1、NSFocus Information Technology Co. Ltd.Windows系統(tǒng)安全徐毅 XylonxuyinsfocusTraining dept. , Customer Support CenterAugust 2019Strictly Private & ConfidentialWindows安全模型操作系統(tǒng)安全定義 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時(shí)必須提供的 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的信息安全評(píng)估標(biāo)準(zhǔn)ITSEC和TCSECTCSEC描述的系統(tǒng)安全級(jí)別D-ACC(Common Critical)標(biāo)準(zhǔn)BS 7799:2000標(biāo)準(zhǔn)體系ISO 177

2、99標(biāo)準(zhǔn)TCSEC定義的內(nèi)容沒(méi)有安全性可言，例如MS DOS不區(qū)分用戶，基本的訪問(wèn)控制D 級(jí)C1 級(jí)C2 級(jí)B1 級(jí)B2 級(jí)B3 級(jí)A 級(jí)有自主的訪問(wèn)安全性，區(qū)分用戶標(biāo)記安全保護(hù)，如System V等結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)安全域，數(shù)據(jù)隱藏與分層、屏蔽校驗(yàn)級(jí)保護(hù)，提供低級(jí)別手段C2級(jí)安全標(biāo)準(zhǔn)的要求自主的訪問(wèn)控制對(duì)象再利用必須由系統(tǒng)控制用戶標(biāo)識(shí)和認(rèn)證審計(jì)活動(dòng)能夠?qū)徲?jì)所有安全相關(guān)事件和個(gè)人活動(dòng)只有管理員才有權(quán)限訪問(wèn)CC(Common Critical)標(biāo)準(zhǔn)CC的基本功能標(biāo)準(zhǔn)化敘述技術(shù)實(shí)現(xiàn)基礎(chǔ)敘述CC的概念維護(hù)文件安全目標(biāo)評(píng)估目標(biāo)Windows 2000安全結(jié)構(gòu)Windows 安全子系統(tǒng)Winl

3、ogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support ProviderSSPI加載GINA，監(jiān)視認(rèn)證順序加載認(rèn)證包支持額外的驗(yàn)證機(jī)制為認(rèn)證建立安全通道提供登陸接口提供真正的用戶校驗(yàn)管理用戶和用戶證書的數(shù)據(jù)庫(kù)Windows賬號(hào)管理Windows采用的賬號(hào)認(rèn)證方案LanManager認(rèn)證(稱為L(zhǎng)M協(xié)議)早期版本NTLM v1 認(rèn)證協(xié)議NT 4.0 SP3之前的版本NTLM v2 認(rèn)證協(xié)議NT 4.0 SP4開(kāi)始支持Kerberos v5認(rèn)證協(xié)議Windows 2000引進(jìn)用戶類型A

4、dministrator(默認(rèn)的超級(jí)管理員)系統(tǒng)帳號(hào)(Print Operater、Backup Operator)Guest(默認(rèn)來(lái)賓帳號(hào))帳戶(accounts)和組(groups)帳戶(user accounts)定義了Windows中一個(gè)用戶所必要的信息，包括口令、安全I(xiàn)D(SID)、組成員關(guān)系、登錄限制.組：universal groups、global groups、local groupsAccount Identifier: Security identifier(SID)時(shí)間和空間唯一S-1-N-Y1-Y2-Y3-Y4Some well-known SIDs字符串形式和二進(jìn)制

5、形式的SIDWindows 2000的默認(rèn)賬號(hào) 賬戶名 注釋System/localsystem 本地計(jì)算機(jī)的所有特權(quán)Administrator 同上；可以改名，但不能刪除Guest 有限的權(quán)限，默認(rèn)禁用IUER_計(jì)算機(jī)名 IIS的匿名訪問(wèn)，guests組成員IWAM_計(jì)算機(jī)名 IIS進(jìn)程外應(yīng)用程序運(yùn)行的賬號(hào)， Guests組成員TSInternetUser 終端服務(wù)Krbtgt Kerberos密鑰分發(fā)賬號(hào)，只在DC上出現(xiàn)，默認(rèn)禁用Windows 2000下的內(nèi)建組 組名 注釋Administrators 成員具有本地計(jì)算機(jī)的全部權(quán)限 Users 所有賬號(hào)，較低的權(quán)限 Guests 有限的權(quán)

