信息安全專題培訓(xùn)(Windows系統(tǒng)安全)課件

NSFocusInformationTechnologyCo.Ltd.Windows系統(tǒng)安全徐毅Xylonxuyi@Trainingdept.,CustomerSupportCenterAugust2005StrictlyPrivate&ConfidentialNSFocusInformationTechnologyWindows安全模型Windows安全模型操作系統(tǒng)安全定義?信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時(shí)必須提供的?有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的操作系統(tǒng)安全定義?信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時(shí)信息安全評(píng)估標(biāo)準(zhǔn)ITSEC和TCSECTCSEC描述的系統(tǒng)安全級(jí)別D--ACC(CommonCritical)標(biāo)準(zhǔn)BS7799:2000標(biāo)準(zhǔn)體系ISO17799標(biāo)準(zhǔn)信息安全評(píng)估標(biāo)準(zhǔn)ITSEC和TCSECTCSEC定義的內(nèi)容沒有安全性可言，例如MSDOS不區(qū)分用戶，基本的訪問控制D級(jí)C1級(jí)C2級(jí)B1級(jí)B2級(jí)B3級(jí)A級(jí)有自主的訪問安全性，區(qū)分用戶標(biāo)記安全保護(hù)，如SystemV等結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)安全域，數(shù)據(jù)隱藏與分層、屏蔽校驗(yàn)級(jí)保護(hù)，提供低級(jí)別手段TCSEC定義的內(nèi)容沒有安全性可言，例如MSDOS不區(qū)分用C2級(jí)安全標(biāo)準(zhǔn)的要求自主的訪問控制對(duì)象再利用必須由系統(tǒng)控制用戶標(biāo)識(shí)和認(rèn)證審計(jì)活動(dòng)能夠?qū)徲?jì)所有安全相關(guān)事件和個(gè)人活動(dòng)只有管理員才有權(quán)限訪問C2級(jí)安全標(biāo)準(zhǔn)的要求自主的訪問控制CC(CommonCritical)標(biāo)準(zhǔn)CC的基本功能標(biāo)準(zhǔn)化敘述技術(shù)實(shí)現(xiàn)基礎(chǔ)敘述CC的概念維護(hù)文件安全目標(biāo)評(píng)估目標(biāo)CC(CommonCritical)標(biāo)準(zhǔn)CC的基本功能Windows2000安全結(jié)構(gòu)Windows2000安全結(jié)構(gòu)Windows安全子系統(tǒng)WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加載GINA，監(jiān)視認(rèn)證順序加載認(rèn)證包支持額外的驗(yàn)證機(jī)制為認(rèn)證建立安全通道提供登陸接口提供真正的用戶校驗(yàn)管理用戶和用戶證書的數(shù)據(jù)庫Windows安全子系統(tǒng)WinlogonGINALSASeWindows賬號(hào)管理Windows賬號(hào)管理Windows采用的賬號(hào)認(rèn)證方案LanManager認(rèn)證(稱為L(zhǎng)M協(xié)議)早期版本NTLMv1認(rèn)證協(xié)議NT4.0SP3之前的版本NTLMv2認(rèn)證協(xié)議NT4.0SP4開始支持Kerberosv5認(rèn)證協(xié)議Windows2000引進(jìn)Windows采用的賬號(hào)認(rèn)證方案LanManager認(rèn)證(稱用戶類型Administrator(默認(rèn)的超級(jí)管理員)系統(tǒng)帳號(hào)(PrintOperater、BackupOperator)Guest(默認(rèn)來賓帳號(hào))用戶類型Administrator(默認(rèn)的超級(jí)管理員)帳戶(accounts)和組(groups)帳戶(useraccounts)定義了Windows中一個(gè)用戶所必要的信息，包括口令、安全I(xiàn)D(SID)、組成員關(guān)系、登錄限制...組：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)時(shí)間和空間唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二進(jìn)制形式的SID帳戶(accounts)和組(groups)帳戶(userWindows2000的默認(rèn)賬號(hào)

