云南移動信息安全培訓

——windows操作系統(tǒng)安全講師：劉曉光Telmail: liuxg@Windows系統(tǒng)安全Windows安全原理Windows安全配置Windows安全工具及checklist2

Windows系統(tǒng)的安全架構(gòu)

Windows的安全子系統(tǒng)

Windows的密碼系統(tǒng)

Windows的系統(tǒng)服務和進程

Windows的日志系統(tǒng)

3Windows安全原理4Windows系統(tǒng)的安全架構(gòu)WindowsNT的安全包括6個主要的安全元素：AuditAdministrationEncryptionAccessControlUserAuthenticationCorporateSecurityPolicyWindowsNT系統(tǒng)內(nèi)置支持用戶認證、訪問控制、管理、審核5Windows系統(tǒng)的安全組件訪問控制的判斷（Discretionaccesscontrol）按照C2級別的定義，Windows支持對象的訪問控制的判斷。這些需求包括允許對象的所有者可以控制誰被允許訪問該對象以及訪問的方式。對象重用（Objectreuse）當資源（內(nèi)存、磁盤等）被某應用訪問時，Windows禁止所有的系統(tǒng)應用訪問該資源。強制登陸（Mandatorylogon）與WindowsforWorkgroups，Windwows95，Windows98不同，Windows2K/NT要求所有的用戶必須登陸，通過認證后才可以訪問資源。審核（Auditing）WindowsNT在控制用戶訪問資源的同時，也可以對這些訪問作了相應的記錄。對象的訪問控制（Controlofaccesstoobject）WindowsNT不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應用通過第一次認證后再訪問

為了實現(xiàn)自身的安全特性，Windows2K/NT把所有的資源作為系統(tǒng)的特殊的對象。這些對象包含資源本身，Windows2K/NT提供了一種訪問機制去使用它們。由于這些基本的原因，所以把Windows2K/NT稱為基于對象的操作系統(tǒng)。

Microsoft的安全就是基于以下的法則：

?用對象表現(xiàn)所有的資源

?只有Windows2K/NT才能直接訪問這些對象

?對象能夠包含所有的數(shù)據(jù)和方法

?對象的訪問必須通過Windows2K/NT的安全子系統(tǒng)的第一次驗證

?存在幾種單獨的對象，每一個對象的類型決定了這些對象能做些什么

Windows中首要的對象類型有：

文件文件夾打印機I/O設備窗口線程進程內(nèi)存

這些安全構(gòu)架的目標就是實現(xiàn)系統(tǒng)的牢固性。從設計來考慮，就是所有的訪問都必須通過同一種方法認證，減少安全機制被繞過的機會。6Windows系統(tǒng)的對象7Windows系統(tǒng)的安全主體用戶用戶、用戶帳戶、Administrator、SYSTEM、LocalSystem用戶組為簡化用戶管理而引入的一個概念（類似一個容器，里面是權(quán)限相同的用戶），還可以同時為多個用戶授權(quán)。計算機（機器帳戶）當一個Windows系統(tǒng)加入某個域的時候，域控制器為它創(chuàng)建的一個計算機帳戶。8用戶權(quán)限權(quán)限:可以授予用戶或組的文件系統(tǒng)能力有了相應的用戶權(quán)限，賬戶才有權(quán)去進行特定的操作。兩類用戶權(quán)限：登陸權(quán)限：賬戶在通過身份驗證之前所具備的權(quán)限。操作權(quán)限：賬戶在通過身份驗證之后所具備的權(quán)限。如果某個賬戶同時出現(xiàn)在“拒絕”和“允許”兩種授權(quán)策略里，結(jié)果是“拒絕”大于“允許”的權(quán)限；授權(quán)時注意“最小授權(quán)原則”網(wǎng)絡安全性依賴于給用戶或組授予的能力：權(quán)力:

在系統(tǒng)上完成特定動作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴大到組和用戶上權(quán)限:可以授予用戶或組的文件系統(tǒng)能力共享:

用戶可以通過網(wǎng)絡使用的文件夾9用戶權(quán)利、權(quán)限和共享權(quán)限10Windows系統(tǒng)的用戶權(quán)利

權(quán)利適用于對整個系統(tǒng)范圍內(nèi)的對象和任務的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務。當用戶登錄到一個具有某種權(quán)利的帳號時，該用戶就可以執(zhí)行與該權(quán)利相關的任務。下面列出了用戶的特定權(quán)利：Accessthiscomputerfromnetwork可使用戶通過網(wǎng)絡訪問該計算機。Addworkstationtoadomain允許用戶將工作站添加到域中。Backupfilesanddirectories授權(quán)用戶對計算機的文件和目錄進行備份。Changethesystemtime用戶可以設置計算機的系統(tǒng)時鐘。Loadandunloaddevicedrive允許用戶在網(wǎng)絡上安裝和刪除設備的驅(qū)動程序。Restorefilesanddirectories允許用戶恢復以前備份的文件和目錄。Shutdownthesystem允許用戶關閉系統(tǒng)。11Windows系統(tǒng)的用戶權(quán)限權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個權(quán)級別都確定了一個執(zhí)行特定的任務組合的能力，這些任務是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表顯示了這些任務是如何與各種權(quán)限級別相關聯(lián)的。下表顯示了這些任務是如何與各種權(quán)限級別相關聯(lián)的Windows系統(tǒng)的用戶權(quán)限12權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和運行目錄中的應用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)Windows系統(tǒng)的用戶權(quán)限13權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應用程序可以運行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件FullcontrolRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán)Windows系統(tǒng)的共享權(quán)限14

