NISE 安全技术工程师培训 — Win2K 安全配置与管理
NISE 安全技术工程师培训 — Win2K 安全配置与管理
NISE 安全技术工程师培训 — Win2K 安全配置与管理
课程目的 • 了解 win2K 系统的设计原理 • 了解 Win2K 的安全特性 • 能够对 win2K 系统进行安全配置 授课方式:讲解、演示、学员实际操作
Windows 系统安全配置 为什么要介绍 windows NT 安全 Windows NT 体系构架 Windows NT 安全模型 Windows NT 安全配置 Windows NT 的审计分析
为什么要介绍 windows 安全 系统安全评测标准 系统面临很多威胁 系统漏洞导致的损失
TCSEC 安全等级 安全级别
描述
D
最低的级别。如 MS-DOS 计算机,没有安全性可言
C1
灵活的安全保护。系统不需要区分用户。可提供根本的访 问控制。
C2
灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。 系统级的保护主要存在于资源、数据、文件和操作上。 NT 属于 C2 级的系统
B1
标记安全保护。系统提供更多的保护措施包括各式的安全 级别。如 AT & T 的 SYSTEM V 和 UNIX with MLS 以及 IBM MVS/ESA
B2
结构化保护。支持硬件保护。内容区被虚拟分割并严格保 护。如 Trusted XENIX and Honeywell MULTICS
B3 A
安全域。提出数据隐藏和分层,阻止层之间的交互。如 Honeywell XTS-200 校验级设计。需要严格的准确的证明系统不会被危害,而 且提供所有低级别的因素。如 Honeywell SCOMP
基于 C2 级标准的安全组件 • • •
• •
灵活的访问控制 ----Windows NT 支持 C2 级标准要求的灵活访 问控制。要求包括允许对象的属主能够完全控制谁可以访问这 个对象及什么样的访问权限。 对象再利用 -----Windows NT 很明确地阻止所有的应用程序不 可访问被另一应用程序使用所占用资源内的信息(比如内存或 磁盘)。 强制登陆 ---- 与 Windows for Workgroups 、 Windows 95 和 98 不同, Windows NT 用户在能访问任何资源前必须通过登陆来 验证他们的身份。这也是另一个原因缺乏这种强制登陆的 NT 要想达到以前的 C2 级的标准就必须禁止网络功能。 审计 ---- 因为 Windows NT 采用单独地机制来控制对任何资源 的访问,所以这种机制可以集中地记录下所有的访问活动。 控制对象的访问 ----Windows NT 不允许直接访问系统里的资源 。
被攻击的前几种操作系统 • Microsoft Windows 31663000 • UNIX 22544605 • CISCO IOS 7821832
被攻击最多的通用 WEB 服务器 被攻击的产品
占有用户的百分比
被攻击的次数
Microsoft IIS 41.06 17797201 Apache Group Apache 10.62 12602 Netscape Enterprise Server 9.07 4892 Iplanet E-commerce Solution 0.13 124
系统漏洞导致的损失
系统漏洞导致的损失 • 2003-8-15 全球受冲击波里蠕虫感染的 机器超过 34 万台。 • 8 月 1 日下午微软公司网站被黑,一个 多小时无法访问。
Windows 系统安全配置 为什么要介绍 windows NT 安全 Windows NT 体系统构架 Windows NT 安全模型 Windows NT 安全配置 Windows NT 的审计分析
Windows NT 体系统构架 环境子系统
系统支持进程
服务进程
应用程序
服务管理器
Svchost.exe
任务管理器
OS/2
本地安全验证服务
Winmgmt.exe
Windows 浏览器
POSIX
Windows 登录
Spooler
用户级应用程序
Win32
会话管理器
Services.exe
子系统动态链接库
NTdll,dll 系统服务调度进程 核心可调用接口 文件系统 即插即用 I/O 设备 虚拟内存 进程和 注册表配置 Win32 缓存 设备 User 管理器 管理器 线程 管理器 GDI 管理器 管理器 设备 、文件 图形 驱动 驱动程序 Micro kernel HAL
进程和线程 • 什么是进程? – 代表了运行程序的一个实例 – 每一个进程有一个私有的内存地 址空间 • 什么是线程? – 进程内的一个执行上下文 – 进程内的所有线程共享相同的进 程地址空间 • 每一个进程启动时带有一个线程 – 运行程序的 “主 ”函数 – 可以在同一个进程中创建其他的 线程 – 可以创建额外的进程
进程 地址 空间
线程 线程
线程
系统地址 空间