賬戶名注釋System/localsystem本地計(jì)算機(jī)的所有特權(quán)Administrator同上；可以改名，但不能刪除Guest有限的權(quán)限，默認(rèn)禁用IUER_計(jì)算機(jī)名IIS的匿名訪問，guests組成員IWAM_計(jì)算機(jī)名IIS進(jìn)程外應(yīng)用程序運(yùn)行的賬號(hào)，Guests組成員TSInternetUser終端服務(wù)KrbtgtKerberos密鑰分發(fā)賬號(hào)，只在DC上出現(xiàn)，默認(rèn)禁用Windows2000的默認(rèn)賬號(hào)賬戶名Windows2000下的內(nèi)建組

組名注釋Administrators成員具有本地計(jì)算機(jī)的全部權(quán)限

Users所有賬號(hào)，較低的權(quán)限

Guests有限的權(quán)限，與users相同Authenticatedusers特殊的隱含組，包含所有已登錄的用戶

Replicator用于域中的文件復(fù)制BackupOperators沒有administrators權(quán)限高，但十分接近ServerOperators沒有administrators權(quán)限高，但十分接近AccountOperators沒有administrators權(quán)限高，但十分接近PrintOperators沒有administrators權(quán)限高，但十分接近Windows2000下的內(nèi)建組組名密碼存放位置注冊(cè)表HKEY_LOCAL_MACHINE\SAM下Winnt/system32/config/sam密碼存放位置注冊(cè)表HKEY_LOCAL_MACHINE\SA添加/刪除帳戶Win2000/XP下管理工具—計(jì)算機(jī)管理—本地用戶和組WinNT下(域)用戶管理器命令行方式netuser用戶名密碼/add[/delete]將用戶加入到組netlocalgroup組名用戶名/add[/delete]添加/刪除帳戶Win2000/XP下帳戶重命名將Administrator重命名將Guest來賓用戶重命名新建一Administrator用戶，隸屬于Guest組帳戶重命名將Administrator重命名密碼策略的推薦設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄

密碼最長(zhǎng)期限密碼最短期限密碼必須符合復(fù)雜性要求為域中所有用戶使用可還原的加密來儲(chǔ)存密碼24個(gè)密碼42天2天啟用禁用密碼策略的推薦設(shè)置強(qiáng)制執(zhí)行密碼歷史記錄密碼最長(zhǎng)期限密碼最短針對(duì)遠(yuǎn)程破解的策略定制密碼復(fù)雜性要求賬戶鎖定策略的推薦設(shè)置策略默認(rèn)設(shè)置推薦最低設(shè)置帳戶鎖定時(shí)間未定義30分鐘帳戶鎖定閾值05次無效登錄復(fù)位帳戶鎖定計(jì)數(shù)器未定義30分鐘針對(duì)遠(yuǎn)程破解的策略定制密碼復(fù)雜性要求策略默認(rèn)設(shè)置推薦最低SAM數(shù)據(jù)庫與ADSAM中口令的保存采用單向函數(shù)(OWF)或散列算法實(shí)現(xiàn)在%systemroot%\system32\config\sam中實(shí)現(xiàn)DC上，賬號(hào)與密碼散列保存在%systemroot%\ntds\ntds.dit中SAM數(shù)據(jù)庫與ADSAM中口令的保存采用單向函數(shù)(OWF)或SYSKEY功能從NT4sp3開始提供散列128位隨機(jī)密鑰保存到SAM文件中保存隨機(jī)密鑰注冊(cè)表中注冊(cè)表中，同時(shí)使用額外的口令加密軟磁盤SYSKEY功能從NT4sp3開始提供散列128位隨機(jī)密SID與令牌SID唯一標(biāo)示一個(gè)對(duì)象使用User2sid和sid2user工具進(jìn)行雙向查詢令牌：通過SID標(biāo)示賬號(hào)對(duì)象以及所屬的組SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544SID與令牌SID唯一標(biāo)示一個(gè)對(duì)象SID令牌解讀SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修訂版本編號(hào)頒發(fā)機(jī)構(gòu)代碼，Windows2000總為5子頒發(fā)機(jī)構(gòu)代碼，共有4個(gè)；具有唯一性相對(duì)標(biāo)示符RID，一般為常數(shù)著名的SIDS-1-1-0EveryoneS-1-2-0Interactive用戶S-1-3-0CreatorOwnerS-1-3-1CreatorGroup解讀SIDSID修訂版本編號(hào)頒發(fā)機(jī)構(gòu)代碼，Windows2Windows2000認(rèn)證與授權(quán)訪問用戶AWinlogon使用賬戶名稱/口令進(jìn)行認(rèn)證成功令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544允許Read=AS-1-5-21……Write=administratorsS-1-5-32-544…File.txtSRM,安全參考監(jiān)視器訪問Windows2000認(rèn)證與授權(quán)訪問用戶AWinlogonWindows文件系統(tǒng)管理Windows文件系統(tǒng)管理Windows2000默認(rèn)共享C$、D$……Ipc$：遠(yuǎn)程會(huì)話管理Admin$：指向%WinDir%目錄，用于遠(yuǎn)程管理Windows2000默認(rèn)共享C$、D$……Windows系統(tǒng)的用戶權(quán)限權(quán)限適用于對(duì)特定對(duì)象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對(duì)象，以及如何使用（如把某個(gè)目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級(jí)別相關(guān)聯(lián)的Windows系統(tǒng)的用戶權(quán)限權(quán)限適用于對(duì)特定對(duì)象如目錄和文件Windows系統(tǒng)的用戶權(quán)限目錄權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作NoAccess

