安全技术工程师培训.ppt

《安全技术工程师培训.ppt》由会员分享，可在线阅读，更多相关《安全技术工程师培训.ppt（86页珍藏版）》请在三一办公上搜索。

1、NISE安全技术工程师培训Win2K安全配置与管理,课程目的,了解win2K系统的设计原理了解Win2K的安全特性能够对win2K系统进行安全配置授课方式：讲解、演示、学员实际操作,Windows系统安全配置,为什么要介绍windows NT安全Windows NT体系构架Windows NT安全模型Windows NT安全配置Windows NT的审计分析,为什么要介绍windows 安全,系统安全评测标准系统面临很多威胁系统漏洞导致的损失,TCSEC 安全等级,基于C2级标准的安全组件,灵活的访问控制-Windows NT 支持C2级标准要求的灵活访问控制。要求包括允许对象的属主能够完全控

2、制谁可以访问这个对象及什么样的访问权限。对象再利用-Windows NT很明确地阻止所有的应用程序不可访问被另一应用程序使用所占用资源内的信息（比如内存或磁盘）。强制登陆-与Windows for Workgroups、Windows 95和98不同，Windows NT用户在能访问任何资源前必须通过登陆来验证他们的身份。这也是另一个原因缺乏这种强制登陆的NT要想达到以前的C2级的标准就必须禁止网络功能。审计-因为Windows NT采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。控制对象的访问-Windows NT不允许直接访问系统里的资源。,被攻击的前几种

3、操作系统,Microsoft Windows 31663000UNIX 22544605CISCO IOS 7821832,被攻击最多的通用WEB服务器,被攻击的产品 占有用户的百分比 被攻击的次数Microsoft IIS 41.06 17797201Apache Group Apache 10.62 12602Netscape Enterprise Server 9.07 4892Iplanet E-commerce Solution 0.13 124,系统漏洞导致的损失,系统漏洞导致的损失,2003-8-15全球受冲击波里蠕虫感染的机器超过34万台。8月1日下午微软公司网站被黑，一个多小

4、时无法访问。,为什么要介绍windows NT安全Windows NT体系统构架Windows NT安全模型Windows NT安全配置Windows NT的审计分析,Windows系统安全配置,Windows NT体系统构架,服务管理器,服务进程,系统支持进程,本地安全验证服务,Windows登录,会话管理器,应用程序,环境子系统,Svchost.exe,Winmgmt.exe,Spooler,Services.exe,任务管理器,Windows浏览器,用户级应用程序,子系统动态链接库,OS/2,POSIX,Win32,系统服务调度进程,核心可调用接口,I/O设备管理器设备、文件驱动程序,文

5、件系统缓存管理器,即插即用设备管理器,虚拟内存管理器,进程和线程,注册表配置管理器,NTdll,dll,Win32UserGDI图形驱动,HAL,Micro kernel,进程地址空间,系统地址空间,线程,线程,线程,进程和线程,什么是进程？代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程？进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程,系统进程,基本的系统进程System Idle Process这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时

6、候分派处理器的时间smss.exe 会话管理子系统，负责启动用户会话csrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)explorer.exe 资源管理器internat.exe 托盘区的拼音图标,系统进程树,smss.exe 对话管理器 第一个创建的进程引入参数 HKLMSystemCurrentControlSetControlSession Manager装入所需的子系统(

7、csrss)，然后winlogoncsrss.exeWin32 子系统winlogon.exe登录进程：装入services.exe 和 lsass.exe 显示登录对话框（“键入CTRL+ALT+DEL，登录）当有人登入，运行在 HKLMSoftwareMicrosoftWindows NTWinLogonUserinit 中的进程（通常只是userinit.exe)services.exe 服务控制器：也是几项服务的出发点 服务的开始进程不是services.exe的一部分(由 HKLMSystemCurrentControlSetServices驱动)lsass.exe本地安全验证服务器

8、（打开SAM）userinit.exe登陆之后启动。启动外壳（通常是Explorer.exe 见 HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogonShell)装入配置文件，恢复驱动器标识符映象，然后退出 explorer.exe和它的孩子是所有交互式应用的创建者,附加的系统进程,mstask.exe 允许程序在指定时间运行。(系统服务)regsvc.exe regsvc.exe 允许远程注册表操作。(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。inetinfo.exe 通过Internet 信息服务的管理单元提供信息

9、服务连接和管理。(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)。,为什么要介绍windows NT安全Windows NT体系统构架Windows NT安全模型Windows NT安全配置Windows NT的审计分析,Windows系统安全配置,安全的组件,安全标识符SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID：访问令牌访问令牌是由用户的SID安全描述符、用户所属于组的SID、用户名、用户所在组的组名构成的安全描述

