信息安全基礎(chǔ)InformationSecurityFundamentals8.2Windows安全管理操作系統(tǒng)安全管理本節(jié)內(nèi)容Windows賬號管理Windows文件管理Windows安全審核Windows注冊表管理1.Windows賬號管理安全標識符SID安全標識符（SecurityIdentifiers,SID）是標識用戶、組和計算機賬戶的唯一號碼。每當創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給該用戶或組一個唯一的SID。如果創(chuàng)建賬戶、再刪除賬戶，然后使用相同的用戶名創(chuàng)建另一個賬戶，新賬戶將不具有授權(quán)級前一個賬戶的權(quán)力或權(quán)限，原因是該賬戶具有不同的SID。版本號頒發(fā)機構(gòu)子頒發(fā)機構(gòu)相對標識符1.Windows賬號管理安全標識符SID1.Windows賬號管理安全賬號管理器Windows的用戶賬號的安全管理使用了SAM（SecurityAccountManager）機制。SAM是Windows系統(tǒng)賬戶管理的核心，負責(zé)SAM數(shù)據(jù)庫的控制和維護。Windows系統(tǒng)中的用戶密碼存放在C:\WINDOWS\system32\config目錄下名為SAM的文件中，該文件只能被Windows系統(tǒng)獨占打開。該文件的格式為：

用戶名：RID：LM-Hash：NTLM-Hash例如：Administrator：500：C8825DB10F2590EAAAD3B435B51404EE：683020925C5D8569C23AA724774CE6CC：：：1.Windows賬號管理安全賬號管理器SAM文件中用戶的口令要經(jīng)過Hash加密。加密包括兩種方式：LM（LANManager）和NTLM。LM是針對Windows9x系統(tǒng)，Windows2000以后的系統(tǒng)主要使用NTLM。盡管大多數(shù)用戶不需要LM，但在Windows2000、XP和2003中仍然計算和存儲LM口令，以保持向后兼容。WindowsServer2008不再保存LM口令。1.Windows賬號管理安全賬號管理器LM-Hash生成過程：（1）假設(shè)明文口令是“Welcome”，首先全部轉(zhuǎn)換成大寫“WELCOME”（2）再將大寫的口令字符串變換成二進制串：“WELCOME”→

57454C434F4D4500000000000000。（3）如果二進制字符串不足14字節(jié)，則需要在其后添加0x00補足14字節(jié)。然后切割成兩組7字節(jié)的數(shù)據(jù)，分別經(jīng)str_to_key（）函數(shù)處理得到兩組8字節(jié)數(shù)據(jù)：str_to_key(57454C434F4D45)→56A25288347A348Astr_to_key(00000000000000)→

00000000000000001.Windows賬號管理安全賬號管理器LM-Hash生成過程：（4）這兩組8字節(jié)數(shù)據(jù)將作為DESKEY對魔術(shù)字符串“KGS!@#$%”進行標準DES加密。字符串變換成二進制串：“KGS!@#$%”

→

4B47532140232425。56A25288347A348A

對4B47532140232425進行標準DES加密→

C23413A8A1E7665F0000000000000000

對4B47532140232425進行標準DES加密→

AAD3B435B51404EE將加密后的這兩組數(shù)據(jù)簡單拼接，就得到了最后的LM-Hash。LM-Hash:

C23413A8A1E7665FAAD3B435B51404EE

1.Windows賬號管理安全賬號管理器LM-Hash算法存在幾個弱點：密碼不區(qū)分大小寫；密碼最長為14個字符；密碼被分成2串7個字符進行存放，大于7個字符的密碼破解實際上是破解2個7個字符內(nèi)的密碼。1.Windows賬號管理安全賬號管理器NTLM-Hash的生成過程（1）假設(shè)明文口令是“123456”，首先轉(zhuǎn)換成Unicode字符串，與LM-Hash算法不同，不需要添加0x00補足14字節(jié)?！?23456”

→

310032003300340035003600（2）對所獲取的Unicode串進行標準MD4單向哈希，無論數(shù)據(jù)源有多少字節(jié)，MD4固定產(chǎn)生128-bit的哈希值，16字節(jié)“310032003300340035003600”進行標準MD4單向哈?！?/p>