6、限，與users相同Authenticated users 特殊的隱含組，包含所有已登錄的用戶 Replicator 用于域中的文件復(fù)制Backup Operators 沒(méi)有administrators權(quán)限高，但十分接近Server Operators 沒(méi)有administrators權(quán)限高，但十分接近Account Operators 沒(méi)有administrators權(quán)限高，但十分接近Print Operators 沒(méi)有administrators權(quán)限高，但十分接近密碼存放位置注冊(cè)表HKEY_LOCAL_MACHINESAM下Winnt/system32/config/sam添加/刪除帳戶W

7、in2000/XP下管理工具計(jì)算機(jī)管理本地用戶和組WinNT下(域)用戶管理器命令行方式net user 用戶名 密碼/add /delete將用戶加入到組net localgroup 組名 用戶名 /add /delete帳戶重命名將Administrator重命名將Guest來(lái)賓用戶重命名新建一Administrator用戶，隸屬于Guest組密碼策略的推薦設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄 密碼最長(zhǎng)期限密碼最短期限密碼必須符合復(fù)雜性要求為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼24個(gè)密碼42天2天啟 用禁 用針對(duì)遠(yuǎn)程破解的策略定制密碼復(fù)雜性要求賬戶鎖定策略的推薦設(shè)置策 略默認(rèn)設(shè)置推薦最低設(shè)置帳戶鎖定

8、時(shí)間未定義30 分鐘帳戶鎖定閾值05 次無(wú)效登錄復(fù)位帳戶鎖定計(jì)數(shù)器未定義30 分鐘SAM數(shù)據(jù)庫(kù)與ADSAM中口令的保存采用單向函數(shù)(OWF)或散列算法實(shí)現(xiàn)在%systemroot%system32configsam中實(shí)現(xiàn)DC上，賬號(hào)與密碼散列保存在%systemroot%ntdsntds.dit中SYSKEY功能從NT4 sp3開(kāi)始提供散 列128位隨機(jī)密鑰保存到SAM文件中保存隨機(jī)密鑰注冊(cè)表中注冊(cè)表中，同時(shí)使用額外的口令加密軟磁盤SID與令牌SID唯一標(biāo)示一個(gè)對(duì)象使用User2sid和sid2user工具進(jìn)行雙向查詢令牌：通過(guò)SID標(biāo)示賬號(hào)對(duì)象以及所屬的組SIDS-1-5-21-150700

9、1333-1204550764-1011284298-500令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544解讀SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修訂版本編號(hào)頒發(fā)機(jī)構(gòu)代碼，Windows 2000總為5子頒發(fā)機(jī)構(gòu)代碼，共有4個(gè)；具有唯一性相對(duì)標(biāo)示符RID，一般為常數(shù)著名的SIDS-1-1-0 EveryoneS-1-2-0 Interactiv

10、e用戶S-1-3-0 Creator OwnerS-1-3-1 Creator GroupWindows 2000認(rèn)證與授權(quán)訪問(wèn)用戶AWinlogon使用賬戶名稱/口令進(jìn)行認(rèn)證成功令牌User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544允許Read=A S-1-5-21 Write=administrators S-1-5-32-544File.txtSRM,安全參考監(jiān)視器訪問(wèn)Windows文件系統(tǒng)管理Windows

11、2000默認(rèn)共享C$、D$ Ipc$：遠(yuǎn)程會(huì)話管理Admin$：指向%WinDir%目錄，用于遠(yuǎn)程管理Windows系統(tǒng)的用戶權(quán)限權(quán)限適用于對(duì)特定對(duì)象如目錄和文件（只適用于NTFS卷）的操作， 指定允許哪些用戶可以使用這些對(duì)象，以及如何使用（如把某個(gè)目錄的訪問(wèn)權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級(jí) 別相關(guān)聯(lián)的Windows系統(tǒng)的用戶權(quán)限

12、目錄權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作No Access用戶不能訪問(wèn)該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和 運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄Add and ReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限， 另外還可以更改文件的內(nèi)容，刪除文件和子目錄Full controlRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)Windows系統(tǒng)的用戶權(quán)限權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作No Access用戶不能訪問(wèn)該文件ReadRX用