系统进程 • 基本的系统进程 System Idle Process 这个进程是作为单线程运行在每个处理器上, 并在系统不处理其他线程的时候分派处理器 的时间 smss.exe 会话管理子系统,负责启动用户会 话 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务 SPOOLSV.EXE 将文件加载到内存中以便迟后 打 印 。 ( 系统服务 ) explorer.exe 资源管理器
系统进程树 smss.exe
对话管理器 第一个创建的进程
引入参数 HKLM\System\CurrentControlSet\Control\Session Manager 装入所需的子系统 (csrss) ,然后 winlogon csrss.exe Win32 子系统 winlogon.exe 登录进程:装入 services.exe 和 lsass.exe 显示登录对话框( “键入 CTRL+ALT+DEL ,登录 ) 当 有人登入,运 行在 HKLM\Software\Microsoft\Windows NT\WinLogon\Userinit 中的进程(通常只是 userinit.exe) services.exe 服务控制器:也是几项服务的出发点 服务的开始进程不是 services.exe 的一部 分 ( 由 HKLM\System\CurrentControlSet\Services 驱动 ) lsass.exe 本地安全验证服务器(打开 SAM ) userinit.exe 登陆之后启动。启动外壳(通常是 Explorer.exe — 见 HKLM\Software\Microsoft\ Windows NT\CurrentVersion\WinLogon\Shell) 装入配置文件,恢复驱动器标识符映象,然后退出
附加的系统进程 • mstask.exe 允许程序在指定时间运行。 ( 系 统服务 ) • regsvc.exe regsvc.exe 允许远程注册表操作。 ( 系统服务 ) • winmgmt.exe 提供系统管理信息 ( 系统服 务 )。 • inetinfo.exe 通过 Internet 信息服务的管理单 元提供信息服务连接和管理。 ( 系统服务 ) • tlntsvr.exe 允许远程用户登录到系统并且使 用命令行运行控制台。 ( 系统服务 ) • dns.exe 应答对域名系统 (DNS) 名称的查 询和更新请求。 ( 系统服务 ) 。。。。。。
Windows 系统安全配置 为什么要介绍 windows NT 安全 Windows NT 体系统构架 Windows NT 安全模型 Windows NT 安全配置 Windows NT 的审计分析
安全的组件 • 安全标识符 SID :综合计算机名字、当前时间、以及处理当 前用户模式线程所花费 CPU 的时间所建立起来 的。一个 SID : S-1-5-163499331-18283675290-12989372637-500 • 访问令牌 访问令牌是由用户的 SID 安全描述符、用户所属 于组的 SID 、用户名、用户所在组的组名构成 的 安全描述符是由对象属主的 SID 、组 SID ,灵活 访问控制列表以及计算机访问控制列表 • 访问控制列表 包括 DACL 和 SACL ,灵活访问控制列表里记录 用户和组以及它们的相关权限。系统访问控制
windowsNT 安全模型 Log process
User Account Database
SAM
Security Policy Database
Audit log
User mode Kernel mode
Win32 application LSA
Win32 subsystem
Security policy
Audit message
Security Reference Monitor
WindowsNT 安全子系统 Winlogon
GINA Local Security Authority (LSA)
SSPI Authentication Packages Security Account Manager
SecuritySupport Providers
Netlogon
Windows 系统安全配置 为什么要介绍 windows NT 安全 Windows NT 体系统构架 Windows NT 安全模型 Windows NT 安全配置 Windows NT 的审计分析
安全管 理与维护 用户管理
保护注册表
数据备份
漏洞与补丁
安全配置 程序 组策略
安全分析
安全模板
安全策略
数据的安全 IPSec
EFS
访问控 制 TCP/IP
组权限
权限控制
身 份 认证 SSL/TLS
证书服务
Kerberos
智能卡
Win2000 基本安 全注意事 项
NTLM
Win2000 安装配置 建立和选择分区 选择安装目录 不安装多余的组件 停止多余的服务 安装系统补丁
多余的组件 • • • • • • •
Internt 信息服务( IIS )(如不需要) 索引服务 Indexing Service 消息队列服务( MSMQ ) 远程安装服务 远程存储服务 终端服务 终端服务授权
Win2K 服务 名称
描述
默认启动 类别
建议启动类 别