共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng)絡上就不會有用戶看到它，也就更不能訪問。網(wǎng)絡上的絕大多數(shù)服務器主要用于存放可被網(wǎng)絡用戶訪問的文件和目錄，要使網(wǎng)絡用戶可以訪問在NTServer服務器上的文件和目錄，必須首先對它建立共享。共享權(quán)限建立了通過網(wǎng)絡對共享目錄訪問的最高級別。Windows系統(tǒng)的共享權(quán)限15共享權(quán)限級別允許的用戶動作NoAccess(不能訪問)禁止對目錄和其中的文件及子目錄進行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù)和運行應用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)共享點一定要慎重分配，因為權(quán)限僅僅是分配給共享點的，任何共享點下的文件或目錄都足以和共享點本身相同的權(quán)限被訪問到Windows安全子系統(tǒng)的組件16WindowsNT安全子系統(tǒng)包含五個關鍵的組件：Securityidentifiers，Accesstokens，Securitydescriptors，Accesscontrollists，AccessControlEntries安全標識符（SecurityIdentifiers）

SID永遠都是唯一的，由計算機名、當前時間、當前用戶態(tài)線程的CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。

例：S-1-5-21-1763234323-3212657521-1234321321-500

第一項S表示該字符串是SID

第二項是SID的版本號，對于2000來說，這個就是1

然后是標志符的頒發(fā)機構(gòu)（identifierauthority），對于2000內(nèi)的帳戶，頒發(fā)機構(gòu)就是NT，值是5四組數(shù)字是簽發(fā)者子代碼（明確此SID的簽發(fā)者是誰）最后一個標志著域內(nèi)的帳戶和組；500是RID

Windows安全子系統(tǒng)的組件訪問令牌（Accesstokens）

訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。安全描述符（Securitydescriptors）

WindowsNT中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。訪問控制列表（Accesscontrollists）在NT系統(tǒng)中，每當請求一個對象或資源訪問時，就會檢查它的ACL，確認給用戶授予了什么樣的權(quán)利。每創(chuàng)建一個對象，對應的ACL也會創(chuàng)建。ACL包含一個頭部，其中包含有更新版本號、ACL的大小以及它所包含的ACE數(shù)量等信息。17Windows安全子系統(tǒng)的組件訪問控制項（Accesscontrolentries）

訪問控制項（ACE）包含了用戶或組的SID以及對象的權(quán)限。訪問控制項有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。

當使用管理工具列出對象的訪問權(quán)限時，列表的排序是以文字為順序的，它并不象防火墻的規(guī)則那樣由上往下的，不過好在并不會出現(xiàn)沖突，拒絕訪問總是優(yōu)先于允許訪問18Windows安全子系統(tǒng)Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)19Windows子系統(tǒng)實現(xiàn)圖20Winlogon,LocalSecurityAuthorit以及etlogon服務在任務管理器中都可以看到，其他的以DLL方式被這些文件調(diào)用。Windows安全子系統(tǒng)WinlogonandGina: Winlogon調(diào)用GINADLL，并監(jiān)視安全認證序列。而GINADLL提供一個交互式的界面為用戶登陸提供認證請求。GINADLL被設計成一個獨立的模塊，當然我們也可以用一個更加強有力的認證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINADLL。

Winlogon在注冊表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL鍵，Winlogon將使用這個DLL，如果不存在該鍵，Winlogon將使用默認值MSGINA.DLL21Windows安全子系統(tǒng)本地安全認證（LocalSecurityAuthority）：調(diào)用所有的認證包，檢查在注冊表重新找回本地組的SIDs和用戶的權(quán)限。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務所使用的服務賬號。儲存和映射用戶權(quán)限。管理審核的策略和設置。管理信任關系。22Windows安全子系統(tǒng)安全支持提供者的接口（SecuritySupportProvideInterface）：微軟的SecuritySupportProvideInterface很簡單地遵循RFC2743和RFC2744的定義，提供一些安全服務的API，為應用程序和服務提供請求安全的認證連接的方法。認證包（AuthenticationPackage）： 認證包可以為真實用戶提供認證。通過GINADLL的可信認證后，認證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。23Windows安全子系統(tǒng)安全支持提供者（SecuritySupportProvider）：

安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機制，默認情況下，WindowsNT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡挑戰(zhàn)/反應認證模塊Msapsspc.dll：分布式密碼認證挑戰(zhàn)/反應模塊，該模塊也可以在微軟網(wǎng)絡中使用Schannel.dll：該認證模塊使用某些證書頒發(fā)機構(gòu)提供的證書來進行驗證，常見的證書機構(gòu)比如Verisign。這種認證方式經(jīng)常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）協(xié)議通信的時候用到。24Windows安全子系統(tǒng)網(wǎng)絡登陸（Netlogon）：

