【正文】 te amp。 Confidential 強(qiáng)化 SMB會(huì)話安全 ? 強(qiáng)制的顯式權(quán)限許可：限制匿名訪問 ? 控制 LAN Manager驗(yàn)證 ? 使用 SMB的簽名 – 服務(wù)端和客戶端都需要配臵注冊(cè)表 67 Strictly Private amp。 Confidential 降低 Windows風(fēng)險(xiǎn) 68 Strictly Private amp。 Confidential 安全修補(bǔ)程序 ? Windows系列 – Service Pack ? NT(SP6A)、 2022(SP4)、 XP(SP2) – Hotfix ? Microsoft出品的 hfchk程序 – 檢查補(bǔ)丁安裝情況 – 69 Strictly Private amp。 Confidential 服務(wù)和端口限制 ? 限制對(duì)外開放的端口 : 在 TCP/IP的高級(jí)設(shè)臵中選擇只允許開放特定端口 ， 或者可以考慮使用路由或防火墻來設(shè)臵 ? 禁用 snmp服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限 ? 禁用 terminal server服務(wù) ? 將不必要的服務(wù)設(shè)臵為手動(dòng) Alerter ClipBook Computer Browser …… 70 Strictly Private amp。 Confidential Netbios的安全設(shè)臵 ? Windows 2022/2022 取消綁定文件和共享綁定 – 打開 控制面板－網(wǎng)絡(luò)－高級(jí)－高級(jí)設(shè)臵 – 選擇網(wǎng)卡并將 Microsoft 網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消 ， 即可以完全禁止 TCP 139 和 445 ? Windows NT – 在 WinNT下取消 NetBIOS與 TCP/IP協(xié)議的綁定 。 可以按如下步驟進(jìn)行： – 點(diǎn)擊 “ 控制面板 網(wǎng)絡(luò) NetBIOS接口 WINS客戶 （ TCP/IP)禁用 ” ， 再點(diǎn) “ 確定 ” ， 然后重啟 – 這樣 NT的計(jì)算機(jī)名和工作組名也隱藏了 71 Strictly Private amp。 Confidential Netbios的安全設(shè)臵 ? 禁止匿名連接列舉帳戶名需要對(duì)注冊(cè)表做以下修改 – 運(yùn)行注冊(cè)表編輯器 （ ） – 定位在注冊(cè)表中的下列鍵上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA – 在編輯菜單欄中選取加一個(gè)鍵值： ? Value Name:RestrictAnonymous ? DataType:REG_DWORD ? Value:1（ Windows 2022下為 2） 72 Strictly Private amp。 Confidential Netbios的安全設(shè)臵 ? Windows 2022 的本地安全策略 （ 或域安全策略中 ） 中有RestrictAnonymous（ 匿名連接的額外限制 ） 選項(xiàng) ， 提供三個(gè)值可選 – 0： None. Rely on default permissions（ 無 ， 取決于默認(rèn)的權(quán)限 ） – 1： Do not allow enumeration of SAM accounts and shares（ 不允許枚舉SAM帳號(hào)和共享 ） – 2： No access without explicit anonymous permissions（ 沒有顯式匿名權(quán)限就不允許訪問 ） 73 Strictly Private amp。 Confidential Windows 2022注冊(cè)表 ? 所有的配臵和控制選項(xiàng)都存儲(chǔ)在注冊(cè)表中 ? 分為五個(gè)子樹 ， 分別是 Hkey_local_machine 、 Hkey_users 、Hkey_current_user、 Hkey_classes_root、 Hkey_current_config ? Hkey_local_machine包含所有本機(jī)相關(guān)配臵信息 74 Strictly Private amp。 Confidential 注冊(cè)表安全 查詢數(shù)值 允許用戶和組從注冊(cè)表中讀取數(shù)值 設(shè)臵數(shù)值 允許用戶和組從注冊(cè)表中設(shè)臵數(shù)值 創(chuàng)建子項(xiàng) 允許用戶和組在給定的注冊(cè)項(xiàng)中創(chuàng)建子項(xiàng) 計(jì)數(shù)子項(xiàng) 允許用戶和組識(shí)別某注冊(cè)項(xiàng)的子項(xiàng) 通 知 允許用戶和組從注冊(cè)表中審計(jì)通知事件 創(chuàng)建鏈接 允許用戶和組在特定項(xiàng)中建立符號(hào)鏈接 刪 除 允許用戶和組在刪除選定的注冊(cè)項(xiàng) 寫入 DAC 允許用戶和組將 DAC寫入注冊(cè)表項(xiàng) 寫入所有者 允許用戶和組獲得注冊(cè)表項(xiàng)的所有權(quán) 讀取控制 允許用戶和組具有訪問選定注冊(cè)表項(xiàng)的安全信息 權(quán) 限 解 釋 75 Strictly Private amp。 Confidential 注冊(cè)表的默認(rèn)權(quán)限 76 Strictly Private amp。 Confidential 注冊(cè)表的審計(jì) ? 對(duì)注冊(cè)表的審計(jì)是必需的 ? 審計(jì)內(nèi)容的選擇 – 注冊(cè)表每秒被訪問 5001500次 – 任何對(duì)象都有可能訪問注冊(cè)表 ? 