Alerter 局域网中当系统发生问题时向系统管理员发出警报,对普通用户可设置为“已禁用”或“手动” 自动 “已禁用”或“手动” Application Management Win2K引入了一种基于msi文件格式(应用程序安装信息程序包文件)的全新、有效软件管理方案——应用程序管理组件服务,它不仅管理软件的安装、删除,而且可以 手动 手动 ClipBook 通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务,查阅远程机器中的剪贴簿。对普通用户可设置为“”支持“剪贴簿查看器”,以便可以从远程 手动 已禁用 COM+ Event System 提供事件的自动发布到订阅 COM 组件。 手动 Computer Browser 维护网上邻居中计算机的最新列表,并将这个列表通知给请求的程序。普通用户设置为:“已禁用”,局域网用户设为:“自动”。 自动 自动 DHCP Client DHCP Client(动态主机配置协议客户端):DHCP是一种提供动态IP地址分配、管理的TCP/IP服务协议,作为网络启动过程的一部分,DHCP客户端系统就可以向DHC 自动 已禁用 Distributed File System 管理分布于局域网或广域网的逻辑卷。 自动 手动 Distributed Link Tracking Client DLTC能跟踪文件在网络域的NTFS卷中移动状况,并发出通知。普通用户设置为:“已禁用”,局域网用户(硬盘已格式为NTFS)设为:“自动”。 自动 手动 Distributed Link Tracking Server 保存文件在域中卷之间移动的信息。 手动 手动 Distributed Transaction Coordinator 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。 自动 手动 DNS Client 将域名解析为IP地址。除非您没有连入任何网络,否则应设为“自动”。 自动 Event Log 该服务能记录程序和系统发送的出错消息。虽然日志包含了对诊断问题有所帮助的信息,但对普通用户可能起不了什么作用,那就设为“手动”吧!还记得前面提到的 自动 Fax Service 在Win95中支持的传真功能现在在Win2K中重新被予以支持,而且与系统集成得更好。如果用不上它,就设为“已禁用”吧! 手动 已禁用 File Replication 在多个服务器间维护文件目录内容的文件同步。 手动 IIS Admin Service 允许通过 Internet 信息服务的管理单元管理 自动 Web 和 FTP 服务。 Indexing Service 索引服务能针对本地硬盘或共享网络驱动器上的文档内容和属性建立索引,并通过Win2K特有的文档过滤器快速定位到您所需要的文档上,它大大强化了Win2K的搜索能 手动 已禁用 Infrared Monitor 支持安装在这台计算机上的红外设备并且检测在有效范围内的其它红外设备。 自动 Internet Connection Sharing 为局域网计算机提供Internet共享连接。这个服务为多台联网的电脑共享一个拨号网络访问Internet提供了捷径,以前在Win9X中要实现这一功能需借助SYGATE、Wi 手动 已禁用 Intersite Messaging 允许在 Windows Advanced Server 已禁用 站点间发送和接收消息。 IPSEC Policy Agent 该代理服务允许IP安全策略对两台计算机之间传输的数据包进行加密,从而防止在网上看到它的人对它进行更改和破译。IPSEC是一种用来保护内部网、专用网络以及 已禁用 Kerberos Key Distribution Center 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。 已禁用 License Logging Service 自动 Logical Disk Manager 逻辑磁盘管理器监视狗服务 自动 Logical Disk Manager Administrative 磁盘管理请求的系统管理服务 Service 手动 Messenger 发送和接收由系统管理员或由Alerter服务所发送消息的服务。由于Alerter服务需要依找本服务,因此如果已将Alerter禁止,那么这项可以设置为“手动”或“已禁 自动 手动”或“已禁用” Net Logon 简单说就是在局域网上验证登录信息的选项。一般用户可以将其设为“已禁用”或“手动”。 手动 手动”或“已禁用” NetMeeting Remote Desktop Sharing 该服务能通过Net Meeting允许有权用户远程访问Windows桌面。这个功能对一般用处不大,可以设为“已禁用 手动 已禁用 Network Connections 它管理着“网络和拨号连接”文件夹中的所有对象。如果您有任何网络连接(包括Internet拨号连接)就保持“手动”状态。