【正文】 信息安全技術(shù) Windows系統(tǒng)安全 中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（ CNITSEC） CISP2Windows系統(tǒng)安全（培訓(xùn)樣稿） itsec 系統(tǒng)安全 : 安全度量 ? 度量標(biāo)準(zhǔn)： Trusted Computer System Evaluation Criteria(1985) ? 系統(tǒng)安全程度的七個(gè)等級(jí) ： (D CC B B B A1) itsec 安全威脅 : 系統(tǒng)為什么不安全 ? 網(wǎng)絡(luò)建設(shè)非常迅猛 , 較少考慮安全問(wèn)題 ? 缺乏安全知識(shí)和意識(shí) ? 網(wǎng)絡(luò)仍然在不斷發(fā)生變化 ? 安全工具不能完全自動(dòng)處理安全漏洞和威脅 ? 缺乏安全管理人員 itsec ? 直接經(jīng)濟(jì)損失 ? 名譽(yù)、信譽(yù)受損 ? 正常工作中斷或受到干擾 ? 效率下降 ? 可靠性降低 ? 其他嚴(yán)重的后果 安全威脅 : 安全事故的后果 itsec 內(nèi)容 ? 黑客技術(shù)介紹篇 ? Windows安全原理篇 ? Windows安全配置篇 itsec 黑客技術(shù)介紹篇 ? 什么是黑客 ? 常見黑客攻擊方式 ? 黑客攻擊手法（一） ? 黑客攻擊手法（二） ? 黑客攻擊手法（三） ? 黑客攻擊手法（四） itsec 什么是黑客 ? 通過(guò)網(wǎng)絡(luò) , 利用系統(tǒng)中的一些漏洞和缺陷 ,對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行入侵的人 ? hacker與 cracker: Hacker ? Cracker, 但對(duì)于大眾 , hacker 即 cracker itsec 常見黑客攻擊方式 ? 直接入侵攻擊主機(jī) ? 盜用破壞或者修改數(shù)據(jù) ? 拒絕服務(wù) (縮寫 DoS) ? 等等 … itsec 黑客攻擊手法 (一 ) ? 收集信息 ? 掃描 – Nmap掃描的演示 ? 社會(huì)工程 ? 公開信息 ? 利用系統(tǒng)漏洞 – snmp的默認(rèn)配置 ,搜集演示 – Netbios默認(rèn)開放，搜集演示 – IIS的安全問(wèn)題 itsec 黑客攻擊手法 (二 ) ? 嘗試獲得主機(jī)入口 ? 密碼猜測(cè) ? 遠(yuǎn)程溢出 ? Sniffer ? 社會(huì)工程 ? 程序漏洞 ? 繞道 itsec 黑客攻擊手法 (三） ? 嘗試獲得最高權(quán)限 ? 本地溢出 ? 木馬 ? 社會(huì)工程 ? 竊取，欺騙 ? 程序漏洞 itsec 黑客攻擊手法 (四 ) ? 擴(kuò)大攻擊范圍 ? 清除系統(tǒng)記錄 – Log記錄清除試驗(yàn) ? 留下系統(tǒng)后門 – Bind shell（ )演示 ? 跳躍攻擊其他主機(jī) Windows安全原理篇 itsec Windows安全原理篇 ? Windows系統(tǒng)的安全架構(gòu) ? Windows的安全子系統(tǒng) ? Windows的密碼系統(tǒng) ? Windows的系統(tǒng)服務(wù)和進(jìn)程 ? Windows的日志系統(tǒng) itsec Windows系統(tǒng)的安全架構(gòu) Windows NT的安全包括 6個(gè)主要的安全元素： Audit, Administration, Encryption, Access Control, User Authentication, Corporate Security Policy。 Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問(wèn)控制、管理、審核。 itsec Windows系統(tǒng)的安全組件 由于 Windows 是 C2級(jí)別的操作系統(tǒng)，下面介紹作為 C2級(jí)別的操作系統(tǒng)中所包含的安全組件： ? 訪問(wèn)控制的判斷（ Discretion access control） 按照 C2級(jí)別的定義， Windows 支持對(duì)象的訪問(wèn)控制的判斷。這些需求包括允許對(duì)象的所有者可以控制誰(shuí)被允許訪問(wèn)該對(duì)象以及訪問(wèn)的方式。 ? 對(duì)象重用（ Object reuse） 當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問(wèn)時(shí)， Windows 禁止所有的系統(tǒng)應(yīng)用訪問(wèn)該資源，這也就是為什么 Windows NT禁止 undelete已經(jīng)被刪除的文件的原因。 ? 強(qiáng)制登陸（ Mandatory log on） 與 Windows for Workgroups， Windwows 95， Windows 98不同，Windows2K/ NT要求所有的用戶必須登陸，通過(guò)認(rèn)證后才可以訪問(wèn)資源。由于網(wǎng)絡(luò)連接缺少?gòu)?qiáng)制的認(rèn)證，所以 Windows 作為 C2級(jí)別的操作系統(tǒng)必須是未連網(wǎng)的。 ? 審核（ Auditing） Windows NT 在控制用戶訪問(wèn)資源的同時(shí)，也可以對(duì)這些訪問(wèn)作了相應(yīng)的記錄。 ? 對(duì)象的訪問(wèn)控制（ Control of access to object） Windows NT不允許直接訪問(wèn)系統(tǒng)的某些資源。必須是該資源允許被訪問(wèn)，然后是用戶或應(yīng)用通過(guò)第一次認(rèn)證后再訪問(wèn)。 itsec Windows系統(tǒng)的對(duì)象 為了實(shí)現(xiàn)自身的安全特性， Windows2K/ NT把所有的資源作為系統(tǒng)的特殊的對(duì)象。這些對(duì)象包含資源本身， Windows2K/ NT提供了一種訪問(wèn)機(jī)制去使用它們。由于這些基本的原因，所以我們把 Windows2K/ NT稱為基于對(duì)象的操作系統(tǒng)。 ? Microsoft的安全就是基于以下的法則： ? 用對(duì)象表現(xiàn)所有的資源 ? 只有 Windows2K/ NT才能直接訪問(wèn)這些對(duì)象 ? 對(duì)象能夠包含所有的數(shù)據(jù)和方法 ? 對(duì)象的訪問(wèn)必須通過(guò) Windows 2K/NT的安全子系統(tǒng)的第一次驗(yàn)證 ? 