05第五章 windowsxp系统高阶安全.pptVIP

信息安全个人防护 主讲:梁晓琦 * 第五章 Windowsxp系统高阶安全 本讲的目标 了解系统的常见进程，分析和辨别系统基本进程，对进程进行管理操作。 了解系统日志，掌握对系统日志的分析操作。 掌握安全模板概念、作用，能够管理和配置安全模板。 授课建议 重点介绍系统的进程管理，分析和辨别系统基本进程，对进程进行管理操作。 通过演示介绍系统日志管理，掌握对系统日志的分析操作。 介绍安全模板概念、作用，能够管理和配置安全模板。 进程管理 WindowsXP的基本进程 Csrss.exe 这是子系统服务器进程，负责控制Windows 创建或删除线程以及16 位的虚拟DOS 环境。 System Idle Process 这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。 Smss.exe 这是一个会话管理子系统，负责启动用户会话。 Services.exe 系统服务的管理工具。 Lsass.exe 本地的安全授权服务。 Explorer.exe 资源管理器。 Spoolsv.exe 管理缓冲区中的打印和传真作业。 Svchost.exe 用来运行动态链接库DLL 文件，从而启动对应的服务。svchost.exe 进程可以同时启动多个服务。 svchost.exe 常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。 是一个服务宿主，它本身并不能给用户提供任何服务，但是可以用来运行动态链接库DLL 文件，从而启动对应的服务。svchost.exe 进程可以同时启动多个服务。 通过读取某服务在注册表中的信息，即可知道应该调用哪个动态链接库，从而启动该服务。 “server”服务:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\lanmanserver tasklist /svc,查看svchost启动了哪些进程 explorer.exe 常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe explorer.exe 进程默认是和系统一起启动的， 其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒 iexplore.exe 常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe rundll32.exe 常被病毒冒充的进程名有：rundl132.exe、rundl32.exe 在系统中的作用是执行DLL 文件中的内部函数，系统中存在多少个Rundll32.exe 进程，就表示Rundll32.exe 启动了多少个的DLL 文件。 spoolsv.exe 常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。 spoolsv.exe 是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。 病毒进程隐藏 以假乱真 假借类似前面提到的正常进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe 偷梁换柱 如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。 借尸还魂 病毒采用了进程插入技术，将病毒运行所需的dll 文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了。 进程管理工具－Process Explorer 日志与审计事件查看器 “控制面板”-“管理工具”-“事件查看器” 五种类型的日志记录事件 应用程序日志：记录应用程序或一般程序的事件。 安全性日志：可以记录例如有效和无效的登录尝试等安全事件，以及与资源使用有关的事件。例如创建、打开或删除文件以及有关设置的修改。 系统日志：包含由Windows XP 系统组件记录的事件，例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。 Microsoft Office Sessions: Office 应用的会话管理日志。 Microsoft Office Diagnostics: Microsoft Office 诊断服务。普通用户基本用不上. 事件查看器显示以下事件类型 信息 警告 错误 审核成功 审核失败 如何规划事件日志审计规则 注意事项： 太多的审核会消耗大量的资源。用户每一次移动鼠标都会被记录下来(这太过分了。但是，记录一次并不过分)。 过多的审核是无用的 特别需要记录下来的事件 登录和登出事件，由审计账