《网络管理员课件windows系统安全管理2014.7.30章节》由会员分享,可在线阅读,更多相关《网络管理员课件windows系统安全管理2014.7.30章节(61页珍藏版)》请在金锄头文库上搜索。
1、Windows系统安全管理,密级:内部使用,目录,Windows系统管理,常见工具介绍,Windows简介及常用命令,Windows版本发展,Microsoft Windows 2000,Windows NT 5.0,Microsoft Windows XP,Windows NT 5.1,Microsoft Windows Server 2003,Windows NT 5.2,Microsoft Windows Vista,Windows NT 6.0,Microsoft Windows Server 2008,Windows NT 6.0,Microsoft Windows 7,Window
2、s NT 6.1,Microsoft Windows Server 2008 R2,Windows NT 6.1,Microsoft Windows 8,Windows NT 6.2,Microsoft Windows Phone 8,Windows NT 6.2,Microsoft Windows Server 2012,Windows NT 6.2,Windows发展史,个人操作系统发展史,1998年,2001年,2006年,2009年,2012年,系统信息命令介绍,用户及用户组,用户:,组:,SID定义介绍,SID:,安全标识符是用户帐户的内部名,用于识别用户身份,它在用户帐户创建时由系
3、统自动产生。 在Windows系统中默认用户中,其SID的最后一项标志位都是固定的,比如administrator的SID最后一段标志位是500,又比如最后一段是501的话则是代表GUEST的帐号。,Windows帐号的SID由字符“S”、SID版本号、颁发机构、子颁发机构、RID组成。例:S-1-5-21-310440588-250036847-580389505-500。第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构(identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。然后表示一系列的子颁发
4、机构,前面几项是标志域的,最后一个标志着域内的帐户和组。,举例:,用户用户组查看命令,查看账户abc的详细信息:net user abc 创建(空密码)删除 账户abc:net user abc /add del 创建普通账户abc,密码为123:net user abc 123 /add 把abc加入 退出 管理员组:net localgroup administrators abc /add del 启用停用账户abc:net user abc /active:yesno 新建删除组admin: net localgroup admin /add del,帐号相关命令之net user:,
5、Whoami Whoami /user Whoami /all,帐号相关命令之whoami:,设置方法:“开始”-“运行”输入secpol.msc 立即启用:gpupdate /force,账号安全设置:,账号策略,帐号策略:,帐号安全选项相关:,授权策略,账户授权: 1.在本地安全设置中从远端系统强制关机只指派给Administrators组。 2.在本地安全设置中关闭系统仅指派给Administrators组。 3.在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。 4.在本地安全设置中配置指定授权用户允许本地登陆此计算机。 5.在组策略中只允许授权帐号从网络
6、访问(包括网络共享等,但不包括终端服务)此计算机。,密码策略,密码策略:,密码必须满足:a、长度至少为6个字符;b、密码字符必须来自大写字母、小写字母、数字、非字母符号中的三个。,密码复杂度要求:,克隆账号,克隆帐号:,当用Administrator的F项覆盖其 他账号的F项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。 当系统用户一旦被克隆,配合终端服务,就等于向攻击者开启了一扇隐蔽的后门,让攻击者可以随时进入你的系统,这一扇门你看不到,因为它依靠的是微软的终端服务,并没有释放病毒文件,所以也不会被杀毒软件所查杀。,克隆账号,安全账号管理器的具体表现就是%Sy
7、stemRoot%system32configsam文件。 sam文件是windows NT的用户帐户数据库,所有2K03/2k/NT用户的登录名及口令等相关信息都会保存在这个文件中。 sam文件可以认为类似于unix系统中的shadow文件,不过没有这么直观明了。 我们用编辑器打开这些NT的sam文件,除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理,一般的编辑器是无法直接读取这些信息的。注册表中的 HKEY_LOCAL_MACHINESAMSAM HKEY_LOCAL_MACHINESECURITYSAM 保存的就是SAM文件的内容,在正常设置下仅对system是可读写的。
8、,帐户数据库SAM文件:,克隆账号,克隆administrator帐号:,1.创建隐藏帐号 2.打开注册表编辑器修改SAM权限 3.按F5刷新注册表,查看克隆账号类型 4.分别查看administrator的类型的F值和需要克隆的帐号类型的F值,并将 administrator的F值复制覆盖要克隆的帐号的F值 5.注销计算机,用克隆帐号登录, net localgroup administrators查看克隆帐号 是否在administrators组里 6.测试是否真实具有administrator的权限,新建用户并将其加入administrator组,弱口令检测:,PWDUMP,Ophcra
