10操作系统安全2005--windows.pptVIP

* 软件限制策略四个规则 散列规则 将尝试运行的文件的散列值与受限的文件散列值比较，达到控制的目的。 证书规则 检查应用程序的数字签名，限制Win32和ActiveX的使用。 路径规则 检查应用程序的路径，判断是否处在允许（或禁止）运行的路径下 Internet区域规则 控制如何访问Internet区域 在高安全性环境下控制对WEB应用程序的访问时使用 * 应用软件限制策略的最佳做法 创建回滚计划 使用独立的组策略对象来实施软件限制 与NTFS一起用于深层次防御 测试新的策略设置 * 安全解决方案介绍 核心客户端安全 Active Directory 组策略的安全机制 客户端本地组策略 软件限制策略 防病毒策略 防火墙策略 安全问题 * 防病毒策略 购买独立的防病毒产品 网络+主机?双重防护 利用Active Directory推送分发病毒更新文件 * 安全解决方案介绍 核心客户端安全 Active Directory 组策略的安全机制 客户端本地组策略 软件限制策略 防病毒策略 防火墙策略 安全问题 * 防火墙策略 配置Internet连接防火墙（ICF） ICF主要设置服务和连接限制 第三方防火墙软件 优点：可获得高性能控制 问题：可扩展性、复杂性 建议 在用户不使用组织的LAN时，启用ICF 远程VPN连接强制使用ICF * Any question？ * * 所有版本的 Windows 中都包括对服务器消息块 (SMB) 协议的支持。虽然 SMB 是文件共享协议，但是 SMB 还可用于其他用途。这些用途之一是将“组策略”设置从域控制器分发到登录的计算机。从 Windows 2000 开始，可以通过对会话中的所有数据包进行数字签名来改进 SMB 会话的完整性。Windows 2000 和 Windows XP 可以配置为始终签名、从不签名或者只在其他方要求时签名。在 Windows 2000 和 Windows XP 中实现 SMB 签名的缺陷使得攻击者可以静默方式降低受影响计算机上的 SMB 签名设置。要这样做，攻击者必须在客户端与服务器交换会话协商数据时有权限访问这些数据，并且必须能够以利用该缺陷的方式修改这些数据。这可能导致任一计算机或者全部两台计算机都发送未经签名的数据，而无论管理员设置什么签名策略。在攻击者降低签名设置后，攻击者可以继续监视和更改会话中的数据。缺少签名会阻碍通信各方检测更改。 * RID RID对所有的计算机和域来说都是一个常数。例如，带有RID 500的SID总是代表本地计算机的真正的Administrator账户。RID 501是Guest账户 在域中，从1000开始的RID代表用户账户(例如，RID 1015是在该域中创建的第14位用户) Windows 2000(或者使用适当工具的恶意黑客)总是将具有RID 500的账户识别为管理员 * 其它的SID S-1-1-0 Everyone S-1-2-0 Interactive用户 S-1-3-0 Creator Owner S-1-3-1 Creator Group * 为什么不能总是使用Administrator登录？ C:\net use \\192.168.234.44\ipc$ password /u: Administrator System error 1326 has occurred. Logon failure: unknown user name or bad password. * Windows会自动将当前登录用户的凭据提交给网络登录企图 如果用户在客户端上是使用Administrator登录的，这个登录企图就会被解释为客户端希望使用本地Administrator账户登录到远程系统 当然，这个账户在远程服务器上没有上下文 你可以使用net use命令来手动指定登录上下文，给出远程域、计算机名称或IP地址和用户名，并在用户名前加上反斜线。 例如： C:\net use \\192.168.234.44\ipc$ password /u: domain\Administrator The command completed successfully. * 查看SID C:\user2sid Administrator S-1-5-21-1507001333-1204550764-1011284298-500 Number of subauthorities is 5 Domain is CORP C:\sid2user 5 21 1507001333 1204550764 1011284298 500 Name is Administrator Domain is COR