《windows系统安全5(身份验证)ppt培训课件》由会员分享,可在线阅读,更多相关《windows系统安全5(身份验证)ppt培训课件(70页珍藏版)》请在金锄头文库上搜索。
1、第五章:身份认证,身份认证概述 交互式登录 网络身份验证 安全套接字 针对验证的攻击(网络),身份认证概述,对用户身份进行验证,认证能防止攻击者假冒合法用户获取访问权限,用户访问资源过程,认证的主要依据,1 口令:主体了解的秘密,如口令。 2 智能卡:主体携带的物品。 3 生物特征:如指纹、声音、视网膜,血 管分布图或签字等。 其他 :IP地址,特定场所(也可能是特定时间)提供证据 ,验证者认可某一已经通过认证的可信方,身份认证概述,基于口令认证的攻击 字典攻击 穷举攻击 窥探 ,社交工程 , 垃圾搜索 窃听 截取/重放,基于口令的认证,对口令的攻击 1 字典攻击:根据调查结果可知,大部份的人
2、为了方便记忆选用的密码都与自己周遭的事物有关,例如:身份证字号、生日、车牌号码、在办公桌上可以马上看到的标记或事物、其他有意义的单词或数字,某些攻击者会使用字典中的单词来尝试用户的密码。穷举攻击(Brute Force):也称蛮力破解。这是一种特殊的字典攻击,它使用字符串的全集作为字典。,基于口令的认证,对口令的攻击 2 窥探:攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。 社交工程:比如冒充是处长或局长骗取管理员信任得到口令等等。冒充合法用户发送邮件或打电话给管理人员,安装木马以骗取用户口令等。垃圾搜索:攻击者通过搜索被攻击者的废弃物,得到与攻击系
3、统有关的信息,如用户将口令写在纸上又随便丢弃。,基于口令的认证,对抗字典攻击和穷举攻击 1) 认证过程有一定的时延,增大穷举尝试的难度 2)安全口令 (1)位数6位。 (2)大小写字母混合。如果用一个大写字母,既不要放在开头,也不要放在结尾。 (3)可以把数字无序的加在字母中。 (4)系统用户一定用8位口令,而且包括!?:“等特殊符号。,不安全口令(字典攻击和穷举攻击) (1)使用用户名(帐号)作为口令 。 (2)用用户名(帐号)的变换形式作为口令。 (3)使用自己或者亲友的生日作为口令。 (4)使用常用的英文单词作为口令。,例:猜测口令字的攻击,获取认证密码,方法: 弱口令扫描:最简单的方法
4、,入侵者通过扫描大量主机,从中找出一两个存在弱口令的主机 暴力破解:密码的终结者,获取密码只是时间问题,例如本地暴力破解,远程暴力破解。,扫描原理,扫描器可以检测远程主机和本地系统的安全性(两者有区别),分别被称为外部扫描和内部扫描。外部扫描:针对远程主机开放的端口与服务进行探测。 内部扫描:以系统管理员的权限在本地机上运行,记录系统配置中的各项主要参数,分析配置上存在的漏洞。,三种综合扫描器比较,1 选择检测范围,2 选择扫描模块,1 弱口令扫描,注意:X-scan也可以挂上 字典文件 例如:,2 暴力破解:,暴力破解所需要的只是一个安排合理地字典文件和充足的时间 通过了解入侵者使用何种工具
5、,可帮助网管员使用更强壮的密码,从而避开暴力破解,2.1) 字典文件产生,工具:流光 过程: 基本设定:可以设定单词中字母和数字的数目,范围。 选项设定:如 所有字母大小写;数字字母的前后;首字母大写 产生字典,2.2) 暴力破解,工具一:WMICracker 使用前提:破解时需目标主机开放135端口(多数主机满足) 使用方法: WMICracker.exe Threads :目标IP. :待破解密码的账号,必须属于管理员组 密码文件 Threads:线程数,默认为80,该数值越大,破解速度越快。假设X-Scan已经扫描到某台机器比如说 192.168.245.133上有名为gloc的管理员权
6、限 账号 ,并确定密码规则。WMICracker 192.168.245.133 gloc 1.doc 100,原理-利用远程服务漏洞:,TCP 135 微软RPC监听端点映射服务 TCP 139 NetBIOS共享服务 ,Netbios上的SMB TCP 445 TCP上的SMB服务,直接主机。,IPC$连接CIFS/SMB(通用因特网文件系统/服务器消息块 简称SMB)是NT平台最严重的不足。通过139 ,445 端口泄露有价值的信息,甚至对未经身份验证的用户也如此。 net share 远程连接 net use IPipc$ “PASSWORD“ /user:“ADMIN“后共享 net
7、 use z: 192.168.203.128C$ 断开连接 net use * /del /y 或者 net use IPipc$ /del /y IPC$空连接net use 192.168.202.33ipc$ “ /user:“可以实现空链接,在NT上可以通过匿名账户,进行登录,拥有everyone权限,Ipc$空连接的用处,1 查看用户账户 工具: Windows Resource Kit的 : userstat ,showgrps, local , global. Somarsoft公司开发的 DumpSec 注意: Windows server2003 之前黑客可查看远程系统上的
8、用户 账户名单,但在XP 和03后对“空连接”默认配置做了重 大改进后,这个漏洞不复存在,但把一台03机器配成域 控制器,这台机器对“空链接”的限制将被解除。,2.只要ipc$空链接漏洞存在可以利用user2sid和sid2user 进行查点,Sid: S-1-5-21-8915387-1645822062-1819828000-513(相对标识符) S-1开头,以连字符分隔的那一长串数字就是远程机器的SID了。 Administrator或Guest等用户和用户组的RID是预先定义好的,比如说 Administrator用户的RID永远是500,而Guest的RID永远是501,User2s
