【正文】 SID。從設(shè)計來考慮，就是所有的訪問都必須通過同一種方法認(rèn)證，減少安全機(jī)制被繞過的機(jī)會。由于這些基本的原因，所以我們把 Windows2K/ NT稱為基于對象的操作系統(tǒng)。 itsec Windows系統(tǒng)的對象 為了實現(xiàn)自身的安全特性， Windows2K/ NT把所有的資源作為系統(tǒng)的特殊的對象。 ? 對象的訪問控制（ Control of access to object） Windows NT不允許直接訪問系統(tǒng)的某些資源。由于網(wǎng)絡(luò)連接缺少強(qiáng)制的認(rèn)證，所以 Windows 作為 C2級別的操作系統(tǒng)必須是未連網(wǎng)的。 ? 對象重用（ Object reuse） 當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時， Windows 禁止所有的系統(tǒng)應(yīng)用訪問該資源，這也就是為什么 Windows NT禁止 undelete已經(jīng)被刪除的文件的原因。 itsec Windows系統(tǒng)的安全組件 由于 Windows 是 C2級別的操作系統(tǒng)，下面介紹作為 C2級別的操作系統(tǒng)中所包含的安全組件： ? 訪問控制的判斷（ Discretion access control） 按照 C2級別的定義， Windows 支持對象的訪問控制的判斷。信息安全技術(shù) Windows系統(tǒng)安全 中國信息安全產(chǎn)品測評認(rèn)證中心（ CNITSEC） CISP2Windows系統(tǒng)安全（培訓(xùn)樣稿） itsec 系統(tǒng)安全 : 安全度量 ? 度量標(biāo)準(zhǔn)： Trusted Computer System Evaluation Criteria(1985) ? 系統(tǒng)安全程度的七個等級 ： (D CC B B B A1) itsec 安全威脅 : 系統(tǒng)為什么不安全 ? 網(wǎng)絡(luò)建設(shè)非常迅猛 , 較少考慮安全問題 ? 缺乏安全知識和意識 ? 網(wǎng)絡(luò)仍然在不斷發(fā)生變化 ? 安全工具不能完全自動處理安全漏洞和威脅 ? 缺乏安全管理人員 itsec ? 直接經(jīng)濟(jì)損失 ? 名譽(yù)、信譽(yù)受損 ? 正常工作中斷或受到干擾 ? 效率下降 ? 可靠性降低 ? 其他嚴(yán)重的后果 安全威脅 : 安全事故的后果 itsec 內(nèi)容 ? 黑客技術(shù)介紹篇 ? Windows安全原理篇 ? Windows安全配置篇 itsec 黑客技術(shù)介紹篇 ? 什么是黑客 ? 常見黑客攻擊方式 ? 黑客攻擊手法（一） ? 黑客攻擊手法（二） ? 黑客攻擊手法（三） ? 黑客攻擊手法（四） itsec 什么是黑客 ? 通過網(wǎng)絡(luò) , 利用系統(tǒng)中的一些漏洞和缺陷 ,對計算機(jī)系統(tǒng)進(jìn)行入侵的人 ? hacker與 cracker: Hacker ? Cracker, 但對于大眾 , hacker 即 cracker itsec 常見黑客攻擊方式 ? 直接入侵攻擊主機(jī) ? 盜用破壞或者修改數(shù)據(jù) ? 拒絕服務(wù) (縮寫 DoS) ? 等等 … itsec 黑客攻擊手法 (一 ) ? 收集信息 ? 掃描 – Nmap掃描的演示 ? 社會工程 ? 公開信息 ? 利用系統(tǒng)漏洞 – snmp的默認(rèn)配置 ,搜集演示 – Netbios默認(rèn)開放，搜集演示 – IIS的安全問題 itsec 黑客攻擊手法 (二 ) ? 嘗試獲得主機(jī)入口 ? 密碼猜測 ? 遠(yuǎn)程溢出 ? Sniffer ? 社會工程 ? 程序漏洞 ? 繞道 itsec 黑客攻擊手法 (三） ? 嘗試獲得最高權(quán)限 ? 本地溢出 ? 木馬 ? 社會工程 ? 竊取，欺騙 ? 程序漏洞 itsec 黑客攻擊手法 (四 ) ? 擴(kuò)大攻擊范圍 ? 清除系統(tǒng)記錄 – Log記錄清除試驗 ? 留下系統(tǒng)后門 – Bind shell（ )演示 ? 跳躍攻擊其他主機(jī) Windows安全原理篇 itsec Windows安全原理篇 ? Windows系統(tǒng)的安全架構(gòu) ? Windows的安全子系統(tǒng) ? Windows的密碼系統(tǒng) ? Windows的系統(tǒng)服務(wù)和進(jìn)程 ? Windows的日志系統(tǒng) itsec Windows系統(tǒng)的安全架構(gòu) Windows NT的安全包括 6個主要的安全元素： Audit, Administration, Encryption, Access Control, User Authentication, Corporate Security Policy。 Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問控制、管理、審核。這些需求包括允許對象的所有者可以控制誰被允許訪問該對象以及訪問的方式。 ? 強(qiáng)制登陸（ Mandatory log on） 與 Windows for Workgroups， Windwows 95， Windows 98不同，Windows2K/ NT要求所有的用戶必須登陸，通過認(rèn)證后才可以訪問資源。 ? 審核（ Auditing） Windows NT 在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認(rèn)證后再訪問。這些對象包含資源本身， Windows2K/ NT提供了一種訪問機(jī)制去使用它們。 ? Microsoft的安全就是基于以下的法則： ? 用對象表現(xiàn)所有的資源 ? 