網(wǎng)絡登陸服務必須在通過認證后建立一個安全的通道。要實現(xiàn)這個目標，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應請求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號管理者（SecurityAccountManager）：

安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。25Windows2000本地登陸過程26GINALSASSPIKerberosNTLMWindows的密碼系統(tǒng)

windowsNT及win2000中對用戶帳戶的安全管理使用了安全帳號管理器(securityaccountmanager)的機制,安全帳號管理器對帳號的管理是通過安全標識進行的，安全標識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標識也同時被刪除。安全標識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標識都時完全不同的。27一旦某個賬號被刪除，它的安全標識就不再存在了，即使使用相同的用戶名重建賬號，也會被賦予不同的安全標識，不會保留原來的權(quán)限。Windows的密碼系統(tǒng)安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件。sam文件是windowsNT的用戶帳戶數(shù)據(jù)庫,所有2K/NT用戶的登錄名及口令等相關信息都會保存在這個文件中。Windows中用文件保存賬號信息,不過如果我們用編輯器打開這些NT的sam文件，除了亂碼什么也看不到。因為NT系統(tǒng)中將這些資料全部進行了加密處理，一般的編輯器是無法直接讀取這些信息的。注冊表中的?HKEY_LOCAL_MACHINE\SAM\SAM?HKEY_LOCAL_MACHINE\SECURITY\SAM保存的就是SAM文件的內(nèi)容，在正常設置下僅對system是可讀寫的。28Windows的密碼系統(tǒng)SYSKEY機制：在NT里，口令字密文保存在SAM文件里。NT4SP3以后，微軟又對保存在SAM文件里口令字密文增加了一層加密保護機制，這就是SYSKEY機制?？梢栽陂_始-〉運行鍵入“SYSKEY”命令，得到如下窗口，手動激活SYSKEY機制.29設置安全的密碼

好的密碼對于一個網(wǎng)絡是非常重要的，但是也是最容易被忽略的。一些網(wǎng)絡管理員創(chuàng)建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設置得比較簡單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經(jīng)常更改密碼。這里給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來，密碼策略是42天必須改密碼。30口令問題1：弱口令用戶趨向于選擇容易的口令，即空口令；用戶會選擇易于記住的東西做口令Test、Password、guest、username等名字、生日、簡單數(shù)字等易于選擇該系統(tǒng)的應用Ntserver、orancle等多數(shù)用戶的安全意識薄弱31口令問題2：明文傳輸使用明文密碼傳送的應用：FTP、POP、Telnet、HTTP、SNMP、SocksMountd、Rlogin、NNTP、NFS、ICQ、IRC、PcAnywhere、VNC等MSSQL、Oracle等上述服務都容易成為攻擊對象32口令攻擊的方式手工猜測；方法：社會工程學、嘗試默認口令自動猜測；工具：NAT、LC等竊聽：登陸、網(wǎng)絡截獲、鍵盤監(jiān)聽工具：Dsniff、SnifferPro等33Windows常見的口令問題NT/2000的口令問題口令禁忌管理員注意事項34NT/2000的口令問題SAM（SecurityAccountsManager)LanManager散列算法（LM）已被破解，但仍被保留NT散列算法（NTLM/NTLMv2）強加密、改良的身份認證和安全的會話機制自動降級35NT/2000的口令問題LanManager散列算法的問題口令都被湊成14個字符；不足14位的，用0補齊；全部轉(zhuǎn)化為大寫字母；分成兩部分分別加密。舉例：Ba01cK28tr－BA01CK2和8TR000036NT/2000的口令問題SAM數(shù)據(jù)存放位置%systemroot%\system32\config\sam%systemroot%\repair\sam._(NT)Rdisk%systemroot%\repair\sam（2000）ntbackup注冊表HKEY_LOCAL_MACHINE\SAM\SAM和

HKEY_LOCAL_MACHINE\SECURITY\SAM僅對system是可讀寫的37NT/2000的口令問題獲取SAM數(shù)據(jù)的方法使系統(tǒng)自舉到另外的系統(tǒng)，copySAM文件；從repair目錄攫取備份的SAM;竊聽口令交換38口令策略使用密碼強度及賬戶老化、鎖定策略；設置最小的密碼程度為8個字符，最短密碼時間為1-7天，最長密碼時間為42天，最小的密碼歷史輪回為6，失敗登陸嘗試為3，賬戶鎖定為60分鐘等。39口令禁忌口令禁忌:

不要選擇可以在任何字典或語言中找到的口令不要選擇簡單字母組成的口令不要選擇任何指明個人信息的口令 不要選擇包含用戶名或相似類容的口令不要選擇短于6個字符或僅包含字母或數(shù)字的口令不要選擇作為口令范例公布的口令40管理員注意事項確保每個用戶都有一個有效的口令；對用戶進行口令教育；使用防止用戶選擇弱口令的配置與工具；進行口令檢查，確保沒有弱口令；確保系統(tǒng)與網(wǎng)絡設備沒有缺省賬號和口令；不要在多個機器上使用相同的口令；從不記錄也不與他人共享密碼；從不將網(wǎng)絡登錄密碼用作其他用途；域Administrators賬戶和本地Administrators帳戶使用不同的密碼；小心地保護在計算機上保存密碼的地方；對于特權(quán)用戶強制30天更換一次口令，一般用戶60天更換；使用VPN、SSH、一次性口令等安全機制.41Windows的系統(tǒng)服務單擊“開始”，指向“設置”，然后單擊“控制面板”。雙擊“管理工具”，然后雙擊“服務”。在列表框中顯示的是系統(tǒng)可以使用的服務。Windows2k下可以在命令行中輸入services.msc打開服務列表42Windows的系統(tǒng)服務服務包括三種啟動類型：自動、手動、已禁用。

