Professional Documents
Culture Documents
— Win2K 安全配置与管理
NISE 安全技术工程师培训
— Win2K 安全配置与管理
NISE 安全技术工程师培训
— Win2K 安全配置与管理
课程目的
• 了解 win2K 系统的设计原理
• 了解 Win2K 的安全特性
• 能够对 win2K 系统进行安全配置
授课方式:讲解、演示、学员实际操作
Windows 系统安全配置
为什么要介绍 windows NT
安全
Windows NT 体系构架
Windows NT 安全模型
Windows NT 安全配置
Windows NT 的审计分析
为什么要介绍 windows 安全
系统安全评测标准
系统面临很多威胁
系统漏洞导致的损失
TCSEC 安全等级
安全级别 描述
• 2003-8-15 全球受冲击波里蠕虫感染的
机器超过 34 万台。
• 8 月 1 日下午微软公司网站被黑,一个
多小时无法访问。
Windows 系统安全配置
为什么要介绍 windows NT 安全
Windows NT 体系统构架
Windows NT 安全模型
Windows NT 安全配置
Windows NT 的审计分析
Windows NT 体系统构架
系统支持进程 服务进程 应用程序 环境子系统
NTdll,dll
系统服务调度进程
核心可调用接口
文件系统 即插即用
I/O 设备 虚拟内存 进程和 注册表配置 Win32
管理器 缓存 设备 User
管理器 线程 管理器
设备 、文件 管理器 管理器 GDI
驱动程序 图形 驱动
Micro kernel
HAL
进程和线程 进程 地址 空间
• 什么是进程?
线程
– 代表了运行程序的一个实例
– 每一个进程有一个私有的内存地
址空间 线程
• 什么是线程?
– 进程内的一个执行上下文
– 进程内的所有线程共享相同的进
程地址空间 线程
• 每一个进程启动时带有一个线程
– 运行程序的 “主 ”函数
– 可以在同一个进程中创建其他的
线程
– 可以创建额外的进程
系统地址 空间
系统进程
• 基本的系统进程
System Idle Process
这个进程是作为单线程运行在每个处理器上,
并在系统不处理其他线程的时候分派处理器
的时间
smss.exe 会话管理子系统,负责启动用户会
话
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 本地安全身份验证服务器
svchost.exe 包含很多系统服务
SPOOLSV.EXE 将文件加载到内存中以便迟后
打 印 。 ( 系统服务 )
explorer.exe 资源管理器
系统进程树
smss.exe 对话管理器
第一个创建的进程
引入参数
HKLM\System\CurrentControlSet\Control\Session
Manager
装入所需的子系统 (csrss) ,然后 winlogon
csrss.exe Win32 子系统
winlogon.exe 登录进程:装入 services.exe 和 lsass.exe
显示登录对话框( “键入 CTRL+ALT+DEL ,登录 )
当 有人登入,运 行在
HKLM\Software\Microsoft\Windows
NT\WinLogon\Userinit
中的进程(通常只是 userinit.exe)
services.exe 服务控制器:也是几项服务的出发点
服务的开始进程不是 services.exe 的一部
分
( 由 HKLM\System\CurrentControlSet\Services 驱动 )
lsass.exe 本地安全验证服务器(打开 SAM )
userinit.exe 登陆之后启动。启动外壳(通常是 Explorer.exe — 见
HKLM\Software\Microsoft\
Windows NT\CurrentVersion\WinLogon\Shell)
装入配置文件,恢复驱动器标识符映象,然后退出
附加的系统进程
• mstask.exe 允许程序在指定时间运行。 ( 系
统服务 )
• regsvc.exe regsvc.exe 允许远程注册表操作。
( 系统服务 )
• winmgmt.exe 提供系统管理信息 ( 系统服
务 )。
• inetinfo.exe 通过 Internet 信息服务的管理单
元提供信息服务连接和管理。 ( 系统服务 )
• tlntsvr.exe 允许远程用户登录到系统并且使
用命令行运行控制台。 ( 系统服务 )
• dns.exe 应答对域名系统 (DNS) 名称的查
询和更新请求。 ( 系统服务 )
。。。。。。
Windows 系统安全配置
为什么要介绍 windows NT 安全
Windows NT 体系统构架
Windows NT 安全模型
Windows NT 安全配置
Windows NT 的审计分析
