03 Windows账户安全.pptVIP

用户帐户 账户是一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。换一种说法，所有的用户模式代码在一个用户账户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码(例如服务)也是运行在一个账户(特殊的本地系统账户SYSTEM)的上下文中的 如果用户使用账户凭据(用户名和口令)成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。于是，执行代码所进行的操作只受限于运行它的账户所具有的权限。恶意黑客的目标就是以尽可能高的权限运行代码。那么，黑客首先需要“变成”具有最高权限的账户 用户帐户 本地Administrator或SYSTEM账户是最有权力的账户 相对于Administrator和SYSTEM来说，所有其他的账户都只具有非常有限的权限 因此，获取Administrator或SYSTEM账户几乎总是攻击者的最终目标 组 组是用户账户集合的一种容器 Windows具有一些内置的组，它们是预定义的用户容器，具有不同级别的权限 放到一个组中的所有账户都会继承这些权限 最简单的一个例子是本地的Administrators组，放到该组中的用户账户具有本地计算机的全部权限 除了内置的组，你也可以创建新的组 安全账户管理器SAM sam文件是Windows的用户账户数据库，所有系统用户的账户名称及密码等相关信息都保存在这个文件中。账户密码通过hash被加密 sam文件存放在%SystemRoot%\system32\config中 注册表中，sam文件的数据保存在HKEY_LOCAL_MACHINE\SAM\SAM 和HKEY_LOCAL_MACHINE\Security\SAM分支下 默认情况下被隐藏 SID (Security Identifier) Window内部对安全主体的操作是通过一个称为安全标识符(Security Identifier，SID)的全局惟一的48位数字来进行的 说明：账户、组和计算机都是安全主体 SID能够防止系统将来自计算机A的Administrator账户与来自计算机B的Administrator账户弄混 如果重新创建一个原来删除的同名账户，后者并不等同于前者 SID示例S-1-5-21-1507001333-1204550764-1011284298-500 登录认证 Windows必须确定自己是否在与合法的安全主体打交道，这是通过认证实现的 最简单的例子是通过控制台登录到Windows的用户。用户在登录窗口中输入账户名称和口令。安全登录窗口将输入的凭据传递给负责验证身份的组件，如Winlogon和LSASS。假设凭据是有效的，Winlogon将创建一个令牌(或称访问令牌)，并将之绑定到用户登录会话上，稍后访问资源时需要提供令牌 令牌 (Token) 令牌中含有与用户账户有关的所有SID，包括账户的SID，还有该用户所属的所有组和特殊身份(如Interactive)的SID 用户访问资源 一些操作技巧 设置BIOS密码 一般的BIOS都提供了两种密码保护方式： Setup方式。设置进入BIOS界面密码，不影响操作系统的启动 System方式。设置开机密码，密码错误则不能启动操作系统 更改和伪造Administrator账户 保护Administrator账户的最佳的方法是更改名称，并设置复杂的密码 之后，可以创建一个隶属于Guests组的、名字为Administrator的账户，并设置复杂的密码。根据需要，可以对该账户启动审核功能 为进一步增强安全，还应该禁止登录时显示用户名 破解Windows系统管理员口令 使用ERD Commander破解 使用带ERD Commander的启动盘，利用该软件重设密码 使用密码破解软件 需要得到保存有密码的文件 识破混在管理员组的Guest账户 在“本地用户和组”中查看Guest是否隶属于Administrators Guest能够成为管理员组的成员的原因：密码太简单或没有密码 让Guest成为管理员组的成员的方法 net use \\目标IP地址 net localgroup administrators guest /add 避免Guest账户被利用的方法 设置Guest账户“账户已停用” 在用户权利指派中，使Guest账户不能在本地登录 加强Guest账户的安全管理 在安全选项里，启用“网络访问：不允许SAM账户和共享的匿名枚举” 设置IP安全策略，比如“安全服务器” 为Guest账户设置复杂的密码 sam文件的防范 防止黑客破解账户 使用syskey.exe进一步加密sam文件 破解账户密码的方法：使用密码破解软件 需要事先把sam文件复制出来 最新的sam文件存放在%SystemRoot%\system32\config中 原始