版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
windows平安原理及平安管理內(nèi)容Windows平安原理篇Windows平安管理篇Windows平安原理篇Windows系統(tǒng)的平安架構(gòu)Windows的平安子系統(tǒng)Windows的密碼系統(tǒng)Windows的系統(tǒng)效勞和進程Windows的日志系統(tǒng)Windows系統(tǒng)的平安架構(gòu)WindowsNT的平安包括6個主要的平安元素:Audit〔審計〕,Administration〔管理〕,Encryption〔加密〕,AccessControl〔訪問控制〕,UserAuthentication〔用戶認證〕,CorporateSecurityPolicy〔公共平安策略〕。WindowsNT系統(tǒng)內(nèi)置支持用戶認證、訪問控制、管理、審核。Windows系統(tǒng)的平安組件 訪問控制的判斷〔Discretionaccesscontrol〕按照C2級別的定義,Windows支持對象的訪問控制的判斷。這些需求包括允許對象的所有者可以控制誰被允許訪問該對象以及訪問的方式。對象重用〔Objectreuse〕當資源〔內(nèi)存、磁盤等〕被某應用訪問時,Windows禁止所有的系統(tǒng)應用訪問該資源。強制登陸〔Mandatorylogon〕與WindowsforWorkgroups,Windwows95,Windows98不同,Windows2K/NT要求所有的用戶必須登陸,通過認證后才可以訪問資源。審核〔Auditing〕WindowsNT在控制用戶訪問資源的同時,也可以對這些訪問作了相應的記錄。對象的訪問控制〔Controlofaccesstoobject〕WindowsNT不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問,然后是用戶或應用通過第一次認證后再訪問。強制訪問控制Windows平安子系統(tǒng)的組件
平安標識符〔SecurityIdentifiers〕: SID永遠都是唯一的,由計算機名、當前時間、當前用戶態(tài)線程的CPU消耗時間的總和三個參數(shù)決定以保證它的唯一性。例:S-1-5-21-1763234323-3212657521-1234321321-500 訪問令牌〔Accesstokens〕:。訪問令牌是用戶在通過驗證的時候有登陸進程所提供的,所以改變用戶的權(quán)限需要注銷后重新登陸,重新獲取訪問令牌。第一項S表示該字符串是SID
第二項是SID的版本號,對于2000來說,這個就是1
然后是標志符的頒發(fā)機構(gòu)〔identifierauthority〕,對于2000內(nèi)的帳戶,頒發(fā)機構(gòu)就是NT,值是5然后表示一系列的子頒發(fā)機構(gòu),前面幾項是標志域的
最后一個標志著域內(nèi)的帳戶和組
Windows平安子系統(tǒng)的組件平安描述符〔Securitydescriptors〕:WindowsNT中的任何對象的屬性都有平安描述符這局部。它保存對象的平安配置。訪問控制列表〔Accesscontrollists〕:在NT系統(tǒng)中,每當請求一個對象或資源訪問時,就會檢查它的ACL,確認給用戶授予了什么樣的權(quán)利。每創(chuàng)立一個對象,對應的ACL也會創(chuàng)立。ACL包含一個頭部,其中包含有更新版本號、ACL的大小以及它所包含的ACE數(shù)量等信息。訪問控制項〔Accesscontrolentries〕:訪問控制項〔ACE〕包含了用戶或組的SID以及對象的權(quán)限。訪問控制項有兩種:允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。當你使用管理工具列出對象的訪問權(quán)限時,列表的排序是以文字為順序的,它并不象防火墻的規(guī)那么那樣由上往下的,不過好在并不會出現(xiàn)沖突,拒絕訪問總是優(yōu)先于允許訪問的。Windows平安子系統(tǒng)
Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)Windows子系統(tǒng)實現(xiàn)圖Winlogon,LocalSecurityAuthorit以及Netlogon效勞在任務管理器中都可以看到,其他的以DLL方式被這些文件調(diào)用。Windows平安子系統(tǒng)WinlogonandGina: Winlogon調(diào)用GINADLL,并監(jiān)視平安認證序列。而GINADLL提供一個交互式的界面為用戶登陸提供認證請求。GINADLL被設(shè)計成一個獨立的模塊,當然我們也可以用一個更加強有力的認證方式〔指紋、視網(wǎng)膜〕替換內(nèi)置的GINADLL。Winlogon在注冊表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,如果存在GinaDLL鍵,Winlogon將使用這個DLL,如果不存在該鍵,Winlogon將使用默認值MSGINA.DLLWindows平安子系統(tǒng)本地平安認證〔LocalSecurityAuthority〕:調(diào)用所有的認證包,檢查在注冊表重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)立用戶的訪問令牌。管理本地安裝的效勞所使用的效勞賬號。儲存和映射用戶權(quán)限。管理審核的策略和設(shè)置。管理信任關(guān)系。Windows平安子系統(tǒng)平安支持提供者的接口〔SecuritySupportProvideInterface〕:微軟的SecuritySupportProvideInterface很簡單地遵循RFC2743和RFC2744的定義,提供一些平安效勞的API,為應用程序和效勞提供請求平安的認證連接的方法。認證包〔AuthenticationPackage〕: 認證包可以為真實用戶提供認證。通過GINADLL的可信認證后,認證包返回用戶的SIDs給LSA,然后將其放在用戶的訪問令牌中。Windows平安子系統(tǒng)平安支持提供者〔SecuritySupportProvider〕:平安支持提供者是以驅(qū)動的形式安裝的,能夠?qū)崿F(xiàn)一些附加的平安機制,默認情況下,WindowsNT安裝了以下三種:Msnsspc.dll:微軟網(wǎng)絡挑戰(zhàn)/反響認證模塊Msapsspc.dll:分布式密碼認證挑戰(zhàn)/反響模塊,該模塊也可以在微軟網(wǎng)絡中使用Schannel.dll:該認證模塊使用某些證書頒發(fā)機構(gòu)提供的證書來進行驗證,常見的證書機構(gòu)比方Verisign。這種認證方式經(jīng)常在使用SSL〔SecureSocketsLayer〕和PCT〔PrivateCommunicationTechnology〕協(xié)議通信的時候用到。Windows平安子系統(tǒng)網(wǎng)絡登陸〔Netlogon〕:。平安賬號管理者〔SecurityAccountManager〕:平安賬號管理者,也就是我們經(jīng)常所說的SAM,它是用來保存用戶賬號和口令的數(shù)據(jù)庫。Windows2000本地登陸過程
GINALSASSPIKerberosNTLMWindows的密碼系統(tǒng)windowsNT及win2000中對用戶帳戶的平安管理使用了平安帳號管理器(securityaccountmanager)的機制,平安帳號管理器對帳號的管理是通過平安標識進行的,平安標識在帳號創(chuàng)立時就同時創(chuàng)立,一旦帳號被刪除,平安標識也同時被刪除。平安標識是唯一的,即使是相同的用戶名,在每次創(chuàng)立時獲得的平安標識都時完全不同的。Windows的密碼系統(tǒng)平安賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件。 在正常設(shè)置下僅對system是可讀寫的。用戶權(quán)利、權(quán)限和共享權(quán)限網(wǎng)絡平安性依賴于給用戶或組授予的能力:權(quán)力:在系統(tǒng)上完成特定動作的授權(quán),一般由系統(tǒng)指定給內(nèi)置組,但也可以由管理員將其擴大到組和用戶上。權(quán)限:可以授予用戶或組的文件系統(tǒng)能力。共享:用戶可以通過網(wǎng)絡使用的文件夾。Windows系統(tǒng)的用戶權(quán)利