32ED87BDB5FDC5E9CBA88547376818D4，就得到了最后的NTLM-Hash。1.Windows賬號管理安全賬號管理器NTLM-Hash的優(yōu)點NTLM-Hash明文口令大小寫敏感，無法根據(jù)NTLM-Hash判斷原始明文口令是否小于8字節(jié)，擺脫了魔術(shù)字符串"KGS!@#$%"。MD4是真正的單向哈希函數(shù)，窮舉作為數(shù)據(jù)源出現(xiàn)的明文，難度較大。1.Windows賬號管理Windows賬戶安全管理1．Windows強密碼原則2．賬戶策略3．重新命名Administrator賬號4．創(chuàng)建一個陷阱用戶5．禁用或刪除不必要的賬號6.SYSKEY雙重加密賬戶保護1.Windows賬號管理Windows賬戶安全管理1．Windows強密碼原則2．賬戶策略3．重新命名Administrator賬號4．創(chuàng)建一個陷阱用戶5．禁用或刪除不必要的賬號6.SYSKEY雙重加密賬戶保護1.Windows賬號管理Windows賬戶安全管理1．Windows強密碼原則口令應(yīng)不少于8個字符同時包含英文大、小寫、數(shù)字、鍵盤上的符號這四種類型字符中的3種不包含完整的字典詞匯不包含用戶名、真實姓名、生日或公司名稱等。1.Windows賬號管理Windows賬戶安全管理2.賬戶策略密碼策略密碼復(fù)雜性：啟用密碼長度最小值：6位密碼最長存留期：42天密碼最短存留期：1天強制密碼歷史：5次賬戶鎖定策略帳戶鎖定3次錯誤登錄鎖定時間20分鐘復(fù)位鎖定計數(shù)20分鐘1.Windows賬號管理Windows賬戶安全管理3.重新命名Administrator賬號

由于Windows的默認管理員賬號administrator已眾所周知，所以該賬號通常為攻擊者猜測口令攻擊的對象。為了降低這種威脅，可以將administrator賬號重新命名。1.Windows賬號管理Windows賬戶安全管理4.設(shè)置一個陷阱用戶在重新命名administrator賬號后，再創(chuàng)建一個名為administrator的本地用戶，權(quán)限設(shè)置成最低，并且加上一個超過10位的超級復(fù)雜的密碼。這樣可以讓Hacker忙上一段時間，借此發(fā)現(xiàn)入侵企圖。1.Windows賬號管理Windows賬戶安全管理5.禁用或刪除不必要的賬號在“計算機管理”中查看系統(tǒng)活動賬號列表，并且禁用所有非活動的賬戶，特別是Guest賬戶，刪除或禁用不再需要的賬戶。1.Windows賬號管理Windows賬戶安全管理6.SYSKEY雙重加密賬戶保護WindowsNT設(shè)計SYSKEY機制保護SAM文件。SYSKEY能對SAM文件進行二次加密，工作過程為：當SYSKEY被激活后，SAM中的口令信息在存入注冊表之前，需要再次進行一次加密處理。可以說SYSKEY使用了一個密鑰，這個密鑰能激活SYSKEY，由用戶自己選擇保存位置。2.Windows注冊表管理注冊表的由來早期的圖形操作系統(tǒng)，如Windows3.x，對軟硬件工作環(huán)境的配置是通過對擴展名為“.ini”的文件進行修改來完成的，但“*.ini”文件管理起來很不方便，并且很難實現(xiàn)遠程訪問。在Windows95及其后繼版本中，采用“注冊表”數(shù)據(jù)庫來統(tǒng)一進行管理，將各種信息資源集中起來，并存儲各種配置信息。Windows各版本中都采用了將應(yīng)用程序和計算機系統(tǒng)全部配置信息容納在一起的注冊表，用來管理應(yīng)用程序和文件的關(guān)聯(lián)、硬件設(shè)備說明、狀態(tài)屬性，以及各種狀態(tài)信息和數(shù)據(jù)。2.Windows注冊表管理注冊表的特點注冊表允許對硬件、系統(tǒng)參數(shù)、應(yīng)用程序和設(shè)備驅(qū)動程序進行跟蹤配置，使某些配置的改變可以在不重新啟動系統(tǒng)的情況下立即生效。注冊表中登錄的硬件部分數(shù)據(jù)可以支持高版本W(wǎng)indows的即插即用特性。當檢測到機器上的新設(shè)備時，就把有關(guān)數(shù)據(jù)保存到注冊表中。另外，還可以避免新設(shè)備與原有設(shè)備之間的資源沖突。管理人員和用戶通過注冊表可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置和設(shè)置，使遠程管理得以實現(xiàn)。2.Windows注冊表管理注冊表的數(shù)據(jù)類型二進制(BINARY)：在注冊表中，二進制是沒有長度限制的，可以是任意個字節(jié)的長度。DWORD值(DWORD)：4個字節(jié)，系統(tǒng)以十六進制的方式顯示DWORD值

