Windows系统安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
确定帐户锁定策略,作为内部网主机,建议使用推荐值; 作为互联网服务器建议不要设置该值,因为设置该值可 能导致一些服务的拒绝服务。
账户锁定
帐号和口令
检查Guest帐号 Guest帐号是一个容易忽视的帐号,黑客可能修改该帐
号权限,并利用该帐号登陆系统
没有激活
禁用闲置账户
帐号和口令
系统是否使用默认管理员帐号 默认管理员帐号可能被攻击者用来进行密码暴力猜测,
意用户执行。
仅适用于NTFS分区
文件系统
检查特定目录的权限 在检查中一般检查各个磁盘根目录权限、Temp目录权
限
日志审核
检查主机的审核情况 开始|运行|gpedit.msc|计算机配置|Windows设置|本
地策略|审核策略
日志审核
检查系统日志大小、覆盖天数 开始|运行|eventvwr|右键“系统”
安全性增强—安全选项
安全性增强—安全选项
安全性增强—安全选项
对匿名连接的额外限制 默认情况下,Windows系统允许匿名用户枚举主机帐 号列表,获得一些敏感信息。 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项 LAN Manager 身份验证级别 建议设置为“仅发送NTLMV2响应”
我们使用NetCat作为后门程序进行演示
安装后门程序(1)
利用刚刚获取的Administrator口令,通过Net use 映射对方驱动器
安装后门程序(2)
将netcat主程序nc.exe复制到目标主机的系统目 录下,可将程序名称改为容易迷惑对方的名字
利用at命令远程启动NetCat
况
Windows系统安装 防止病毒、正常安装补丁等
使用正版可靠安装盘
将系统安装在NTFS分区上
进行文件系统安全设置
系统和数据要分开存放在不同的磁盘
最小化安装组件
最少建立两个分区,一个系统 分区,一个应用程序分区,因
安全补丁合集和相关的Hotfix
为微软的IIS经常会有泄漏源 码/溢出的漏洞,如果把系统和
补丁安装
使用Windows update安装最新补丁 手工安装补丁:
http://v4.windowsupdate.microsoft.com/zhcn/default .asp?corporate=true
SUS补丁自动分发系统
SUS简介
SUS服务的英文全名叫SOFTWARE UPDATE SERVICES,就是软件更新服务,它是STPP(Strategic Technology PLeabharlann Baiduotection Program)的一个有效组成部 分。它是建立在Microsoft Windows Update技术上的 针对企业用户的一项定制服务。它提供了企业管理和 发布重要更新、安全更新的解决方案。通过SUS,用 户可以不必再经常查看安全更新并手工下载人工安装。 SUS可以提供动态的部署、发布安全更新的功能。
安全性增强—安全选项
安全性增强—安全选项
如果有Windows 9x的机器要连接到本机器,则不能做此操作。
Win2K支持的认证方法
安全性增强—安全选项
检查是否登陆时间用完后自动注销用户 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安全性增强—安全选项
查看目标主机的信息
针对Windows的入侵(4)
IIS攻击
尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行 攻击,没有成功。目标主机可能已修复相应漏洞,或没 有打开远程访问权限
Administrator口令强行破解
这里我们使用NAT(NetBIOS Auditing Tool)进行强行 破解:构造一个可能的用户帐户表,以及简单的密码字 典,然后用NAT进行破解
Hotfix信息
补丁安装情况 Mbsa (Microsoft Baseline Security Analyzer)
帐号和口令
是否有密码过期策略
密码过期策略包括密码最长存留期和最短存留期, 最长存留期是指密码在多久后过期,最短存留期 是指在多久后才可以修改密码