13、戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件Full controlRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)Windows系統(tǒng)的共享權(quán)限共享權(quán)限級(jí)別允許的用戶動(dòng)作No Access(不能訪問(wèn))禁止對(duì)目錄和其中的文件及子目錄進(jìn)行訪問(wèn)但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù) 和運(yùn)行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Full control(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改

14、權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)復(fù)制和移動(dòng)文件夾從一個(gè)NTFS分區(qū)到另一個(gè)NTFS分區(qū)復(fù)制/移動(dòng)都是繼承權(quán)限(不同分區(qū)，移動(dòng)=復(fù)制+刪除)同一個(gè)NTFS分區(qū)復(fù)制：繼承移動(dòng)：保留復(fù)制/移動(dòng)到FAT(32)分區(qū)NTFS權(quán)限丟失Windows系統(tǒng)服務(wù)服務(wù)包括三種啟動(dòng)類型：自動(dòng)，手動(dòng)，禁用自動(dòng)：?jiǎn)?dòng)時(shí)自動(dòng)加載服務(wù)手動(dòng) :啟動(dòng)時(shí)不自動(dòng)加載服務(wù)，在需要的時(shí)候手動(dòng)開(kāi)啟禁用：?jiǎn)?dòng)的時(shí)候不自動(dòng)加載服務(wù)，在需要的時(shí)候選擇手動(dòng)或者自動(dòng)方式開(kāi)啟服務(wù)，并重新啟動(dòng)電腦完成服務(wù)的配置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 底下每一筆 服務(wù)項(xiàng)

15、目子項(xiàng)都有一個(gè) Start 數(shù)值, 該 數(shù)值內(nèi)容所記錄的就是服務(wù)項(xiàng)目驅(qū)動(dòng)程式該在何時(shí)被加載目前微軟對(duì) Start 內(nèi)容的定義有 0、1、2、3、4 等五種狀態(tài), 0、1、2 分別代表 Boot、 System、Auto Load 等叁種意義。而 Start 數(shù)值內(nèi)容為 3 的服務(wù)項(xiàng)目代表讓使用 者以手動(dòng)的方式載入(Load on demand), 4 則是代表停用的狀態(tài), 也就是禁用Windows的系統(tǒng)進(jìn)程基本的系統(tǒng)進(jìn)程smss.exe Session Manager csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程 winlogon.exe 管理用戶登錄 lsass.exe 管理 IP 安全策略以及啟動(dòng)

16、 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù)) svchost.exe 包含很多系統(tǒng)服務(wù) spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) explorer.exe 資源管理器 internat.exe 輸入法 Windows的系統(tǒng)進(jìn)程附加的系統(tǒng)進(jìn)程（這些進(jìn)程不是必要的） mstask.exe 允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù)) regsvc.exe 允許遠(yuǎn)程注冊(cè)表操作。(系統(tǒng)服務(wù)) winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。 inetinfo.exe 通過(guò) Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。(系統(tǒng)服

17、務(wù)) tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。(系統(tǒng)服務(wù)) termsrv.exe 提供多會(huì)話環(huán)境允許客戶端設(shè)備訪問(wèn)虛擬的 Windows 2000 Professional 桌面會(huì)話以及運(yùn)行在服務(wù)器上的基于 Windows 的程序。(系統(tǒng)服務(wù)) dns.exe 應(yīng)答對(duì)域名系統(tǒng)(DNS)名稱的查詢和更新請(qǐng)求。(系統(tǒng)服務(wù)) Windows的系統(tǒng)進(jìn)程tcpsvcs.exe 提供在 PXE 可遠(yuǎn)程啟動(dòng)客戶計(jì)算機(jī)上遠(yuǎn)程安裝 Windows 2000 Professional 的能力。(系統(tǒng)服務(wù)) ismserv.exe 允許在 Windows Advanced Se

