搜索
北邮•信息安全中心•崔宝江系统安全崔宝江副教授博导北京邮电大学信息安全中心cui_bj@sina.com.cn北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江•1.用户帐户和密码管理设定安全的密码至少包含8个字符(获得最高的安全性,至少15个字符,使强硬破解方式成指数倍增长)大小写、数字和符号的组合不包含姓名、用户名或者常用单词不与其他人共享定期更换密码(1、2、3个月)Windows安全基础北邮•信息安全中心•崔宝江SAM(SecurityAccountsManager)•在独立的Windows计算机上,安全账户管理器负责保存用户账户名和口令的信息•口令通过散列散列并并被加密被加密,现有的技术不能将打乱的口令恢复(尽管如此,散列的口令是可以被猜出的)•SAM组成了注册表的5个配置单元之一,它在文件%systemroot%\system32\config\sam中实现•在Windows2000域控制器上,用户账户和散列的数据保存在活动目录中(默认为%systemroot%\ntds\ntds.dit)。散列是以相同的格式保存的,但是要访问它们必须通过不同的方法北邮•信息安全中心•崔宝江一.Windows安全基础WinlogonGINALSASSSecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA,监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库北邮•信息安全中心•崔宝江一.Windows安全基础WinlogonGINA图形身份认证和验证动态链接库LSA本地安全管理授权AuthenticationPackages验证软件包Netlogon服务SAM安全帐户管理器北邮•信息安全中心•崔宝江Windows的身份验证机制•不同身份验证机制:LanManager--LM口令散列算法win9XNTLM--更加强大的加密NT版winNTSP3NTLMv2–第二版winNTSP4KerberosV5–win2K之后的域环境北邮•信息安全中心•崔宝江LM口令加密方案•LM对口令的处理方法如果口令不足14位,就用0把口令补足14位把所有的字母转称大写字母将处理后的口令分成两组数字,每组是7位。由这两个7位的数字分别生成8位的DESKEY每一个8位的DESKEY都使用一个魔法数字再进行散列加密形成64位的值将两组64位的值串连在一起,这就是最终的128位口令散列北邮•信息安全中心•崔宝江LanMan的缺陷与建议•缺陷如果口令长度在8-13位之间,则后面的7字符先破解,对前7个字符的破解可以提供某些信息•建议:使用较长的口令北邮•信息安全中心•崔宝江NTLM-加密NT版•NTLM(加密NT版)是将用户的口令转换成unicode编码,然后使用MD4算法将口令加密。LANmanager口令使用了较弱的密钥和算法,比较容易破解。相比较之下,使用较强加密算法的NTLM要安全,而NTLMv2更加安全。北邮•信息安全中心•崔宝江•1.用户帐户和密码管理设定安全的密码至少包含8个字符(获得最高的安全性,至少15个字符,使强硬破解方式成指数倍增长)大小写、数字和符号的组合不包含姓名、用户名或者常用单词不与其他人共享定期更换密码(1、2、3个月)Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理保护administrator帐户修改名,不要使用它作为日常帐户使用后不要保持登录状态关闭此管理员帐户。Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理保护guest帐户关闭、停用、改名将guest列入拒绝从网络访问名单中(如果没有共享文件夹和打印机),防止guest从网络访问计算机、关闭计算机以及查看日志。Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理使用syskey增加额外的保护保护SAM安全SAM:SecurityAccountsManager,包含有本地系统或者所控制域上所有用户的用户名和密文形式的密码,这是攻击者最感兴趣的部位获取sam的手段从另一个文件系统进行拷贝从关键文件的备份中获取压缩之后的sam文件在线提取密码散列值破解工具无论是字典破解,还是穷举攻击,往往很奏效Windows安全基础北邮•信息安全中心•崔宝江•1.用户帐户和密码管理密码破解工具WinternalslocksmithElcomsoftadancedntsecurityexplorerL0phtcrack5OffineNTpassword®istryeditorWindowsXP/2000/NTkeyJohntheripperWindows安全基础北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江Windows安全基础•2.