Windows安全--培训解读.ppt

Windows安全管理篇 Windows安全管理篇 Windows系统安装 系统安全检查 系统安全配置 Windows系统安装 使用正版可靠安装盘 将系统安装在NTFS分区上 系统和数据要分开存放在不同的磁盘 最小化安装服务 安全补丁合集和相关的Hotfix 装其它的服务和应用程序补丁 每次在安装其它程序之后，重新应用安全补丁 系统安全检查 系统信息 补丁安装情况 帐号和口令 网络与服务 文件系统 日志审核 安全性增强 系统信息 检查服务器是否安装多系统，多系统无法保障文件系统的安全 系统信息 查看主机路由信息 补丁安装情况 检查当前主机所安装的Service Pack以及Hotfix (Mbsa) 帐号和口令 多数的系统，口令是进入系统的第一道防线，也是唯一防线； 决大多数的口令算法是可靠的； 获得口令的方式有多种； 口令问题多数出在管理与安全意识的问题上。 口令问题1：弱口令 用户趋向于选择容易的口令，即空口令； 用户会选择易于记住的东西做口令 Test、Password、guest、username等 名字、生日、简单数字等 易于选择该系统的应用 Ntserver、orancle等 多数用户的安全意识薄弱 口令问题2：明文传输 使用明文密码传送的应用： FTP、POP、Telnet、HTTP、SNMP、Socks Mountd、Rlogin、 NNTP、 NFS、 ICQ、 IRC、 PcAnywhere、VNC等 MS SQL 、Oracle等 上诉服务都容易成为攻击对象 口令攻击的方式 手工猜测； 方法：社会工程学、尝试默认口令 自动猜测； 工具：NAT、LC等 窃听：登陆、网络截获、键盘监听 工具：Dsniff、Sniffer Pro、IKS等 Windows常见的口令问题 NT/2000的口令问题； 用户教育的问题； 管理员注意事项。 NT/2000的口令问题 SAM（Security Accounts Manager) LanManager散列算法（LM） 已被破解，但仍被保留 NT散列算法（NTLM/NTLMv2 ） 强加密、改良的身份认证和安全的会话机制 NT/2000的口令问题 LanManager散列算法的问题 口令都被凑成14个字符； 不足14位的，用0补齐； 全部转化为大写字母； 分成两部分分别加密。 举例： Ba01cK28tr －BA01CK2和8TR0000 NT/2000的口令问题 SAM数据存放位置 %systemroot%\system32\config\sam %systemroot%\repair\sam._(NT)Rdisk %systemroot%\repair\sam （2000）ntbackup 注册表HKEY_LOCAL_MACHINE\SAM\SAM 和HKEY_LOCAL_MACHINE\SECURITY\SAM仅对system是可读写的 NT/2000的口令问题 获取SAM数据的方法 使系统自举到另外的系统，copy SAM文件； 从repair目录攫取备份的SAM; 窃听口令交换 口令策略 用户教育 口令禁忌: 不要选择可以在任何字典或语言中找到的口令 不要选择简单字母组成的口令 不要选择任何指明个人信息的口令 不要选择包含用户名或相似类容的口令 不要选择短于6个字符或仅包含字母或数字的口令 不要选择作为口令范例公布的口令 管理员注意事项 确保每个用户都有一个有效的口令； 对用户进行口令教育； 使用防止用户选择弱口令的配置与工具； 进行口令检查，确保没有弱口令； 确保系统与网络设备没有缺省账号和口令； 不要在多个机器上使用相同的口令； 从不记录也不与他人共享密码； 管理员注意事项 从不将网络登录密码用作其他用途； 域Administrators账户和 本地Administrators帐户使用不同的密码； 小心地保护在计算机上保存密码的地方； 对于特权用户强制30天更换一次口令，一般用户60天更换； 使用VPN、SSH、一次性口令等安全机制. Null Session Null Session（空连接）连接也称为匿名登陆，这种机制允许匿名用户通过网络获得系统的信息或建立未授权的连接。它常被诸如explorer.exe 的应用来列举远程服务器上的共享。 非授权主机可以是网络里所有的主机，即这个主机不需要有访问服务器的任何权限。 任何一台主机都可以和服务器之间建立一个NULL session，这个NULL session在服务器里属于everyone组。缺省情况下所有的用户都属于everyone这个组。everyone组没有很大的权力。但是可以利用它获取系统的用户信息。 Null Session net use \\se