自動-Windows2000啟動的時候自動加載服務

手動-Windows2000啟動的時候不自動加載服務，在需要的時候手動開啟

已禁用-Windows2000啟動的時候不自動加載服務，在需要的時候選擇手動或者自動方式開啟服務，并重新啟動電腦完成服務的配置

雙擊需要進行配置的服務，出現(xiàn)下圖所示的屬性對話框：43Windows的系統(tǒng)服務在KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一筆服務項目子項都有一個Start數(shù)值,這個數(shù)值的內(nèi)容依照每一個服務項目的狀況而又有不同。Start數(shù)值內(nèi)容所記錄的就是服務項目驅(qū)動程式該在何時被加載。目前微軟對Start內(nèi)容的定義有0、1、2、3、4等五種狀態(tài),0、1、2分別代表Boot、System、AutoLoad等叁種意義。而Start數(shù)值內(nèi)容為3的服務項目代表讓使用者以手動的方式載入(Loadondemand),4則是代表停用的狀態(tài),也就是禁用。44Windows的系統(tǒng)進程基本的系統(tǒng)進程smss.exeSessionManager會話管理csrss.exe子系統(tǒng)服務器進程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務lsass.exe管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序。(系統(tǒng)服務)svchost.exe包含很多系統(tǒng)服務spoolsv.exe將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務)explorer.exe資源管理器internat.exe輸入法

45Windows的系統(tǒng)進程非必要的系統(tǒng)進程mstask.exe允許程序在指定時間運行。(系統(tǒng)服務)regsvc.exe允許遠程注冊表操作。(系統(tǒng)服務)winmgmt.exe提供系統(tǒng)管理信息(系統(tǒng)服務)。inetinfo.exe通過Internet信息服務的管理單元提供FTP連接和管理。(系統(tǒng)服務)tlntsvr.exe允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(系統(tǒng)服務)termsrv.exe提供多會話環(huán)境允許客戶端設備訪問虛擬的Windows2000Professional桌面會話以及運行在服務器

上的基于Windows的程序。(系統(tǒng)服務)dns.exe應答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務)tcpsvcs.exe提供在PXE可遠程啟動客戶計算機上遠程安裝Windows2000Professional的能力。(系統(tǒng)服務)ismserv.exe允許在WindowsAdvancedServer站點間發(fā)送和接收消息。(系統(tǒng)服務)ups.exe管理連接到計算機的不間斷電源(UPS)。(系統(tǒng)服務)wins.exe為注冊和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務。(系統(tǒng)服務)lssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多個服務器間維護文件目錄內(nèi)容的文件同步。(系統(tǒng)服務)RsSub.exe控制用來遠程儲存數(shù)據(jù)的媒體。(系統(tǒng)服務)locator.exe管理RPC名稱服務數(shù)據(jù)庫。(系統(tǒng)服務)lserver.exe注冊客戶端許可證。(系統(tǒng)服務)dfssvc.exe管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務)46Windows的系統(tǒng)進程非必要的系統(tǒng)進程clipsrv.exe支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。(系統(tǒng)服務)msdtc.exe并列事務，是分布于兩個以上的數(shù)據(jù)庫，消息隊列，文件系統(tǒng)，或其它事務保護資源管理器。(系統(tǒng)服務)faxsvc.exe幫助您發(fā)送和接收傳真。(系統(tǒng)服務)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盤管理請求的系統(tǒng)管理服務。(系統(tǒng)服務)mnmsrvc.exe允許有權(quán)限的用戶使用NetMeeting遠程訪問Windows桌面。(系統(tǒng)服務)netdde.exe提供動態(tài)數(shù)據(jù)交換(DDE)的網(wǎng)絡傳輸和安全特性。(系統(tǒng)服務)smlogsvc.exe配置性能日志和警報。(系統(tǒng)服務)rsvp.exe為依賴質(zhì)量服務(QoS)的程序和控制應用程序提供網(wǎng)絡信號和本地通信控制安裝功能。(系統(tǒng)服務)grovel.exe掃描零備份存儲(SIS)卷上的重復文件，并將重復文件指向一個數(shù)據(jù)存儲點，以節(jié)省磁盤空間。(系統(tǒng)服務)SCardSvr.exe對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統(tǒng)服務)snmp.exe包含代理程序可以監(jiān)視網(wǎng)絡設備的活動并且向網(wǎng)絡控制臺工作站匯報。(系統(tǒng)服務)snmptrap.exe接收由本地或遠程SNMP代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運行在這臺計算機上SNMP管理程序。(系統(tǒng)服務)UtilMan.exe從一個窗口中啟動和配置輔助工具。(系統(tǒng)服務)msiexec.exe依據(jù).MSI文件中包含的命令來安裝、修復以及刪除軟件。(系統(tǒng)服務)47Windows的Log系統(tǒng)48Windows有三種類型的事件日志：系統(tǒng)日志、應用程序日志、安全日志跟蹤應用程序關聯(lián)的事件，比如應用程序產(chǎn)生的象裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中

跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關閉。注意：安全日志的默認狀態(tài)是關閉的跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障Windows的Log系統(tǒng)日志在系統(tǒng)的位置是：%SYSTEMROOT%\system32\config\SysEvent.Evt%SYSTEMROOT%\system32\config\SecEvent.Evt%SYSTEMROOT%\system32\config\AppEvent.Evt

49系統(tǒng)日志安全日志應用程序日志W(wǎng)indows的應用系統(tǒng)日志Internet信息服務FTP日志默認位置：%systemroot%system32logfilesmsftpsvc1，默認每天一個日志Internet信息服務WWW日志默認位置：

%systemroot%system32logfilesw3svc1，默認每天一個日志Scheduler服務日志默認位置：

%systemroot%schedlgu.txt50FTP日志和WWW日志文件通常為ex(年份)（月份）（日期）。例如：ex131023就是2013年10月23日，用記事本可以直接打開日志文件。FTP日志分析FTP日志分析，如下例：

#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）

#Version:1.0（版本1.0）

#Date:2000102303:11:55（服務啟動時間日期）

03:11:55[1]USERadministator331（IP地址為用戶名為administator試圖登錄）

03:11:58[1]PASS–530（登錄失?。?/p>

03:12:04[1]USERnt331（IP地址為用戶名為nt的用戶試圖登錄）

03:12:06[1]PASS–530（登錄失?。?/p>

03:12:32[1]USERadministrator331（IP地址為用戶名為administrator試圖登錄）

03:12:34[1]PASS–230（登錄成功）

03:12:41[1]MKDnt550（新建目錄失敗）

03:12:45[1]QUIT–550（退出FTP程序）

從日志里就能看出IP地址為的用戶一直試圖登錄系統(tǒng)，換了3次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時間IP地址以及探測的用戶名。51HTTP的日志分析HTTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2000102303:09:31#Fields:datetimecipcsusernamesipsportcsmethodcsuristemcsuriqueryscstatuscs(UserAgent)2000102303:09:316780GET/iisstart.asp200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)2000102303:09:346780GET/pagerror.gif200Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)通過分析第六行，可以看出2000年10月23日，IP地址為6的用戶通過訪問IP地址為7機器的80端口，查看了一個頁面iisstart.asp,這位用戶的瀏覽器為compatible;+MSIE+5.0;+Windows+98+DigExt，有經(jīng)驗的管理員就可通過安全日志、FTP日志和WWW日志來確定入侵者的IP地址以及入侵時間52Windows系統(tǒng)安全

Windows安全原理

Windows安全配置Windows安全工具及checklist53Windows安全配置安裝審核系統(tǒng)安全性訪問控制賬號安全策略管理員權(quán)限網(wǎng)絡服務安全設置文件系統(tǒng)安全安全日志其它的安全設置54Windows系統(tǒng)安裝使用正版可靠安裝盤將系統(tǒng)安裝在NTFS分區(qū)上系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤最小化安裝服務安全補丁合集和相關的Hotfix裝其它的服務和應用程序補丁每次在安裝其它程序之后，重新應用安全補丁55防止病毒進行文件系統(tǒng)安全設置最少建立兩個分區(qū)，一個系統(tǒng)分區(qū)，一個應用程序分區(qū)，因為微軟的IIS經(jīng)常會有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。NT安裝SP6a和相關的HotfixWIN2K安裝SP4和相關的HotfixWINXP安裝SP2和相關的HotfixWIN2003安裝相關的HotfixNTFS、FAT、FAT3256NTFS與FAT的比較NTFS、FAT、FAT3257審核系統(tǒng)安全性系統(tǒng)安全審核以本地用戶的身份來評估系統(tǒng)安全配置。采用專門的殺毒軟件檢查病毒和后門。例如：安裝國外比較知名的防毒軟件進行防范。防范木馬（遠程控制工具）及惡意程序，采用專用清除工具進行防范;例如：Microsoft?WindowsAntiSpyware(Beta)以及隨后的升級版本Microsoft?58審核系統(tǒng)安全性后門和木馬常見種植位置：1、啟動文件夾；%userprofile%\startmenu\programs\startup2、Windows注冊表啟動項；HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce3、驅(qū)動程序；%systemroot%\system32\drivers4、Web瀏覽器初始頁面下載代碼；

5、計劃任務59審核系統(tǒng)安全性審核本機的安全補丁安裝情況：MicrosoftBaselineSecurityAnalyzer(MBSA)60審核系統(tǒng)安全性MBSA可以用來檢查審核Windows、IIS、SQL、IE、Office等產(chǎn)品是否存在某些特定安全配置失誤以及是否打上最新的安全補丁/HotFixes是最新的；采用第三方的安全漏洞掃描工具查找漏洞；