否则若您禁用它,在“网络和拨号连接” 手动 手动 Network DDE 手动 已禁用 务是一种为DDE对话提供网络传输和安全的服务。DDE(动态数据交换)是实现进程通讯的一种形式,它允许支持DDE的两个或多个程序交换信息和命令。对一般用户可设为“已禁用” Network DDE DSDM 手动 已禁用 NTLM Security Support Provider 为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。 手动 Performance Logs and Alerts 配置性能日志和警报。 手动 Plug and Play 即插即用是INTEL开发的一组规范,它赋予了计算机自动检测和配置设备并安装相应驱动程序的能力,当有设备被更改时能自动通知使用该设备的程序当前设备的状况 自动 自动 Print Spooler 该服务的作用是将多个请求打印的文档统一进行保存和管理,待打印机空闲后,再将数据送往打印机处理。无任何打印设备的用户设置为“已禁用”,否则设为“自动 自动 自动 Protected Storage 提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非法访问。 自动 自动 QoS RSVP 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 手动 Remote Access Auto Connection 无论什么时候当某个程序引用一个远程 Manager 手动 DNS 或 NetBIOS 名或者地址就创建一个到远程网络的连接。 Remote Access Connection Manager 创建网络连接。 手动 Remote Procedure Call (RPC) 一种消息传递功能。在计算机的远程管理期间它允许分布式应用程序(即COM+应用程序)呼叫网络上不同计算机上的可用服务。看起来我们好像可以禁用它,但你可 自动 自动 Remote Procedure Call (RPC) 管理 Locator RPC 名称服务数据库。 手动 Remote Registry Service 该服务能使您编辑另一台计算机上的注册表。普通单机用户根本没必要使用这个服务 自动 手动 Removable Storage 管理可移动媒体、驱动程序和库。 自动 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务。 自动 RunAs Service 当您以一般权限用户身份登录系统,而在使用中又需要修改只有系统管理员才能修改的系统设置项时,该服务提供了不重启系统以管理员身份登录的捷径。您只需要在 自动 自动 Security Accounts Manager 存储本地用户帐户的安全信息。 自动 Server 提供 RPC 支持、文件、打印以及命名管道共享。 自动 Smart Card 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 手动
安全管 理与维护 用户管理
保护注册表
数据备份
漏洞与补丁
安全配置 程序 组策略
安全分析
安全模板
安全策略
数据的安全 IPSec
EFS
访问控 制 TCP/IP
组权限
权限控制
身 份 认 证 SSL/TLS
证书服务
Kerberos
智能卡
Win2000 基本安 全注意事 项
NTLM
用户身份验证 • 交互式登录 使用域帐号 使用本地计算机帐户
• 网络身份验证 Kerberos V5 NTLM 验证 安全套接字 / 传输层安全( SSL/TLS )
NTLM 验证实例
(1) A 向 B 发起连接请求 (2) B 向 A 发送挑战 ( 一组随机数据 ) (3) A 用源自明文口令的 DESKEY 对挑战进行标准 DES 加密得到响应,并发往 B (4) B 从 SAM 中获取 A 的 LM Hash 、 NTLM Hash ,计 算出 DESKEY ,并对前面发往 A 的挑战进 行标 准 DES 加密 (5) 如果 (4) 中计算结果与 A 送过来的响应匹配, A 被 允许访问 B
使用 NTLM 的配置 • Windows 2000 Professional 客户端向 Windows NT 4.0 的域控制器验证身份 • Windows NT 4.0 Workstation 客户端向 Windows 2000 域控制器验证身份 • Windows NT 4.0 Workstation 客户端向 Windows NT 4.0 域控制器验证身份 • Windows NT 4.0 域中的用户向 Windows 2000 域验证身份。
智能卡身份验证 • 什么是智能卡 • 智能卡读取器 • 用智能卡登录计算机
KerberosV5 工作原理 Kerberos V5 用于处理用户或系统身份的 身份验证的 Internet 标准安全协议
KDC
TGS
TG
T
T
TG
ST
ST
请求的网络
为什么需要证书机构 从网 上获得 Bob 公钥
Alice 使用 Bob 公钥 加密
Bob 使用本 身私 钥解密
如何 确定 公钥为 真?
