常见的windows系统安全管理.ppt

Windows系统安全管理 链接：/s/1i3xeYrz 密码：ei5j 目录 Windows系统管理 反射攻击实例 Windows入侵调查 常见工具介绍 系统安全背景分析 系统安全背景分析 接口决定通路 信息系统 内网 有线环境 非法外联 无线环境 外网 Web页面 http（80） https（443） 特定应用 OA 特定业务 远程维护 系统到底有多少个接口？ 基于服务器实现应用（windows、linux、unix等） 前序-windows系统常用提权手段 常见的windows系统提权漏洞有： MS08-067： MS11-080： MS11-046： 可直接获取最高权限密码的方式有： Mimikatz 2.0 PWDUMP+彩虹表 可利用的操作系统后门： Shift后门 反射攻击（MS12-063 ）等 获取内网PC机器登录权限 Mimikatz 2.0 输入法提权 能否这么顺利 可冒充目标单位信息中心的人员或第三方外包维护人员，获取PC使用者的信任； 权限获取完成后直接植入免杀后门，反射外联即可； 此类攻击较为极端，但是内网往往为安全的薄弱点，需要时刻留意； 无意识的行为较多，日常所见的大多数均为病毒感染； 直接连入网络 楼层交换机可管理，登陆成功后开启端口连入内网； 直接采用办公室内某台可连入网络的网线； 可采用AP等将内网网络通过无线信号转出； 实施无线攻击的前提 Linux环境：backtrack 5 r3/kali linux 支持的无线网卡：3COM/INTEL/artheros/ralink 切记避免realtek芯片 AP信号放大器 强大的密码破解字典 非法接入——发现信号 抓取目标SSID的握手包 Airmon-ng开启网卡混杂模式 kismet进入监控状况，抓取附近无线信号 Airodump-ng，抓取握手包 如短时间抓不到握手包，可用mdk3 攻击AP，强制其客户端下线 Miniewap也可实现上述功能 攻击过程 Windows简介及常用命令 Windows版本发展 Microsoft Windows 2000 Windows NT 5.0 Microsoft Windows XP Windows NT 5.1 Microsoft Windows Server 2003 Windows NT 5.2 Microsoft Windows Vista Windows NT 6.0 Microsoft Windows Server 2008 Windows NT 6.0 Microsoft Windows 7 Windows NT 6.1 Microsoft Windows Server 2008 R2 Windows NT 6.1 Microsoft Windows 8 Windows NT 6.2 Microsoft Windows Phone 8 Windows NT 6.2 Microsoft Windows Server 2012 Windows NT 6.2 Windows发展史 个人操作系统发展史 1998年 2001年 2006年 2009年 2012年 系统信息命令介绍 查看系统版本 ver 查看系统信息、补丁数目 systeminfo 查看共享情况 Net share 查看主机名 hostname 查看用户 net user 查看用户组、SID Whoami /user 查看开放端口 netstat -ano 用户及用户组 用户： 组： SID定义介绍 SID： 安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。 在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。 Windows帐号的SID由字符“S”、SID版本号、颁发机构、子颁发机构、RID组成。例：S-1-5-21-310440588-250036847-580389505-500。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组。 举例： 设置方法：“开始”-“运行”输入secpol.msc 立即启用：gpupdate /force 账号安全设置： 账号策略 帐号策略： 帐号安全选项相关： 密码策略 密码策略: 密码必须满足：a、长度至少为6个字符；b、密码字符必须来自大写字母、小写