用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)Windows系統(tǒng)的用戶權(quán)限目錄權(quán)限級(jí)別RXWDPO允許的用Windows系統(tǒng)的用戶權(quán)限權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)作NoAccess

用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件FullcontrolRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)Windows系統(tǒng)的用戶權(quán)限權(quán)限級(jí)別RXWDPO允許的用戶動(dòng)Windows系統(tǒng)的共享權(quán)限共享權(quán)限級(jí)別允許的用戶動(dòng)作NoAccess(不能訪問)禁止對(duì)目錄和其中的文件及子目錄進(jìn)行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù)和運(yùn)行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)Windows系統(tǒng)的共享權(quán)限共享權(quán)限級(jí)別允許的用戶動(dòng)作No復(fù)制和移動(dòng)文件夾從一個(gè)NTFS分區(qū)到另一個(gè)NTFS分區(qū)復(fù)制/移動(dòng)都是繼承權(quán)限(不同分區(qū)，移動(dòng)=復(fù)制+刪除)同一個(gè)NTFS分區(qū)復(fù)制：繼承移動(dòng)：保留復(fù)制/移動(dòng)到FAT(32)分區(qū)NTFS權(quán)限丟失復(fù)制和移動(dòng)文件夾從一個(gè)NTFS分區(qū)到另一個(gè)NTFS分區(qū)Windows系統(tǒng)服務(wù)服務(wù)包括三種啟動(dòng)類型：自動(dòng)，手動(dòng)，禁用自動(dòng)：?jiǎn)?dòng)時(shí)自動(dòng)加載服務(wù)手動(dòng):啟動(dòng)時(shí)不自動(dòng)加載服務(wù)，在需要的時(shí)候手動(dòng)開啟禁用：?jiǎn)?dòng)的時(shí)候不自動(dòng)加載服務(wù)，在需要的時(shí)候選擇手動(dòng)或者自動(dòng)方式開啟服務(wù)，并重新啟動(dòng)電腦完成服務(wù)的配置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一筆服務(wù)項(xiàng)目子項(xiàng)都有一個(gè)Start數(shù)值,該數(shù)值內(nèi)容所記錄的就是服務(wù)項(xiàng)目驅(qū)動(dòng)程式該在何時(shí)被加載目前微軟對(duì)Start內(nèi)容的定義有0、1、2、3、4等五種狀態(tài),0、1、2分別代表Boot、System、AutoLoad等叁種意義。而Start數(shù)值內(nèi)容為3的服務(wù)項(xiàng)目代表讓使用者以手動(dòng)的方式載入(Loadondemand),4則是代表停用的狀態(tài),也就是禁用Windows系統(tǒng)服務(wù)服務(wù)包括三種啟動(dòng)類型：自動(dòng)，手動(dòng)，禁用Windows的系統(tǒng)進(jìn)程基本的系統(tǒng)進(jìn)程smss.exeSessionManagercsrss.exe子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe管理用戶登錄lsass.exe管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù))svchost.exe包含很多系統(tǒng)服務(wù)spoolsv.exe將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù))explorer.exe資源管理器internat.exe輸入法

