【正文】 0。NetworkMonitorApps03UMessengerService00GDomainName1BUDomainMasterBrowser1CGDomainControllers1DUMasterBrowser1EGBrowserServiceElections1CGInterInformationServer00UInterInformationServer名稱列表名稱列表 267Strictly Private amp。 Confidential強化 SMB會話安全? 強制的顯式權(quán)限許可：限制匿名訪問? 控制 LANManager驗證? 使用 SMB的簽名– 服務端和客戶端都需要配置注冊表68Strictly Private amp。 Confidential降低 Windows風險69Strictly Private amp。 Confidential安全修補程序? Windows系列– ServicePack167。 NT(SP6A)、 2022(SP4)、 XP(SP2)– Hotfix? Microsoft出品的 hfchk程序– 檢查補丁安裝情況– 70Strictly Private amp。 Confidential服務和端口限制? 限制對外開放的端口 :在 TCP/IP的高級設置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設置 ? 禁用 snmp服務或者更改默認的社區(qū)名稱和權(quán)限? 禁用 terminalserver服務? 將不必要的服務設置為手動AlerterClipBookComputerBrowser……71Strictly Private amp。 ConfidentialNetbios的安全設置? Windows2022/2022取消綁定文件和共享綁定– 打開 控制面板－網(wǎng)絡－高級－高級設置– 選擇網(wǎng)卡并將 Microsoft網(wǎng)絡的文件和打印共享的復選框取消，即可以完全禁止 TCP139和 445? WindowsNT– 在 WinNT下取消 NetBIOS與 TCP/IP協(xié)議的綁定。可以按如下步驟進行：– 點擊 “控制面板 網(wǎng)絡 NetBIOS接口 WINS客戶（ TCP/IP)禁用 ”，再點 “確定 ”，然后重啟– 這樣 NT的計算機名和工作組名也隱藏了72Strictly Private amp。 ConfidentialNetbios的安全設置? 禁止匿名連接列舉帳戶名需要對注冊表做以下修改– 運行注冊表編輯器（ ）– 定位在注冊表中的下列鍵上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA– 在編輯菜單欄中選取加一個鍵值：167。 ValueName:RestrictAnonymous167。 DataType:REG_DWORD167。 Value:1（ Windows2022下為 2）73Strictly Private amp。 ConfidentialNetbios的安全設置? Windows 2022的本地安全策略（或域安全策略中）中有RestrictAnonymous（ 匿名連接的額外限制）選項，提供三個值可選 – 0： None.Relyondefaultpermissions（ 無，取決于默認的權(quán)限） – 1： DonotallowenumerationofSAMaccountsandshares（ 不允許枚舉SAM帳號和共享） – 2： Noaccesswithoutexplicitanonymouspermissions（ 沒有顯式匿名權(quán)限就不允許訪問） 74Strictly Private amp。 ConfidentialWindows2022注冊表? 所有的配置和控制選項都存儲在注冊表中? 分為五個子樹，分別是 Hkey_local_machine、 Hkey_users、Hkey_current_user、 Hkey_classes_root、 Hkey_current_config? Hkey_local_machine包含所有本機相關(guān)配置信息75Strictly Private amp。 Confidential注冊表安全 查詢數(shù)值 允許用戶和組從注冊表中讀取數(shù)值 設置數(shù)值 允許用戶和組從注冊表中設置數(shù)值 創(chuàng)建子項 允許用戶和組在給定的注冊項中創(chuàng)建子項 計數(shù)子項 允許用戶和組識別某注冊項的子項 通 知 允許用戶和組從注冊表中審計通知事件 創(chuàng)建鏈接 允許用戶和組在特定項中建立符號鏈接 刪 除 允許用戶和組在刪除選定的注冊項 寫入 DAC 允許用戶和組將 DAC寫入注冊表項 寫入所有者 允許用戶和組獲得注冊表項的所有權(quán) 讀取控制 允許用戶和組具有訪問選定注冊表項的安全信息權(quán) 限 解 釋76Strictly Private amp。 