權(quán)利適用于對整個系統(tǒng)范圍內(nèi)的對象和任務的操作,通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務。當用戶登錄到一個具有某種權(quán)利的帳號時,該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務。下面列出了用戶的特定權(quán)利:Accessthiscomputerfromnetwork可使用戶通過網(wǎng)絡訪問該計算機。Addworkstationtoadomain允許用戶將工作站添加到域中。Backupfilesanddirectories授權(quán)用戶對計算機的文件和目錄進行備份。Changethesystemtime用戶可以設(shè)置計算機的系統(tǒng)時鐘。Loadandunloaddevicedrive允許用戶在網(wǎng)絡上安裝和刪除設(shè)備的驅(qū)動程序。Restorefilesanddirectories允許用戶恢復以前備份的文件和目錄。Shutdownthesystem允許用戶關(guān)閉系統(tǒng)。Windows系統(tǒng)的用戶權(quán)限RWXDPOWindows系統(tǒng)的用戶權(quán)限權(quán)限適用于對特定對象如目錄和文件〔只適用于NTFS卷〕的操作,指定允許哪些用戶可以使用這些對象,以及如何使用〔如把某個目錄的訪問權(quán)限授予指定的用戶〕。權(quán)限分為目錄權(quán)限和文件權(quán)限,每一個權(quán)級別都確定了一個執(zhí)行特定的任務組合的能力,這些任務是:Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表顯示了這些任務是如何與各種權(quán)限級別相關(guān)聯(lián)的。
Windows系統(tǒng)的用戶權(quán)限權(quán)限級別RXWDPO允許的用戶動作NoAccess
用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名,也可以進入其子目錄ReadRX具有List權(quán)限,用戶可以讀取目錄中的文件和運行目錄中的應用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限,另外還可以更改文件的內(nèi)容,刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限,另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)如果對目錄有Execute(X)權(quán)限,表示可以穿越目錄,進入其子目。Windows系統(tǒng)的用戶權(quán)限權(quán)限級別RXWDPO允許的用戶動作NoAccess
用戶不能訪問該文件ReadRX用戶可以讀取該文件,如果是應用程序可以運行ChangeRXWD有Read的權(quán)限,還可用修和刪除文件FullcontrolRXWDPO包含Change的權(quán)限,還可以更改權(quán)限和獲取文件的有權(quán)Windows系統(tǒng)的共享權(quán)限共享只適用于文件夾〔目錄〕,如果文件夾不是共享的,那么在網(wǎng)絡上就不會有用戶看到它,也就更不能訪問。網(wǎng)絡上的絕大多數(shù)效勞器主要用于存放可被網(wǎng)絡用戶訪問的文件和目錄,要使網(wǎng)絡用戶可以訪問在NTServer效勞器上的文件和目錄,必須首先對它建立共享。共享權(quán)限建立了通過網(wǎng)絡對共享目錄訪問的最高級別。
Windows系統(tǒng)的共享權(quán)限共享權(quán)限級別允許的用戶動作NoAccess(不能訪問)禁止對目錄和其中的文件及子目錄進行訪問但允許查看文件名和子目錄名,改變共享Read(讀)目錄的子目錄,還允許查看文件的數(shù)據(jù)和運行應用程序Change(更改)具有“讀”權(quán)限中允許的操作,另外允許往目錄中添加文件和子目錄,更改文數(shù)據(jù),刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作,另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)共享點一定要小心地分配。因為權(quán)限僅僅是分配給共享點的,任何共享點下的文件:或目錄都足以和共享點本身相同的權(quán)限被訪問的。Windows的系統(tǒng)效勞單擊“開始〞,指向“設(shè)置〞,然后單擊“控制面板〞。雙擊“管理工具〞,然后雙擊“效勞〞。在列表框中顯示的是系統(tǒng)可以使用的效勞。Windows2k下可以在命令行中輸入services.msc翻開效勞列表。Windows的系統(tǒng)效勞效勞包括三種啟動類型:自動,手動,已禁用。
自動-Windows2000啟動的時候自動加載效勞
