windows系统安全5(份验证).pptVIP

第五章：身份认证 身份认证概述 交互式登录 网络身份验证 安全套接字 针对验证的攻击（网络） 身份认证概述 对用户身份进行验证，认证能防止攻击者假冒合法用户获取访问权限 认证的主要依据 1 口令：主体了解的秘密，如口令。 2 智能卡：主体携带的物品。 3 生物特征：如指纹、声音、视网膜，血 管分布图或签字等。 其他 ：IP地址，特定场所（也可能是特定 时间）提供证据 ，验证者认可某一 已经通过认证的可信方 基于口令认证的攻击 字典攻击 穷举攻击 窥探 ，社交工程 ， 垃圾搜索 窃听 截取/重放 基于口令的认证 对口令的攻击 1 字典攻击：根据调查结果可知，大部份的人为了方便记忆选用的密码都与自己周遭的事物有关，例如：身份证字号、生日、车牌号码、在办公桌上可以马上看到的标记或事物、其他有意义的单词或数字，某些攻击者会使用字典中的单词来尝试用户的密码。 穷举攻击(Brute Force)：也称蛮力破解。这是一种特殊的字典攻击，它使用字符串的全集作为字典。 基于口令的认证 对口令的攻击 2 窥探：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。 社交工程：比如冒充是处长或局长骗取管理员信任得到口令等等。冒充合法用户发送邮件或打电话给管理人员，安装木马以骗取用户口令等。 垃圾搜索：攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如用户将口令写在纸上又随便丢弃。 基于口令的认证 对抗字典攻击和穷举攻击 1) 认证过程有一定的时延，增大穷举尝试的难度 2)安全口令 （1）位数6位。 （2）大小写字母混合。如果用一个大写字母，既不要放在开头，也不要放在结尾。 （3）可以把数字无序的加在字母中。 （4）系统用户一定用8位口令，而且包括～!@＃＄％^＆＊?:{}等特殊符号。 不安全口令（字典攻击和穷举攻击） （1）使用用户名（帐号）作为口令 。 （2）用用户名（帐号）的变换形式作为口令。 （3）使用自己或者亲友的生日作为口令。 （4）使用常用的英文单词作为口令。 例：猜测口令字的攻击 获取认证密码 方法： 弱口令扫描：最简单的方法，入侵者通过扫描大量主机，从中找出一两个存在弱口令的主机 暴力破解：密码的终结者，获取密码只是时间问题，例如本地暴力破解，远程暴力破解。 扫描原理 扫描器可以检测远程主机和本地系统的安全性(两者有区别)，分别被称为外部扫描和内部扫描。 外部扫描：针对远程主机开放的端口与服务进行探测。 内部扫描：以系统管理员的权限在本地机上运行，记录系统配置中的各项主要参数，分析配置上存在的漏洞。 注意： X-scan也可以挂上 字典文件 例如： 2 暴力破解： 暴力破解所需要的只是一个安排合理地字典文件和充足的时间 通过了解入侵者使用何种工具，可帮助网管员使用更强壮的密码，从而避开暴力破解 2.1） 字典文件产生 工具：流光 过程： 基本设定：可以设定单词中字母和数字的数目，范围。 选项设定：如 所有字母大小写；数字字母的前后；首字母大写 产生字典 2.2） 暴力破解 工具一：WMICracker 使用前提： 破解时需目标主机开放135端口（多数主机满足） 使用方法： WMICracker.exe IPUsernamePassword File[Threads] IP:目标IP. Username:待破解密码的账号，必须属于管理员组 Password File密码文件 [Threads]:线程数，默认为80，该数值越大，破解速度越快。 假设X-Scan已经扫描到某台机器比如说 192.168.245.133上有名为gloc的管理员权限 账号 ，并确定密码规则。 WMICracker 192.168.245.133 gloc 1.doc 100 原理----利用远程服务漏洞： TCP 135 微软RPC监听端点映射服务 TCP 139 NetBIOS共享服务 ，Netbios上的SMB TCP 445 TCP上的SMB服务，直接主机。 IPC$连接 CIFS/SMB(通用因特网文件系统/服务器消息块 简称SMB)是NT平台最严重的不足。通过139 ，445 端口泄露有价值的信息，甚至对未经身份验证的用户也如此。 net share 远程连接 net use \\IP\ipc$ PASSWORD /user:ADMIN“ 后共享 net use z: \\192.168.203.128\C$ 断开连接 net use * /del /y 或者 net use \\IP\ipc$ /del /