# 密码最长存留期,以天为单位,MAXDAYS天后 密码过期,缺省为42天(建议不超过42天)
装其它的服务和应用程序补丁
IIS放在同一个驱动器会导致 系统文件的泄漏甚至入侵者远
程获取ADMIN。
NT安装SP6a和相关的Hotfix WIN2K安装SP4和相关的Hotfix WINXP安装SP2和相关的Hotfix
WIN2003安装相关的Hotfix
系统安全检查
系统信息 补丁安装情况 帐号和口令 网络与服务 文件系统 日志审核 安全性增强
通过入侵来看Windows的防范
安装防火墙软件,对安全规则库定期进行更新 及时更新操作系统厂商发布的SP补丁程序 停止主机上不必要的服务,各种服务打开的端
口往往成为黑客攻击的入口
使用安全的密码 如果没有文件和打印机共享要求,最好禁止135、
139和445端口上的空会话 经常利用net session、netstat查看本机连接情
操作系统安全定义
• 信息安全的五类服务,作为安全的操作系统时必须提供的 • 有些操作系统所提供的服务是不健全的、默认关闭的
Windows系统的安全架构
Windows NT系统内置支持用户认证、访问控 制、管理、审核。
Windows系统的安全组件
访问控制的判断(Discretion access control)
审核(Auditing)
在控制用户访问资源的同时,也可以对这些访问作了相应的记录。
对象的访问控制(Control of access to object)
不允许直接访问系统的某些资源。必须是该资源允许被访问,然
后是用户或应用通过第一次认证后再访问。
常见安全问题
DOS/DDOS 漏洞--- 溢出 蠕虫 木马、后门 病毒 口令窃取
目录 操作系统安全定义 WINDOWS系统的安全架构 WINDOWS系统的安全组件 一次针对Windows 2000 Server 的入侵 入侵过程的分析 我们该做些什么 Windows系统安装注意事项 Windows系统安全检查与加固 Windows系统维护 Windows系统异常监控与检查
是否显示上次成功登陆的用户名 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安全性增强—安全选项
是否允许未登陆系统执行关机命令 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安全仅登性陆用户增允许强使用—光盘安全选项
开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略| 安全选项
设置项
安全性增强—用户权利指派
在“控制面板/管理工具/本地安全策略”中,在左边的 选项树中选择“安全设置/本地策略/安全选项”,查 看并记录以下参数的设置:
从网络访问此计算机:
在本地登录:
从远端系统强制关机:
Administrator口令破解情况
针对Windows 的入侵(5)
巩固权力
现在我们得到了Administrator的帐户,接下去我们需要 巩固权力
装载后门
一般的主机为防范病毒,均会安装反病毒软件,如 Norton Anti-Virus、金山毒霸等,并且大部分人也能及 时更新病毒库,而多数木马程序在这类软件的病毒库中 均被视为Trojan木马病毒。所以,这为我们增加了难度。 除非一些很新的程序或自己编写的程序才能够很好地隐 藏起来
……
一般入侵步骤
针对Windows 的入侵 (1)
探测
选择攻击对象,了解部分简单的对象信息;针对具体的 攻击目标,随便选择了一组IP地址,进行测试,选择处 于活动状态的主机,进行攻击尝试
针对探测的安全建议
对于网络:安装防火墙,禁止这种探测行为 对于主机:安装个人防火墙软件,禁止外部主机的ping
包,使对方无法获知主机当前正确的活动状态
针对Windows 的入侵 (2)
扫描
使用的扫描软件 NAT、流光、Xscan、SSS
扫描远程主机
开放端口扫描 操作系统识别 主机漏洞分析
扫描结果:端口扫描
扫描结果:操作系统识别
扫描结果:漏洞扫描
针对Windows 的入侵(3)
安装后门程序(3)
针对Windows 的入侵(6)
清除痕迹
我们留下了痕迹了吗 del *.evt echo xxx > *.evt
看看它的日志文件
无安全日志记录
本次入侵,我们都做了什么?