证书的概念 • 证书将公钥安全地绑定到持有相应私钥 的实体中。 • 证书由颁发证书的机构进行数字签名, 并且可被管理以便用于用户、计算机或 服务。被最广泛接受的证书格式由 ITU-TX.509 国际标准定义。
证书服务 使用独立机构——安全的第三方 CA 证书验证 1 、发送请求 2 、验证信息 3 、使用 CA 私有密钥对对方公钥签名 4 、出版证书作为安全信任
Bob 使用本 身私 钥解密
Alice 使用 Bob 公钥 加密
CA
SSL 安全机制 SSL (加密套接字协议层)位于 HTTP 层和 TCP 层之间,建立用户与服务器之间的加密通信 ,确保所传递信息的安全性。使用 SSL 安全机制 时,首先客户端与服务器建立连接,服务器把它 的数字证书与公共密钥一并发送给客户端,客户 端随机生成会话密钥,用从服务器得到的公共密 钥对会话密钥进行加密,并把会话密钥在网络上 传递给服务器,而会话密钥只有在服务器端用私 人密钥才能解密,这样,客户端和服务器端就建 立了一个唯一的安全通道 。
安全管 理与维护 用户管理
保护注册表
数据备份
漏洞与补丁
安全配置 程序 组策略
安全分析
安全模板
安全策略
数据的安全 IPSec
EFS
访问控 制 TCP/IP
组权限
权限控制
身 份 认 证 SSL/TLS
证书服务
Kerberos
智能卡
Win2000 基本安 全注意事 项
NTLM
访问控制 NTFS 与 FAT 分区文件属性 文件权限 用户权限 权限控制原则 网络访问控制
NTFS 与 FAT 分区权限
FAT32
NTFS
文件权限
用户权限 • • • •
Administrators 组 Users 组 Power Users 组 Backup Operators 组
Administrators 组权限 安装操作系统和组件(例如硬件驱动程序、系统服 务等等)。 安装 Service Packs 和 Windows Packs 。 升级操作系统。 修复操作系统。 配置关键操作系统参数(例如密码策略、访问控制 、审核策略、内核模式驱动程序配置等等)。 获取已经不能访问的文件的所有权。 管理安全措施和审核日志。 备份和还原系统
USERS 组权限 用户不能修改系统注册表设置,操作系统文件或程 序文件。 用户可以关闭工作站不能关闭服务器 可以创建本地组,但只能修改自己创建的本地组 他们可以运行由管理员安装和配置的 Windows 2000 认可的程序 对自己的所有数据文件 (%userprofile%) 和自己 的那一部分注册表 (HKEY_CURRENT_USER) 有完 全的控制权。 用户无法安装其他用户运行的程序 不能访问其他用户的私人数据或桌面设置
POWER USERS 组权限 可以运行一些安全性不太严格的应用程序 安装不修改操作系统文件并且不需要安装系统服务 的应用程序 自定义系统资源,包括打印机、日期 / 时间、电源 选项和其他控制面板资源。 创建和管理本地用户帐户和组 启动或停止默认情况下不启动的服务。 超级用户没有将自己添加到管理员组的权限 不能访问在 NTFS 卷上的其他用户的数据
Backup Operators 组 可以备份和还原计算机上的文件,而不管保 护这些文件的权限如何。 可以登录到计算机和关闭计算机,但不能更 改安全性设置。 备份和还原数据文件和系统文件都需要对这 些文件的读写权限。
权限控制原则和特点 1> 权限是累计 2> 拒绝的权限要比允许的权限高 3> 文件权限比文件夹权限高 4> 利用用户组来进行权限控制 5> 权限的最小化原则
网络访问控制
安全管 理与维护 用户管理
保护注册表
数据备份
漏洞与补丁
安全配置 程序 组策略
安全分析
安全模板
安全策略
数据的安全 IPSec
EFS
访问控 制 TCP/IP
组权限
权限控制
身 份 认 证 SSL/TLS
证书服务
Kerberos
智能卡
Win2000 基本安 全注意事 项
NTLM
EFS 加密文件系统 特性: 1 、采用单一密钥技术 2 、核心文件加密技术仅用于 NTFS ,使 用户在本地计算机上安全存储数据 3 、加密用户使用透明,其他用户被拒 4 、不能加密压缩的和系统文件,加密后 不能被共享、能被删 除
建议 加密文 件夹 ,不要 加密 单独的 文件