18、rver 站點(diǎn)間發(fā)送和接收消息。(系統(tǒng)服務(wù)) ups.exe 管理連接到計(jì)算機(jī)的不間斷電源(UPS)。(系統(tǒng)服務(wù)) wins.exe 為注冊(cè)和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務(wù)。(系統(tǒng)服務(wù)) llssrv.exe License Logging Service(system service) ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù)) RsSub.exe 控制用來(lái)遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù)) locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫(kù)。(系統(tǒng)服務(wù)) lserver.exe 注冊(cè)客戶端許可證。(系統(tǒng)服務(wù))

19、 dfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù))Windows的系統(tǒng)進(jìn)程msdtc.exe 并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫(kù)，消息隊(duì)列，文件系統(tǒng)，或其它事務(wù)保護(hù)資源管理器。(系統(tǒng)服務(wù)) faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù)) cisvc.exe Indexing Service(system service) dmadmin.exe 磁盤管理請(qǐng)求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù)) mnmsrvc.exe 允許有權(quán)限的用戶使用 NetMeeting 遠(yuǎn)程訪問(wèn) Windows 桌面。(系統(tǒng)服務(wù)) netdde.exe 提供動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡(luò)傳輸和安

20、全特性。(系統(tǒng)服務(wù)) smlogsvc.exe 配置性能日志和警報(bào)。(系統(tǒng)服務(wù)) rsvp.exe 為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號(hào)和本地通信控制安裝功能。(系統(tǒng)服務(wù)) RsEng.exe 協(xié)調(diào)用來(lái)儲(chǔ)存不常用數(shù)據(jù)的服務(wù)和管理工具。(系統(tǒng)服務(wù)) RsFsa.exe 管理遠(yuǎn)程儲(chǔ)存的文件的操作。(系統(tǒng)服務(wù)) Windows的系統(tǒng)進(jìn)程grovel.exe 掃描零備份存儲(chǔ)(SIS)卷上的重復(fù)文件，并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn)，以節(jié)省磁盤空間。(系統(tǒng)服務(wù)) SCardSvr.exe 對(duì)插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問(wèn)控制。(系統(tǒng)服務(wù)) snmp.exe 包含代理

21、程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。(系統(tǒng)服務(wù)) snmptrap.exe 接收由本地或遠(yuǎn)程 SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運(yùn)行在這臺(tái)計(jì)算機(jī)上 SNMP 管理程序。(系統(tǒng)服務(wù)) UtilMan.exe 從一個(gè)窗口中啟動(dòng)和配置輔助工具。(系統(tǒng)服務(wù)) msiexec.exe 依據(jù) .MSI 文件中包含的命令來(lái)安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù))Windows安全風(fēng)險(xiǎn)基本HTTP請(qǐng)求“webmaster/files/index.html ”等價(jià)于HTTP命令“GET /files/index.html HTTP/1.0”CGI調(diào)用“webmaster/scrip

22、ts/cgi.exe?var1+var2 ”表示將var1和var2提交給cgi.exe(“+”是分隔符)ASP調(diào)用webmaster/scripts/cgi.exe?var1=X&var2=Y 表示將X、Y分別作為兩個(gè)變量提交HTTP文件遍歷和URL編碼 空格 %20 加號(hào) %2B 句號(hào) %2E 斜線(/) %2F 冒號(hào) %3A 問(wèn)號(hào) %3F 反斜線() %5C ASCII 編碼IIS溢出問(wèn)題(1).htr緩沖區(qū)溢出漏洞IPP(Internet Printing Protocol)緩沖區(qū)溢出(IPP是處理.printer文件的 C:winntsystem32msw3prt.dll)當(dāng)以下調(diào)用

23、超過(guò)420字節(jié)時(shí)，問(wèn)題就會(huì)發(fā)生對(duì)策：刪除DLL和文件擴(kuò)展之間的映射GET /NULL.printer HTTP/1.0Host : buffer刪除DLL和文件擴(kuò)展之間的映射IIS溢出問(wèn)題(2)索引服務(wù)ISAPI擴(kuò)展溢出(通常被稱為ida/idq溢出)由idq.dll引起，當(dāng)buffer長(zhǎng)度超過(guò)240字節(jié)時(shí)，問(wèn)題就會(huì)發(fā)生Null.ida為文件名，無(wú)需真的存在直至現(xiàn)在上沒(méi)有漏洞利用代碼Code Red的感染途徑對(duì)策：刪除idq.dll和文件擴(kuò)展之間的映射GET /NULL.ida? HTTP/1.1 Host : bufferIIS溢出問(wèn)題(3)Frontpage 2000服務(wù)擴(kuò)展溢出最早由NS