安全的组件
• 安全标识符
SID :综合计算机名字、当前时间、以及处理当
前用户模式线程所花费 CPU 的时间所建立起来
的。一个 SID :
S-1-5-163499331-18283675290-12989372637-500
• 访问令牌
访问令牌是由用户的 SID 安全描述符、用户所属
于组的 SID 、用户名、用户所在组的组名构成
的
Security Policy
Database Win32 application
LSA
Audit log Win32 subsystem
Kernel mode
Security Reference Monitor
WindowsNT 安全子系统
Winlogon
GINA
SSPI
Authentication Packages SecuritySupport Providers
为什么要介绍 windows NT 安全
Windows NT 体系统构架
Windows NT 安全模型
Windows NT 安全配置
Windows NT 的审计分析
安全管 理与维护
用户管理 保护注册表 数据备份 漏洞与补丁
安全配置 程序
安全分析 组策略 安全模板 安全策略
数据的安全
IPSec EFS
访问控 制
TCP/IP 组权限 权限控制
身 份 认证
SSL/TLS 证书服务 Kerberos 智能卡 NTLM
建立和选择分区
选择安装目录
不安装多余的组件
停止多余的服务
安装系统补丁
多余的组件
安全配置 程序
安全分析 组策略 安全模板 安全策略
数据的安全
IPSec EFS
访问控 制
TCP/IP 组权限 权限控制
身 份 认 证
SSL/TLS 证书服务 Kerberos 智能卡 NTLM
• 交互式登录
使用域帐号
使用本地计算机帐户
• 网络身份验证
Kerberos V5
NTLM 验证
安全套接字 / 传输层安全( SSL/TLS )
NTLM 验证实例
(1) A 向 B 发起连接请求
(2) B 向 A 发送挑战 ( 一组随机数据 )
(3) A 用源自明文口令的 DESKEY 对挑战进行标准 DES
加密得到响应,并发往 B
(4) B 从 SAM 中获取 A 的 LM Hash 、 NTLM Hash ,计
算出 DESKEY ,并对前面发往 A 的挑战进 行标
准 DES 加密
(5) 如果 (4) 中计算结果与 A 送过来的响应匹配, A 被
允许访问 B
使用 NTLM 的配置
• 什么是智能卡
• 智能卡读取器
• 用智能卡登录计算机
KerberosV5 工作原理
Kerberos V5 用于处理用户或系统身份的
身份验证的 Internet 标准安全协议
KDC
TGS
T
TG
T
TG
ST 请求的网络
ST
为什么需要证书机构
从网 上获得 Bob 公钥
如何 确定 公钥为 真?
证书的概念
• 证书将公钥安全地绑定到持有相应私钥
的实体中。
• 证书由颁发证书的机构进行数字签名,
并且可被管理以便用于用户、计算机或
服务。被最广泛接受的证书格式由
ITU-TX.509 国际标准定义。
证书服务
使用独立机构——安全的第三方 CA 证书验证
1 、发送请求
2 、验证信息
3 、使用 CA 私有密钥对对方公钥签名
4 、出版证书作为安全信任
CA
SSL 安全机制
安全配置 程序
安全分析 组策略 安全模板 安全策略
数据的安全
IPSec EFS
访问控 制
TCP/IP 组权限 权限控制
身 份 认 证
SSL/TLS 证书服务 Kerberos 智能卡 NTLM
FAT32 NTFS
文件权限
用户权限
• Administrators 组
• Users 组
• Power Users 组
• Backup Operators 组
Administrators 组权限
安装操作系统和组件(例如硬件驱动程序、系统服
务等等)。
安装 Service Packs 和 Windows Packs 。
升级操作系统。
修复操作系统。
配置关键操作系统参数(例如密码策略、访问控制
、审核策略、内核模式驱动程序配置等等)。
获取已经不能访问的文件的所有权。
管理安全措施和审核日志。
备份和还原系统
USERS 组权限
用户不能修改系统注册表设置,操作系统文件或程
序文件。
用户可以关闭工作站不能关闭服务器
可以创建本地组,但只能修改自己创建的本地组
他们可以运行由管理员安装和配置的 Windows
2000 认可的程序
对自己的所有数据文件 (%userprofile%) 和自己
的那一部分注册表 (HKEY_CURRENT_USER) 有完
全的控制权。
用户无法安装其他用户运行的程序
不能访问其他用户的私人数据或桌面设置
POWER USERS 组权限
可以运行一些安全性不太严格的应用程序
安装不修改操作系统文件并且不需要安装系统服务
的应用程序
自定义系统资源,包括打印机、日期 / 时间、电源
选项和其他控制面板资源。
创建和管理本地用户帐户和组