EFS 恢复代理 • 故障恢复代理就是获得授权解密由其他用户 加密的数据的管理员 • 必须进行数据恢复时,恢复代理可以从安全 的存储位置获得数据恢复证书导入系统。 • 默认的超级管理员就是恢复代理
使用条件:当加密密钥丢失
IPSec 概念
安全 关联 (SA) SA 就是两个 IPSec 系统之 间的一个单 向 逻辑连 接
通道 将一个数 据报用一个 新的数据报 封 装
〈 Security Parameter Index, IP Destination Address, Security Protocol 〉 32 比特,用于标识具有相同 IP 地址和相同安全协议的不同 SA 。 可以是普通 IP 地址,也可是广播或者组播地址 可以是 AH 或者 ESP
IP 头部
IP IP头部 头部
负 负 载 载
IPSec 组件
身份认证报头 —— AH 协议 提供数据源身份认证、数据完整性保护 负载安全封装 —— ESP 协议 提供数据保密、数据源身份认证、数据完整性 因特网安全关联和密钥管理协议 —— IKE( 以前被 叫 ISAKMP/Oakley) 提供自动建立安全关联和管理密钥的功能
IPsec 工作模式 IPsec 的传输模式 默认配置,提供点到点的安全 IPsec 的隧道模式 数据的封装、发送和拆封称为隧道,在 路由器两端配置保护路由间的通讯
IPsec 工作模式
IPSec 的配置和使用
IPSec 的安全性 • 使用 IPSec 可以避免数据包被跟听、篡改。 • 安装 IPSec 后 , 客户端和服务器端都会消耗 一定资源来对数据加密 / 解密。 • 如果使用 IPSec 考虑安全性的级别 • 还要考虑 IPSec 策略的过滤器配置个数。
练习 • 用 user 加密一个文件。 • 设置 IPSec 策略,禁止 Ping. • 建立一个证书颁发机构,颁发一个普通 用户证书
安全管 理与维护 用户管理
保护注册表
数据备份
漏洞与补丁
安全配置 程序 安全分析
组策略
安全模板
安全策略
数据的安全 IPSec
EFS
访问控 制 TCP/IP
组权限
权限控制
身 份 认 证 SSL/TLS
证书服务
Kerberos
智能卡
Win2000 基本安 全注意事 项
NTLM
本地安全策略 --- 帐号策略 *** 在账户策略 -> 密码策略中设定:
密码复杂性要求 启用 密码长度最小值 6 位 强制密码历史 5 次 最长存留期 30 天
*** 在账户策略 -> 账户锁定策略中设定:
账户锁定 3 次错误登录 锁定时间 20 分钟 复位锁定计数 20 分钟
本地安全策略 -- 本地策略 • 审核策略:决定记录在计算机(成功 / 失败的尝试 )的安全日志上的安全事件。 • 用户权利分配:决定在计算机上有登录 / 任务特权 的用户或组。 • 安全选项:启用或禁用计算机的安全设置,例如数 据的数字信号、 administrator 和 guest 的帐 号名、软驱和光盘的访问、驱动程序的安装以及登 录提示。
组策略
安全模板与配置分析工具 • 安全模板 • 安全配置分析 • 配置计算机
预定义安全模板 默认工作站 (basicwk.inf) 默认服务器 (basicsv.inf) 默认域控制器 (basicdc.inf) 兼容工作站或服务器 (compatws.inf) 安全工作站或服务器 (securews.inf) 高度安全工作站或服务器 (hisecws.inf) 专用域控制器 (dedicadc.inf) 安全域控制器 (securedc.inf) 高度安全域控制器 (hisecdc.inf)
IIS 的安全配置
安装 IIS 注意事项 Web 站点 主目录 目录安全性
安装 IIS 注意事项 • 选择安装组件
INTERNET 服务管理器 INTERNET 服务管理器( HTML ) WORLD WIDE WEB 服务器 公用文件 文 文件传输 ( FTP )服务器
• 避免安装在主域控制器上 • 删除 inetpub 下的 scripts 目录