24、Focus(中國(guó)安全研究小組)提出FPSE在Windows 2000中的位置：C:Program filesCommom FilesMicrosoft SharedWeb Server Extensions問(wèn)題焦點(diǎn)是fp30reg.dll和fp4areg.dll(后者默認(rèn)總是提供的)收到超過(guò)258字節(jié)的URL請(qǐng)求時(shí)，問(wèn)題就會(huì)出現(xiàn)漏洞利用工具：fpse2000ex對(duì)策：刪除fp30reg.dll和fp4areg.dll文件IIS的Unicode問(wèn)題問(wèn)題產(chǎn)生的要義“%c0%af”和“%c1%9c”分別是“/”“”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9

25、v”、“%c0%af”、”%c1%8s”等對(duì)策安裝MS00-086中的補(bǔ)丁由于沒(méi)有實(shí)現(xiàn)分區(qū)跳轉(zhuǎn)功能，可以在系統(tǒng)分區(qū)之外安裝IIS設(shè)置嚴(yán)格的NTFS權(quán)限在服務(wù)器的Write和Excute ACL中刪除Everyone和User組更近一步雙解碼/二次解碼同樣由NSFocus發(fā)布對(duì)策：應(yīng)用MS01-26給出的補(bǔ)丁(不包括在sp2中)注意和Unicode的區(qū)別，包括相關(guān)日志GET /scripts/.%255c.255c%winnt/system32/cmd.exeIIS的其它問(wèn)題源代碼泄漏的危險(xiǎn).htr風(fēng)險(xiǎn).htw/webhits風(fēng)險(xiǎn)權(quán)限提升的問(wèn)題遠(yuǎn)程調(diào)用RevertToself的ISAPI DLL

26、向LSA本地注射代碼Windows 2000終端服務(wù)TS(Terminal Service)工作于3389端口TS基于RDP(Remote Desktop Protocol)實(shí)現(xiàn)終端服務(wù)不是使用HTTP或HTTPS的，而是通過(guò)RDP通道實(shí)現(xiàn)TS監(jiān)聽(tīng)端口可以自己指定HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp值PortNumber REG_WORD 3389(默認(rèn))針對(duì)TS的攻擊密碼猜測(cè)攻擊風(fēng)險(xiǎn)(TSGrinder)權(quán)限提升風(fēng)險(xiǎn)(PipeUpAdmin、GetAdmin)IME攻擊風(fēng)險(xiǎn)RDP DoS攻擊風(fēng)險(xiǎn)

27、走進(jìn)MS客戶端客戶端風(fēng)險(xiǎn)評(píng)估惡意電子郵件MIME擴(kuò)展Outlook緩沖區(qū)溢出Media Play緩沖區(qū)溢出VBS地址簿蠕蟲惡意郵件實(shí)例Helo somedomainMail froam:hinobodyRcpt to:attacksomeoneDataSublect:Read meImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bitHi!.quit使用的開(kāi)放SMTP郵件中繼此處可以添加惡意客戶端腳本通過(guò)下列命令執(zhí)行：Type mail.txt |

28、telnet IP 25Outlook溢出起源于vCard(一種電子名片)Outlook直接打開(kāi)并運(yùn)行附件中的vCards而不提示用戶vCards存儲(chǔ)于.vcf文件中，也是沒(méi)有提示而直接運(yùn)行的當(dāng)vCards的生日字段(BDAY)超過(guò)55字符時(shí)，就會(huì)出現(xiàn)溢出對(duì)策：應(yīng)用IE 5.5 sp2Windows 2000的打印驅(qū)動(dòng)以full control權(quán)限運(yùn)行在OS級(jí)別面臨的主要威脅默認(rèn)情況下任何人都可以安裝打印驅(qū)動(dòng)通過(guò)配置組策略或直接修改注冊(cè)表攻擊者可能會(huì)使用木馬替換打印驅(qū)動(dòng)媒體元文件 問(wèn)題所在帶有超長(zhǎng)path值的.asx文件試圖自動(dòng)瀏覽時(shí)，會(huì)導(dǎo)致資源管理器崩潰；另外，可以向path寫入適當(dāng)代碼II