Windows的系統(tǒng)進(jìn)程基本的系統(tǒng)進(jìn)程Windows的系統(tǒng)進(jìn)程附加的系統(tǒng)進(jìn)程（這些進(jìn)程不是必要的）

mstask.exe允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù))regsvc.exe允許遠(yuǎn)程注冊(cè)表操作。(系統(tǒng)服務(wù))winmgmt.exe提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。inetinfo.exe通過Internet信息服務(wù)的管理單元提供FTP連接和管理。(系統(tǒng)服務(wù))tlntsvr.exe允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。(系統(tǒng)服務(wù))termsrv.exe提供多會(huì)話環(huán)境允許客戶端設(shè)備訪問虛擬的Windows2000Professional桌面會(huì)話以及運(yùn)行在服務(wù)器上的基于Windows的程序。(系統(tǒng)服務(wù))dns.exe應(yīng)答對(duì)域名系統(tǒng)(DNS)名稱的查詢和更新請(qǐng)求。(系統(tǒng)服務(wù))

Windows的系統(tǒng)進(jìn)程附加的系統(tǒng)進(jìn)程（這些進(jìn)程不是必要的）Windows的系統(tǒng)進(jìn)程tcpsvcs.exe提供在PXE可遠(yuǎn)程啟動(dòng)客戶計(jì)算機(jī)上遠(yuǎn)程安裝Windows2000Professional的能力。(系統(tǒng)服務(wù))ismserv.exe允許在WindowsAdvancedServer站點(diǎn)間發(fā)送和接收消息。(系統(tǒng)服務(wù))ups.exe管理連接到計(jì)算機(jī)的不間斷電源(UPS)。(系統(tǒng)服務(wù))wins.exe為注冊(cè)和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務(wù)。(系統(tǒng)服務(wù))llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù))RsSub.exe控制用來遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù))locator.exe管理RPC名稱服務(wù)數(shù)據(jù)庫。(系統(tǒng)服務(wù))

lserver.exe注冊(cè)客戶端許可證。(系統(tǒng)服務(wù))dfssvc.exe管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù))Windows的系統(tǒng)進(jìn)程tcpsvcs.exe提供在PXWindows的系統(tǒng)進(jìn)程msdtc.exe并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫，消息隊(duì)列，文件系統(tǒng)，或其它事務(wù)保護(hù)資源管理器。(系統(tǒng)服務(wù))faxsvc.exe幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù))cisvc.exeIndexingService(systemservice)dmadmin.exe磁盤管理請(qǐng)求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù))mnmsrvc.exe允許有權(quán)限的用戶使用NetMeeting遠(yuǎn)程訪問Windows桌面。(系統(tǒng)服務(wù))netdde.exe提供動(dòng)態(tài)數(shù)據(jù)交換(DDE)的網(wǎng)絡(luò)傳輸和安全特性。(系統(tǒng)服務(wù))smlogsvc.exe配置性能日志和警報(bào)。(系統(tǒng)服務(wù))rsvp.exe為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號(hào)和本地通信控制安裝功能。(系統(tǒng)服務(wù))RsEng.exe協(xié)調(diào)用來儲(chǔ)存不常用數(shù)據(jù)的服務(wù)和管理工具。(系統(tǒng)服務(wù))RsFsa.exe管理遠(yuǎn)程儲(chǔ)存的文件的操作。(系統(tǒng)服務(wù))Windows的系統(tǒng)進(jìn)程msdtc.exe并列事務(wù)，是分布Windows的系統(tǒng)進(jìn)程grovel.exe掃描零備份存儲(chǔ)(SIS)卷上的重復(fù)文件，并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn)，以節(jié)省磁盤空間。(系統(tǒng)服務(wù))SCardSvr.exe對(duì)插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問控制。(系統(tǒng)服務(wù))snmp.exe包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。(系統(tǒng)服務(wù))snmptrap.exe接收由本地或遠(yuǎn)程SNMP代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運(yùn)行在這臺(tái)計(jì)算機(jī)上SNMP管理程序。(系統(tǒng)服務(wù))UtilMan.exe從一個(gè)窗口中啟動(dòng)和配置輔助工具。(系統(tǒng)服務(wù))msiexec.exe依據(jù).MSI文件中包含的命令來安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù))Windows的系統(tǒng)進(jìn)程grovel.exe掃描零備份存儲(chǔ)Windows安全風(fēng)險(xiǎn)Windows安全風(fēng)險(xiǎn)基本HTTP請(qǐng)求“/files/index.html”等價(jià)于HTTP命令“GET/files/index.htmlHTTP/1.0”CGI調(diào)用“/scripts/cgi.exe?var1+var2”表示將var1和var2提交給cgi.exe(“+”是分隔符)ASP調(diào)用/scripts/cgi.exe?var1=X&var2=Y表示將X、Y分別作為兩個(gè)變量提交基本HTTP請(qǐng)求“http://www.webmaster.HTTP文件遍歷和URL編碼空格%20