IIS 工具 Tool IIS Lock Tool 具有以下功能和特点: 帮助管理员设置 IIS 安全性; 此工具可以在 4 IIS4 和 IIS5 上使用; 帮助管理员去掉对本网站不必要的一些服务 ,使 IIS 在满足本网站需求的情况下运行最 少的服务 下载 地址 • http://www.microsoft.com/Downloads/ Release.a sp?ReleaseID sp?ReleaseID=33961 =33961 • • • •
IE 的安全设置 • 常规 • 安全 • 高级
安全管 理与维护 用户管理
保护注册表
数据备份
漏洞与补丁
安全配置 程序 组策略
安全分析
安全模板
安全策略
数据的安全 IPSec
EFS
访问控 制 TCP/IP
组权限
权限控制
身 份 认 证 SSL/TLS
证书服务
Kerberos
智能卡
Win2000 基本安 全注意事 项
NTLM
用户管理 • 更改超级管理名称 • 取消 guest 帐号 • 合理分配其它用户权限
Regedit 与 Regedt32 的区别 regedit
regedt32
使用较新的 Windows 9x/me 用户 界面
使用较早的 windows3.1 用户界面
可搜索:键名、值名、值内容
只能搜索键名
可以搜索并编辑远程注册表
可以搜索并编辑远程注册表
在一个窗口中显示整个注册表
对每一控制项显示各自的窗口
可以导出、导入文本文件
可以导出但不能导入文本文件
不能导出或导入二进制文件
可以导出并导入二进制文件
不能提供“只 ”模式
提供“只
不提供安全特性
支持完整的 Windows NT/2000 访问 控制和审计
存放在 winnt 文件 里
存放在 winnt\system32 文件里
”模式,但不作为缺省形式
只完全支持 Windows 9x/me 注册 支持全部 Windows NT/2000 注册表 表数据类型(字符串、二进制、 数据类型 / 字符串、二进制、
注册表安全设置
• 不显示上次登录的用户名 • 禁止默认网络 共享 • 禁止枚举 域内 用户 • 防范 SYN 攻击
不显示上次登录用户名
HKLM\Software\Microsoft\Window s NT\CurrentVersions\Windlogon 将 DontDisplayLastUserName 的值 设为 1
删除默认网络共享 服务器 : Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters Name: AutoShareServer Type: DWORD Value: 0 工作站: Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters Name: AutoShareWks Type: DWORD Value: 0
禁止枚举用户名和共享 Key:HKLM\SYSTEM\CurrentControlSet\Contr ol\Lsa Name: RestrictAnonymous Type: REG_DWORD Value: 1 | 2
备份和还原数据 • • • • •
将文件备份到文件或磁带 备份 “系统状态 ”数据 使用备份向导备份文件 计划备份 将文件备份到 Microsoft Exchange
系统漏洞及修复
输入法漏洞 空会话漏洞 unicode 漏洞 .ida/.idq 缓冲区溢出漏洞 .print isapi 扩展远程缓冲区溢出 Frontpage 服务器扩展漏洞 sqlserver 空口令
Windows 接口 远 程 缓 冲区漏洞
练习 • • • •
将默认共享删除。 安全地配置 IIS 。 设置禁止空会话。 合理管理用户并设置用户权限。
Windows 系统安全配置 为什么要介绍 windows NT 安全 Windows NT 体系统构架 Windows NT 安全模型 Windows NT 安全配置 Windows NT 的审计分析
安全 审 核与日志 访问文件夹的审核 审核策略 安全事件查看并分析 审计成功:可以确定用户或服务获得访问指定 文件、打印机或其他对 象的频 率 审计失败:警告那些可能发生的安全泄漏
windowsNT 日志 • 系统日志 跟踪各种各样的系统事件,比如跟踪系统启动过程中的事 件或者硬件和控制器的故障。
•
应用程序日志 跟踪应用程序关联的事件,比如应用程序产生的象装载 DLL (动态链接库)失败的信息将出现在日志中。
