【课件】Windows 2000系统安全.ppt

《【课件】Windows 2000系统安全.ppt》由会员分享，可在线阅读，更多相关《【课件】Windows 2000系统安全.ppt（40页珍藏版）》请在三一办公上搜索。

1、Windows 2000系统安全,http:/,课程回顾,防火墙技术入侵检测技术,http:/,Windows 2000安全结构,http:/,Winidws2000安全系统,http:/,Windows安全对象,Windows 2000中的对象类型有：文件、文件夹、打印机、I/O设备、窗口、线程、进程和内存。,本地的Windows 2000安全子系统包括下列关键组件：安全标识符、访问令牌、安全描述符、访问控制列表和访问控制条目。,http:/,Windows 2000安全组件,安全标识符:分配给所有用户、组和计算机的统计上的唯一号码为了保证SID的惟一性，在生成他们的时候使用一个公式，结合计

2、算机名，当前时间和当前用户模式线程使用CPU时间的总量。SID像这样：S1521164928866415498249601244863647500,http:/,SID,S-1-5-21-1507001333-1204550764-1011284298-500,SID带有前缀S，它的各个部分之间用连字符隔开第一个数字(本例中的1)是修订版本编号第二个数字是标识符颁发机构代码(对Windows 2000来说总是为5)然后是4个子颁发机构代码(本例中是21和后续的3个长数字串)和一个相对标识符(Relative Identifier，RID，本例中是500),http:/,SID的生成,SID中的

3、一部分是各系统和域惟一具有的，而另一部分(RID)是跨所有系统和域共享的当安装Windows 2000时，本地计算机会颁发一个随机的SID。当创建一个Windows 2000域时，它也被指定一个惟一的SID。于是对任何的Windows 2000计算机或域来说，子颁发机构代码总是惟一的(除非故意修改或复制，例如某些底层的磁盘复制技术),http:/,RID,RID对所有的计算机和域来说都是一个常数。例如，带有RID 500的SID总是代表本地计算机的真正的Administrator账户。RID 501是Guest账户在域中，从1000开始的RID代表用户账户Windows 2000(或者使用适当

4、工具的恶意黑客)总是将具有RID 500的账户识别为管理员,http:/,其它的SID,S-1-1-0EveryoneS-1-2-0Interactive用户S-1-3-0Creator OwnerS-1-3-1Creator Group,http:/,查看SID,C:user2sid AdministratorS-1-5-21-1507001333-1204550764-1011284298-500Number of subauthorities is 5Domain is CORPC:sid2user 5 21 1507001333 1204550764 1011284298 500Nam

5、e is AdministratorDomain is CORPType of SID is SidTypeUser,http:/,Windows 2000安全组件,访问控制令牌:访问令牌由用户的SID、用户所属组的SID和用户名组成,http:/,Windows 2000安全组件,安全描述符:安全描述符由对象所有者的SID、POSIX子系统使用的组SID、访问控制列表和系统访问控制列表组成。,http:/,Windows 2000安全组件,访问控制列表:,http:/,Windows 2000安全组件,访问控制条目:访问控制条目（Access Control Entry，ACE）包含用户或组

6、的SID和分配给对象的权限。,http:/,Windows安全子系统,Winlogon,加载GINA，监视认证顺序,加载认证包,支持额外的验证机制,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,为认证建立安全通道,http:/,Windows安全子系统,Winlogon图形身份认证和验证动态链接库（Graphical Identification And Authentication DLL，GINA）本地安全管理授权（Local Security Authority，LSA）安全支持供应商接口（Security Support Provider Interface，SSPI）

7、验证软件包（Authentication Packages）安全支持供应商（Security Support Providers）Netlogon服务安全帐户管理器（Security Account Manager，SAM）,http:/,Winlogon,Winlogon主要负责管理用户登录和注销过程，并加载GINA DLL并监视安全认证的顺序。,http:/,GINA DLL,GINA DLL为登陆和登陆请求提供接口。GINA DLL被设计成独立的模块并可被更强壮的认证机制所代替。目前有很多强有力的认证设备可以使用，比如利用指纹认证来代替默认的GINA DLL。Winlogon访问注册表里

8、的HKLMsoftwareMicrosoftwindowsNTcurrentversionwinlogon 键来查看Gina DLL值是否存在。如果此DLL存在，Winlogon加载并使用那个DLL。否则的话WindowsNT就使用默认的DLL,叫MSGINADLL，是NT自带的。由Winlogon来监视安全认证的顺序并当一个登陆请求发生时通知给GINA。,http:/,本地安全授权(LSA),本地安全授权是一个保护子系统，主要负责下列任务：加载所有的认证包，包括检查存在于注册表中 HKLMSystemCurrentControlSetControLLSA中的Authentication Pa