采用第三方安全補丁管理產(chǎn)品：Patchlink、Bigfix、Landesk、Ecora等軟件來自動安裝補丁，修復漏洞，提高系統(tǒng)的安全性。檢查可疑的訪問:用NTLast等審核程序來判斷是否有未授權(quán)訪61審核系統(tǒng)安全性檢查日志記錄，查看是否有不尋常事件:

使用信號會經(jīng)常在日志中被記錄(如一次被攻擊而導致服務不正常).事件日志和其他數(shù)據(jù)也有相互關系(可疑文件的創(chuàng)建)，可以判斷攻擊的起因和來源?？捎霉芾韱T工具查看事件記錄。注冊表安全:

重要的安全性控制與注冊表有關。經(jīng)由注冊表權(quán)限保證注冊表項安全，以及使用NTFS權(quán)限保證參與注冊表數(shù)據(jù)的所有文件安全。62訪問控制對Windows服務器的訪問應該只允許授權(quán)訪問，以及可靠用戶。對于XP和2003系統(tǒng)可以開啟ICF功能，另外系統(tǒng)資源應該限制只允許授權(quán)用戶或是那些日常維護服務器的人員訪問。盡量將訪問來源控制在最小范圍內(nèi)：63ICF訪問控制限制遠程登錄工作組:

從遠程工作站登錄到一臺WINDOWS服務器是通過Microsoft的遠程訪問服務（RemoteAccessService）服務器.然而，在保護遠程工作站上可能會有問題存在，有可能會危及服務器和網(wǎng)絡的完整性.只要有可能，RAS就會將它禁止掉。物理上加強服務器安全:

只有授權(quán)管理員可以物理訪問WindowsNT服務器。包括備份系統(tǒng)和敏感用戶文件。為了更長遠的考慮，計算機應該有個BIOS的啟動密碼。禁止多重啟動的設置:

多重的啟動系統(tǒng)(如WindowsNT在一個扇區(qū)而Linux在另一個扇區(qū))會危及到NT文件系統(tǒng)的安全。例如，如果Linux是第二扇區(qū)上的系統(tǒng)，一個Linux用戶可以繞過所有的訪問控制mountNTFS文件系統(tǒng)。限制對注冊表訪問:

對注冊表的訪問控制列表稍微有點不一樣，可能會有遠程訪問。64帳戶安全策略密碼安全是最重要也是必須要提及的.多數(shù)的系統(tǒng),口令是進入系統(tǒng)的第一道防線,也是唯一防線。NT系統(tǒng)上的密碼安全可以通過以下方式來改進：

檢查密碼策略:

查看你的密碼策略確定其中的密碼是否是有期限的.當設置密碼的時候，應該考慮到密碼老化的問題。最長的時間應為180天。密碼的最短長度應該至少為8個字符，三次錯誤登錄就應該鎖住該帳號,還有密碼的唯一性（如記錄三次的密碼）。這樣都可以防止攻擊者通過猜測密碼來實施攻擊。

刪除無用或過期帳號:

查看哪些帳號是沒有用的或者是已經(jīng)過期了的，然后將他們刪除。檢查是否存在空密碼的帳號:

查看所有帳號是否有空密碼,其中Administrator和Guest帳號要留意。屏幕保護使用密碼保護:

用密碼屏幕保護來增加NT服務器的物理保護。屏幕保護的時間建議是5分鐘或更少。設置帳號規(guī)則保證帳號安全

強大的密碼控制和帳號鎖定使黑客攻擊系統(tǒng)更為困難.65管理員權(quán)限配置Administrator帳號是內(nèi)置的本地管理員組,擁有NT系統(tǒng)的最高權(quán)限.以下操作可在一定程度上增強該帳號的安全性:

權(quán)限最高的是system重命名管理員帳號:將Administrator帳號名更名為和其他普通帳號名一樣。這可以增加攻擊者攻擊的復雜度，這樣可以避免攻擊者猜測管理員密碼。檢查管理員組成員:用NTLAST來確認只有授權(quán)的管理組成員可以使用該帳號。盡量減少使用管理員權(quán)限的帳號數(shù)量。確認密碼強度足夠:使用一個不會被猜出的密碼或是不會被暴力破解輕易破解出來的密碼。密碼應該是隨意組合的，沒有規(guī)律，有大小寫字符、數(shù)字或著是特殊字符，用14個字符的密碼。66網(wǎng)絡服務安全配置限制對外開放的端口:在TCP/IP的高級設置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設置；在服務器區(qū)的邊界防火墻上關閉DNS區(qū)域傳送功能；InternetConnectionFirewall(ICF，因特網(wǎng)連接防火墻)：

相當于一個基于主機的防火墻，能夠?qū)Σ逶谕慌_機器里的多塊網(wǎng)卡進行數(shù)據(jù)包過濾。禁用snmp服務或者更改默認的社區(qū)名稱和權(quán)限禁用terminalserver服務將不必要的服務設置為手動:

Alerter、ClipBook、Computer

Browser……67IIS服務安全配置禁用或刪除所有的示例應用程序

示例只是示例；在默認情況下，并不安裝它們,且從不在生產(chǎn)服務器上安裝。請注意一些示例安裝，它們只可從http://localhost或訪問；但是，它們?nèi)詰粍h除。