手動-Windows2000啟動的時候不自動加載效勞,在需要的時候手動開啟
已禁用-Windows2000啟動的時候不自動加載效勞,在需要的時候選擇手動或者自動方式開啟效勞,并重新啟動電腦完成效勞的配置
雙擊需要進行配置的效勞,出現(xiàn)以下圖所示的屬性對話框:
Windows的系統(tǒng)效勞KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一筆效勞工程子項都有一個Start數(shù)值,這個數(shù)值的內(nèi)容依照每一個效勞工程的狀況而又有不同。Start數(shù)值內(nèi)容所記錄的就是效勞工程驅(qū)動程式該在何時被加載。目前微軟對Start內(nèi)容的定義有0、1、2、3、4等五種狀態(tài),0、1、2分別代表Boot、System、AutoLoad等叁種意義。而Start數(shù)值內(nèi)容為3的效勞工程代表讓使用者以手動的方式載入(Loadondemand),4那么是代表停用的狀態(tài),也就是禁用。Windows的系統(tǒng)進程根本的系統(tǒng)進程smss.exeSessionManager會話管理csrss.exe子系統(tǒng)效勞器進程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)效勞lsass.exe管理IP平安策略以及啟動ISAKMP/Oakley(IKE)和IP平安驅(qū)動程序。(系統(tǒng)效勞)svchost.exe包含很多系統(tǒng)效勞spoolsv.exe將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)效勞)explorer.exe資源管理器internat.exe輸入法Windows的Log系統(tǒng)Windows有三種類型的事件日志:系統(tǒng)日志跟蹤各種各樣的系統(tǒng)事件,比方跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。應用程序日志跟蹤應用程序關(guān)聯(lián)的事件,比方應用程序產(chǎn)生的象裝載DLL〔動態(tài)鏈接庫〕失敗的信息將出現(xiàn)在日志中。平安日志跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。注意:平安日志的默認狀態(tài)是關(guān)閉的。Windows的Log系統(tǒng)日志在系統(tǒng)的位置是:%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.EvtLOG文件在注冊表的位置是:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventlogWindows的應用系統(tǒng)日志Internet信息效勞FTP日志默認位置:%systemroot%system32logfilesmsftpsvc1,默認每天一個日志Internet信息效勞WWW日志默認位置:%systemroot%system32logfilesw3svc1,默認每天一個日志FTP日志和WWW日志文件名通常為ex〔年份〕〔月份〕〔日期〕,例如ex001023,就是2000年10月23日產(chǎn)生的日志,用記事本就可直接翻開Scheduler效勞日志默認位置:%systemroot%schedlgu.txt
FTP日志分析FTP日志分析,如下例:#Software:MicrosoftInternetInformationServices5.0〔微軟IIS5.0〕#Version:1.0〔版本1.0〕#Date:2000102303:11:55〔效勞啟動時間日期〕03:11:55[1]USERadministator331〔IP地址為用戶名為administator試圖登錄〕03:11:58[1]PASS–530〔登錄失敗〕03:12:04[1]USERnt331〔IP地址為用戶名為nt的用戶試圖登錄〕03:12:06[1]PASS–530〔登錄失敗〕03:12:32[1]USERadministrator331〔IP地址為用戶名為administrator試圖登錄〕03:12:34[1]PASS–230〔登錄成功〕03:12:41[1]MKDnt550〔新建目錄失敗〕03:12:45[1]QUIT–550〔退出FTP程序〕從日志里就能看出IP地址為的用戶一直試圖登錄系統(tǒng),換了3次用戶名和密碼才成功,管理員立即就可以得知管理員的入侵時間IP地址以及探測的用戶名。