系统加固与信息安全高级培训[windows].pptVIP

系统加固与信息安全高级培训 内容综述 为了保证授课环境请关闭手机或调整到震动状态 安全体系概述 组织分类 组织安全从何入手？ 信息安全保障 我们的组织需要解决什么问题？ IT问题 商业应用 管理问题 我们的课程需要解决什么问题？ ? ? ? 对组织产生安全隐患的事件分类 意外威胁 故意威胁 被动威胁：这类威胁包括在网络上实用探测器读取正被发送的数据包，而不修改包内容或改变目标地址。数据的合法用户很可能不知道这种活动的存在。这中类型的活动通常不被记录。 主动威胁：包括的行为有：反复尝试访问和修改存储在操作系统中的信息。还包括声称若干的包来阻塞网络。 多种攻击技术融合 攻击技术具体化 信息流动 信息流过程中的问题 我们通过一个实验，来观察信息在传输过程中的情况。 白帽子黑客 安全分析师、安全审核师 黑帽子黑客 脚本小子 Cracker 职业黑客 黑客攻击过程 黑客攻击一般过程 从已经取得控制权的主机上通过 telnet或 rsh 跳跃 从 windows 主机上通过 wingates 等服务进行跳跃 利用配置不当的代理服务器进行跳跃 先通过拨号找寻并连入某台主机，然后通过这台主机 相关命令获取 手工获取banner 相关漏洞扫描工具 Ping命令经常用来对TCP/IP网络进行诊断。通过向目标计算机发送一个ICMP数据包，目标计算机收到后再反送回来，如果返回的数据包和发送的数据包一致，就说明网络能够连通。通过Ping命令，可以判断目标计算机是否正在运行，以及网络的大致延时（数据包从发送到返回需要的时间）。 finger 手工获取Banner 删除添加的帐号 删除/修改日志 删除临时使用文件 删除临时账号hacker C:\net user hacker /del 身份认证技术是对进入系统或网络的用户身份进行验证，防止非法用户进入。 身份认证技术的实现有 智能卡 基于对称密钥体制的Keberos身份认证协议 基于非对称密钥体制证书机制 The First 可能对操作系统的渗透 大家一起列举，你遇到的和可能发生的针对Windows 操作系统的渗透！ Windows系统 Windows NT（New Technology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT4.0、NT5.0（Windows 2000）和NT6.0（Windows 2003）等众多版本，并逐步占据了广大的中小网络操作系统的市场。 Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows 9X相比，Windows NT的网络功能更加强大并且安全。 Windows系统的安全组件 访问控制的判断（Discretion access control） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。 强制登陆（Mandatory log on） 要求所有的用户必须登陆，通过认证后才可以访问资源 审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。 Windows安全子系统的组件 安全标识符（Security Identifiers） 就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。 SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（Access tokens） 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 Wi