踩点 扫描 渗透 口令破解 安装后门 清除脚印
• 端口扫描 • 操作系统探测 • 漏洞扫描
允许对象所有者可以控制谁被允许访问该对象以及访问的方式。
对象重用(Object reuse)
当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有 的系统应用访问该资源,这也就是为什么无法恢复已经被删除的 文件的原因。
强制登陆(Mandatory log on)
要求所有的用户必须登陆,通过认证后才可以访问资源
网络与服务
查看系统已经启动的服务列表
网络与服务
查看主机是否开放了共享或管理共享未关闭。
默认的共享
文件系统
查看主机磁盘分区类型 服务器应使用具有安全特性的NTFS格式,而不应该使
用FAT或FAT32分区。 开始|管理工具|计算机管理|磁盘管理
NTFS分区
文件系统
检查特定文件的文件权限 对于一些敏感文件权限需要进行修改,避免文件被恶
系统信息
检查服务器是否安装多系统,多系统无法保障文件系统 的安全
从“operating systems”字段可 以查到允许启动的系统列表
系统信息
查看主机路由信息
命令
补丁安装情况
检查当前主机所安装的Service Pack以及Hotfix
SP版本 IE版本,请确认在Hotfix中 是否存在IE SP1补丁信息
建议修改默认管理员用户名。(系统刚装完)
命令
Administrator用 户名已被修改
帐号和口令
是否存在可疑帐号 查看系统是否存在攻击者留下的可疑帐号,或检查主
机操作人员遗留下的尚未删除的帐号。 可禁用不需要 帐号:
命令
命令
帐号和口令
帐号和口令
检查系统中是否存在脆弱口令
系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号 密码。
强壮口令要求:8位或以上口令长度、大小写字母、数 字、特殊符号
工具:
常用扫描工具X-SCAN、流光等。口令破解工具:LC、 smbcrack、NAT
网络与服务
查看网络开放端口
查看监听端口
网络与服务
得到网络流量信息
命令
网络与服务
检查主机端口、进程对应信息 Fport --http://www.sometips.com/soft/fport.exe
关闭系统:
取得文件或其它对象的所有权:
安全性增强—用户权利指派
从网络访问此计算机
安全性增强—用户权利指派
在本地登录
安全性增强—用户权利指派
从远端系统强制关机
安全性增强—用户权利指派
关闭系统
安全性增强—用户权利指派
取得文件或其它
对象的所有权
系统安全配置
补丁安装 帐号、口令策略修改 网络与服务安全性增强 文件系统安全性增强 日志审核增强 安全性增强
# 密码最短存留期,以天为单位,MINDAYS天后 才可以修改密码,缺省为0(建议1~7天)
实施密码复杂性要求
帐号和口令
帐户锁定策略检查
锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁 定阀值。
开始|程序|管理工具|本地安全设置|安全设置|帐户策略: 帐户锁定计数器:(建议为30分钟) 帐户锁定时间:(建议为30分钟) 帐户锁定阀值:(建议5次)
可设置更大的 空间存储日志
如果空间足够,建议手 动清除日志
安全性增强—安全选项
对匿名连接的额外限制 默认情况下,Windows系统允许匿名用户枚举主机帐 号列表,获得一些敏感信息。 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项 建议设置为“不允许枚举 SAM 帐号和共享”
账户锁定
帐号和口令
检查Guest帐号 Guest帐号是一个容易忽视的帐号,黑客可能修改该帐
号权限,并利用该帐号登陆系统
没有激活
禁用闲置账户
帐号和口令
系统是否使用默认管理员帐号 默认管理员帐号可能被攻击者用来进行密码暴力猜测,
意用户执行。
仅适用于NTFS分区
文件系统
检查特定目录的权限 在检查中一般检查各个磁盘根目录权限、Temp目录权
限
日志审核
检查主机的审核情况 开始|运行|gpedit.msc|计算机配置|Windows设置|本
地策略|审核策略
日志审核
检查系统日志大小、覆盖天数 开始|运行|eventvwr|右键“系统”
安全性增强—安全选项
安全性增强—安全选项
安全性增强—安全选项
对匿名连接的额外限制 默认情况下,Windows系统允许匿名用户枚举主机帐 号列表,获得一些敏感信息。 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项 LAN Manager 身份验证级别 建议设置为“仅发送NTLMV2响应”
我们使用NetCat作为后门程序进行演示
安装后门程序(1)
利用刚刚获取的Administrator口令,通过Net use 映射对方驱动器
安装后门程序(2)
将netcat主程序nc.exe复制到目标主机的系统目 录下,可将程序名称改为容易迷惑对方的名字
利用at命令远程启动NetCat
况
Windows系统安装 防止病毒、正常安装补丁等
使用正版可靠安装盘
将系统安装在NTFS分区上
进行文件系统安全设置
系统和数据要分开存放在不同的磁盘
最小化安装组件
最少建立两个分区,一个系统 分区,一个应用程序分区,因
安全补丁合集和相关的Hotfix
为微软的IIS经常会有泄漏源 码/溢出的漏洞,如果把系统和
补丁安装
使用Windows update安装最新补丁 手工安装补丁:
http://v4.windowsupdate.microsoft.com/zhcn/default .asp?corporate=true
SUS补丁自动分发系统
SUS简介