• 安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动 和关闭 。注意:安全日志的默认状态 是关闭 的。
日志 • Internet 信息服务 FTP 日志默认位置: • %systemroot%/system32logfiles/msftpsvc1 默认 每天一个日志 • Internet 信息服务 WWW 日志默认位置: : • %systemroot%/system32/logfiles/w3svc1 ,默认 每天一个日志 • FTP 日志和 WWW 日志文件名通常为 ex (年份 )(月份)(日期),例如 ex001023 就是 2000 年 10 月 23 日产生的日志,用记事本就可直接打 开 • Scheduler 服务日志默认位置: %systemroot%/schedlgu.txt
日志分析 • • • • • • • • • • • •
FTP 日志分析, 如下例: #Software: Microsoft Internet Information Services 5.0 (微软 IIS5.0 ) #Version: 1.0 (版本 1.0 ) #Date: 20001023 03:11:55 (服务启动时间日期) 03:11:55 127.0.0.1 [1]USER administator -331 ( IP 地址为 127.0.0.1 用户 名为 administator 试图登录) 03:11:58 127.0.0.1 [1]PASS -530 (登录失败) 03:12:04 127.0.0.1 [1]USER nt -331 ( IP 地址为 127.0.0.1 用 名 为 nt 的用户试图登录) 03:12:06 127.0.0.1 [1]PASS -530 (登录失败) 03:12:32 127.0.0.1 [1]USER administrator -331 (( IP 地址为 127.0.0.1 用户 名为 administrator 试图登录) 03:12:34 127.0.0.1 [1]PASS 230 (登录成功) (登录成功) 03:12:41 127.0.0.1 [1]MKD nt 550 (新建目录失败) 03:12:45 127.0.0.1 [1]QUIT 550 (退出 FTP 程序)
日志分析 http 日志 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2003-08-11 05:30:32 #Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem csuri-query sc-status cs(User-Agent) 2003-08-11 05:30:32 192.168.2.143 - 192.168.2.143 80 GET /scripts/..%5c..%5cwinnt/system32/cmd.exe /c+dir+c:\ 200 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0) 2003-08-11 07:24:01 192.168.2.143 - 192.168.2.143 80 GET /scripts/..%5c..%5cwinnt/system32/cmd.exe /c+copy%20c:\winnt\system32\cmd.exe%20venus.exe 502 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0) 2003-08-20 03:00:35 192.168.2.143 - 192.168.2.143 80 GET / ~/scripts/..%c1%af../winnt/system32/cmd.exe 404 -
练习 • 审计 c:\inetpub 目录的访问 • 分析 HTTP 日志 • 审核注册表启动项的访问
总结 为什么要介绍 windows NT 安全 Windows NT 体系构架 Windows NT 安全模型 Windows NT 安全配置 Windows NT 的审计分析
Any questions?