【正文】 tr ? Inter 數(shù)據(jù)庫(kù)連接器（所有的 IIS 5 Web 站點(diǎn)應(yīng)使用 ADO 或類似的技術(shù)） .idc ? 服務(wù)器端包括 .stm、 .shtm 和 .shtml ? Inter 打印 .printer ? 索引服務(wù)器 .htw、 .ida 和 .idq IIS服務(wù)安全配置 ? 設(shè)置適當(dāng)?shù)? IIS 日志文件 ACL 請(qǐng)確保 IIS 產(chǎn)生的日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是 – Administrators（完全控制） – System（完全控制） – Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。 下面 列出一些示例的默認(rèn)位置。 ? 開(kāi)始 |管理工具 |計(jì)算機(jī)管理 |磁盤管理 文件系統(tǒng) ? 檢查特定文件的文件權(quán)限 ? 對(duì)于一些敏感文件權(quán)限需要進(jìn)行修改，避免文件被惡意用戶執(zhí)行。 ? At \\server – 此命令用來(lái)得到一個(gè)遠(yuǎn)程服務(wù)器的調(diào)度作業(yè) 防御辦法 ? 屏蔽 135139， 445端口（網(wǎng)絡(luò)屬性） ? 去除 NetBios Over TCP/IP(在服務(wù)中去除 server） ? 修改注冊(cè)表 – HKEYLOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA – Value Name: RestrictAnonymous – Data Type: REG_DWORD – Value: 1（ 2 Win2023) 參考 KB articles Q143474, Q143475, Q161372, Q155363， Q246261 入侵實(shí)例 ? 通過(guò) NetBIOS入侵 139端口是 NetBIOS Session端口，用來(lái)進(jìn)行文件和打印共享，是 NT潛在的危險(xiǎn)。 everyone組沒(méi)有很大的權(quán)力。 2023/3/31 口令破解與攻擊 47 NT/2023的口令問(wèn)題 ? SAM（ Security Accounts Manager) – LanManager散列算法（ LM） ? 已被破解，但仍被保留 – NT散列算法（ NTLM/NTLMv2 ） ? 強(qiáng)加密、改良的身份認(rèn)證和安全的會(huì)話機(jī)制 ? 自動(dòng)降級(jí) 2023/3/31 口令破解與攻擊 48 NT/2023的口令問(wèn)題 ? LanManager散列算法的問(wèn)題 – 口令都被湊成 14個(gè)字符； – 不足 14位的，用 0補(bǔ)齊； – 全部轉(zhuǎn)化為大寫字母； – 分成兩部分分別加密。 (系統(tǒng)服務(wù) ) – 資源管理器 – 輸入法 Windows的 Log系統(tǒng) Windows有三種類型的事件日志： – 系統(tǒng)日志 跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障。 Windows 2k下可以在命令行中輸入。 Windows系統(tǒng)的用戶權(quán)限 權(quán)限級(jí)別 RXWDPO 允許的用戶動(dòng)作 No Access 用戶不能訪問(wèn)該文件 Read RX 用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行 Change RXWD 有 Read的權(quán)限，還可用修和刪除文件 Full control RXWDPO 包含 Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán) Windows系統(tǒng)的共享權(quán)限 ? 共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng) 絡(luò)上就不會(huì)有用戶看到它，也就更不能訪問(wèn)。 – Change the system time 用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。 用戶權(quán)利、權(quán)限和共享權(quán)限 網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力： ? 權(quán)力 :在系統(tǒng)上完成特定動(dòng)作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上。 Windows安全子系統(tǒng) ? 