10、符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表 访问控制列表包括DACL和SACL，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。,windowsNT安全模型,Log process,SAM,User Account Database,Security Policy Database,LSA,Audit log,Win32 application,Win32 subsystem,Security Reference Monitor,User mode,Kernel mode,Security policy,Audit mess

11、age,WindowsNT安全子系统,Winlogon,GINA,Local Security Authority(LSA),Authentication Packages,SecuritySupport Providers,Security Account Manager,Netlogon,SSPI,为什么要介绍windows NT安全Windows NT体系统构架Windows NT安全模型Windows NT安全配置Windows NT的审计分析,Windows系统安全配置,身 份 认证,访问控制,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,TCP/IP,Kerbero

12、s,证书服务,智能卡,安全模板,组策略,权限控制,安全分析,安全策略,组权限,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2000基本安全注意事项,Win2000安装配置,建立和选择分区选择安装目录不安装多余的组件停止多余的服务安装系统补丁,多余的组件,Internt信息服务（IIS）（如不需要）索引服务Indexing Service消息队列服务（MSMQ）远程安装服务远程存储服务终端服务终端服务授权,Win2K服务,身 份 认 证,访问控制,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,TCP/IP,Kerberos,证书服务,智能卡,安全模

13、板,组策略,权限控制,安全分析,安全策略,组权限,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2000基本安全注意事项,用户身份验证,交互式登录使用域帐号使用本地计算机帐户网络身份验证Kerberos V5NTLM验证安全套接字层/传输层安全（SSL/TLS）,NTLM验证实例,(1)A向B发起连接请求(2)B向A发送挑战(一组随机数据)(3)A用源自明文口令的DESKEY对挑战进行标准DES加密得到响应，并发往B(4)B从SAM中获取A的LM Hash、NTLM Hash，计算出DESKEY，并对前面发往A的挑战进 行标准DES加密(5)如果(4)中计算结果与

14、A送过来的响应匹配，A被允许访问B,使用 NTLM 的配置,Windows 2000 Professional 客户端向 Windows NT 4.0 的域控制器验证身份Windows NT 4.0 Workstation 客户端向 Windows 2000 域控制器验证身份Windows NT 4.0 Workstation 客户端向 Windows NT 4.0 域控制器验证身份Windows NT 4.0 域中的用户向 Windows 2000 域验证身份。,智能卡身份验证,什么是智能卡智能卡读取器用智能卡登录计算机,KerberosV5工作原理,KDC,TGT,TGS,TGT,ST,K

15、erberos V5用于处理用户或系统身份的身份验证的Internet标准安全协议,请求的网络,ST,为什么需要证书机构,Alice 使用Bob公钥加密,Bob 使用本身私钥解密,如何确定公钥为真？,从网上获得 Bob 公钥,证书的概念,证书将公钥安全地绑定到持有相应私钥的实体中。证书由颁发证书的机构进行数字签名，并且可被管理以便用于用户、计算机或服务。被最广泛接受的证书格式由ITU-TX.509国际标准定义。,使用独立机构安全的第三方CA证书验证,CA,1、发送请求2、验证信息3、使用CA私有密钥对对方公钥签名4、出版证书作为安全信任,Alice 使用Bob公钥加密,Bob 使用本身私钥解密

16、,证书服务,SSL安全机制,SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。,身 份 认 证,访问控制,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,TCP/IP,Kerberos,证书服务,智能卡,安全模板,组策略,权限控制

17、,安全分析,安全策略,组权限,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2000基本安全注意事项,访问控制,NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制,NTFS与FAT分区权限,FAT32,NTFS,文件权限,用户权限,Administrators 组Users 组Power Users 组Backup Operators组,Administrators 组权限,安装操作系统和组件（例如硬件驱动程序、系统服务等等）。安装 Service Packs 和 Windows Packs。升级操作系统。修复操作系统。配置关键操作系统参数（例如

18、密码策略、访问控制、审核策略、内核模式驱动程序配置等等）。获取已经不能访问的文件的所有权。管理安全措施和审核日志。备份和还原系统,USERS组权限,用户不能修改系统注册表设置，操作系统文件或程序文件。用户可以关闭工作站不能关闭服务器可以创建本地组，但只能修改自己创建的本地组他们可以运行由管理员安装和配置的 Windows 2000 认可的程序对自己的所有数据文件(%userprofile%)和自己的那一部分注册表(HKEY_CURRENT_USER)有完全的控制权。用户无法安装其他用户运行的程序不能访问其他用户的私人数据或桌面设置,POWER USERS组权限,可以运行一些安全性不太严格的应用

