《Windows系统安全管理》由会员分享,可在线阅读,更多相关《Windows系统安全管理(54页珍藏版)》请在金锄头文库上搜索。
1、Windows系统安全管理祝晓光提纲l帐号管理l文件管理lWindows攻击介绍l安全基本配置帐号管理用户类型lAdministrator(默认的超级管理员)l系统帐号(Print Operater、Backup Operator)lGuest(默认来宾帐号)帐户(accounts)和组(groups)l帐户(user accounts) 定义了Windows中一个用户所必要的信息,包括口 令、安全ID(SID)、组成员关系、登录限制, 组:universal groups、global groups、local groupslAccount Identifier: Security iden
2、tifier(SID) 时间和空间唯一 S-1-N-Y1-Y2-Y3-Y4 Some well-known SIDs 字符串形式和二进制形式的SID密码存放位置l注册表HKEY_LOCAL_MACHINESAM下lWinnt/system32/config/sam添加/删除帐户lWin2000/XP下 管理工具计算机管理本地用户和组lWinNT下 (域)用户管理器l命令行方式 net user 用户名 密码 /add /delete 将用户加入到组 net localgroup 组名 用户名 /add /delete帐户重命名l将Administrator重命名l将Guest来宾用户重命名l新
3、建一Administrator用户,隶属于Guest组密码策略的推荐设置强制执行密码历史记录 密码最长期限密码最短期限密码必须符合复杂性要求为域中所有用户使用可还 原的加密来储存密码24个密码42天2天启 用禁 用针对远程破解的策略定制l密码复杂性要求l账户锁定策略的推荐设置策 略默认设置推荐最低设置 帐户锁定时间未定义30 分钟帐户锁定阈值05 次无效登录复位帐户锁定计数 器未定义30 分钟SAM数据库与ADlSAM中口令的保存采用单向函数(OWF) 或散列算法实现l在%systemroot%system32configsam中 实现lDC上,账号与密码散列保存在 %systemroot%n
4、tdsntds.dit中SYSKEY功能从NT4 sp3开始提供散 列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中,同 时使用额外的 口令加密软磁盘SID与令牌lSID唯一标示一个对象 使用User2sid和sid2user工具进行双向查询l令牌:通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21- S-1-5-21-1507001333-1204550764- 1011284298-500Group1=EveryOne S-1-1-0Group2=Administrat
5、ors S-1-5-32-544解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版 本编号颁发机构代码, Windows 2000总 为5子颁发机构代 码,共有4个 ;具有唯一性相对标示符 RID,一般为 常数著名的SIDvS-1-1-0 EveryonevS-1-2-0 Interactive用户vS-1-3-0 Creator OwnervS-1-3-1 Creator GroupWindows 2000认证与授权访问用户AWinlogon使用账户名称/ 口令进行认证成功令牌令牌 User=S-1-21- S-1-5-21-15
6、07001333-User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-5001204550764-1011284298-500Group1=Group1=EveryOne EveryOne S-1-1-0S-1-1-0 Group2=Administrators S-1-5-32-544Group2=Administrators S-1-5-32-544允许Read=A S-1-5-21 Read=A S-1-5-21 Write=administrators S-1-5-32-544Write=administrators S-1-5
7、-32-544File.txtSRM,安全 参考监视器访问文件管理Windows系统的用户权利下面列出了用户的特定权利: Access this computer from network 可使用户通过网络访问该计算机。 Add workstation to a domain 允许用户将工作站添加到域中。 Backup files and directories 授权用户对计算机的文件和目录进行备份。 Change the system time 用户可以设置计算机的系统时钟。 Load and unload device drive 允许在网络上安装和删除设备驱动程序。 Restore fi
8、les and directories 允许用户恢复以前备份的文件和目录。 Shutdown the system 允许用户关闭系统。Windows系统的用户权限l权限适用于对特定对象如目录和文件(只适用于NTFS卷 )的操作, 指定允许哪些用户可以使用这些对象,以及 如何使用(如把某个目录的访问权限授予指定的用户) 。权限分为目录权限和文件权限,每一个权级别都确定 了一个执行特定的任务组合的能力,这些任务是: Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表显示了这些任务是如何与各种权限