9、ckages值 为用户找回本地组的SID以及用户的权限 创建用户的访问令牌 管理本地安全服务的服务帐号 存储和映射用户权限 管理审计策略和设置 管理信任关系,http:/,安全支持供应商接口(SSPl),微软的安全支持供应商接口利RFC2743及RFC2744所定义的一般安全服务API极为相似安全服务提供商API为应用程序和服务要求安全认证连接提供了解决方法。,http:/,认证信息包,认证包的内容提供真正的用户验证。认证包检查通过GINA DLL所得到的证书，当用户的证书被检验后，认证包向LSA返回SID，包括用户的访问令牌。,http:/,安全支持供应,安全支持供应是安装驱动程序来支持额外

10、的安全机制。WindowsNT默认安装包括以下：Msnsspc.dll：微软网络(MSN)挑战响应认证方法。.Msapsspc.dll：分布式密码认证(DPA)挑战响应方法，也用于MSN。Schannel.Dll 利用证书授权机购(如VeriSign)所发布的证书来时行验证。这种认证方法通常是在安全套接字层(SSL)或私有通信技术(PCT)协议连接时所使用。,http:/,Netlogon,Net logon服务必须为认证的传输建立一个安全的通道。为了达到这种效果，要定位个域控制器来建立安全通道。最后，通过这条安全通道来传递用户的认证再以用户SID及用户权限的形式接收到域控制器的响应。,htt

11、p:/,安全帐号管理(SAM),安全帐号管理实际上是一个掌管用户和用户证书的数据库。它存储在Windows NET 注册表的一部分。每个域都有不同的SAM，作为两台域服务器复制的一部分。,http:/,Windows 2000认证与授权访问,用户A,Read=A S-1-5-21 Write=administrators S-1-5-32-544,File.txt,SRM,安全参考监视器,http:/,WINDOWS安全机制,（1）Windows认证机制 以Windows 2000为例，提供两种认证：本地认证和网络认证。（2）Windows访问控制机制：WindowsNT/XP的安全性达到C2

12、级，C2级实现了何种访问控制？（3）Windows审计和日志机制（4）Windows协议过虑和防火墙（5）Windows文件系统加密系统,http:/,身份验证,Windows 2000 支持，包括 X.509 证书、智能卡和、Kerberos 协议和NTLM 协议数种产业标准身份验证机制,http:/,TCSEC定义的内容,没有安全性可言，例如MS DOS,不区分用户，基本的访问控制,有自主的访问安全性，区分用户,标记安全保护，如System V等,结构化内容保护，支持硬件保护,安全域，数据隐藏与分层、屏蔽,校验级保护，提供低级别手段,http:/,Windows访问控制机制（C2级安全标准

13、的要求）,自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问,http:/,Windows 2000的默认目录,Windows 2000的%system%winnt目录几个需要注意的默认安装目录IIS的默认目录Log的默认目录(%WinDir%System32LogFiles和%WinDir%system32config)SAM和SAM备份的日志目录,http:/,Windows 2000的默认账号,账户名 注释System/localsystem 本地计算机的所有特权Administrator 同上；可以改名，但不能删除Gue

14、st 有限的权限，默认禁用IUER_计算机名 IIS的匿名访问，guests组成员IWAM_计算机名 IIS进程外应用程序运行的账号，Guests组成员TSInternetUser 终端服务Krbtgt Kerberos密钥分发账号，只在DC上出现，默认禁用,http:/,Windows 2000下的内建组,组名 注释Administrators 成员具有本地计算机的全部权限 Users 所有账号，较低的权限 Guests 有限的权限，与users相同Authenticated users 特殊的隐含组，包含所有已登录的用户 Replicator 用于域中的文件复制Backup Operato

15、rs 没有administrators权限高，但十分接近Server Operators 没有administrators权限高，但十分接近Account Operators 没有administrators权限高，但十分接近Print Operators 没有administrators权限高，但十分接近,http:/,Windows 2000默认共享,C$、D$Ipc$：远程会话管理Admin$：指向%WinDir%目录，用于远程管理,http:/,评估Windows 2000风险的关键,IIS 5.0风险Windows 2000终端服务风险客户端访问风险,http:/,Windows 2

16、000终端服务,TS(Terminal Service)工作于3389端口TS基于RDP(Remote Desktop Protocol)实现终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp值-PortNumber REG_WORD 3389(默认),http:/,针对TS的攻击,密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin),http:/,MS客户端风险评估,恶意电子邮件-M

17、IME扩展Outlook缓冲区溢出Media Play缓冲区溢出VBS地址簿蠕虫,http:/,Outlook溢出,起源于vCard(一种电子名片)Outlook直接打开并运行附件中的vCards而不提示用户vCards存储于.vcf文件中，也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时，就会出现溢出对策：应用IE 5.5 sp2,http:/,3、WINDOWS增强方法,停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全关闭DirectDraw、关闭默认共享禁用Dump File、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件,http:/,