加號(hào)%2B

句號(hào)%2E

斜線(/)%2F

冒號(hào)%3A

問號(hào)%3F

反斜線(\)%5C

ASCII編碼HTTP文件遍歷和URL編碼空格IIS溢出問題(1).htr緩沖區(qū)溢出漏洞IPP(InternetPrintingProtocol)緩沖區(qū)溢出(IPP是處理.printer文件的C:\winnt\system32\msw3prt.dll)當(dāng)以下調(diào)用超過420字節(jié)時(shí)，問題就會(huì)發(fā)生對(duì)策：刪除DLL和文件擴(kuò)展之間的映射GET/NULL.printerHTTP/1.0Host:[buffer]IIS溢出問題(1).htr緩沖區(qū)溢出漏洞GET/NULL刪除DLL和文件擴(kuò)展之間的映射刪除DLL和文件擴(kuò)展之間的映射IIS溢出問題(2)索引服務(wù)ISAPI擴(kuò)展溢出(通常被稱為ida/idq溢出)由idq.dll引起，當(dāng)buffer長(zhǎng)度超過240字節(jié)時(shí)，問題就會(huì)發(fā)生Null.ida為文件名，無需真的存在直至現(xiàn)在上沒有漏洞利用代碼CodeRed的感染途徑對(duì)策：刪除idq.dll和文件擴(kuò)展之間的映射GET/NULL.ida?HTTP/1.1Host:[buffer]IIS溢出問題(2)索引服務(wù)ISAPI擴(kuò)展溢出(通常被稱為iIIS溢出問題(3)Frontpage2000服務(wù)擴(kuò)展溢出最早由NSFocus(中國安全研究小組)提出FPSE在Windows2000中的位置：C:\Programfiles\CommomFiles\MicrosoftShared\WebServerExtensions問題焦點(diǎn)是fp30reg.dll和fp4areg.dll(后者默認(rèn)總是提供的)收到超過258字節(jié)的URL請(qǐng)求時(shí)，問題就會(huì)出現(xiàn)漏洞利用工具：fpse2000ex對(duì)策：刪除fp30reg.dll和fp4areg.dll文件IIS溢出問題(3)Frontpage2000服務(wù)擴(kuò)展溢出IIS的Unicode問題問題產(chǎn)生的要義“%c0%af”和“%c1%9c”分別是“/”“\”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等對(duì)策安裝MS00-086中的補(bǔ)丁由于沒有實(shí)現(xiàn)分區(qū)跳轉(zhuǎn)功能，可以在系統(tǒng)分區(qū)之外安裝IIS設(shè)置嚴(yán)格的NTFS權(quán)限在服務(wù)器的Write和ExcuteACL中刪除Everyone和User組IIS的Unicode問題問題產(chǎn)生的要義更近一步雙解碼/二次解碼同樣由NSFocus發(fā)布對(duì)策：應(yīng)用MS01-26給出的補(bǔ)丁(不包括在sp2中)注意和Unicode的區(qū)別，包括相關(guān)日志GET/scripts/..%255c..255c%winnt/system32/cmd.exe更近一步雙解碼/二次解碼同樣由NSFocus發(fā)布GETIIS的其它問題源代碼泄漏的危險(xiǎn).htr風(fēng)險(xiǎn).htw/webhits風(fēng)險(xiǎn)權(quán)限提升的問題遠(yuǎn)程調(diào)用RevertToself的ISAPIDLL向LSA本地注射代碼IIS的其它問題源代碼泄漏的危險(xiǎn)Windows2000終端服務(wù)TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)實(shí)現(xiàn)終端服務(wù)不是使用HTTP或HTTPS的，而是通過RDP通道實(shí)現(xiàn)TS監(jiān)聽端口可以自己指定\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp值PortNumberREG_WORD3389(默認(rèn))Windows2000終端服務(wù)TS(TerminalSe針對(duì)TS的攻擊密碼猜測(cè)攻擊風(fēng)險(xiǎn)(TSGrinder)權(quán)限提升風(fēng)險(xiǎn)(PipeUpAdmin、GetAdmin)IME攻擊風(fēng)險(xiǎn)RDPDoS攻擊風(fēng)險(xiǎn)針對(duì)TS的攻擊密碼猜測(cè)攻擊風(fēng)險(xiǎn)(TSGrinder)走進(jìn)MS客戶端客戶端風(fēng)險(xiǎn)評(píng)估惡意電子郵件MIME擴(kuò)展Outlook緩沖區(qū)溢出MediaPlay緩沖區(qū)溢出VBS地址簿蠕蟲走進(jìn)MS客戶端客戶端風(fēng)險(xiǎn)評(píng)估惡意電子郵件MIME惡意郵件實(shí)例HeloMailfroam:hi@Rcptto:attack@DataSublect:ReadmeImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<html>Hi!</html>.quit使用的開放SMTP郵件中繼此處可以添加惡意客戶端腳本通過下列命令執(zhí)行：Typemail.txt|telnetIP25惡意郵件實(shí)例Helo使用Outlook溢出起源于vCard(一種電子名片)Outlook直接打開并運(yùn)行附件中的vCards而不提示用戶vCards存儲(chǔ)于.vcf文件中，也是沒有提示而直接運(yùn)行的當(dāng)vCards的生日字段(BDAY)超過55字符時(shí)，就會(huì)出現(xiàn)溢出對(duì)策：應(yīng)用IE5.5sp2Outlook溢出起源于vCard(一種電子名片)Windows2000的打印驅(qū)動(dòng)以fullcontrol權(quán)限運(yùn)行在OS級(jí)別面臨的主要威脅默認(rèn)情況下任何人都可以安裝打印驅(qū)動(dòng)通過配置組策略或直接修改注冊(cè)表攻擊者可能會(huì)使用木馬替換打印驅(qū)動(dòng)Windows2000的打印驅(qū)動(dòng)以fullcontrol媒體元文件<ASXVersion=“3.0”><Entry><refHREF=“path”/></Entry></ASX>問題所在帶有超長(zhǎng)path值的.asx文件試圖自動(dòng)瀏覽時(shí)，會(huì)導(dǎo)致資源管理器崩潰；另外，可以向path寫入適當(dāng)代碼媒體元文件<ASXVersion=“3.0”>問題所在帶有IIS服務(wù)安全配置禁用或刪除所有的示例應(yīng)用程序

