05第五章 windowsxp系统高阶安全

信息安全个人防护主讲:梁晓琦第五章Windowsxp系统高阶安全信息安全个人防护主讲:梁晓琦本讲的目标•了解系统的常见进程，分析和辨别系统基本进程，对进程进行管理操作。•了解系统日志，掌握对系统日志的分析操作。•掌握安全模板概念、作用，能够管理和配置安全模板。信息安全个人防护主讲:梁晓琦授课建议•重点介绍系统的进程管理，分析和辨别系统基本进程，对进程进行管理操作。•通过演示介绍系统日志管理，掌握对系统日志的分析操作。•介绍安全模板概念、作用，能够管理和配置安全模板。信息安全个人防护主讲:梁晓琦进程管理信息安全个人防护主讲:梁晓琦WindowsXP的基本进程•Csrss.exe•这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。•SystemIdleProcess•这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。•Smss.exe•这是一个会话管理子系统，负责启动用户会话。•Services.exe•系统服务的管理工具。•Lsass.exe•本地的安全授权服务。•Explorer.exe•资源管理器。•Spoolsv.exe•管理缓冲区中的打印和传真作业。•Svchost.exe•用来运行动态链接库DLL文件，从而启动对应的服务。svchost.exe进程可以同时启动多个服务。信息安全个人防护主讲:梁晓琦svchost.exe•常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。•是一个服务宿主，它本身并不能给用户提供任何服务，但是可以用来运行动态链接库DLL文件，从而启动对应的服务。svchost.exe进程可以同时启动多个服务。•通过读取某服务在注册表中的信息，即可知道应该调用哪个动态链接库，从而启动该服务。•“server”服务:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver•tasklist/svc,查看svchost启动了哪些进程信息安全个人防护主讲:梁晓琦explorer.exe•常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe•explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒信息安全个人防护主讲:梁晓琦iexplore.exe•常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe信息安全个人防护主讲:梁晓琦rundll32.exe•常被病毒冒充的进程名有：rundl132.exe、rundl32.exe•在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。信息安全个人防护主讲:梁晓琦spoolsv.exe•常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。•spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。信息安全个人防护主讲:梁晓琦病毒进程隐藏•以假乱真•假借类似前面提到的正常进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe•偷梁换柱•如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。•借尸还魂•病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了。信息安全个人防护主讲:梁晓琦进程管理工具－ProcessExplorer信息安全个人防护主讲:梁晓琦日志与审计事件查看器•“控制面板”-“管理工具”-“事件查看器”•五种类型的日志记录事件•应用程序日志：记录应用程序或一般程序的事件。•安全性日志：可以记录例如有效和无效的登录尝试等安全事件，以及与资源使用有关的事件。例如创建、打开或删除文件以及有关设置的修改。•系统日志：包含由WindowsXP系统组件记录的事件，例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。•MicrosoftOfficeSessions:Office应用的会话管理日志。•MicrosoftOfficeDiagnostics:MicrosoftOffice诊断服务。普通用户基本用不上.•事件查看器显示以下事件类型•信息•警告•错误•审核成功•审核失败信息安全个人防护主讲:梁晓琦如何规划事件日志审计规则•注意事项：•太多的审核会消耗大量的资源。用户每一次移动鼠标都会被记录下来(这太过分了。但是，记录一次并不过分)。•过多的审核是无用的•特别需要记录下来的事件•登录和登出事件，由审计账户登录事件和审计登录设置进行跟踪，能够指出反复登录失败的事件并且指出一个特定的账户正在被一个攻击利用。•账户管理，由审计账户管理设置进行跟踪，能够指出曾经使用或者设法使用他们的用户权限和计算机管理员权限的那些用户。•启动和关闭事件，由审计系统事件设置跟踪，能够显示用户已经设法管理了一个系统以及在启动时什么服务没有正常启动。•策略改变，由审计策略改变设置进行跟踪，能够指出用户篡改安全设置。•权限使用事件，由审计权限使用设置进行跟踪，能够显示修改某些目标许可权限的企图。