29、S服務(wù)安全配置禁用或刪除所有的示例應(yīng)用程序 示例只是示例；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請(qǐng)注意一些示例安裝，它們只可從 localhost 或 訪問(wèn)；但是，它們?nèi)詰?yīng)被刪除。下面 列出一些示例的默認(rèn)位置。 示例 虛擬目錄 位置IIS 示例 IISSamples c :inetpubiissamplesIIS 文檔 IISHelp c:winnthelpiishelp數(shù)據(jù)訪問(wèn) MSADC c:program filescommon filessystemmsadcIIS服務(wù)安全配置啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別

30、是，應(yīng)考慮禁用文件系統(tǒng)對(duì)象組件，但要注意這將也會(huì)刪除 Dictionary 對(duì)象。切記某些程序可能需要您禁用的組件。如Site Server 3.0 使用 File System Object。以下命令將禁用 File System Object： regsvr32 scrrun.dll /u 刪除 IISADMPWD 虛擬目錄 該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務(wù)器升級(jí)到 IIS 5 時(shí)，它并不刪除。如果您不使用 Intranet 或如果將服務(wù)器連接到 We

31、b 上，則應(yīng)將其刪除IIS服務(wù)安全配置刪除無(wú)用的腳本映射 IIS 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請(qǐng)求時(shí)，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，步驟如下： 打開(kāi) Internet 服務(wù)管理器。 右鍵單擊 Web 服務(wù)器，然后從上下文菜單中選擇“屬性”。 主目錄 | 配置 |刪除無(wú)用的.htr .ida .idq .printer .idc .stm .shtml等IIS服務(wù)安全配置禁用父路徑 “父路徑”選項(xiàng)允許在對(duì)諸如 MapPath 函數(shù)調(diào)用中使用“.”，禁用該選項(xiàng)的步驟如下： 右鍵單擊該 W

32、eb 站點(diǎn)的根，然后從上下文菜單中選擇“屬性” 單擊“主目錄”選項(xiàng)卡單擊“配置”單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡取消選擇“啟用父路徑”復(fù)選框禁用-內(nèi)容位置中的 IP 地址 “內(nèi)容-位置”標(biāo)頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部 IP 地址IIS服務(wù)安全配置設(shè)置適當(dāng)?shù)?IIS 日志文件 ACL 確保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件設(shè)置適當(dāng)?shù)?虛擬目錄的權(quán)

33、限 確保 IIS 虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄 將IIS目錄重新定向 更改系統(tǒng)默認(rèn)路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置使用專門的安全工具 微軟的IIS安全設(shè)置工具：IIS Lock Tool；是針對(duì)IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置IIS安全屬性終端服務(wù)安全輸入法漏洞造成的威脅net user abc 123 /addnet localgroup administrators abc /add注冊(cè)表DontDisplayLastUserName 1SMB連接與驗(yàn)證過(guò)程ClientServer1.建立TCP連接2.客戶端類型、支持的服務(wù)方式列表等3.服務(wù)器

34、認(rèn)證方式、加密用的key等4.用戶名、加密后密碼5.認(rèn)證結(jié)果隨機(jī)生成一把加密密鑰key(8或16字節(jié))采用DES的變形算法，使用key對(duì)密碼散列進(jìn)行加密SMB提供的服務(wù)SMB會(huì)話服務(wù)TCP 139和TCP 443端口 SMB數(shù)據(jù)報(bào)支持服務(wù)UDP 138和UDP 445端口SMB名稱支持服務(wù)UDP 137端口SMB通用命令支持服務(wù)開(kāi)放SMB服務(wù)的危險(xiǎn)SMB名稱類型列表(1) 00 U Workstation Service 01 U Messenger Service 01 G Master Browser 03 U Messenger Service 06 U RAS Server Servi