示例只是示例；在默認(rèn)情況下，并不安裝它們，且從不在生產(chǎn)服務(wù)器上安裝。請(qǐng)注意一些示例安裝，它們只可從http://localhost或

訪問；但是，它們?nèi)詰?yīng)被刪除。下面列出一些示例的默認(rèn)位置。示例虛擬目錄位置

IIS示例\IISSamplesc:\inetpub\iissamples

IIS文檔\IISHelpc:\winnt\help\iishelp

數(shù)據(jù)訪問\MSADCc:\programfiles\commonfiles\system\msadc

IIS服務(wù)安全配置禁用或刪除所有的示例應(yīng)用程序示例只是示例IIS服務(wù)安全配置啟用或刪除不需要的COM組件某些COM組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。特別是，應(yīng)考慮禁用文件系統(tǒng)對(duì)象組件，但要注意這將也會(huì)刪除Dictionary對(duì)象。切記某些程序可能需要您禁用的組件。如SiteServer3.0使用FileSystemObject。以下命令將禁用FileSystemObject：

regsvr32scrrun.dll/u刪除IISADMPWD虛擬目錄該目錄可用于重置WindowsNT和Windows2000密碼。它主要用于Intranet情況下，并不作為IIS5的一部分安裝，但是IIS4服務(wù)器升級(jí)到IIS5時(shí)，它并不刪除。如果您不使用Intranet或如果將服務(wù)器連接到Web上，則應(yīng)將其刪除IIS服務(wù)安全配置啟用或刪除不需要的COM組件IIS服務(wù)安全配置刪除無用的腳本映射

