windows系统安全技术分析.pptVIP

Windows系统安全 魏兴国 2005年7月 提纲 帐户安全 文件安全 攻击介绍 安全加固 帐户安全 帐户和组 安全标识符和访问令牌 网络登陆和安全帐户管理者 添加删除重命名帐户 帐户和组 帐户(User Account) 定义Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制等。 组(Group) universal groups、global groups、local groups 安全标识符和访问令牌 安全标识符(Security Identifiers) 即SID，具有时间和空间的唯一性，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。如：S-1-5-21-1763234323-3212657521-1234321321-500，每创建一个用户或一个组，系统就会分配给该用户或组一个唯一SID。 访问令牌(Access tokens) 访问令牌是用户在通过登陆验证的时候由登陆进程所提供，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。 网络登陆和安全帐户管理者 网络登陆(NetLogon) 网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SID和用户权限。 安全帐户管理者(Security Account Manager) 即SAM，用来保存用户帐户和口令的数据库，文件保存在 %systemroot%\system32\config\sam，保存了注册表中\HKLM\Security\Sam中的一部分内容。不同的域有不同的SAM，在域复制的过程中，SAM包将会被拷贝。 添加删除重命名帐户 添加或删除帐户 net user 用户名 密码 /add [del] 为组添加或删除帐户 net localgroup 组名 用户名 /add [del] 重命名帐户 管理工具?计算机管理?本地用户和组?重命名 文件安全 安全描述符和访问控制列表 目录权限和文件权限 复制和移动文件 安全描述符和访问控制列表 安全描述符(Security descriptors) 安全描述符保存对象的安全配置，windows系统每个对象的属性都具有安全描述部分。 访问控制列表(Access control lists) 即ACL，分为任意访问控制列表(Discretionary ACL)和系统访问控制列表(System ACL)。任意访问控制列表包含用户和组的列表以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限；系统访问控制列表是为审核服务的，包含了对象被访问的时间。 目录权限和文件权限 权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权限级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R),Execute(X),Write(W) ,Delete(D),Set Permission(P)和 Take Ownership(O)。 目录权限 文件权限 复制和移动 从一个NTFS分区到另一个NTFS分区 复制/移动都是继承权限 同一个NTFS分区 复制：继承权限 移动：保留权限 复制或移动到FAT32分区 所有设置权限全部丢失 攻击介绍 对系统的攻击一般分为入侵攻击和拒绝服务攻击。入侵 是指对通过某种手段获取到系统的权限，而拒绝服务攻 击(D.O.S)则是指通过恶意数据包让系统对正常请求无法 提供响应。对攻击者而言，入侵攻击是最优先考虑的， 无法入侵则有可能进行拒绝服务攻击。 入侵攻击步骤 扫描探测 远程渗透 提升权限 安装后门 清理日志 扫描探测 网络环境扫描 —traceroute,firewalk等 主机端口扫描，信息获取 —nmap，superscan等 主机漏洞扫描 —ISS,Nessus等 手工挖掘漏洞 —路径泄露等 端口扫描 Nmap是最为强大的端口扫描工具，一个普通的扫描如 下： 信息获取和漏洞扫描 Nmap扫描获取 使用相应参数获取系统信息和banner信息 手工获取 系统命令telnet到远程主机端口获取 安全工具扫描 使用各种漏洞扫描工具获取，例如ISS,Nessus等 远程渗透 溢出攻击 脚本漏洞 破解密