下面列出一些示例的默認位置：示例虛擬目錄位置IIS示例\IISSamplesc:\inetpub\iissamplesIIS文檔\IISHelpc:\winnt\help\iishelp數(shù)據(jù)訪問\MSADCc:\programfiles\commonfiles\system\msadc68IIS服務安全配置啟用或刪除不需要的COM組件

某些COM組件不是多數(shù)應用程序所必需的，應加以刪除.特別是,應考慮禁用文件系統(tǒng)對象組件，但是要注意這將也會刪除Dictionary對象。切記某些程序可能需要您禁用的組件。例如，SiteServer3.0使用FileSystemObject。以下命令將禁用FileSystemObject：regsvr32scrrun.dll/u刪除IISADMPWD虛擬目錄

該目錄可用于重置WindowsNT和Windows2000密碼。它主要用于Intranet情況下，并不作為IIS5的一部分安裝，但是IIS4服務器升級到IIS5時，它并不刪除。如果您不使用Intranet或如果將服務器連接到Web上，則應將其刪除。69IIS服務安全配置刪除無用的腳本映射

IIS被預先配置為支持常用的文件名擴展如.asp和.shtm文件。IIS接收到這些類型的文件請求時，該調(diào)用由DLL處理。如果不使用其中的某些擴展或功能，則應刪除該映射.步驟如下：

打開Internet服務管理器。

右鍵單擊Web服務器，然后從上下文菜單中選擇“屬性”。

主屬性

選擇WWW服務|編輯|主目錄|配置70IIS服務安全配置基于Web的密碼重設.htrInternet數(shù)據(jù)庫連接器（所有的IIS5Web站點應使用ADO或類似的技術(shù)）.idc服務器端包括.stm、.shtm和.shtmlInternet打印.printer索引服務器.htw、.ida和.idq設置適當?shù)腎IS日志文件ACL

確保IIS產(chǎn)生的日志文件（%systemroot%\system32\LogFiles)上的ACL是：Administrators（完全控制）System（完全控制）Everyone(RWC)

這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。71IIS服務安全配置禁用父路徑“父路徑”選項允許在對諸如MapPath函數(shù)調(diào)用中使用“..”。在默認情況下，該選項處于啟用狀態(tài)，應該禁用它。禁用該選項的步驟如下：右鍵單擊該Web站點的根，然后從上下文菜單中選擇“屬性”。單擊“主目錄”選項卡。單擊“配置”。單擊“應用程序選項”選項卡。取消選擇“啟用父路徑”復選框。禁用-內(nèi)容位置中的IP地址“內(nèi)容-位置”標頭可暴露通常在網(wǎng)絡地址轉(zhuǎn)換(NAT)防火墻或代理服務器后面隱藏或屏蔽的內(nèi)部IP地址。72IIS服務安全配置設置適當?shù)奶摂M目錄的權(quán)限請確保IIS的虛擬目錄如scripts等權(quán)限設置是否最小化,刪除不需要的目錄。將iis目錄重新定向不要使用系統(tǒng)默認的路徑，自定義WEB主目錄路徑并作相應的權(quán)限設置。使用專門的安全工具微軟的IIS安全設置工具：IISLockTool；是針對IIS的漏洞設計的，可以有效設置IIS安全屬性73文件系統(tǒng)安全WFP的英文全稱是WindowsFileProtection，即Windows文件保護。它的主要功能是防止系統(tǒng)文件被不匹配的版本替換或是覆蓋。在安裝新應用程序時，由于不經(jīng)意間采用了過時的dll（動態(tài)鏈接庫）文件最容易使系統(tǒng)文件遭到破壞。微軟把Windows2000安裝光盤上的所有dll、exe、fon、ocx、sys、和tff結(jié)尾的文件都加以保護）。備份在%SYSTEMROOT%/system32/dllcache文件夾下。當WFP監(jiān)控到這些文件被覆蓋或替換后就要開始自己的工作了。首先它會掃描可能有問題的文件，如果這些文件與備份文件夾內(nèi)微軟“原裝”文件不符，WFP會把用SYSTEMROOT%/system32/dllcache目錄下備份的文件還原。如果該文件沒有做備份，系統(tǒng)會提示你插入Windows2000的安裝光盤以復原該文件。74文件系統(tǒng)安全關閉WFP點擊開始-->運行，鍵入regedt32并回車;找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon]；在右側(cè)的窗格中右鍵單擊選擇New-->DWORDValue，為其命名為SFCDisable；在Hexadecimal項下輸入鍵值為ffffff9d以關閉WFP；重新啟動系統(tǒng)使所做的更改生效。重啟電腦后查看日志文件。點擊開始-->設置-->控制面板。打開AdministrativeTools-->EventViewer。你會看到圖中所示的記錄。在每次Windows2000啟動后都會記錄下WFP被關閉的情況。75文件系統(tǒng)安全目錄和文件權(quán)限：為了控制好服務器上用戶的權(quán)限，同時也為了預防以后可能的入侵和溢出，必須非常小心地設置目錄和文件的訪問權(quán)限，在默認的情況下，大多數(shù)的文件夾（包括所有的根目錄）對所有用戶（Everyone這個組）是完全敞開的（FullControl），需要根據(jù)應用的需要進行權(quán)限重設。在進行權(quán)限控制時，遵循以下幾個原則：權(quán)限是累計的：如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限；拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）：如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權(quán)限設置給他開放了多少權(quán)限，他也一定不能訪問這個資源。所以請非常小心地使用拒絕，任何一個不當?shù)木芙^都有可能造成系統(tǒng)無法正常運行；文件權(quán)限比文件夾權(quán)限高:僅給用戶真正需要的權(quán)限：權(quán)限的最小化原則是安全的重要保證76文件系統(tǒng)安全EFS-加密文件系統(tǒng)