HTTP的日志分析HTTP日志分析,如下例:#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:316780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通過分析第六行,可以看出2000年10月23日,IP地址為6的用戶通過訪問IP地址為7機器的80端口,查看了一個頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt,有經(jīng)驗的管理員就可通過平安日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間Windows平安管理篇Windows平安管理篇Windows系統(tǒng)安裝系統(tǒng)平安檢查系統(tǒng)平安配置IIS平安配置SQLServer口令和補丁Windows系統(tǒng)安裝使用正版可靠安裝盤將系統(tǒng)安裝在NTFS分區(qū)上系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤最小化安裝效勞平安補丁合集和相關(guān)的Hotfix裝其它的效勞和應用程序補丁每次在安裝其它程序之后,重新應用平安補丁防止病毒進行文件系統(tǒng)平安設(shè)置最少建立兩個分區(qū),一個系統(tǒng)分區(qū),一個應用程序分區(qū),因為微軟的IIS經(jīng)常會有泄漏源碼/溢出的漏洞,如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。NT安裝SP6a和相關(guān)的HotfixWIN2K安裝SP4和相關(guān)的HotfixWINXP安裝SP2和相關(guān)的HotfixWIN2003安裝相關(guān)的Hotfix系統(tǒng)平安檢查系統(tǒng)信息補丁安裝情況帳號和口令網(wǎng)絡與效勞文件系統(tǒng)日志審核平安性增強系統(tǒng)信息檢查效勞器是否安裝多系統(tǒng),多系統(tǒng)無法保障文件系統(tǒng)的平安從“operatingsystems〞字段可以查到允許啟動的系統(tǒng)列表系統(tǒng)信息查看主機路由信息補丁安裝情況檢查當前主機所安裝的ServicePack以及Hotfix(Mbsa)SP版本IE版本,請確認在Hotfix中是否存在IESP1補丁信息Hotfix信息2023/1/12口令破解與攻擊42帳號和口令多數(shù)的系統(tǒng),口令是進入系統(tǒng)的第一道防線,也是唯一防線;決大多數(shù)的口令算法是可靠的;獲得口令的方式有多種;口令問題多數(shù)出在管理與平安意識的問題上。2023/1/12口令破解與攻擊43口令問題1:弱口令用戶趨向于選擇容易的口令,即空口令;用戶會選擇易于記住的東西做口令Test、Password、guest、username等名字、生日、簡單數(shù)字等易于選擇該系統(tǒng)的應用Ntserver、orancle等多數(shù)用戶的平安意識薄弱2023/1/12口令破解與攻擊44口令問題2:明文傳輸使用明文密碼傳送的應用:FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上訴效勞都容易成為攻擊對象2023/1/12口令破解與攻擊45口令攻擊的方式手工猜測;方法:社會工程學、嘗試默認口令自動猜測;工具:NAT、LC等竊聽:登陸、網(wǎng)絡截獲、鍵盤監(jiān)聽工具:Dsniff、SnifferPro、IKS等2023/1/12口令破解與攻擊46Windows常見的口令問題NT/2000的口令問題;用戶教育的問題;管理員本卷須知。2023/1/12口令破解與攻擊47NT/2000的口令問題SAM〔SecurityAccountsManager)LanManager散列算法〔LM〕已被破解,但仍被保存NT散列算法〔NTLM/NTLMv2〕強加密、改進的身份認證和平安的會話機制自動降級2023/1/12口令破解與攻擊48NT/2000的口令問題LanManager散列算法的問題口令都被湊成14個字符;缺乏14位的,用0補齊;全部轉(zhuǎn)化為大寫字母;分成兩局部分別加密。舉例:Ba01cK28tr-BA01CK2和8TR00002023/1/12口令破解與攻擊49NT/2000的口令問題SAM數(shù)據(jù)存放位置%systemroot%\system32\config\sam%systemroot%\repair\sam._(NT)Rdisk%systemroot%\repair\sam〔2000〕ntbackup注冊表HKEY_LOCAL_MACHINE\SAM\SAM和