启动或停止默认情况下不启动的服务。
超级用户没有将自己添加到管理员组的权限
不能访问在 NTFS 卷上的其他用户的数据
Backup Operators 组
可以备份和还原计算机上的文件,而不管保
护这些文件的权限如何。
可以登录到计算机和关闭计算机,但不能更
改安全性设置。
备份和还原数据文件和系统文件都需要对这
些文件的读写权限。
权限控制原则和特点
1> 权限是累计
2> 拒绝的权限要比允许的权限高
3> 文件权限比文件夹权限高
4> 利用用户组来进行权限控制
5> 权限的最小化原则
网络访问控制
安全管 理与维护
用户管理 保护注册表 数据备份 漏洞与补丁
安全配置 程序
安全分析 组策略 安全模板 安全策略
数据的安全
IPSec EFS
访问控 制
TCP/IP 组权限 权限控制
身 份 认 证
SSL/TLS 证书服务 Kerberos 智能卡 NTLM
• 故障恢复代理就是获得授权解密由其他用户
加密的数据的管理员
• 必须进行数据恢复时,恢复代理可以从安全
的存储位置获得数据恢复证书导入系统。
• 默认的超级管理员就是恢复代理
使用条件:当加密密钥丢失
IPSec 概念
安全 关联 (SA)
SA 就是两个 IPSec 系统之 间的一个单 向
逻辑连 接
通道
将一个数 据报用一个 新的数据报 封
装
32 比特,用于标识具有相同 IP 地址和相同安全协议的不同
SA 。
可以是普通 IP 地址,也可是广播或者组播地址
可以是 AH 或者 ESP
IP 头部 IP
IP头部
头部 负
负 载
载
IPSec 组件
身份认证报头 —— AH 协议
提供数据源身份认证、数据完整性保护
负载安全封装 —— ESP 协议
提供数据保密、数据源身份认证、数据完整性
因特网安全关联和密钥管理协议 —— IKE( 以前被
叫 ISAKMP/Oakley)
提供自动建立安全关联和管理密钥的功能
IPsec 工作模式
IPsec 的传输模式
默认配置,提供点到点的安全
IPsec 的隧道模式
数据的封装、发送和拆封称为隧道,在
路由器两端配置保护路由间的通讯
IPsec 工作模式
IPSec 的配置和使用
IPSec 的安全性
• 使用 IPSec 可以避免数据包被跟听、篡改。
• 安装 IPSec 后 , 客户端和服务器端都会消耗
一定资源来对数据加密 / 解密。
• 如果使用 IPSec 考虑安全性的级别
• 还要考虑 IPSec 策略的过滤器配置个数。
练习
• 用 user 加密一个文件。
• 设置 IPSec 策略,禁止 Ping.
• 建立一个证书颁发机构,颁发一个普通
用户证书
安全管 理与维护
用户管理 保护注册表 数据备份 漏洞与补丁
安全配置 程序
安全分析 组策略 安全模板 安全策略
数据的安全
IPSec EFS
访问控 制
TCP/IP 组权限 权限控制
身 份 认 证
SSL/TLS 证书服务 Kerberos 智能卡 NTLM
• 审核策略:决定记录在计算机(成功 / 失败的尝试
)的安全日志上的安全事件。
• 用户权利分配:决定在计算机上有登录 / 任务特权
的用户或组。
• 安全选项:启用或禁用计算机的安全设置,例如数
据的数字信号、 administrator 和 guest 的帐
号名、软驱和光盘的访问、驱动程序的安装以及登
录提示。
组策略
安全模板与配置分析工具
• 安全模板
• 安全配置分析
• 配置计算机
预定义安全模板
默认工作站 (basicwk.inf)
默认服务器 (basicsv.inf)
默认域控制器 (basicdc.inf)
兼容工作站或服务器 (compatws.inf)
安全工作站或服务器 (securews.inf)
高度安全工作站或服务器 (hisecws.inf)
专用域控制器 (dedicadc.inf)
安全域控制器 (securedc.inf)
高度安全域控制器 (hisecdc.inf)
IIS 的安全配置
安装 IIS 注意事项
Web 站点
主目录
目录安全性
安装 IIS 注意事项
• 选择安装组件
INTERNET 服务管理器
INTERNET 服务管理器( HTML )
WORLD WIDE WEB 服务器
公用文件
文
文件传输 ( FTP )服务器
• 避免安装在主域控制器上
• 删除 inetpub 下的 scripts 目录
IIS 工具
• 常规
• 安全
• 高级
安全管 理与维护
用户管理 保护注册表 数据备份 漏洞与补丁
安全配置 程序
安全分析 组策略 安全模板 安全策略
数据的安全
IPSec EFS
访问控 制
TCP/IP 组权限 权限控制
身 份 认 证
SSL/TLS 证书服务 Kerberos 智能卡 NTLM
• 更改超级管理名称
• 取消 guest 帐号
• 合理分配其它用户权限
Regedit 与 Regedt32 的区别
regedit regedt32
使用较新的 Windows 9x/me 用户 使用较早的 windows3.1 用户界面
界面