Confidential注冊表的默認權(quán)限77Strictly Private amp。 Confidential注冊表的審計? 對注冊表的審計是必需的? 審計內(nèi)容的選擇– 注冊表每秒被訪問 5001500次– 任何對象都有可能訪問注冊表? 默認的注冊表審計策略為空78Strictly Private amp。 Confidential禁止對注冊表的遠程訪問79Strictly Private amp。 Confidential禁止和刪除服務? 通過 ? 使用 ResourceKit徹底刪除服務– Sc命令行工具– Instsrv工具? 舉例– OS/2和 Posix系統(tǒng)僅僅為了向后兼容– Server服務僅僅為了接受 bios請求80Strictly Private amp。 Confidential針對 Windows2022的入侵 (1)? 探測– 選擇攻擊對象，了解部分簡單的對象信息；針對具體的攻擊目標，隨便選擇了一組IP地址，進行測試，選擇處于活動狀態(tài)的主機，進行攻擊嘗試? 針對探測的安全建議– 對于網(wǎng)絡：安裝防火墻，禁止這種探測行為– 對于主機：安裝個人防火墻軟件，禁止外部主機的 ping包，使對方無法獲知主機當前正確的活動狀態(tài)81Strictly Private amp。 Confidential針對 Windows2022的入侵 (2)? 掃描– 使用的掃描軟件– NAT、 流光 、 Xscan、 SSS? 掃描遠程主機 – 開放端口掃描 – 操作系統(tǒng)識別 – 主機漏洞分析82Strictly Private amp。 Confidential掃描結(jié)果：端口掃描83Strictly Private amp。 Confidential掃描結(jié)果： 操作系統(tǒng)識別84Strictly Private amp。 Confidential掃描結(jié)果：漏洞掃描85Strictly Private amp。 Confidential針對 Windows2022的入侵 (3)? 查看目標主機的信息86Strictly Private amp。 Confidential針對 Windows2022的入侵 (4)? IIS攻擊– 嘗試利用 IIS中知名的 Unicode和 “Translate:f”漏洞進行攻擊，沒有成功。目標主機可能已修復相應漏洞，或沒有打開遠程訪問權(quán)限? Administrator口令強行破解– 這里我們使用 NAT（ NetBIOSAuditingTool） 進行強行破解：構(gòu)造一個可能的用戶帳戶表，以及簡單的密碼字典，然后 用 NAT進行破解87Strictly Private amp。 ConfidentialAdministrator口令破解情況88Strictly Private amp。 Confidential針對 Windows2022的入侵 (5)? 鞏固權(quán)力– 現(xiàn)在我們得到了 Administrator的帳戶，接下去我們需要鞏固權(quán)力– 裝載后門– 一般的主機為防范病毒，均會安裝反病毒軟件，如 Norton AntiVirus、 金山毒霸等，并且大部分人也能及時更新病毒庫，而多數(shù)木馬程序在這類軟件的病毒庫中均被視為 Trojan木馬病毒。所以，這為我們增加了難度。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來– 我們使用 NetCat作為后門程序進行演示89Strictly Private amp。 Confidential安裝后門程序 (1)? 利用剛剛獲取的 Administrator口令，通過 Netuse映射對方驅(qū)動器90Strictly Private amp。 Confidential安裝后門程序 (2)? 將 cat主程序 ，可將程序名稱改為容易迷惑對方的名字? 利用 at命令遠程啟動 NetCat91Strictly Private amp。 Confidential安裝后門程序 (3)92Strictly Private amp。 Confidential針對 Windows2022的入侵 (6)? 清除痕跡– 我們留下了痕跡了嗎– del*.evtechoxxx*.evt? 看看它的日志文件– 無安全日志記錄93Strictly Private amp。 Confidential通過入侵來看 Win2022的防范? 安裝防火墻軟件，對安全規(guī)則庫定期進行更新 ? 及時更新操作系統(tǒng)廠商發(fā)布的 SP補丁程序 ? 停止主機上不必要的服務，各種服務打開的端口往往成為黑客攻擊的入口 ? 使用安全的密碼? 如果沒有文件和打印機共享要求，最好禁止 13 139和 445端口上的空會話 ? 經(jīng)常利用 session、 stat查看本機連接情況94Strictly Private amp。 ConfidentialQamp。A感謝聆聽！Thankyouforattending！