HKEY_LOCAL_MACHINE\SECURITY\SAM僅對system是可讀寫的2023/1/12口令破解與攻擊50NT/2000的口令問題獲取SAM數(shù)據(jù)的方法使系統(tǒng)自舉到另外的系統(tǒng),copySAM文件;從repair目錄攫取備份的SAM;竊聽口令交換2023/1/12口令破解與攻擊51口令策略使用密碼強度及賬戶老化、鎖定策略;設(shè)置最小的密碼程度為8個字符,最短密碼時間為1-7天,最長密碼時間為42天,最小的密碼歷史輪回為6,失敗登陸嘗試為3,賬戶鎖定為60分鐘等。2023/1/12口令破解與攻擊52用戶教育口令禁忌:
不要選擇可以在任何字典或語言中找到的口令不要選擇簡單字母組成的口令不要選擇任何指明個人信息的口令 不要選擇包含用戶名或相似類容的口令不要選擇短于6個字符或僅包含字母或數(shù)字的口令不要選擇作為口令范例公布的口令2023/1/12口令破解與攻擊53管理員本卷須知確保每個用戶都有一個有效的口令;對用戶進行口令教育;使用防止用戶選擇弱口令的配置與工具;進行口令檢查,確保沒有弱口令;確保系統(tǒng)與網(wǎng)絡設(shè)備沒有缺省賬號和口令;不要在多個機器上使用相同的口令;從不記錄也不與他人共享密碼;2023/1/12口令破解與攻擊54管理員本卷須知從不將網(wǎng)絡登錄密碼用作其他用途;域Administrators賬戶和本地Administrators帳戶使用不同的密碼;小心地保護在計算機上保存密碼的地方;對于特權(quán)用戶強制30天更換一次口令,一般用戶60天更換;使用VPN、SSH、一次性口令等平安機制.NullSessionNullSession〔空連接〕連接也稱為匿名登陸,這種機制允許匿名用戶通過網(wǎng)絡獲得系統(tǒng)的信息或建立未授權(quán)的連接。它常被諸如explorer.exe的應用來列舉遠程效勞器上的共享。非授權(quán)主機可以是網(wǎng)絡里所有的主機,即這個主機不需要有訪問效勞器的任何權(quán)限。任何一臺主機都可以和效勞器之間建立一個NULLsession,這個NULLsession在效勞器里屬于everyone組。缺省情況下所有的用戶都屬于everyone這個組。everyone組沒有很大的權(quán)力。但是可以利用它獲取系統(tǒng)的用戶信息。NullSessionnetuse\\server\IPC$""/user:""
此命令用來建立一個空會話獲得目標上的所有用戶列表。包括效勞器上有哪些組和用戶。效勞器的平安規(guī)那么,包括帳戶封鎖、最小口令長度、口令使用周期、口令唯一性設(shè)置等。列出共享目錄。讀注冊表。NullSessionnetview\\server
此命令用來查看遠程效勞器的共享資源nettime\\server
此命令用來得到一個遠程效勞器的當前時間。At\\server此命令用來得到一個遠程效勞器的調(diào)度作業(yè)防御方法屏蔽135-139,445端口〔網(wǎng)絡屬性〕去除NetBiosOverTCP/IP(在效勞中去除server〕修改注冊表HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSAValueName: RestrictAnonymousDataType: REG_DWORDValue: 1〔2Win2000)參考,入侵實例通過NetBIOS入侵139端口是NetBIOSSession端口,用來進行文件和打印共享,是NT潛在的危險。1、用NBTSTAT命令,用來查詢NetBIOS信息。C>nbtstat–2、用netuse建立連接c:>netuse\\x.x.x.x\ipc$“密碼〞/user:〞用戶名〞c:>netview\\x.x.x.xc:>netusex:\\x.x.x.x\c$c:>dirx:/p注意:通過IPC$連接會在Eventlog中留下記錄。copywinshell.exe\\\admin$\system32at\\11:55winshell.exe54088telnet54088帳號和口令是否有密碼過期策略密碼過期策略包括密碼最長存留期和最短存留期,最長存留期是指密碼在多久后過期,最短存留期是指在多久后才可以修改密碼開始|程序|管理工具|本地平安設(shè)置|平安設(shè)置|帳戶策略|密碼策略:#密碼最長存留期,以天為單位,MAXDAYS天后密碼過期,缺省為42天〔建議不超過42天〕#密碼最短存留期,以天為單位,MINDAYS天后才可以修改密碼,缺省為0〔建議1~7天〕帳號和口令檢查Guest帳號Guest帳號是一個容易無視的帳號,黑客可能修改該帳號權(quán)限,并利用該帳號登陸系統(tǒng)沒有激活帳號和口令系統(tǒng)是否使用默認管理員帳號默認管理員帳號可能被攻擊者用來進行密碼暴力猜測,建議修改默認管理員用戶名。