【正文】 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級到 IIS 5 時，它并不刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對象組件，但是要注意這將也會刪除 Dictionary 對象。 避免 Guest帳號被黑客激活作為后門 IIS服務(wù)安全配置 ? 禁用或刪除所有的示例應(yīng)用程序 示例只是示例；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。只有管理員才應(yīng)具有對注冊表的遠(yuǎn)程訪問權(quán)限，因為默認(rèn)情況下 Windows 2023 注冊表編輯工具支持遠(yuǎn)程訪問。 ? 強壯口令要求： 8位或以上口令長度、大小寫字母、數(shù)字、特殊符號 網(wǎng)絡(luò)與服務(wù) ? 查看網(wǎng)絡(luò)開放端口 查看監(jiān)聽端口 網(wǎng)絡(luò)與服務(wù) ? 得到網(wǎng)絡(luò)流量信息 網(wǎng)絡(luò)與服務(wù) 網(wǎng)絡(luò)與服務(wù) ? 查看系統(tǒng)已經(jīng)啟動的服務(wù)列表 網(wǎng)絡(luò)與服務(wù) ? 查看主機是否開放了共享或管理共享未關(guān)閉。 Cnbtstat –A 用 use建立連接 c: use \\\ipc$ “密碼 ” /user:”用戶名 ” c: view \\ c: use x: \\\c$ c:dir x: /p 注意：通過 IPC$連接會在 Eventlog中留下記錄。 ? 讀注冊表。 Null Session ? use \\server\IPC$ /user: 此命令用來建立一個空會話 ? 獲得目標(biāo)上的所有用戶列表。 ? 任何一臺主機都可以和服務(wù)器之間建立一個NULL session，這個 NULL session在服務(wù)器里屬于everyone組。 – 竊聽口令交換 2023/3/31 口令破解與攻擊 51 口令策略 ?使用密碼強度及賬戶老化、鎖定策略； –設(shè)置最小的密碼程度為 8個字符，最短密碼時間為 17天，最長密碼時間為 42天，最小的密碼歷史輪回為 6，失敗登陸嘗試為 3，賬戶鎖定為 60分鐘等。 NT安裝 SP6a和相關(guān)的 Hotfix WIN2K安裝 SP4和相關(guān)的 Hotfix WINXP安裝 SP2和相關(guān)的 Hotfix WIN2023安裝相關(guān)的 Hotfix 系統(tǒng)安全檢查 ? 系統(tǒng)信息 ? 補丁安裝情況 ? 帳號和口令 ? 網(wǎng)絡(luò)與服務(wù) ? 文件系統(tǒng) ? 日志審核 ? 安全性增強 系統(tǒng)信息 ? 檢查服務(wù)器是否安裝多系統(tǒng)，多系統(tǒng)無法保障文件系統(tǒng)的安全 從“ operating systems”字段可以查到允許啟動的系統(tǒng)列表 系統(tǒng)信息 ? 查看主機路由信息 補丁安裝情況 ? 檢查當(dāng)前主機所安裝的 Service Pack以及Hotfix (Mbsa) SP版本 IE版本，請確認(rèn)在Hotfix中是否存在 IE SP1補丁信息 Hotfix信息 2023/3/31 口令破解與攻擊 42 帳號和口令 ? 多數(shù)的系統(tǒng)，口令是進(jìn)入系統(tǒng)的第一道防線，也是唯一防線； ? 決大多數(shù)的口令算法是可靠的； ? 獲得口令的方式有多種； ? 口令問題多數(shù)出在管理與安全意識的問題上。 – 安全日志 跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。 Windows的系統(tǒng)進(jìn)程 基本的系統(tǒng)進(jìn)程 – Session Manager 會話管理 – 子系統(tǒng)服務(wù)器進(jìn)程 – 管理用戶登錄 – 包含很多系統(tǒng)服務(wù) – 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。 自動 Windows 2023啟動的時候自動加載服務(wù) 手動 Windows 2023啟動的時候不自動加載服務(wù)，在需要的時候手動開啟 已禁用 Windows 2023啟動的時候不自動加載服務(wù)，在需要的時候選擇手動或者自動方式開啟服務(wù)，并重新啟動電腦完成服務(wù)的配置 雙擊需要進(jìn)行配置的服務(wù)，出現(xiàn)下圖所示的屬性對話框： Windows的系統(tǒng)服務(wù) – KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一筆 服務(wù)項目子項都有一個 Start 數(shù)值 , 這個數(shù)值的內(nèi)容依照每一個服務(wù)項目的狀 況而又有不同。雙擊 “ 管理工具 ” ，然后雙擊 “ 服務(wù) ” 。