字符串值(SZ)：通常它由字母和數(shù)字組成。2.Windows注冊表管理注冊表文件在WindowsNT中，所有注冊表文件都放在“%systemroot%\system32\config”目錄下。此文件夾中的每一個文件都是注冊表的重要組成部分，對系統(tǒng)有著關(guān)鍵的作用。其中，沒有擴展名的文件是當前注冊表文件，也是最重要的，主要包括以下幾項：Default——默認注冊表文件SAM——安全賬戶管理器注冊表文件Security——安全注冊表文件Software——應(yīng)用軟件注冊表文件System——系統(tǒng)注冊表文件2.Windows注冊表管理注冊表文件在“%systemroot%\system32\config”目錄下還有一些以SAV為擴展名的文件，是上述文件的備份，是最近一次系統(tǒng)正常引導(dǎo)過程中保存的。Windows會將這些文件備份到“%systemroot%\repair”目錄下，以便在出現(xiàn)故障時修復(fù)。注冊表配置單元對應(yīng)的文件名HKEY_LOCAL_MACHINE\SAMsam和sam.logHKEY_LOCAL_MACHINE\SECURITYSecurity和security.logHKEY_LOCAL_MACHINE\SYSTEMSystem和system.logHKEY_LOCAL_MACHINE\SOFTWARESoftware和software.logHKEY_CURRENT_CONFIGSystem和system.logHKEY_USERSDefault和default.log2.Windows注冊表管理注冊表的備份和恢復(fù)一旦注冊表受到損壞，將會引發(fā)各種故障，甚至導(dǎo)致系統(tǒng)“罷工”。要防止各種故障的發(fā)生，或者在已經(jīng)發(fā)生故障的情況下進行恢復(fù)，備份和恢復(fù)注冊表非常重要。在Windows正常運行的情況下，不直接復(fù)制注冊表文件?？梢允褂肳indows自帶的備份程序Ntbackup.exe來進行注冊表的備份。在“運行”對話框中輸入“Ntbackup”即可打開注冊表備份程序，按照向?qū)нM行注冊表的備份。備份后的文件以”.bkf”為擴展名。建議將備份文件置于不經(jīng)常訪問、比較安全的盤?；謴?fù)注冊表時，直接執(zhí)行bkf文件，向?qū)崾救绾瓮瓿烧麄€還原過程。2.Windows注冊表管理注冊表的權(quán)限Windows為注冊表提供了訪問控制的功能，可以為用戶或組分配注冊表預(yù)定義項的訪問權(quán)限。2.Windows注冊表管理預(yù)防對Windows的遠程注冊表掃描在默認狀態(tài)下，注冊表都提供遠程連接訪問功能。黑客可以利用掃描器很輕松地通過遠程注冊表訪問到系統(tǒng)中的相關(guān)信息。為了安全起見，應(yīng)該將遠程可以訪問到的注冊表路徑全部清除，以便切斷遠程掃描通道。3.Windows文件管理NTFS文件系統(tǒng)NTFS（NewTechnologyFileSystem）是可擴展和可恢復(fù)的文件系統(tǒng)；它有磁盤配額、文件加密；NTFS可以設(shè)置文件安全性；NTFS有壓縮功能；NTFS是以簇為單位來存儲數(shù)據(jù)文件，在給定大小的卷上，NTFS總是使用最小的默認簇。