏洞攻击平台，实现对基于MS12-063漏洞的自动化攻击及session-i的监控攻击环境配置攻击监控攻击成功，获取目标执行权限Windows入侵调查恶意扫描常见端口与服务对应关系端口服务20FTP数据21FTP控制22SSH23TELNET25SMTP53DNS80HTTP443HTTPS3389RDPWindows入侵检测及早发现系统异常检查后门程序查看日志分析入侵情况恢复系统以及应用及早发现系统异常系统重新启动系统日志记录系统运行时间网络连接时间 系统资源减少进程占用大量CPU时间进程消耗大量物理内存磁盘空间减少网络流量异常发送或接收大量SYN数据包

25、发送或接收大量ICMP数据包其他流量（如BT协议流量，FTP协议流量）安全产品入侵检测防火墙其他其他途径其他管理员的询问残缺日志windows查看遗留痕迹IE临时文件访问过的网页Documents and SettingsLocal SettingsTemporary Internet Files访问地址记录记录访问过的网址和本地地址按日期排列Documents and SettingsLocal SettingsHistory使用文件记录打开过的文档Documents and SettingsRecentwindows查看遗留痕迹cookie记录访问过的网址使用过的帐户Documents a

26、nd Settingscookie计划任务使用at命令查看回收站根目录下隐藏的Recycler目录用户删除的文件在以其自身SID为基础命名的子目录中Windows登录类型及安全日志解析登录类型2：交互式登录（Interactive）在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。登录类型3：网络（Network）当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。登录类型5：服务（Service）与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows

27、首先为这个特定的用户创建一个登录会话，这将被记为类型5登录类型7：解锁（Unlock）你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。登录类型8：网络明文（NetworkCleartext）当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。登录类型10：远程交互（RemoteInteractive）当你通过终端服务、远程桌面或远程协助访问计算机

28、时，Windows将记为类型10。恢复系统以及应用复查确认后门清理完毕：Pslist IceSword判断系统存在漏洞入侵手法判断：根据日志重现攻击手法；依照流行程度判断服务内容判断：参照安全公告，检查本机服务扫描判断：微软工具MBSA基准扫描修补系统存在漏洞，并加固系统临时解决方案使用防火墙策略阻挡指定协议或端口特殊关键字请求，如select*、insert into、drop from等使用防火墙阻挡指定进程暂时停止使用危险应用根本解决方案安装安全补丁更换安全的应用系统暂时停止使用危险应用启动所有应用，测试是否正常运行常见工具介绍按行为查找后门在后门程序运行的过程中，后门程序除正常的访问一

29、些敏感文件、注册表项等行为外，还可能会出现创建模块等异常行为，而这些额外创建出来的文件会辅助恶意程序的主进程工作，防止主进程被用户或杀毒软件中断，因此，可通过监控工具来查看恶意程序的行为。Filemon按行为查找后门Filemon会以进程为线索，列举该进程以何种方式（即，界面中的“请求”）对什么文件（即，界面中的“路径”）进行什么样的访问（请求方式分为OPEN、READ、QUERY、CLOSE等），以及访问是否成功（即，界面中的“结果”）。如果需要对特定的进程进行监视或过滤，可点击快捷菜单上的漏洞图标，填写指定的进程名来进行结果过滤：wireshark恶意扫描NMAP：端口扫描利器nmap是一

30、个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统保安。恶意扫描常用扫描参数1)获取远程主机的系统类型及开放端口获取远程主机的系统类型及开放端口nmap-sS-P0-sV-O这里的可以是单一IP,或主机名，或域名，或子网-sSTCPSYN扫描(又称半开放,或隐身扫描)-P0允许你关闭ICMPpings.-sV打开系统版本检测-O尝试识别远程操作系统其它选项:-A同时打开操作系统指纹和版本检测-v详细输出扫描情况.nmap-sS-P0-A-

31、v2)列出开放了指定端口的主机列表列出开放了指定端口的主机列表nmap-sT-p80-oG192.168.1.*|grepopen3)在网络寻找所有在线主机在网络寻找所有在线主机nmap-sP192.168.0.*或者也可用以下命令:nmap-sP192.168.0.0/24指定subnet恶意扫描常用扫描参数4)Ping指定范围内的指定范围内的IP地址地址nmap-sP192.168.1.100-2545)在某段子网上查找未占用的在某段子网上查找未占用的IPnmap-T4-sP192.168.2.0/24&egrep“00:00:00:00:00:00/proc/net/arp6)在局域网上

32、扫找在局域网上扫找Conficker蠕虫病毒蠕虫病毒nmap-PN-T4-p139,445-n-vscript=smb-check-vulnsscript-argssafe=1192.168.0.1-2547)扫描网络上的恶意接入点扫描网络上的恶意接入点（rogueAPs）.nmap-A-p1-85,113,443,8080-8100-T4min-hostgroup50max-rtt-timeout2000initial-rtt-timeout300max-retries3host-timeout20mmax-scan-delay1000-oAwapscan10.0.0.0/88)使用诱饵扫描方法来扫描主机端口使用诱饵扫描方法来扫描主机端口sudonmap-sS192.168.0.10-D192.168.0.2谢谢！