9、ck 利用彩虹表破解PWDUMP的SAM文件,密码抓取工具mimikatz2.0,文件权限控制,前提条件,NTFS分区:,NTFS权限既影响网络访问者也影响本地访问者。 NTFS权限可以为驱动器、文件夹、注册表键值、打印机等进行设置。 权限可以配置给用户或组,不同用户或组对同一个文件夹或文件可以有不同的权限,分区转换:,convert D:/fs:ntfs,注意:不可逆,只能将 FAT 或 FAT32 系统转换为 NTFS 系统,不能将 NTFS 系统转换成 FAT 或 FAT32 系统。如果必须转换,一般需要重新格式化磁盘。,文件权限细分,ACL(access control list)访问
10、控制列表,ACE(Access control entry)访问控制记录,Windows文件权限特性,每种权限都有“允许”和“拒绝”两种设置方法。 权限的来源有“直接设置”和“继承”两种。 如果权限的设置出现矛盾,系统按下面的优先顺序确定权限: 直接设置的拒绝直接设置的允许继承的拒绝继承的允许,权限的优先顺序:,移动、复制对权限继承性的影响: 在同一分区内移动文件或文件夹,权限保持不变。在不同分区间移动文件或文件夹,权限继承新位置的权限。 复制文件或文件夹,权限会继承新位置的权限。 把文件或文件夹移动或复制到FAT分区中时权限会丢失。,删除继承权限,删除继承权限的方法:,夺权:,只有两种人员可
11、以抢夺所有权: 1、Administrators(管理员)组的用户; 2、拥有“获得所有权”这一特别权限的用户。,Windows共享管理,默认共享、共享权限,Windows共享资源,计算机管理界面查看共享资源,共享与CMD命令,net share: 功能:文件或目录共享相关设置,默认共享,默认共享(C$、D$、E$) IPC$(Internet Process Connection)可以被理解为一种“专用管道”,可以在连接双方建立一条安全的通道,实现对远程计算机的访问。Windows NT/2000/XP提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(C$,D$,
12、E$)和系统目录(ADMIN$)共享。 所有这些共享的目的,都是为了方便管理员的管理,只要服务器服务”Server”正在运行当中,就不可能删除IPC$。试图删除只会出现”拒绝访问”的错误提示。当你停止了Server服务后。IPC$会自动消失。但在有意无意中,导致了系统安全性的隐患。 默认共享不是个漏洞。造成安全隐患的并不是默认共享本身。而是系统使用者本身。,自定义共享,自定义共享 相关用户启用 相关用户权限设置 网络工作组设置 共享文件夹设置,访问共享,访问共享资源的方法 访问WindowsXP默认共享非常简单: 一是通过“开始”“运行”,输入“计算机名或IP地址D$或admin$”(不包括两
13、侧的引号,下同); 二是使用IE等浏览器,在地址栏中输入上述格式或“file:/127.0.0.1/d$”(如图):,共享权限,“共享”选项卡:,共享权限:,Windows 2003的默认共享权限是Everyone读取; Windows 2000的默认共享权限是Everyone完全控制。,CMD共享命令,Net share: sharename:指共享资源的网络名。如果此名字后面加上“$”字符则此共享就会成为隐含的。 drive:path:指定将被共享的文件夹的绝对路径(包括驱动器名)。如:C:My Documents。 /USERS:设置可以同时访问共享资源的最大用户数,“number”指具
14、体的用户数。 /UNLIMITED:指不限定同时访问共享资源的用户数。 /REMARK:添加一个有关共享资源的描述性注释,注释内容的文本应该包含在引号(“)中。 /DELETE:关闭共享。,CMD共享命令,关闭共享: net share D$ /del 含义:关闭名D$的共享。,Windows系统管理,服务、进程,服务,服务属性,注册表与服务的关联,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一服务项目子项都有一个 Start 数值, 这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程
15、式该在何时被加载。 目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。,服务与CMD命令,Net 命令,net config: 功能:显示当前运行的可配置服务,或显示并更改某项服务的设置。更改立即生效并且是永久的 参数: 1. /autodisconnect:time 设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-
16、1到65535分钟,默认值是15分钟。 2. /srvcomment:“text“ 为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符(24个汉字),给文本加上引号。 3. /hidden:yes | no 指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是 no。 net start/stop servername: net start 查看已经开启的服务 net stop servername 停止服务,服务带来的威胁,建议将以下服务停止,并将启动方式修改为手动: Automatic Updates(不使用自动更新可以关闭) Background Intelligent Transfer Service(不使用自动更新可以关闭) DHCP Client Messenger Remote Registry Print Spooler Server(不使用文件共享可以关闭) Simple TCP/IP Service Simple