IIS被預(yù)先配置為支持常用的文件名擴(kuò)展如.asp和.shtm文件。IIS接收到這些類型的文件請(qǐng)求時(shí)，該調(diào)用由DLL處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，步驟如下：打開Internet服務(wù)管理器。右鍵單擊Web服務(wù)器，然后從上下文菜單中選擇“屬性”。主目錄|配置|刪除無用的.htr.ida.idq.printer.idc.stm.shtml等IIS服務(wù)安全配置刪除無用的腳本映射IIS服務(wù)安全配置禁用父路徑“父路徑”選項(xiàng)允許在對(duì)諸如MapPath

函數(shù)調(diào)用中使用“..”，禁用該選項(xiàng)的步驟如下：右鍵單擊該Web站點(diǎn)的根，然后從上下文菜單中選擇“屬性”單擊“主目錄”選項(xiàng)卡單擊“配置”單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡取消選擇“啟用父路徑”復(fù)選框禁用-內(nèi)容位置中的IP地址“內(nèi)容-位置”標(biāo)頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防火墻或代理服務(wù)器后面隱藏或屏蔽的內(nèi)部IP地址IIS服務(wù)安全配置禁用父路徑IIS服務(wù)安全配置設(shè)置適當(dāng)?shù)腎IS日志文件ACL

確保IIS日志文件(%systemroot%\system32\LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)

這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件設(shè)置適當(dāng)?shù)奶摂M目錄的權(quán)限

確保IIS虛擬目錄如scripts等權(quán)限設(shè)置是否最小化，刪除不需要目錄將IIS目錄重新定向

更改系統(tǒng)默認(rèn)路徑，自定義WEB主目錄路徑并作相應(yīng)的權(quán)限設(shè)置使用專門的安全工具微軟的IIS安全設(shè)置工具：IISLockTool；是針對(duì)IIS的漏洞設(shè)計(jì)的，可以有效設(shè)置IIS安全屬性IIS服務(wù)安全配置設(shè)置適當(dāng)?shù)腎IS日志文件ACL終端服務(wù)安全輸入法漏洞造成的威脅netuserabc123/addnetlocalgroupadministratorsabc/add注冊(cè)表DontDisplayLastUserName1終端服務(wù)安全輸入法漏洞造成的威脅netuserabc1SMB連接與驗(yàn)證過程ClientServer1.建立TCP連接2.客戶端類型、支持的服務(wù)方式列表等3.服務(wù)器認(rèn)證方式、加密用的key等4.用戶名、加密后密碼5.認(rèn)證結(jié)果隨機(jī)生成一把加密密鑰key(8或16字節(jié))采用DES的變形算法，使用key對(duì)密碼散列進(jìn)行加密SMB連接與驗(yàn)證過程ClientServer1.建立TCP連SMB提供的服務(wù)SMB會(huì)話服務(wù)TCP139和TCP443端口SMB數(shù)據(jù)報(bào)支持服務(wù)UDP138和UDP445端口SMB名稱支持服務(wù)UDP137端口SMB通用命令支持服務(wù)SMB提供的服務(wù)SMB會(huì)話服務(wù)開放SMB服務(wù)的危險(xiǎn)開放SMB服務(wù)的危險(xiǎn)SMB名稱類型列表(1)

00UWorkstationService

01UMessengerService

01GMasterBrowser

03UMessengerService

06URASServerService

1FUNetDDEService

20UFileServerService

21URASClientService

22UExchangeInterchange

23UExchangeStore

24UExchangeDirectory

30UModemSharingServerService

31UModemSharingClientService

43USMSClientRemoteControl

44USMSAdminRemoteControlTool名稱列表1SMB名稱類型列表(1)00SMB名稱類型列表(2)