35、ce 1F U NetDDE Service 20 U File Server Service 21 U RAS Client Service 22 U Exchange Interchange 23 U Exchange Store 24 U Exchange Directory 30 U Modem Sharing Server Service 31 U Modem Sharing Client Service 43 U SMS Client Remote Control 44 U SMS Admin Remote Control Tool名稱列表1SMB名稱類型列表(2) 45 U SM

36、S Client Remote Chat 46 U SMS Client Remote Transfer 4C U DEC Pathworks TCPIP Service 52 U DEC Pathworks TCPIP Service 87 U Exchange MTA 6A U Exchange IMC BE U Network Monitor Agent BF U Network Monitor Apps 03 U Messenger Service 00 G Domain Name 1B U Domain Master Browser 1C G Domain Controllers 1

37、D U Master Browser 1E G Browser Service Elections 1C G Internet Information Server 00 U Internet Information Server名稱列表2強(qiáng)化SMB會(huì)話安全強(qiáng)制的顯式權(quán)限許可：限制匿名訪問(wèn)控制LAN Manager驗(yàn)證使用SMB的簽名服務(wù)端和客戶端都需要配置注冊(cè)表降低Windows風(fēng)險(xiǎn)安全修補(bǔ)程序Windows系列Service PackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序檢查補(bǔ)丁安裝情況hfnetchk.shavlik/

38、default.asp服務(wù)和端口限制限制對(duì)外開(kāi)放的端口: 在TCP/IP的高級(jí)設(shè)置中選擇只允許開(kāi)放特定端口，或者可以考慮使用路由或防火墻來(lái)設(shè)置 禁用snmp服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限禁用terminal server服務(wù)將不必要的服務(wù)設(shè)置為手動(dòng) Alerter ClipBook Computer Browser Netbios的安全設(shè)置Windows 2000/2019 取消綁定文件和共享綁定打開(kāi) 控制面板網(wǎng)絡(luò)高級(jí)高級(jí)設(shè)置選擇網(wǎng)卡并將Microsoft 網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，即可以完全禁止 TCP 139 和445 Windows NT在WinNT下取消NetBIOS與TCP

39、/IP協(xié)議的綁定?？梢园慈缦虏襟E進(jìn)行：點(diǎn)擊“控制面板-網(wǎng)絡(luò)-NetBIOS接口-WINS客戶（TCP/IP)-禁用”，再點(diǎn)“確定”，然后重啟這樣NT的計(jì)算機(jī)名和工作組名也隱藏了Netbios的安全設(shè)置禁止匿名連接列舉帳戶名需要對(duì)注冊(cè)表做以下修改運(yùn)行注冊(cè)表編輯器（Regedt32.exe）定位在注冊(cè)表中的下列鍵上：HKEY_LOCAL_MACHINESystemtCurrentControlLSA在編輯菜單欄中選取加一個(gè)鍵值：Value Name:RestrictAnonymousDataType:REG_DWORDValue:1（Windows 2000下為2）Netbios的安全設(shè)置Wind

40、ows 2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項(xiàng)，提供三個(gè)值可選 0：None. Rely on default permissions（無(wú)，取決于默認(rèn)的權(quán)限） 1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號(hào)和共享） 2：No access without explicit anonymous permissions（沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)） Windows 2000注冊(cè)表所有的配置和控制選項(xiàng)都存儲(chǔ)在注冊(cè)表中分為五個(gè)子樹(shù)，分別是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本機(jī)相關(guān)配置信息注冊(cè)表安全 查詢數(shù)值 允許用戶和組從注冊(cè)表中讀取數(shù)值 設(shè)置數(shù)值 允許用戶和組從注冊(cè)表中設(shè)置數(shù)值 創(chuàng)建子項(xiàng) 允許用戶和組在給定的注冊(cè)項(xiàng)中創(chuàng)建子項(xiàng) 計(jì)數(shù)子項(xiàng) 允許用戶和組識(shí)別某注冊(cè)項(xiàng)的子項(xiàng) 通 知 允許用戶和組從注冊(cè)表中審計(jì)通知事件 創(chuàng)建鏈接 允許用戶和組在特定項(xiàng)中建立符號(hào)鏈接 刪 除 允許用戶和組在刪除選定的注冊(cè)項(xiàng) 寫入DAC 允許用戶和組將DAC寫入注冊(cè)