EFS加密是基于公鑰策略的。在使用EFS加密一個文件或文件夾時，系統(tǒng)首先會生成一個由偽隨機數(shù)組成的FEK(FileEncryptionKey，文件加密鑰匙)，然后將利用FEK和數(shù)據(jù)擴展標準X算法創(chuàng)建加密后的文件，并把它存儲到硬盤上，同時刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時，系統(tǒng)首先利用當前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對(統(tǒng)稱為密鑰)，則會首先生成密鑰，然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則依賴于本地機器。 EFS加密系統(tǒng)對用戶是透明的。這也就是說，如果你加密了一些數(shù)據(jù)，那么你對這些數(shù)據(jù)的訪問將是完全允許的，并不會受到任何限制。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時，就會收到“訪問拒絕”的錯誤提示。EFS加密的用戶驗證過程是在登錄Windows時進行的，只要登錄到Windows，就可以打開任何一個被授權(quán)的加密文件。77文件系統(tǒng)安全EFS加密注意事項a.只有NTFS格式的分區(qū)才可以使用EFS加密技術(shù)b.第一次使用EFS加密后應及時備份密鑰c.如果將未加密的文件復制到具有加密屬性的文件夾中，這些文件將會被自動加密。若是將加密數(shù)據(jù)移出來則有兩種情況：若移動到NTFS分區(qū)上，數(shù)據(jù)依舊保持加密屬性；若移動到FAT分區(qū)上，這些數(shù)據(jù)將會被自動解密。d.被EFS加密過的數(shù)據(jù)不能在Windows中直接共享e.NTFSF分區(qū)中加密和壓縮功能不能同時使用f.Windows系統(tǒng)文件和文件夾無法加密78文件系統(tǒng)安全將下列可執(zhí)行文件放到一個新建的目錄D:\XXX下cmd.exe(重命名為shell.exe）

ping.exe、ftp.exe、route.exe、net.exe、wscript.exe、cscript.exe、arp.exe、cacls.exe、netstat.exe、regedit.exe、regedt32.exe、nslookup.exe、tracert.exe、ipconfig.exe、syskey.exe、issync.exe將此目錄進行權(quán)限設置刪除系統(tǒng)中的如下可執(zhí)行文件runas.exe、xcopy.exe、tftp.exe、telnet.exeat.exe、nbtstat.exe、rsh.exe、rcp.exe、debug.exe、rexec.exe、

、finger.exe、edlin.exe、runonce.exe、netsh.exe、regini.exe、find.exe79安全日志W(wǎng)indows的默認安裝是不開安全審核。Windows2000下本地安全策略->審核策略中打開相應的審核推薦的審核是：策略更改成功失敗登錄事件成功失敗對象訪問失敗目錄服務訪問失敗特權(quán)使用失敗系統(tǒng)事件成功失敗賬戶登錄事件成功失敗賬戶管理成功失敗80謹慎打開“過程追蹤”，否則大量的日志信息反而可能使審核困難其他的安全設置關閉自動打開的管理共享

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

鍵值 AutoShareServer

類型 REG_DWORD

數(shù)據(jù) 0不顯示最后登錄用戶姓名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon增添鍵值DontDisplayLastUserName類型REG_SZ數(shù)值181關閉系統(tǒng)默認共享系統(tǒng)的共享為用戶帶來了眾多麻煩，經(jīng)常會有病毒通過共享來進入電腦。Windows2000/XP/2003版本的操作系統(tǒng)提供了默認共享功能，這些默認的共享都有“$”標志，意為隱含的，包括所有的邏輯盤（C$，D$，E$……）和系統(tǒng)目錄Winnt或Windows（admin$）。這些共享，可以在DOS提示符下輸入命令NetShare查看。因為操作系統(tǒng)的C盤、D盤等全是共享的，這就給黑客的入侵帶來了很大的方便。“震蕩波”病毒的傳播方式之一就是掃描局域網(wǎng)內(nèi)所有帶共享的主機，然后將病毒上傳到上面。下面給大家介紹5種可以關閉操作系統(tǒng)共享的方法。82關閉系統(tǒng)默認共享

83第一種方法:右鍵關系法。方法是打開“控制面板”→“管理工具”→“計算機管理”→“共享文件夾”→“共享”，在相應的共享文件夾上右擊停止共享即可關閉系統(tǒng)默認共享采用這種方法關閉共享，當用戶重新啟動計算機后，那些共享又會加上了!所以這種方法不能從根本上解決問題。第二種方法：批處理法。打開記事本，輸入以下內(nèi)容（記得每行最后要回車）：

netshareipc$/delete

n