3.Windows文件管理NTFS文件權(quán)限權(quán)限是授予或拒絕對象訪問權(quán)的規(guī)則，用于控制訪問NTFS文件權(quán)限允許訪問類型讀取查看文件內(nèi)容，查看文件屬性、擁有人和權(quán)限寫入覆蓋寫入文件，修改文件屬性、執(zhí)行讀取權(quán)限讀取和運行運行應(yīng)用程序，執(zhí)行讀取權(quán)限的動作修改修改和刪除文件，執(zhí)行寫入權(quán)限和讀取和運行權(quán)限的動作完全控制改變權(quán)限，成為擁有人，執(zhí)行所有其他NTFS文件權(quán)限進行的動作3.Windows文件管理NTFS文件權(quán)限權(quán)限是授予或拒絕對象訪問權(quán)的規(guī)則，用于控制訪問NTFS文件夾權(quán)限允許訪問類型讀取查看文件夾中的文件和子文件夾名，查看文件夾屬性、擁有人和權(quán)限寫入在文件夾內(nèi)創(chuàng)建新的文件和子文件夾，修改文件夾屬性、查看文件夾的擁有人和權(quán)限（讀取權(quán)限）列出文件夾內(nèi)容遍歷文件夾（打開或者關(guān)閉文件夾），執(zhí)行“讀取”的動作讀取和運行執(zhí)行“讀取”權(quán)限和“列出文件夾內(nèi)容”的動作（權(quán)限與”列出文件夾內(nèi)容”幾乎相同，只是該權(quán)限可以被文件和文件夾繼承）修改刪除文件夾，執(zhí)行“寫入”權(quán)限和“讀取和運行”權(quán)限完全控制改變權(quán)限，成為擁有人，執(zhí)行允所有其他NTFS文件夾權(quán)限進行的動作3.Windows文件管理NTFS文件加密加密文件系統(tǒng)（EncryptingFileSystem,EFS）提供文件加密的功能，文件經(jīng)過加密后，只有當初其加密的用戶或被授權(quán)的用戶才能讀取，因此可以提高文件的安全性。EFS內(nèi)置于NTFS文件系統(tǒng)中，只有NTFS磁盤內(nèi)的文件、文件夾才可以被加密。如果將文件復(fù)制或移動到非NTFS磁盤內(nèi)，此文件會被解密。當在一個加密文件夾下創(chuàng)建文件或文件夾時，它們自動被加密，當移動一個文件或文件夾到加密文件夾下會自動被加密當訪問一個加密文件時，用戶用平常的方法去訪問當用戶關(guān)閉文件時，EFS自動加密3.Windows文件管理NTFS文件加密要想使用一個用戶能訪問另一個用戶的加密文件，必須擁有該用戶的證書加密用戶通過運行certmgr.msc打開證書管理器，在“個人”證書目錄中找到自己的證書并導(dǎo)出。訪問用戶將加密用戶的證書導(dǎo)入自己的“個人”證書目錄即可。3.Windows文件管理共享文件夾權(quán)限共享文件夾是允許通過網(wǎng)絡(luò)訪問其內(nèi)容的文件夾。文件夾可以共享，但是各個文件不可共享默認情況下，共享文件夾權(quán)限為“Everyone，讀取”，共享文件夾的所有者可以修改此權(quán)限可通過以下方式找到共享文件夾：在Windows資源管理器中尋找有兩個用戶圖標的文件夾在命令行下通過NetShare命令在“計算機管理”的“共享文件夾”下fsmgmt.msc

打開共享文件夾管理器3.Windows文件管理共享文件夾權(quán)限權(quán)限級別訪問權(quán)讀取允許查看文件中的數(shù)據(jù)允許瀏覽子文件夾可執(zhí)行共享文件夾中的程序默認情況下應(yīng)用于Everyone組更改“讀取”類別的所有權(quán)限可創(chuàng)建新文件和子文件可修改或刪除現(xiàn)有文件中的數(shù)據(jù)可刪除文件和子文件完全控制“讀取”和“更改”類別中包括的所有權(quán)限，外加更改安全性設(shè)置的權(quán)限3.Windows文件管理操作共享文件夾的命令查詢系統(tǒng)中共享文件夾：netshare創(chuàng)建共享文件夾：Netsharesharename=文件夾路徑刪除共享文件夾：Netsharesharename/del4.Windows安全審核Windows的服務(wù)服務(wù)是一種應(yīng)用程序類型，在后臺長時間運行，不顯示窗口。4.Windows安全審核Windows的服務(wù)服務(wù)包括三種啟動類型：自動，手動，已禁用。自動-Windows啟動的時候自動加載服務(wù)手動-Windows啟動的時候不自動加載服務(wù)，在需要的時候手動開啟禁用-Windows