19、程序 安装不修改操作系统文件并且不需要安装系统服务的应用程序 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源。创建和管理本地用户帐户和组 启动或停止默认情况下不启动的服务。超级用户没有将自己添加到管理员组的权限不能访问在 NTFS 卷上的其他用户的数据,Backup Operators 组,可以备份和还原计算机上的文件，而不管保护这些文件的权限如何。可以登录到计算机和关闭计算机，但不能更改安全性设置。备份和还原数据文件和系统文件都需要对这些文件的读写权限。,权限控制原则和特点,1权限是累计2拒绝的权限要比允许的权限高3文件权限比文件夹权限高4利用用户组来进行权限控制5权限的

20、最小化原则,网络访问控制,身 份 认 证,访问控制,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,TCP/IP,Kerberos,证书服务,智能卡,安全模板,组策略,权限控制,安全分析,安全策略,组权限,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2000基本安全注意事项,EFS加密文件系统,特性：,1、采用单一密钥技术2、核心文件加密技术仅用于NTFS，使用户在本地计算机上安全存储数据3、加密用户使用透明，其他用户被拒4、不能加密压缩的和系统文件，加密后不能被共享、能被删除,建议加密文件夹，不要加密单独的文件,EFS恢复代理,故障恢复代理就是获

21、得授权解密由其他用户加密的数据的管理员必须进行数据恢复时，恢复代理可以从安全的存储位置获得数据恢复证书导入系统。默认的超级管理员就是恢复代理使用条件：当加密密钥丢失,通道 将一个数据报用一个新的数据报封装,Security Parameter Index,IP Destination Address,Security Protocol,安全关联(SA)SA就是两个IPSec系统之间的一个单向逻辑连接,32比特，用于标识具有相同IP地址和相同安全协议的不同SA。,可以是普通IP地址，也可是广播或者组播地址,可以是AH或者ESP,IP头部,IPSec概念,身份认证报头AH协议 提供数据源身份认证、

22、数据完整性保护 负载安全封装ESP协议提供数据保密、数据源身份认证、数据完整性 因特网安全关联和密钥管理协议IKE(以前被叫ISAKMP/Oakley)提供自动建立安全关联和管理密钥的功能,IPSec组件,IPsec的传输模式 默认配置，提供点到点的安全IPsec的隧道模式 数据的封装、发送和拆封称为隧道，在路由器两端配置保护路由间的通讯,IPsec工作模式,IPsec工作模式,IPSec的配置和使用,IPSec的安全性,使用IPSec可以避免数据包被跟听、篡改。安装IPSec后,客户端和服务器端都会消耗一定资源来对数据加密/解密。如果使用IPSec考虑安全性的级别还要考虑IPSec策略的过滤

23、器配置个数。,练习,用user加密一个文件。设置IPSec策略，禁止Ping.建立一个证书颁发机构，颁发一个普通用户证书,身 份 认 证,访问控制,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,TCP/IP,Kerberos,证书服务,智能卡,安全模板,组策略,权限控制,安全分析,安全策略,组权限,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2000基本安全注意事项,本地安全策略-帐号策略,*在账户策略-密码策略中设定：密码复杂性要求 启用密码长度最小值 6位强制密码历史 5次最长存留期 30天*在账户策略-账户锁定策略中设定：账户锁定 3次错误

24、登录锁定时间 20分钟复位锁定计数 20分钟,本地安全策略-本地策略,审核策略：决定记录在计算机（成功/失败的尝试）的安全日志上的安全事件。用户权利分配：决定在计算机上有登录/任务特权的用户或组。安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、administrator 和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。,组策略,安全模板与配置分析工具,安全模板安全配置分析配置计算机,预定义安全模板,默认工作站(basicwk.inf)默认服务器(basicsv.inf)默认域控制器(basicdc.inf)兼容工作站或服务器(compatws.inf)安全工作站或

25、服务器(securews.inf)高度安全工作站或服务器(hisecws.inf)专用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hisecdc.inf),IIS 的安全配置,安装IIS注意事项 Web站点 主目录 目录安全性,安装IIS注意事项,选择安装组件INTERNET服务管理器INTERNET服务管理器（HTML）WORLD WIDE WEB服务器公用文件文档文件传输（FTP）服务器避免安装在主域控制器上 删除inetpub下的scripts目录,IIS工具,Tool IIS Lock Tool具有以下功能和特点：帮助管理员设置 IIS

