【正文】 個 DLL，如果不存在該鍵， Winlogon將使用默認(rèn)值 Windows安全子系統(tǒng) ? 本地安全認(rèn)證（ Local Security Authority）： – 調(diào)用所有的認(rèn)證包，檢查在注冊表 – 重新找回本地組的 SIDs和用戶的權(quán)限。 Windows安全子系統(tǒng) – Winlogon – Graphical Identification and Authentication DLL (GINA) – Local Security Authority(LSA) – Security Support Provider Interface(SSPI) – Authentication Packages – Security support providers – Netlogon Service – Security Account Manager(SAM) Windows子系統(tǒng)實現(xiàn)圖 Winlogon, Local Security Authorit以及 Netlogon服務(wù)在任務(wù)管理器中 都可以看到，其他的以 DLL方式被這些文件調(diào)用。 ? 訪問控制項（ Access control entries）： 訪問控制項（ ACE）包含了用戶或組的 SID以及對象的權(quán)限。它保存對象的安全配置。 強制訪問控制 Windows安全子系統(tǒng)的組件 ? 安全標(biāo)識符（ Security Identifiers） : SID永遠(yuǎn)都是唯一的，由計算機名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的 CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。 ? 強制登陸（ Mandatory log on） 與 Windows for Workgroups， Windwows 95， Windows 98不同， Windows2K/ NT要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源。 Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問控制、管理、審核。 Windows系統(tǒng)的安全組件 訪問控制的判斷（ Discretion access control） 按照 C2級別的定義， Windows 支持對象的訪問控制的判斷。 ? 審核（ Auditing） Windows NT 在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。 例： S1521176323432332126575211234321321500 ? 訪問令牌（ Access tokens） :。 ? 訪問控制列表（ Access control lists）： 在 NT系統(tǒng)中，每當(dāng)請求一個對象或資源訪問時，就會檢查它的 ACL，確認(rèn)給用戶授予了什么樣的權(quán)利。訪問控制項有兩種：允許訪問和拒絕訪問。 Windows安全子系統(tǒng) ? Winlogon and Gina: Winlogon調(diào)用 GINA DLL，并監(jiān)視安全認(rèn)證序列。 – 創(chuàng)建用戶的訪問令牌。 – 管理信任關(guān)系。 Windows安全子系統(tǒng) ? 安全支持提供者（ Security Support Provider）： 安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機制，默認(rèn)情況下， Windows NT安裝了以下三種： – ：微軟網(wǎng)絡(luò)挑戰(zhàn) /反應(yīng)認(rèn)證模塊 – ：分布式密碼認(rèn)證挑戰(zhàn) /反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用 – ：該認(rèn)證模塊使用某些證書頒發(fā)機構(gòu)提供的證書來進行驗證，常見的證書機構(gòu)比如 Verisign。 Windows 2023 本地登陸過程 GINA LSA SSPI Kerberos NTLM Windows的密碼系統(tǒng) ? windows NT及 win2023中對用戶帳戶的安全管理使用了安全帳號管理器 (security account manager)的機制 ,安全帳號管理器對帳號的管理是通過安全標(biāo)識進行的，安全標(biāo)識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標(biāo)識也同時被刪除。 用戶權(quán)利、權(quán)限和共享權(quán)限 網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力： ? 權(quán)力 :在系統(tǒng)上完成特定動作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴大到組和用戶上。當(dāng)用戶登錄到一個具有某種權(quán)利的帳號時，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。 – Change the system time 用戶可以設(shè)置計算機的系統(tǒng)時鐘。 Windows系統(tǒng)的用戶權(quán)限 ? RWXDPO Windows系統(tǒng)的用戶權(quán)限 ? 權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作， 指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個目錄的訪問權(quán)限授予指定的用戶）。 Windows系統(tǒng)的用戶權(quán)限 權(quán)限級別 RXWDPO 允許的用戶動作 No Access 用戶不能訪問該文件 Read RX 用戶可以讀取該文件，如果是應(yīng)用程序可以運行 Change RXWD 有 Read的權(quán)限，還可用修和刪除文件 Full control RXWDPO 包含 Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán) Windows系統(tǒng)的共享權(quán)限 ? 共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng) 絡(luò)上就不會有用戶看到它，也就更不能訪問。因為權(quán)限僅僅是分配給共享點的， 任何共享點下的文件：或目錄都足以和共享點本身相同的權(quán)限被訪問的。 Windows 2k下可以在命令行中輸入。 – 目 前微軟對 Start 內(nèi)容的定義有 0、 4 等五種狀態(tài) , 0、 2 分別代表 Boot、 System、 Auto Load 等叁種意義。 (系統(tǒng)服務(wù) ) – 資源管理器 – 輸入法 Windows的 Log系統(tǒng) Windows有三種類型的事件日志： – 系統(tǒng)日志 跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。 Windows的 Log系統(tǒng) ? 日志在系統(tǒng)的位置是： – %SYSTEMROOT%\system32\config\ – %SYSTEMROOT%\system32\config\ – %SYSTEMROOT%\system32\config\ ? LOG文件在注冊表的位置是： – HKEY_LOCAL_MACHINE\System\Current Control Set\Services\Eventlog Windows的應(yīng)用系統(tǒng)日志 FTP日志分析 ? FTP日志分析， 如下例： Software: Microsoft Inter Information Services （微軟 ） Version: （版本 ） Date: 20231023 03:11:55 （服務(wù)啟動時間日期） 03:11:55 [1]USER administator 331 （ IP地址為 administator試圖登錄） 03:11:58 [1]PASS – 530 （登錄失?。? 03:12:04 [1]USER nt 331 （ IP地址為 nt的用戶試圖登錄） 03:12:06 [1]PASS – 530 （登錄失?。? 03:12:32 [1]USER administrator 331 （ IP地址為 administrator試圖登錄） 03:12:34 [1]PASS – 230 （登錄成功） 03:12:41 [1]MKD nt 550 （新建目錄失?。? 03:12:45 [1]QUIT – 550 （退出 FTP程序） 從日志里就能看出 IP地址為 ，換了 3次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時間 IP地址以及探測的用戶名 。 2023/3/31 口令破解與攻擊 47 NT/2023的口令問題 ? SAM（ Security Accounts Manager) – LanManager散列算法（ LM） ? 已被破解，但仍被保留 – NT散列算法（ NTLM/NTLMv2 ） ? 強加密、改良的身份認(rèn)證和安全的會話機制 ? 自動降級 2023/3/31 口令破解與攻擊 48 NT/2023的口令問題 ? LanManager散列算法的問題 – 口令都被湊成 14個字