只有 Windows2K/ NT才能直接訪問這些對象 ? 對象能夠包含所有的數(shù)據(jù)和方法 ? 對象的訪問必須通過 Windows 2K/NT的安全子系統(tǒng)的第一次驗證 ? 存在幾種單獨(dú)的對象，每一個對象的類型決定了這些對象能做些什么 ? Windows 中首要的對象類型有： 文件 文件夾 打印機(jī) I/O設(shè)備 窗口 線程 進(jìn)程 內(nèi)存 ? 這些安全構(gòu)架的目標(biāo)就是實現(xiàn)系統(tǒng)的牢固性。 itsec Windows安全子系統(tǒng)的組件 Windows NT安全子系統(tǒng)包含五個關(guān)鍵的組件： Security identifiers， Access tokens， Security descriptors， Access control lists， Access Control Entries。 SID永遠(yuǎn)都是唯一的，由計算機(jī)名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時間的總和三個參數(shù)決定以保證它的唯一性。如果用戶被允許訪問該對象， Windows NT將會分配給用戶適當(dāng)?shù)脑L問權(quán)限。 itsec Windows安全子系統(tǒng)的組件 ? 安全描述符（ Security descriptors）： Windows NT中的任何對象的屬性都有安全描述符這部分。 ? 訪問控制列表（ Access control lists）： 訪問控制列表有兩種：任意訪問控制列表（ Discretionary ACL）、系統(tǒng)訪問控制列表（ System ACL）。每一個用戶或組在任意訪問控制列表中都有特殊的權(quán)限。 ? 訪問控制項（ Access control entries） : 訪問控制項（ ACE）包含了用戶或組的 SID以及對象的權(quán)限。拒絕訪問的級別高于允許訪問。 itsec Windows安全子系統(tǒng) 安全子系統(tǒng)包括以下部分： ? Winlogon ? Graphical Identification and Authentication DLL (GINA) ? Local Security Authority(LSA) ? Security Support Provider Interface(SSPI) ? Authentication Packages ? Security support providers ? Netlogon Service ? Security Account Manager(SAM) itsec Windows子系統(tǒng)實現(xiàn)圖 Winlogon, Local Security Authorit以及 Netlogon服務(wù)在任務(wù)管理器中 都可以看到，其他的以 DLL方式被這些文件調(diào)用。而 GINA DLL提供一個交互式的界面為用戶登陸提供認(rèn)證請求。 Winlogon在注冊表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL鍵， Winlogon將使用這個 DLL，如果不存在該鍵， Winlogon將使用默認(rèn)值 itsec Windows安全子系統(tǒng) ? 本地安全認(rèn)證（ Local Security Authority）： 本地安全認(rèn)證（ LSA）是一個被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)： ? 調(diào)用所有的認(rèn)證包，檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該 DLL進(jìn)行認(rèn)證（ ）。 ? 重新找回本地組的 SIDs和用戶的權(quán)限。 ? 管理本地安裝的服務(wù)所使用的服務(wù)賬號。 ? 管理審核的策略和設(shè)置。 itsec Windows安全子系統(tǒng) ? 安全支持提供者的接口（ Security Support Provide Interface）： 微軟的 Security Support Provide Interface很簡單地遵循 RFC 2743和 RFC 2744的定義，提供一些安全服務(wù)的 API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。通過 GINA DLL的可信認(rèn)證后，認(rèn)證包返回用戶的 SIDs給LSA，然后將其放在用戶的訪問令牌中。這種認(rèn)證方式經(jīng)常在使用 SSL（ Secure Sockets Layer）和 PCT（ Private Communication Technology）協(xié)議通信的時候用到。要實現(xiàn)這個目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的 SIDs和用戶權(quán)限。保存了注冊表中 \HKLM\Security\Sam中的一部分內(nèi)容。 itsec Windows 2022 本地登陸過程 當(dāng)從 Windows 2022 Professional or Server登錄時 ,Windows 2022 用兩種過程驗證本地登錄 . Windows 2022嘗試使用 Kerberos 作為基本驗證方式 . 如果找不道 Key Distribution Center (KDC) 服務(wù) , Windows 會使用Windows NT LanManager(NTLM) 安全機(jī)制來驗證在本地 SAM 中的用戶 。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標(biāo)識都時完全不同的。 itsec Windows的密碼系統(tǒng)