SUS服务的英文全名叫SOFTWARE UPDATE SERVICES,就是软件更新服务,它是STPP(Strategic Technology PLeabharlann Baiduotection Program)的一个有效组成部 分。它是建立在Microsoft Windows Update技术上的 针对企业用户的一项定制服务。它提供了企业管理和 发布重要更新、安全更新的解决方案。通过SUS,用 户可以不必再经常查看安全更新并手工下载人工安装。 SUS可以提供动态的部署、发布安全更新的功能。
安全性增强—安全选项
安全性增强—安全选项
如果有Windows 9x的机器要连接到本机器,则不能做此操作。
Win2K支持的认证方法
安全性增强—安全选项
检查是否登陆时间用完后自动注销用户 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安全性增强—安全选项
查看目标主机的信息
针对Windows的入侵(4)
IIS攻击
尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行 攻击,没有成功。目标主机可能已修复相应漏洞,或没 有打开远程访问权限
Administrator口令强行破解
这里我们使用NAT(NetBIOS Auditing Tool)进行强行 破解:构造一个可能的用户帐户表,以及简单的密码字 典,然后用NAT进行破解
Hotfix信息
补丁安装情况 Mbsa (Microsoft Baseline Security Analyzer)
帐号和口令
是否有密码过期策略
密码过期策略包括密码最长存留期和最短存留期, 最长存留期是指密码在多久后过期,最短存留期 是指在多久后才可以修改密码
# 密码最长存留期,以天为单位,MAXDAYS天后 密码过期,缺省为42天(建议不超过42天)
装其它的服务和应用程序补丁
IIS放在同一个驱动器会导致 系统文件的泄漏甚至入侵者远
程获取ADMIN。
NT安装SP6a和相关的Hotfix WIN2K安装SP4和相关的Hotfix WINXP安装SP2和相关的Hotfix
WIN2003安装相关的Hotfix
系统安全检查
系统信息 补丁安装情况 帐号和口令 网络与服务 文件系统 日志审核 安全性增强
通过入侵来看Windows的防范
安装防火墙软件,对安全规则库定期进行更新 及时更新操作系统厂商发布的SP补丁程序 停止主机上不必要的服务,各种服务打开的端
口往往成为黑客攻击的入口
使用安全的密码 如果没有文件和打印机共享要求,最好禁止135、
139和445端口上的空会话 经常利用net session、netstat查看本机连接情
操作系统安全定义
• 信息安全的五类服务,作为安全的操作系统时必须提供的 • 有些操作系统所提供的服务是不健全的、默认关闭的
Windows系统的安全架构
Windows NT系统内置支持用户认证、访问控 制、管理、审核。
Windows系统的安全组件
访问控制的判断(Discretion access control)
审核(Auditing)
在控制用户访问资源的同时,也可以对这些访问作了相应的记录。
对象的访问控制(Control of access to object)
不允许直接访问系统的某些资源。必须是该资源允许被访问,然
后是用户或应用通过第一次认证后再访问。
常见安全问题
DOS/DDOS 漏洞--- 溢出 蠕虫 木马、后门 病毒 口令窃取
目录 操作系统安全定义 WINDOWS系统的安全架构 WINDOWS系统的安全组件 一次针对Windows 2000 Server 的入侵 入侵过程的分析 我们该做些什么 Windows系统安装注意事项 Windows系统安全检查与加固 Windows系统维护 Windows系统异常监控与检查
是否显示上次成功登陆的用户名 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安全性增强—安全选项
是否允许未登陆系统执行关机命令 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安全仅登性陆用户增允许强使用—光盘安全选项
开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略| 安全选项
设置项
安全性增强—用户权利指派
在“控制面板/管理工具/本地安全策略”中,在左边的 选项树中选择“安全设置/本地策略/安全选项”,查 看并记录以下参数的设置:
从网络访问此计算机:
在本地登录:
从远端系统强制关机:
Administrator口令破解情况
针对Windows 的入侵(5)
巩固权力
现在我们得到了Administrator的帐户,接下去我们需要 巩固权力
装载后门
一般的主机为防范病毒,均会安装反病毒软件,如 Norton Anti-Virus、金山毒霸等,并且大部分人也能及 时更新病毒库,而多数木马程序在这类软件的病毒库中 均被视为Trojan木马病毒。所以,这为我们增加了难度。 除非一些很新的程序或自己编写的程序才能够很好地隐 藏起来
……
一般入侵步骤
针对Windows 的入侵 (1)
探测
选择攻击对象,了解部分简单的对象信息;针对具体的 攻击目标,随便选择了一组IP地址,进行测试,选择处 于活动状态的主机,进行攻击尝试
针对探测的安全建议
对于网络:安装防火墙,禁止这种探测行为 对于主机:安装个人防火墙软件,禁止外部主机的ping
包,使对方无法获知主机当前正确的活动状态
针对Windows 的入侵 (2)
扫描
使用的扫描软件 NAT、流光、Xscan、SSS
扫描远程主机
开放端口扫描 操作系统识别 主机漏洞分析
扫描结果:端口扫描
扫描结果:操作系统识别
扫描结果:漏洞扫描
针对Windows 的入侵(3)
安装后门程序(3)
针对Windows 的入侵(6)
清除痕迹
我们留下了痕迹了吗 del *.evt echo xxx > *.evt
看看它的日志文件
无安全日志记录
本次入侵,我们都做了什么?