共享權(quán) 限建立了通過網(wǎng)絡(luò)對共享目錄訪問的最高級別。下表顯示了這些任務(wù)是如何與各種權(quán)限級 別相關(guān)聯(lián)的。 – Restore files and directories 允許用戶恢復(fù)以前備份的文件和目錄。 – Add workstation to a domain 允許用戶將工作站添加到域中。 ? 共享 :用戶可以通過網(wǎng)絡(luò)使用的文件夾。 Windows的密碼系統(tǒng) ? 安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件。 Windows安全子系統(tǒng) ? 網(wǎng)絡(luò)登陸（ Netlogon）： 。 ? 認(rèn)證包（ Authentication Package）： 認(rèn)證包可以為真實用戶提供認(rèn)證。 – 儲存和映射用戶權(quán)限。 GINA DLL被設(shè)計成一個獨立的模塊，當(dāng)然我們也可以用一個更加強有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的 GINA DLL。 當(dāng)你使用管理工具列出對象的訪問權(quán)限時，列表的排序是以文字為順序的，它并不象防火墻的規(guī)則那樣由上往下的，不過好在并不會出現(xiàn)沖突，拒絕訪問總是優(yōu)先于允許訪問的。 ACL包含一個頭部，其中包含有更新版本號、 ACL的大小以及它所包含的 ACE數(shù)量等信息。 第一項 S表示該字符串是 SID 第二項是 SID的版本號，對于 2023來說，這個就是 1 然后是標(biāo)志符的頒發(fā)機構(gòu)（ identifier authority），對于 2023內(nèi)的帳戶，頒發(fā)機構(gòu)就是 NT，值是 5 然后表示一系列的子頒發(fā)機構(gòu)，前面幾項是標(biāo)志域的 最后一個標(biāo)志著域內(nèi)的帳戶和組 Windows安全子系統(tǒng)的組件 ? 安全描述符（ Security descriptors）： Windows NT中的任何對象的屬性都有安全描述符這部分。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問。 ? 對象重用（ Object reuse） 當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時， Windows 禁止所有的系統(tǒng)應(yīng)用訪問該資源。Windows 安全原理 內(nèi)容 ? Windows安全原理篇 ? Windows安全管理篇 Windows安全原理篇 ? Windows系統(tǒng)的安全架構(gòu) ? Windows的安全子系統(tǒng) ? Windows的密碼系統(tǒng) ? Windows的系統(tǒng)服務(wù)和進(jìn)程 ? Windows的日志系統(tǒng) Windows系統(tǒng)的安全架構(gòu) Windows NT的安全包括 6個主要的安全元素： Audit（審計） , Administration（管理） , Encryption（加密） , Access Control（訪問控制） , User Authentication（用戶認(rèn)證） , Corporate Security Policy（公共安全策略）。這些需求包括允許對象的所有者可以控制誰被允許訪問該對象以及訪問的方式。 ? 對象的訪問控制（ Control of access to object） Windows NT不允許直接訪問系統(tǒng)的某些資源。 訪問令牌是用戶在通過驗證的時候有登陸進(jìn)程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。每創(chuàng)建一個對象，對應(yīng)的 ACL也會創(chuàng)建。拒絕訪問的級別高于允許訪問。而 GINA DLL提供一個交互式的界面為用戶登陸提供認(rèn)證請求。 – 管理本地安裝的服務(wù)所使用的服務(wù)賬號。 Windows安全子系統(tǒng) ? 安全支持提供者的接口（ Security Support Provide Interface）： 微軟的 Security Support Provide Interface很簡單地遵循 RFC 2743和RFC 2744的定義，提供一些安全服務(wù)的 API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。這種認(rèn)證方式經(jīng)常在使用 SSL（ Secure Sockets Layer）和 PCT（ Private Communication Technology）協(xié)議通信的時候用到。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標(biāo)識都時完全不同的。 ? 權(quán)限 :可以授