安全支持提供者（ Security Support Provider）： 安全支持提供者是以驅(qū)動(dòng)的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下， Windows NT安裝了以下三種： – ：微軟網(wǎng)絡(luò)挑戰(zhàn) /反應(yīng)認(rèn)證模塊 – ：分布式密碼認(rèn)證挑戰(zhàn) /反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用 – ：該認(rèn)證模塊使用某些證書(shū)頒發(fā)機(jī)構(gòu)提供的證書(shū)來(lái)進(jìn)行驗(yàn)證，常見(jiàn)的證書(shū)機(jī)構(gòu)比如 Verisign。 – 創(chuàng)建用戶的訪問(wèn)令牌。訪問(wèn)控制項(xiàng)有兩種：允許訪問(wèn)和拒絕訪問(wèn)。 例： S1521176323432332126575211234321321500 ? 訪問(wèn)令牌（ Access tokens） :。 Windows系統(tǒng)的安全組件 訪問(wèn)控制的判斷（ Discretion access control） 按照 C2級(jí)別的定義， Windows 支持對(duì)象的訪問(wèn)控制的判斷。 ? 強(qiáng)制登陸（ Mandatory log on） 與 Windows for Workgroups， Windwows 95， Windows 98不同， Windows2K/ NT要求所有的用戶必須登陸，通過(guò)認(rèn)證后才可以訪問(wèn)資源。它保存對(duì)象的安全配置。 Windows安全子系統(tǒng) – Winlogon – Graphical Identification and Authentication DLL (GINA) – Local Security Authority(LSA) – Security Support Provider Interface(SSPI) – Authentication Packages – Security support providers – Netlogon Service – Security Account Manager(SAM) Windows子系統(tǒng)實(shí)現(xiàn)圖 Winlogon, Local Security Authorit以及 Netlogon服務(wù)在任務(wù)管理器中 都可以看到，其他的以 DLL方式被這些文件調(diào)用。 – 管理審核的策略和設(shè)置。 ? 安全賬號(hào)管理者（ Security Account Manager）： 安全賬號(hào)管理者，也就是我們經(jīng)常所說(shuō)的SAM，它是用來(lái)保存用戶賬號(hào)和口令的數(shù)據(jù)庫(kù)。 Windows系統(tǒng)的用戶權(quán)利 權(quán)利適用于對(duì)整個(gè)系統(tǒng)范圍內(nèi)的對(duì)象和任務(wù)的操作，通常是用來(lái)授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。 – Shutdown the system 允許用戶關(guān)閉系統(tǒng)。 Windows系統(tǒng)的共享權(quán)限 共享權(quán)限級(jí)別 允許的用戶動(dòng)作 No Access(不能訪問(wèn) ) 禁止對(duì)目錄和其中的文件及子目錄進(jìn)行訪問(wèn)但允許查看文件名和子目錄名，改變共享 Read(讀 ) 目錄的子目錄，還允許查看文件的數(shù)據(jù) 和運(yùn)行應(yīng)用程序 Change(更改 ) 具有 “ 讀 ” 權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄 Full control(完全控制 ) 具有 “ 更改 ” 權(quán)限中允許的操作，另外還允許更改權(quán)限 (只適用于 NTFS卷 )和獲所有權(quán) (只適用于 NTFS卷 ) 共享點(diǎn)一定要小心地分配。Start 數(shù)值內(nèi)容所記錄的就是服務(wù)項(xiàng)目驅(qū)動(dòng)程式該在何時(shí)被加載。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。 2023/3/31 口令破解與攻擊 52 用戶教育 ? 口令禁忌 : – 不要選擇可以在任何字典或語(yǔ)言中找到的口令 – 不要選擇簡(jiǎn)單字母組成的口令 – 不要選擇任何指明個(gè)人信息的口令 – 不要選擇包含用戶名或相似類容的口令 – 不要選擇短于 6個(gè)字符或僅包含字母或數(shù)字的口令 – 不要選擇作為口令范例公布的口令 2023/3/31 口令破解與攻擊 53 管理員注意事項(xiàng) ? 確保每個(gè)用戶都有一個(gè)有效的口令； ? 對(duì)用戶進(jìn)行口令教育； ? 使用防止用戶選擇弱口令的配置與工具； ? 進(jìn)行口令檢查，確保沒(méi)有弱口令； ? 確保系統(tǒng)與網(wǎng)絡(luò)設(shè)備沒(méi)有缺省賬號(hào)和口令； ? 不要在多個(gè)機(jī)器上使用相同的口令； ? 從不記錄也不與他人共享密碼； 2023/3/31 口令破解與攻擊 54 管理員注意事項(xiàng) ? 從不將網(wǎng)絡(luò)登錄密碼用作其他用途； ? 域 Administrators賬戶和 本地 Administrators帳戶使用不同的密碼； ? 小