信息安全个人防护主讲:梁晓琦设置事件日志•日志保留天数•日志保留方法•限制本地来宾组访问日志•日志最大值信息安全个人防护主讲:梁晓琦修复损害的事件日志文件•1、禁用事件日志服务•2、重新启动windowsXP•3、从%SystemRoot%\System32\Config目录中（或其它位置上）删除受损日志文件--Appevent.evt、Secevent.evt和/或Sysevent.evt。你的现有事件数据将全部丢失，但新的日志文件将在事件日志服务重新启动时予以创建并重新开始收集新的事件数据。•4、重新启用事件日志服务并将其启动。•5、如果事件日志服务未能成功启动，请重新启动WindowsXP。注意：在事件日志服务运行过程中，你将无法删除或重命名日志文件。信息安全个人防护主讲:梁晓琦网络差错信息安全个人防护主讲:梁晓琦网上邻居访问故障解决•1．别人无法看到自己的电脑•经检查网络配置，发现是漏装“Microsoft网络上的文件与打印机共享”所致。•2.可以看见计算机但无法访问•主浏览器的列表更新需要每隔一段时间进行，这样客户机得到的浏览列表就不是实时更新的•3.无法访问局域网内电脑怎么办?•通常我们通过网上邻居访问其它计算机资源是以“guest(来宾)”账号进行的。这个guest用户访问是不需输入任何密码的，用户名也不用，由系统默认了(就是guest)。•guest账户不可用的解决方案•1)首先启用guest来宾帐户•2）检查用户权利指派，对guest帐户进行设置，在“控制面板→管理工具→本地安全策略→本地策略→用户权利指派”里，“从网络访问此计算机”中加入guest帐户，而“拒绝从网络访问这台计算机”中删除guest帐户。•3）控制面板→管理工具→本地安全策略→本地策略→安全选项里，把“网络访问:本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”(可选，此项设置可去除访问时要求输入密码的对话框，也可视情况设为“经典-本地用户以自己的身份验证”)•4）右击“我的电脑”→“属性”→“计算机名”，该选项卡中有没有出现你的局域网工作组名称，如“work”等。然后单击“网络ID”按钮，根据“网络标识向导”配置。信息安全个人防护主讲:梁晓琦安全模板•安全模板是一种可以定义安全策略的文件表示方式安全区域说明账户策略密码策略、账户锁定策略以及Kerberos策略本地策略审计策略、用户权限分配和安全选项时间日志应用程序、用户权限分配和安全选项受限制的组与安全性相关的组成员关系系统服务系统服务的启动和权限注册表注册项权限文件系统文件和文件夹权限信息安全个人防护主讲:梁晓琦预定义安全模板•1．默认安全设置(Setupsecurity.inf)•Setupsecurity.inf是一个针对于特定计算机的模板，它代表在安装操作系统期间所应用的默认安全设置，其设置包括系统驱动器的根目录的文件权限。可将该模板或其一部分用于灾难恢复目的。•2.兼容（Compatws.inf）•提供基本的安全策略，执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。•3.安全（Secure*.inf）•定义了至少可能影响应用程序兼容性的增强安全设置，还限制了LANManager和NTLM身份认证协议的使用，其方式是将客户端配置为仅可发送NTLMv2响应，而将服务器配置为可拒绝LANManager的响应。•4.高级安全（Hisec*.inf）•提供高安全的客户端策略模板，执行高级安全的环境，是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。•5.系统根目录安全Rootsec.inf•确保系统根的安全，可以指定由WindowsXPProfessional所引入的新的根目录权限。默认情况下，Rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。•注：这些模板存储在%Systemroot%\Security\Templates目录下信息安全个人防护主讲:梁晓琦安装安全模板•①依次点击开始和运行按钮，键入mmc并点击确定按钮就会打开控制台节点；•②点击文件菜单中的添加/删除管理单元，在打开的窗口中点击独立标签页中的”添加按钮；•③在可用的独立管理单元列表中选中安全模板，然后点击添加按钮，最后点击”关闭，这样安全模板管理单元就被添加到MMC控制台中了。信息安全个人防护主讲:梁晓琦应用安全模板•①首先要添加“安全配置和分析”管理单元，打开MMC控制台的“文件”菜单，点击“添加/删除管理单元”，在“添加独立管理单元”列表中选中“安全配置和分析”，并点击“添加”按钮，这样安全配置和分析管理单元就被添加到MMC控制台中了；•②在控制台树中的“安全配置和分析”上点击鼠标右键，选择“打开数据库”，在弹出的窗口中键入新数据库名，然后点击打开按钮；•③在安全模板列表窗口中选择要导入的安全模板，然后点击“打开”按钮，这样该安全模板就被成功导入了；•④在控制台树中的“安全配置和分析”上点击右键，然后在快捷菜单中选择“立即配置计算机，就会弹出确认错误日志文件路径窗口，点击确定按钮。信息安全个人防护主讲:梁晓琦设置安全模板——设置账户策略密码策略账户锁定策略信息安全个人防护主讲:梁晓琦设置安全模板——设置本地策略•审核策略•用户权限策略•安全选项信息安全个人防护主讲:梁晓琦设置安全模板——设置注册表•①在控制台树中，用鼠标右键点击注册表节点，在弹出的快捷菜单中选择添加密钥；•②在选择注册表项对话框中，选择好要添加密钥的注册表项，然后点击确定按钮；•③在数据库安全设置对话框中，为该注册表项选择合适的权限，然后点击确定按钮；•④在模板安全策略设置对话框中，选择需要的继承权限方式，最后点击确定按钮。