26、安全性；此工具可以在4 IIS4和 IIS5上使用；帮助管理员去掉对本网站不必要的一些服务，使 IIS在满足本网站需求的情况下运行最少的服务下载地址 sp?ReleaseID sp?ReleaseID=33961=33961,IE的安全设置,常规安全高级,身 份 认 证,访问控制,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,TCP/IP,Kerberos,证书服务,智能卡,安全模板,组策略,权限控制,安全分析,安全策略,组权限,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2000基本安全注意事项,用户管理,更改超级管理名称取消guest帐号合理

27、分配其它用户权限,Regedit与Regedt32的区别,注册表安全设置,不显示上次登录的用户名禁止默认网络共享禁止枚举域内用户防范SYN攻击,不显示上次登录用户名,HKLMSoftwareMicrosoftWindows NTCurrentVersionsWindlogon将DontDisplayLastUserName的值设为1,删除默认网络共享,服务器:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareServerType:DWORDValue:0工作站：Key:HKLMSYSTEMCur

28、rentControlSetServiceslanmanserverparametersName:AutoShareWksType:DWORDValue:0,禁止枚举用户名和共享,Key:HKLMSYSTEMCurrentControlSetControlLsaName:RestrictAnonymousType:REG_DWORDValue:1|2,备份和还原数据,将文件备份到文件或磁带备份“系统状态”数据使用备份向导备份文件计划备份将文件备份到Microsoft Exchange,系统漏洞及修复,输入法漏洞 空会话漏洞 unicode漏洞.ida/.idq缓冲区溢出漏洞.print isa

29、pi扩展远程缓冲区溢出 Frontpage 服务器扩展漏洞 sqlserver 空口令Windows接口远程缓冲区漏洞,练习,将默认共享删除。安全地配置IIS。设置禁止空会话。合理管理用户并设置用户权限。,为什么要介绍windows NT安全Windows NT体系统构架Windows NT安全模型Windows NT安全配置Windows NT的审计分析,Windows系统安全配置,安全审核与日志,审计成功：可以确定用户或服务获得访问指定文件、打印机或其他对象的频率审计失败：警告那些可能发生的安全泄漏,访问文件夹的审核审核策略安全事件查看并分析,windowsNT日志,系统日志 跟踪各种各样

30、的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载 DLL（动态链接库）失败的信息将出现在日志中。安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。,日志,Internet信息服务 FTP日志默认位置：%systemroot%/system32logfiles/msftpsvc1 默认每天一个日志Internet 信息服务WWW 日志默认位置：%systemroot%/system32/logfiles/w3svc1，默认每天一个日志FTP 日志和WWW 日志文件名通

31、常为ex（年份）（月份）（日期），例如ex001023 就是2000 年10 月23 日产生的日志，用记事本就可直接打开Scheduler服务日志默认位置：%systemroot%/schedlgu.txt,日志分析,FTP日志分析，如下例：#Software:Microsoft Internet Information Services 5.0（微软IIS5.0）#Version:1.0（版本1.0）#Date:20001023 03:11:55（服务启动时间日期）03:11:55 127.0.0.1 1USER administator-331（IP地址为127.0.0.1 用户名为adm

32、inistator 试图登录）03:11:58 127.0.0.1 1PASS-530（登录失败）03:12:04 127.0.0.1 1USER nt-331（IP地址为用户名为 nt的用户试图登录）03:12:06 127.0.0.1 1PASS-530（登录失败）03:12:32 127.0.0.1 1USER administrator-331（IP地址为127.0.0.1 用户名为administrator 试图登录）03:12:34 127.0.0.1 1PASS 230（登录成功）（登录成功）03:12:41 127.0.0.1 1MKD nt 550（新建目录失败）03:12:

33、45 127.0.0.1 1QUIT 550（退出FTP 程序）,日志分析,http日志#Software:Microsoft Internet Information Services 5.0#Version:1.0#Date:2003-08-11 05:30:32#Fields:date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)2003-08-11 05:30:32 192.168.2.143-192.168.2.143 80 GET/scrip

34、ts/.%5c.%5cwinnt/system32/cmd.exe/c+dir+c:200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-11 07:24:01 192.168.2.143-192.168.2.143 80 GET/scripts/.%5c.%5cwinnt/system32/cmd.exe/c+copy%20c:winntsystem32cmd.exe%20venus.exe 502 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-20 03:00:35 192.168.2.143-192.168.2.143 80 GET/scripts/.%c1%af./winnt/system32/cmd.exe 404-,练习,审计c:inetpub目录的访问分析HTTP日志审核注册表启动项的访问,总结,为什么要介绍windows NT安全Windows NT体系构架Windows NT安全模型Windows NT安全配置Windows NT的审计分析,Any questions?,