保护注册表键-子键-键值键值项格式键值名:数据类型:键值键值类型字符串二进制值双字节值(DWORD)北邮•信息安全中心•崔宝江Windows安全基础•2.保护注册表HKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG北邮•信息安全中心•崔宝江Windows安全基础•2.保护注册表限制注册表的访问权限监控注册表的变化FileMon/RegMon实时监视文件和注册表的改变ActiveRegistryMonitor获得注册表的快照北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江Windows安全基础•3.监视安全事件启用安全审核本地安全策略北邮•信息安全中心•崔宝江Windows安全基础•3.监视安全事件查看安全日志事件查看器EventCombMT北邮•信息安全中心•崔宝江Windows安全基础动作•对登录/注销的失败审核•对登录/注销的成功审核•对用户权限、用户和组管理、安全更改策略、重新启动、关机和系统事件的成功审核•对敏感文件访问和对象访问事件的成功和失败审核•对R/W访问权限的成功和失败进行审核攻击攻击随机口令攻击随机口令攻击被盗窃的口令侵入被盗窃的口令侵入滥用特权滥用特权不适当的文件访问不适当的文件访问北邮•信息安全中心•崔宝江系统安全•1.用户帐户和密码管理•2.保护注册表•3.监视安全事件•4.端口和协议安全北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性常用端口和协议确定活动的端口及其应用程序限制对端口的访问关闭不需要的服务北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性常用端口和协议IANA(internetassignednumbersauthority)1~1023已知分配1024~49151需注册端口49152~65535自主使用FTP21文件传输协议telnet23使用字符的终端连接Smtp25简单邮件传输协议http80超文本传输协议Pop3110邮局协议版本3NNTP119网络新闻传输协议SNMP161简单网络管理协议HTTPS443安全HTTPRDP3389远端桌面协议(终端服务)Pcanywhere5631/5632PCanywhere7.52北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性确定活动的端口及其应用程序任务管理器的进程菜单tasklisttasklist/svctasklist/vtasklist/mdll名称TlistTlist–sTlist–tTlistpidTlist–mdll名称netstat–aon北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性限制对端口的访问TCP/IP筛选器根据源或目标地址/端口/协议来拒绝或允许流量InternetConnectionFirewall组织除了由自己的自己计算机发起的通信的响应外所有进入的流量防止黑客试图访问可能有监听程序运行的端口IPSecurity提供了通过加密和身份验证保护流量的能力北邮•信息安全中心•崔宝江二.Windows网络安全•4.端口和协议的安全性关闭不需要的服务服务控制台Services.msc禁止的服务Clipbooksever该服务允许通过网络取得系统剪贴版内容的访问权,因容易被非法滥用.所以应该禁止掉这样的服务.Computerbrowser应该设置为关闭或者手工启动因为越来越多的主机运行这项服务,网上邻居就越不可靠.这就会引起网络性能下降以及名字解析的问题.NetworkDDEandDDEDSDE如果不是动态数据库交换dde应该尽可能禁止这项服务Telephony提供TAPI的支持,以便程序控制本地计算机,服务器以及LAN上的电话设备和基于IP的语音连接。Indexingservice一个依赖rpc的系统服务,支持本地和远程计算机上文件索引,该服务曾经出现过漏洞telnet允许远程用户登录到此计算机并运行程序TCP/IPNetBIOSHelper允许对“TCP/IP上NetBIOS(NetBT)”服务以及NetBIOS名称解析的支持。TaskScheduler使用户能在此计算机上配置和制定自动任务的日程。RemoteRegistry使远程用户能修改此计算机上的注册表设置。PrintSpooler将文件加载到内存中以便迟后打印。Messenger传输客户端和服务器之间的NETSEND和Alerter服务消息。北邮•信息安全中心•崔宝江Q&A