默認(rèn)的注冊(cè)表審計(jì)策略為空 77 Strictly Private amp。 Confidential 禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問 78 Strictly Private amp。 Confidential 禁止和刪除服務(wù) ? 通過 ? 使用 Resource Kit徹底刪除服務(wù) – Sc命令行工具 – Instsrv工具 ? 舉例 – OS/2和 Posix系統(tǒng)僅僅為了向后兼容 – Server服務(wù)僅僅為了接受 bios請(qǐng)求 79 Strictly Private amp。 Confidential 針對(duì) Windows 2022的入侵 (1) ? 探測(cè) – 選擇攻擊對(duì)象 ， 了解部分簡(jiǎn)單的對(duì)象信息；針對(duì)具體的攻擊目標(biāo) ， 隨便選擇了一組IP地址 ， 進(jìn)行測(cè)試 ， 選擇處于活動(dòng)狀態(tài)的主機(jī) ， 進(jìn)行攻擊嘗試 ? 針對(duì)探測(cè)的安全建議 – 對(duì)于網(wǎng)絡(luò)：安裝防火墻 ， 禁止這種探測(cè)行為 – 對(duì)于主機(jī)：安裝個(gè)人防火墻軟件 ， 禁止外部主機(jī)的 ping包 ， 使對(duì)方無法獲知主機(jī)當(dāng)前正確的活動(dòng)狀態(tài) 80 Strictly Private amp。 Confidential 針對(duì) Windows 2022的入侵 (2) ? 掃描 – 使用的掃描軟件 – NAT、 流光 、 Xscan、 SSS ? 掃描遠(yuǎn)程主機(jī) – 開放端口掃描 – 操作系統(tǒng)識(shí)別 – 主機(jī)漏洞分析 81 Strictly Private amp。 Confidential 掃描結(jié)果：端口掃描 82 Strictly Private amp。 Confidential 掃描結(jié)果： 操作系統(tǒng)識(shí)別 83 Strictly Private amp。 Confidential 掃描結(jié)果：漏洞掃描 84 Strictly Private amp。 Confidential 針對(duì) Windows 2022的入侵 (3) ? 查看目標(biāo)主機(jī)的信息 85 Strictly Private amp。 Confidential 針對(duì) Windows 2022的入侵 (4) ? IIS攻擊 – 嘗試?yán)?IIS中知名的 Unicode和 “ Translate:f” 漏洞進(jìn)行攻擊 ， 沒有成功 。 目標(biāo)主機(jī)可能已修復(fù)相應(yīng)漏洞 ， 或沒有打開遠(yuǎn)程訪問權(quán)限 ? Administrator口令強(qiáng)行破解 – 這里我們使用 NAT（ NetBIOS Auditing Tool） 進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶帳戶表 ， 以及簡(jiǎn)單的密碼字典 ， 然后用 NAT進(jìn)行破解 86 Strictly Private amp。 Confidential Administrator口令破解情況 87 Strictly Private amp。 Confidential 針對(duì) Windows 2022的入侵 (5) ? 鞏固權(quán)力 – 現(xiàn)在我們得到了 Administrator的帳戶 ， 接下去我們需要鞏固權(quán)力 – 裝載后門 – 一般的主機(jī)為防范病毒 ， 均會(huì)安裝反病毒軟件 ， 如 Norton AntiVirus、 金山毒霸等 ， 并且大部分人也能及時(shí)更新病毒庫 ， 而多數(shù)木馬程序在這類軟件的病毒庫中均被視為 Trojan木馬病毒 。 所以 ， 這為我們?cè)黾恿穗y度 。 除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來 – 我們使用 NetCat作為后門程序進(jìn)行演示 88 Strictly Private amp。 Confidential 安裝后門程序 (1) ? 利用剛剛獲取的 Administrator口令 ， 通過 Net use映射對(duì)方驅(qū)動(dòng)器 89 Strictly Private amp。 Confidential 安裝后門程序 (2) ? 將 cat主程序 ， 可將程序名稱改為容易迷惑對(duì)方的名字 ? 利用 at命令遠(yuǎn)程啟動(dòng) NetCat 90 Strictly Private amp。 Confidential 安裝后門程序 (3) 91 Strictly Private amp。 Confidential 針對(duì) Windows 2022的入侵 (6) ? 清除痕跡 – 我們留下了痕跡了嗎 – del *.evt echo xxx *.evt ? 看看它的日志文件 – 無安全日志記錄 92 Strictly Private amp。 Confidential 通過入侵來看 Win 2022的防范 ? 安裝防火墻軟件 ， 對(duì)安全規(guī)則庫定期進(jìn)行更新 ? 及時(shí)更新操作系統(tǒng)廠商發(fā)布的 SP補(bǔ)丁程序 ? 停止主機(jī)上不必要的服務(wù) ， 各種服務(wù)打開的端口往往成為黑客攻擊的入口 ? 使用安全的密碼 ? 如果沒有文件和打印機(jī)共享要求 ， 最好禁止 13 139和 445端口上的空會(huì)話 ? 經(jīng)常利用 session、 stat查看本機(jī)連接情況 93 Strictly Private amp。 Confidential Qamp。A 感謝聆聽！ Thank you for attending！