Administrator用戶名已被修改帳號和口令是否存在可疑帳號查看系統(tǒng)是否存在攻擊者留下的可疑帳號,或檢查主機操作人員遺留下的尚未刪除的帳號。可禁用不需要帳號:帳號和口令檢查系統(tǒng)中是否存在脆弱口令系統(tǒng)存在脆弱口令帳號可能導致攻擊者輕易猜出帳號密碼。強壯口令要求:8位或以上口令長度、大小寫字母、數(shù)字、特殊符號網(wǎng)絡與效勞查看網(wǎng)絡開放端口查看監(jiān)聽端口網(wǎng)絡與效勞得到網(wǎng)絡流量信息網(wǎng)絡與效勞檢查主機端口、進程對應信息
網(wǎng)絡與效勞查看系統(tǒng)已經(jīng)啟動的效勞列表網(wǎng)絡與效勞查看主機是否開放了共享或管理共享未關(guān)閉。文件系統(tǒng)查看主機磁盤分區(qū)類型效勞器應使用具有平安特性的NTFS格式,而不應該使用FAT或FAT32分區(qū)。開始|管理工具|計算機管理|磁盤管理文件系統(tǒng)檢查特定文件的文件權(quán)限對于一些敏感文件權(quán)限需要進行修改,防止文件被惡意用戶執(zhí)行。僅適用于NTFS分區(qū)
文件系統(tǒng)檢查特定目錄的權(quán)限在檢查中一般檢查各個磁盤根目錄權(quán)限、Temp目錄權(quán)限日志審核檢查主機的審核情況開始|運行|gpedit.msc|計算機配置|Windows設(shè)置|本地策略|審核策略日志審核檢查系統(tǒng)日志大小、覆蓋天數(shù)開始|運行|eventvwr|右鍵“系統(tǒng)〞可設(shè)置更大的空間存儲日志如果空間足夠,建議手動去除日志平安性增強保護注冊表,防止匿名訪問
默認權(quán)限并不限制對注冊表的遠程訪問。只有管理員才應具有對注冊表的遠程訪問權(quán)限,因為默認情況下Windows2000注冊表編輯工具支持遠程訪問。對匿名連接的額外限制
默認情況下,Windows系統(tǒng)允許匿名用戶枚舉主機帳號列表,獲得一些敏感信息。
開始|運行|gpedit.msc|計算機配置|Windows設(shè)置|本地策略|平安選項
建議設(shè)置為“不允許枚舉SAM帳號和共享〞平安性增強檢查是否登陸時間用完后自動注銷用戶
開始|運行|gpedit.msc|計算機配置|Windows設(shè)置|本地策略|平安選項是否顯示上次成功登陸的用戶名
開始|運行|gpedit.msc|計算機配置|Windows設(shè)置|本地策略|平安選項平安性增強是否允許未登陸系統(tǒng)執(zhí)行關(guān)機命令
開始|運行|gpedit.msc|計算機配置|Windows設(shè)置|本地策略|平安選項僅登陸用戶允許使用光盤
開始|運行|gpedit.msc|計算機配置|Windows設(shè)置|本地策略|平安選項系統(tǒng)平安配置補丁安裝帳號、口令策略修改網(wǎng)絡與效勞平安性增強文件系統(tǒng)平安性增強日志審核增強平安性增強補丁安裝使用Windowsupdate安裝最新補丁手工安裝補?。?/p>
帳號、口令策略修改
推薦修改為:設(shè)置帳號策略后可能導致不符合帳號策略的帳號無法登陸,需修改帳號密碼〔注:管理員不受帳號策略限制,但管理員密碼應復雜〕密碼長度最小值7字符密碼最長存留期90天密碼最短存留期30天帳號鎖定計數(shù)器5次帳戶鎖定時間5分鐘帳戶鎖定閥值1分鐘網(wǎng)絡與效勞平安性增強卸載不需要的效勞開始|設(shè)置|控制面板|添加/刪除程序|Windows組件,卸載不需要的效勞防止未知漏洞給主機帶來的風險網(wǎng)絡與效勞平安性增強將暫時不需要開放的效勞停止開始|運行|services.msc|將上述效勞的啟動類型設(shè)置為手動并停止上述效勞防止未知漏洞給主機帶來的風險文件系統(tǒng)平安性增強限制特定執(zhí)行文件的權(quán)限未對敏感執(zhí)行文件設(shè)置適宜的權(quán)限建議禁止Guest組用戶訪問資源:xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCopy.execacls.exeipconfig.exercp.execmd.exedebug.exeregedt32.exeregedit.exe
telnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exenbtstat.exeTracert.exenetstat.exe日志審核增強建議平安策略文件修改下述值:對系統(tǒng)事件進行審核,在日后出現(xiàn)故障時用于排查故障。審核策略更改成功審核登錄事件無審核審核對象訪問成功,失敗審核過程追蹤無審核審核目錄服務訪問無審核審核特權(quán)使用無審核審核系統(tǒng)事件成功,失敗審核帳戶登錄事件成功,失敗審核帳戶管理成功,失敗日志審核增強調(diào)整事件日志的大小、覆蓋策略增大日志大小,防止由于日志文件容量過小導致日志記錄不全大小覆蓋方式應用日志16382K覆蓋早于30天的事件安全日志16384K覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件平安性增強禁止匿名用戶連接
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
“restrictanonymous〞的值為0,將該值修改為“1〞
可以禁止匿名用戶列舉主機上所有用戶、組、共享資源刪除主機管理共享
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,增加“Autoshareserver〞項,并設(shè)置該值為“1〞
刪除主機因為管理而開放的共享平安性增強禁止匿名用戶連接
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
“restrictanonymous〞的值為0,修改為“1〞
可以禁止匿名用戶列舉主機上所有用戶、組、共享資源限制Guest用戶權(quán)限
禁止Guest帳號本地登錄和網(wǎng)絡登錄的權(quán)限。
防止Guest帳號被黑客激活作為后門IIS效勞平安配置禁用或刪除所有的例如應用程序
例如只是例如;在默認情況下,并不安裝它們,且從不在生產(chǎn)效勞器上安裝。請注意一些例如安裝,它們只可從://localhost或訪問;但是,它們?nèi)詰粍h除。下面列出一些例如的默認位置。例如虛擬目錄位置
IIS例如\IISSamplesc:\inetpub\iissamples
IIS文檔\IISHelpc:\winnt\help\iishelp
數(shù)據(jù)訪問\MSADCc:\programfiles\commonfiles\system\msadc
IIS效勞平安配置啟用或刪除不需要的COM組件某些COM組件不是多數(shù)應用程序所必需的,應加以刪除。特別是,應考慮禁用文件系統(tǒng)對象組件,但是要注意這將也會刪除Dictionary對象。切記某些程序可能需要您禁用的組件。例如,SiteServer3.0使用FileSystemObject。以下命令將禁用FileSystemObjec
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年度辦公房屋租賃合同二零二五年度租賃期限靈活
- 2025年度農(nóng)業(yè)科技項目投資合作合同范本
- 2025年度電力企業(yè)員工培訓服務合同樣本
- 2025年度環(huán)保監(jiān)測服務合同變更管理范本
- 2025年度公司間高標準商務辦公樓租賃合同范本
- 二零二四年度藥品進口代理集中招標投標合同3篇
- 2025年度窗簾市場渠道拓展合作合同4篇
- 2025年度回遷房項目配套設(shè)施建設(shè)監(jiān)管合同
- 2025年度智能場館租賃合同范本(官方版)
- 2025年度實驗室柜子定制采購合同范本
- 2025福建新華發(fā)行(集團)限責任公司校園招聘30人高頻重點提升(共500題)附帶答案詳解
- 山東鐵投集團招聘筆試沖刺題2025
- 2025年中考英語總復習:閱讀理解練習題30篇(含答案解析)
- 陜西省英語中考試卷與參考答案(2024年)
- 北京市通州區(qū)市級名校2025屆高一數(shù)學第一學期期末考試試題含解析
- 小學生心理健康教育學情分析
- 超級大腦:孩子六維能力培養(yǎng)指南
- 2024年濰坊護理職業(yè)學院高職單招(英語/數(shù)學/語文)筆試歷年參考題庫含答案解析
- 顱腦損傷的生物標志物
- 物流營銷(第四版) 課件 第一章 物流營銷概述
- 5A+Chapter+2+Turning+over+a+new+leaf 英語精講課件
評論
0/150
提交評論