踩点 扫描 渗透 口令破解 安装后门 清除脚印
• 端口扫描 • 操作系统探测 • 漏洞扫描
允许对象所有者可以控制谁被允许访问该对象以及访问的方式。
对象重用(Object reuse)
当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有 的系统应用访问该资源,这也就是为什么无法恢复已经被删除的 文件的原因。
强制登陆(Mandatory log on)
要求所有的用户必须登陆,通过认证后才可以访问资源
网络与服务
查看系统已经启动的服务列表
网络与服务
查看主机是否开放了共享或管理共享未关闭。
默认的共享
文件系统
查看主机磁盘分区类型 服务器应使用具有安全特性的NTFS格式,而不应该使
用FAT或FAT32分区。 开始|管理工具|计算机管理|磁盘管理
NTFS分区
文件系统
检查特定文件的文件权限 对于一些敏感文件权限需要进行修改,避免文件被恶
系统信息
检查服务器是否安装多系统,多系统无法保障文件系统 的安全
从“operating systems”字段可 以查到允许启动的系统列表
系统信息
查看主机路由信息
命令
补丁安装情况
检查当前主机所安装的Service Pack以及Hotfix
SP版本 IE版本,请确认在Hotfix中 是否存在IE SP1补丁信息
建议修改默认管理员用户名。(系统刚装完)
命令
Administrator用 户名已被修改
帐号和口令
是否存在可疑帐号 查看系统是否存在攻击者留下的可疑帐号,或检查主
机操作人员遗留下的尚未删除的帐号。 可禁用不需要 帐号:
命令
命令
帐号和口令
帐号和口令
检查系统中是否存在脆弱口令
系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号 密码。
强壮口令要求:8位或以上口令长度、大小写字母、数 字、特殊符号
工具:
常用扫描工具X-SCAN、流光等。口令破解工具:LC、 smbcrack、NAT
网络与服务
查看网络开放端口
查看监听端口
网络与服务
得到网络流量信息
命令
网络与服务
检查主机端口、进程对应信息 Fport --http://www.sometips.com/soft/fport.exe
关闭系统:
取得文件或其它对象的所有权:
安全性增强—用户权利指派
从网络访问此计算机
安全性增强—用户权利指派
在本地登录
安全性增强—用户权利指派
从远端系统强制关机
安全性增强—用户权利指派
关闭系统
安全性增强—用户权利指派
取得文件或其它
对象的所有权
系统安全配置
补丁安装 帐号、口令策略修改 网络与服务安全性增强 文件系统安全性增强 日志审核增强 安全性增强
# 密码最短存留期,以天为单位,MINDAYS天后 才可以修改密码,缺省为0(建议1~7天)
实施密码复杂性要求
帐号和口令
帐户锁定策略检查
锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁 定阀值。
开始|程序|管理工具|本地安全设置|安全设置|帐户策略: 帐户锁定计数器:(建议为30分钟) 帐户锁定时间:(建议为30分钟) 帐户锁定阀值:(建议5次)
可设置更大的 空间存储日志
如果空间足够,建议手 动清除日志
安全性增强—安全选项
对匿名连接的额外限制 默认情况下,Windows系统允许匿名用户枚举主机帐 号列表,获得一些敏感信息。 开始|运行|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项 建议设置为“不允许枚举 SAM 帐号和共享”