9、级 别相关联的。 Windows系统的用户权限目录权限级别RXWDPO允许的用户动作 No Access 用户不能访问该目录 ListRX可以查看目录中的子目录和文件名, 也可以进入其子目录 ReadRX具有List权限,用户可以读取目录中 的文件和 运行目录中的应用程序 AddXW用户可以添加文件和子录 Add and ReadRXW具有Read和Add的权限 ChangeRXWD有Add和Read的权限, 另外还可以更 改文件的内容,删除文件和子目录 Full controlRXWDPO有Change的权限,另外用户可以更改 权限和获取目录的所有权Windows系统的用户权限权限级别RXW
10、DPO允许的用户动作No Access 用户不能访问该文件ReadRX用户可以读取该文件,如果是应用程序 可以运行ChangeRXWD有Read的权限,还可用修和删除文件Full controlRXWDPO包含Change的权限,还可以更改权限和 获取文件的所有权Windows系统的共享权限l共享只适用于文件夹(目录),如果文件夹不是 共享的,那么在网 络上就不会有用户看到它, 也就更不能访问。网络上的绝大多数服务器 主 要用于存放可被网络用户访问的文件和目录,要 使网络用户可以访问 在NT Server服务器上的文 件和目录,必须首先对它建立共享。共享权 限 建立了通过网络对共享目录访问的最
11、高级别。 Windows系统的共享权限共享权限级别允许的用户动作 No Access(不能访问)禁止对目录和其中的文件及子目录进行访问但 允许查看文件名和子目录名,改变共享 Read(读)目录的子目录,还允许查看文件的数据 和运行 应用程序 Change(更改)具有“读”权限中允许的操作,另外允许往目录 中添加文件和子目录,更改文数据,删除文件 和子目录 Full control(完全控制)具有“更改”权限中允许的操作,另外还允许更 改权限(只适用于NTFS卷)和获所有权(只适用 于NTFS卷)复制和移动文件夹l从一个NTFS分区到另一个NTFS分区 复制/移动都是继承权限(不同分区,移动=复
12、制+ 删除)l同一个NTFS分区 复制:继承 移动:保留 l复制/移动到FAT(32)分区 NTFS权限丢失Windows系统服务l服务包括三种启动类型:自动,手动,禁用 自动 - Win 2000启动时自动加载服务 手动 - Win 2000启动时不自动加载服务,在需要的时候手动开启 禁用 - Win 2000启动的时候不自动加载服务,在需要的时候选择手 动或者自动方式开启服务,并重新启动电脑完成服务的配置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer vice 底下每一笔 服务项目子项都有一个 Start 数值, 该 数值 内容所记录的就是服务项
13、目驱动程式该在何时被加载。 目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状 态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意 义。而 Start 数值内容为 3 的服务项目代表让使用 者以手 动的方式载入(Load on demand), 4 则是代表停用的状态, 也 就是禁用。 Windows的系统进程基本的系统进程 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动
14、ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务 ) explorer.exe 资源管理器 internat.exe 输入法 Windows的系统进程附加的系统进程(这些进程不是必要的) mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服
15、务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运 行控制台程序。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务 器上的基于 Windows 的程序。(系统服务) dns.exe 应答对域名系统(DNS)名称的查询和更新请求。 (系统服务) Windows的系统进程 tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) ismserv.exe 允许在 Windows Advance
16、d Server 站点间发送和接收消息。(系 统服务) ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称 服务。(系统服务) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) RsSub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理 RPC 名称服务数据库。(系统服务) lserver.exe 注册客户端许可证。(系统服务) dfssvc.exe 管理分布