45USMSClientRemoteChat

46USMSClientRemoteTransfer

4CUDECPathworksTCPIPService

52UDECPathworksTCPIPService

87UExchangeMTA

6AUExchangeIMC

BEUNetworkMonitorAgent

BFUNetworkMonitorApps

03UMessengerService

00GDomainName

1BUDomainMasterBrowser

1CGDomainControllers

1DUMasterBrowser

1EGBrowserServiceElections

1CGInternetInformationServer

00UInternetInformationServer名稱列表2SMB名稱類型列表(2)45強(qiáng)化SMB會(huì)話安全強(qiáng)制的顯式權(quán)限許可：限制匿名訪問控制LANManager驗(yàn)證使用SMB的簽名服務(wù)端和客戶端都需要配置注冊(cè)表強(qiáng)化SMB會(huì)話安全強(qiáng)制的顯式權(quán)限許可：限制匿名訪問降低Windows風(fēng)險(xiǎn)降低Windows風(fēng)險(xiǎn)安全修補(bǔ)程序Windows系列ServicePackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序檢查補(bǔ)丁安裝情況/default.asp安全修補(bǔ)程序Windows系列服務(wù)和端口限制限制對(duì)外開放的端口:在TCP/IP的高級(jí)設(shè)置中選擇只允許開放特定端口，或者可以考慮使用路由或防火墻來設(shè)置禁用snmp服務(wù)或者更改默認(rèn)的社區(qū)名稱和權(quán)限禁用terminalserver服務(wù)將不必要的服務(wù)設(shè)置為手動(dòng)

Alerter

ClipBook

ComputerBrowser……服務(wù)和端口限制限制對(duì)外開放的端口:在TCP/IP的高級(jí)設(shè)置Netbios的安全設(shè)置Windows2000/2003

取消綁定文件和共享綁定打開控制面板－網(wǎng)絡(luò)－高級(jí)－高級(jí)設(shè)置選擇網(wǎng)卡并將Microsoft網(wǎng)絡(luò)的文件和打印共享的復(fù)選框取消，即可以完全禁止TCP139和445WindowsNT在WinNT下取消NetBIOS與TCP/IP協(xié)議的綁定。可以按如下步驟進(jìn)行：點(diǎn)擊“控制面板->網(wǎng)絡(luò)->NetBIOS接口->WINS客戶（TCP/IP)->禁用”，再點(diǎn)“確定”，然后重啟這樣NT的計(jì)算機(jī)名和工作組名也隱藏了Netbios的安全設(shè)置Windows2000/2003Netbios的安全設(shè)置禁止匿名連接列舉帳戶名需要對(duì)注冊(cè)表做以下修改運(yùn)行注冊(cè)表編輯器（Regedt32.exe）定位在注冊(cè)表中的下列鍵上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA在編輯菜單欄中選取加一個(gè)鍵值：ValueName:RestrictAnonymousDataType:REG_DWORDValue:1（Windows2000下為2）Netbios的安全設(shè)置禁止匿名連接列舉帳戶名需要對(duì)注冊(cè)表做Netbios的安全設(shè)置Windows2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名連接的額外限制）選項(xiàng)，提供三個(gè)值可選0：None.Relyondefaultpermissions（無，取決于默認(rèn)的權(quán)限）1：DonotallowenumerationofSAMaccountsandshares（不允許枚舉SAM帳號(hào)和共享）2：Noaccesswithoutexplicitanonymouspermissions（沒有顯式匿名權(quán)限就不允許訪問）

Netbios的安全設(shè)置Windows2000的本地安全策Windows2000注冊(cè)表所有的配置和控制選項(xiàng)都存儲(chǔ)在注冊(cè)表中分為五個(gè)子樹，分別是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本機(jī)相關(guān)配置信息Windows2000注冊(cè)表所有的配置和控制選項(xiàng)都存儲(chǔ)在注注冊(cè)表安全查詢數(shù)值允許用戶和組從注冊(cè)表中讀取數(shù)值設(shè)置數(shù)值允許用戶和組從注冊(cè)表中設(shè)置數(shù)值創(chuàng)建子項(xiàng)允許用戶和組在給定的注冊(cè)項(xiàng)中創(chuàng)建子項(xiàng)計(jì)數(shù)子項(xiàng)允許用戶和組識(shí)別某注冊(cè)項(xiàng)的子項(xiàng)通知