9、iduser2sid 192.168.202.33 “domain users”结果 S-1-5-8915387-1645822062-1819828000-513 Sid2usersid2user 192.168.202.33 5 8915387 1645822062 1819828000 500结果:Name is godzillaDomain.,对策:XP 和server 2003 把security policy 中的 (网络访问:允许匿名用户进行SID/名字转换设置为”disable”)就能防御上面介绍的这种攻击手段,防范措施: 安全策略设定 强化SMB会话安全 强制的显式权限许可:
10、限制匿名访问 使用SMB的签名 服务端和客户端都需要配置注册表,安全策略设定 策略 (MMC中的安全策略) 1 启用口令字复杂化机制 2 设置账户锁定阈值。 3 启用针对登录失败事件的日志审计功能 4 禁用无人使用的账户 5 锁定真正的Administrator账户并创建一个“诱饵 管理员”账户,策略 1, 2,策略3,策略4,策略5,默认配置下win server 2003不会锁定Administrator账户-即便系统管理员激活了账户锁定机制,Administrator账户也不会被锁定。 用passprop工具启用Administrator账户的锁定机制 Passprop /adminlo
11、ckout(管理员账户名),1 基于口令的认证,对口令的攻击 3 【在认证过程中】 窃听,口令明文,例:口令的攻击-网络监听,通过Sniff(嗅探器)来监听网络中的数据包获得密码,对明 文密码特别有效,如果是加密的,还涉及解密算法 Sniffer的工作原理Sniffer,也称网络嗅探器,它只能工作在广播型的以太网中,装有Sniffer的计算机会把网络上的所有数据接收下来,进行分析。,一般来说,局域网都属于广播型网络,如网吧、校园网、小区网。Sniffer无法嗅探到跨路由或交换机以外的数据包。如果一位勤劳的网管已经做到了他所应该做的一切:总是在第一时间给服务器打补丁,从来不执行非法程序,然而系统
12、却被入侵,就要考虑Sniffer的存在了。,工具 工具一:Sniffer Pro :是一款网管分析软件,功能强大 工具二:X-Way:自带的工具箱中有一个Sniffer功能。,图中所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,抓包实例,以telnet密码为例,步骤1:设置规则,包大小=55?,网上的数据传送是把数据分成若干个包来传送,根据协议的不同包的大小也不相同, 客户端telnet到服务端一次只传送一个字节的数据,由于协议的头长度是一定的,所以telnet的数据包大小=DLC(14字节)+IP(20字节)+TCP(20字节)+数据(一个字节)=55字节,
13、设为55正好能抓到用户名和密码,否则将抓到许多不相关的包,步骤2:抓包,步骤3:目标机运行telnet命令,步骤4:察看结果,基于口令的认证,对口令的攻击4【在认证过程中】 截取/重放,对抗认证过程中的口令攻击:在用户和服务器之间共享密钥是身份验证的基础,但是用来保护这些密钥的机制和协议在不断改进,有效的验证协议可以使中间人难以截取登录证书或者假冒其他用户和系统。,windows身份验证 分两个过程,1 交互式的登录过程 直接登录系统的过程被称为交互式登录 用户登录到本机或者域时,进行身份验证。 如果登录到本地,LSA将使用计算机的SAM处理请求 如果连接到域,LSA将使用Active Dir
14、ectory处理请求 2 网络身份验证向特定的网络服务提供对身份的证明。 通常,网络身份验证,并不是动态地向网络服务标识用户的过程,它不要求用户输入登录信息,而是依靠单一登录这一特性,由身份验证协议用交互式登录过程中所获得的信息来证实用户的身份。Kerberos(服务认证), SSL,1.1交互式,1.1交互式-本地登录,登录组件,Graphical Identification and Authentication,其他,登录组件,1 winlogon 加载其余两个组件(GINA 和身份验证程序包)处理与验证策略无关的用户界面操作创建可用的桌面(提供输入用户名、密码)向操作系统注册一个安全维
15、护序列(SAS, Secure Attention Sequence)维护工作站状态实现超时处理向GINA发送事件通知消息,提供可供GINA调用的各种接口函数。保证其操作对其他进程不可见。,Winlogon初始化 注册SAS默认为Ctrl+Alt+Del 生成三个桌面 Winlogon桌面-输入用户名,密码的桌面应用程序桌面 屏幕保护桌面 Winlogon可维护的三种状态 已注销状态发生在没有任何交互式登录会话期间 已登录状态允许用户访问应用程序桌面,并执行任何所需的任务可以切换到其他两种状态 已锁定工作站状态提供一个安全桌面可以通过用户身份验证切换到已登录状态,或者通过管理员身份验证切换到已
16、注销状态。,登录组件,2.1 GINA动态链接库提供了winlogon用户标识和验证用户的输出函数 微软提供的GINA是MSGINA.dll,但允许被用户替换来自行定制系统的用户识别和身份验证HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon“GinaDLL“=“ MSGINA.DLL“ 2.2 网络提供程序的动态链接库 提供通过标准协议到其他类型网络的辅助身份验证功能,过程,Winlogon切换到Winlogon桌面,并调用GINA来显示登录对话框,等待用户输入用户名和口令。当用户输入信息之后,GINA将它传送给LSA进行验证LSA调用适当的验证程序包(MSV1_0),并且将口令使用单向散列函数若SAM找到账户信息,转向身份验证程序包返回用户的SID和用户所在组的SID 验证程序包向LSA返回这些SIDLSA使用这些SID创建安全访问令牌,并把令牌句柄和登录确认信息返回给Winlogon用户进入Windows桌面,