存在幾種單獨(dú)的對(duì)象，每一個(gè)對(duì)象的類型決定了這些對(duì)象能做些什么 ? Windows 中首要的對(duì)象類型有： 文件 文件夾 打印機(jī) I/O設(shè)備 窗口 線程 進(jìn)程 內(nèi)存 ? 這些安全構(gòu)架的目標(biāo)就是實(shí)現(xiàn)系統(tǒng)的牢固性。從設(shè)計(jì)來(lái)考慮，就是所有的訪問(wèn)都必須通過(guò)同一種方法認(rèn)證，減少安全機(jī)制被繞過(guò)的機(jī)會(huì)。 itsec Windows安全子系統(tǒng)的組件 Windows NT安全子系統(tǒng)包含五個(gè)關(guān)鍵的組件： Security identifiers， Access tokens， Security descriptors， Access control lists， Access Control Entries。 ? 安全標(biāo)識(shí)符（ Security Identifiers） : 就是我們經(jīng)常說(shuō)的 SID，每次當(dāng)我們創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶或組一個(gè)唯一 SID，當(dāng)你重新安裝 Windows NT后，也會(huì)得到一個(gè)唯一的 SID。 SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。 例： S1521176323432332126575211234321321500 ? 訪問(wèn)令牌（ Access tokens） : 用戶通過(guò)驗(yàn)證后，登陸進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌，該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證，當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，將訪問(wèn)令牌提供給 Windows NT，然后 Windows NT檢查用戶試圖訪問(wèn)對(duì)象上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象， Windows NT將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。 訪問(wèn)令牌是用戶在通過(guò)驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問(wèn)令牌。 itsec Windows安全子系統(tǒng)的組件 ? 安全描述符（ Security descriptors）： Windows NT中的任何對(duì)象的屬性都有安全描述符這部分。它保存對(duì)象的安全配置。 ? 訪問(wèn)控制列表（ Access control lists）： 訪問(wèn)控制列表有兩種：任意訪問(wèn)控制列表（ Discretionary ACL）、系統(tǒng)訪問(wèn)控制列表（ System ACL）。任意訪問(wèn)控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個(gè)用戶或組在任意訪問(wèn)控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問(wèn)控制列表是為審核服務(wù)的，包含了對(duì)象被訪問(wèn)的時(shí)間。 ? 訪問(wèn)控制項(xiàng)（ Access control entries） : 訪問(wèn)控制項(xiàng)（ ACE）包含了用戶或組的 SID以及對(duì)象的權(quán)限。訪問(wèn)控制項(xiàng)有兩種：允許訪問(wèn)和拒絕訪問(wèn)。拒絕訪問(wèn)的級(jí)別高于允許訪問(wèn)。 當(dāng)你使用管理工具列出對(duì)象的訪問(wèn)權(quán)限時(shí)，列表的排序是以文字為順序的，它并不象防火墻的規(guī)則那樣由上往下的，不過(guò)好在并不會(huì)出現(xiàn)沖突，拒絕訪問(wèn)總是優(yōu)先于允許訪問(wèn)的。 itsec Windows安全子系統(tǒng) 安全子系統(tǒng)包括以下部分： ? Winlogon ? Graphical Identification and Authentication DLL (GINA) ? Local Security Authority(LSA) ? Security Support Provider Interface(SSPI) ? Authentication Packages ? Security support providers ? Netlogon Service ? Security Account Manager(SAM) itsec Windows子系統(tǒng)實(shí)現(xiàn)圖 Winlogon, Local Security Authorit以及 Netlogon服務(wù)在任務(wù)管理器中 都可以看到，其他的以 DLL方式被這些文件調(diào)用。 itsec Windows安全子系統(tǒng) ? Winlogon and Gina: Winlogon調(diào)用 GINA DLL，并監(jiān)視安全認(rèn)證序列。而 GINA DLL提供一個(gè)交互式的界面為用戶登陸提供認(rèn)證請(qǐng)求。 GINA DLL被設(shè)計(jì)成一個(gè)獨(dú)立的模塊，當(dāng)然我們也可以用一個(gè)更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的 GINA DLL。 Winlogon在注冊(cè)表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL鍵， Winlogon將使用這個(gè) DLL，如果不存在該鍵， Winlogon將使用默認(rèn)值 itsec Windows安全子系統(tǒng) ? 本地安全認(rèn)證（ Local Security Authority）： 本地安全認(rèn)證（ LSA）是一個(gè)被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)： ? 調(diào)用所有的認(rèn)證包，檢查在注冊(cè)表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該 DLL進(jìn)行認(rèn)證（ ）。在 ， Windows NT會(huì)尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的 Security