可搜索:键名、值名、值内容 只能搜索键名
可以搜索并编辑远程注册表 可以搜索并编辑远程注册表
在一个窗口中显示整个注册表 对每一控制项显示各自的窗口
可以导出、导入文本文件 可以导出但不能导入文本文件
不能导出或导入二进制文件 可以导出并导入二进制文件
• 不显示上次登录的用户名
• 禁止默认网络 共享
• 禁止枚举 域内 用户
• 防范 SYN 攻击
不显示上次登录用户名
HKLM\Software\Microsoft\Window
s NT\CurrentVersions\Windlogon
将 DontDisplayLastUserName 的值
设为 1
删除默认网络共享
服务器 :
Key:
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\par
ameters
Name: AutoShareServer
Type: DWORD
Value: 0
工作站:
Key:
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\par
ameters
Name: AutoShareWks
Type: DWORD
Value: 0
禁止枚举用户名和共享
Key:HKLM\SYSTEM\CurrentControlSet\Contr
ol\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
Value: 1 | 2
备份和还原数据
• 将文件备份到文件或磁带
• 备份 “系统状态 ”数据
• 使用备份向导备份文件
• 计划备份
• 将文件备份到 Microsoft Exchange
系统漏洞及修复
输入法漏洞
空会话漏洞
unicode 漏洞
.ida/.idq 缓冲区溢出漏洞
.print isapi 扩展远程缓冲区溢出
Frontpage 服务器扩展漏洞
sqlserver 空口令
Windows 接口 远 程 缓 冲区漏洞
练习
• 将默认共享删除。
• 安全地配置 IIS 。
• 设置禁止空会话。
• 合理管理用户并设置用户权限。
Windows 系统安全配置
为什么要介绍 windows NT 安全
Windows NT 体系统构架
Windows NT 安全模型
Windows NT 安全配置
Windows NT 的审计分析
安全 审 核与日志
访问文件夹的审核
审核策略
安全事件查看并分析
审计成功:可以确定用户或服务获得访问指定
文件、打印机或其他对 象的频 率
审计失败:警告那些可能发生的安全泄漏
windowsNT 日志
• 系统日志
跟踪各种各样的系统事件,比如跟踪系统启动过程中的事
件或者硬件和控制器的故障。
• 应用程序日志
跟踪应用程序关联的事件,比如应用程序产生的象装载
DLL
(动态链接库)失败的信息将出现在日志中。
• 安全日志
跟踪事件如登录上网、下网、改变访问权限以及系统启动
和关闭 。注意:安全日志的默认状态 是关闭 的。
日志
http 日志
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2003-08-11 05:30:32
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-
uri-query sc-status cs(User-Agent)
2003-08-11 05:30:32 192.168.2.143 - 192.168.2.143 80 GET
/scripts/..%5c..%5cwinnt/system32/cmd.exe /c+dir+c:\ 200
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)
2003-08-11 07:24:01 192.168.2.143 - 192.168.2.143 80 GET
/scripts/..%5c..%5cwinnt/system32/cmd.exe
/c+copy%20c:\winnt\system32\cmd.exe%20venus.exe 502
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)
2003-08-20 03:00:35 192.168.2.143 - 192.168.2.143 80 GET /<Rejected-By-
UrlScan> ~/scripts/..%c1%af../winnt/system32/cmd.exe 404 -
练习
• 审计 c:\inetpub 目录的访问
• 分析 HTTP 日志
• 审核注册表启动项的访问
总结
为什么要介绍 windows NT 安全
Windows NT 体系构架
Windows NT 安全模型
Windows NT 安全配置
Windows NT 的审计分析
Any questions?