windows系统安全管理

©2014绿盟科技系统安全管理•链接：•密码：ei5j目录Windows系统管理Windows简介及常用命令windows文件权限控制Windows系统管理Windows共享管理反射攻击实例Windows入侵调查常见工具介绍系统安全背景分析系统安全背景分析接口决定通路信息系统内网有线环境非法外联无线环境外网Web页面http（80）https（443）特定应用OA特定业务远程维护系统到底有多少个接口？基于服务器实现应用（windows、linux、unix等）前序-windows系统常用提权手段常见的windows系统提权漏洞有：MS08-067：MS11-080：MS11-046：可直接获取最高权限密码的方式有：Mimikatz2.0PWDUMP+彩虹表可利用的操作系统后门：Shift后门反射攻击（MS12-063）等获取内网PC机器登录权限Mimikatz2.0输入法提权能否这么顺利可冒充目标单位信息中心的人员或第三方外包维护人员，获取PC使用者的信任；权限获取完成后直接植入免杀后门，反射外联即可；此类攻击较为极端，但是内网往往为安全的薄弱点，需要时刻留意；无意识的行为较多，日常所见的大多数均为病毒感染；直接连入网络楼层交换机可管理，登陆成功后开启端口连入内网；直接采用办公室内某台可连入网络的网线；可采用AP等将内网网络通过无线信号转出；实施无线攻击的前提Linux环境：backtrack5r3/kalilinux支持的无线网卡：3COM/INTEL/artheros/ralink切记避免realtek芯片AP信号放大器强大的密码破解字典非法接入——发现信号抓取目标SSID的握手包Airmon-ng开启网卡混杂模式kismet进入监控状况，抓取附近无线信号Airodump-ng，抓取握手包如短时间抓不到握手包，可用mdk3攻击AP，强制其客户端下线Miniewap也可实现上述功能攻击过程Windows简介及常用命令Windows版本发展MicrosoftWindows2000WindowsNT5.0MicrosoftWindowsXPWindowsNT5.1MicrosoftWindowsServer2003WindowsNT5.2MicrosoftWindowsVistaWindowsNT6.0MicrosoftWindowsServer2008WindowsNT6.0MicrosoftWindows7WindowsNT6.1MicrosoftWindowsServer2008R2WindowsNT6.1MicrosoftWindows8WindowsNT6.2MicrosoftWindowsPhone8WindowsNT6.2MicrosoftWindowsServer2012WindowsNT6.2Windows发展史个人操作系统发展史1998年2001年2006年2009年2012年NT5.0服务器操作系统发展史系统信息命令介绍查看系统版本ver查看系统信息、补丁数目systeminfo查看共享情况Netshare查看主机名hostname查看用户netuser查看用户组、SIDWhoami/user查看开放端口netstat-ano用户及用户组用户：组：SID定义介绍SID：安全标识符是用户帐户的内部名，用于识别用户身份，它在用户帐户创建时由系统自动产生。在Windows系统中默认用户中，其SID的最后一项标志位都是固定的，比如administrator的SID最后一段标志位是500，又比如最后一段是501的话则是代表GUEST的帐号。Windows帐号的SID由字符“S”、SID版本号、颁发机构、子颁发机构、RID组成。例：S-1-5-21-310440588-250036847-580389505-500。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifierauthority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组。举例：设置方法：“开始”-“运行”输入secpol.msc立即启用：gpupdate/force账号安全设置：账号策略帐号策略：帐号安全选项相关：密码策略密码策略:密码必须满足：a、长度至少为6个字符；b、密码字符必须来自大写字母、小写字母、数字、非字母符号中的三个。密码复杂度要求:克隆账号克隆帐号：当用Administrator的F项覆盖其他账号的F项后，就造成了账号是管理员权限，但查询还是原来状态的情况，这就是所谓的克隆账号。当系统用户一旦被克隆，配合终端服务，就等于向攻击者开启了一扇隐蔽的后门，让攻击者可以随时进入你的系统，这一扇门你看不到,因为它依靠的是微软的终端服务，并没有释放病毒文件，所以也不会被杀毒软件所查杀。克隆账号1.安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。2.sam文件是windowsNT的用户帐户数据库,所有2K03/2k/NT用户的登录名及口令等相关信息都会保存在这个文件中。3.sam文件可以认为类似于unix系统中的shadow文件,不过没有这么直观明了。我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的HKEY_LOCAL_MACHINE\SAM\SAMHKEY_LOCAL_MACHINE\SECURITY\SAM保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。帐户数据库SAM文件：克隆账号克隆administrator帐号：1.创建隐藏帐号2.打开注册表编辑器修改SAM权限3.按F5刷新注册表，查看克隆账号类型4.分别查看administrator的类型的F值和需要克隆的帐号类型的F值，并将administrator的F值复制覆盖要克隆的帐号的F值5.注销计算机，用克隆帐号登录，netlocalgroupadministrators查看克隆帐号是否在administrators组里6.测试是否真实具有administrator的权限，新建用户并将其加入administrator组弱口令检测：PWDUMPOphcrack利用彩虹表破解PWDUMP的SAM文件密码抓取工具mimikatz2.0文件权限控制前提条件NTFS分区：1.NTFS权限既影响网络访问者也影响本地访问者。2.NTFS权限可以为驱动器、文件夹、注册表键值、打印机等进行设置。3.权限可以配置给用户或组，不同用户或组对同一个文件夹或文件可以有不同的权限分区转换：convertD:/fs:ntfs注意：不可逆，只能将FAT或FAT32系统转换为NTFS系统，不能将NTFS系统转换成FAT或FAT32系统。如果必须转换，一般需要重新格式化磁盘。文件权限细分ACL（accesscontrollist）访问控制列表ACE（Accesscontrolentry）访问控制记录Windows文件权限特性每种权限都有“允许”和“拒绝”两种设置方法。权限的来源有“直接设置”和“继承”两种。如果权限的设置出现矛盾，系统按下面的优先顺序确定权限：直接设置的拒绝→直接设置的允许→继承的拒绝→继承的允许权限的优先顺序：移动、复制对权限继承性的影响：1.在同一分区内移动文件或文件夹，权限保持不变。在不同分区间移动文件或文件夹，权限继承新位置的权限。2.复制文件或文件夹，权限会继承新位置的权限。3.把文件或文件夹移动或复制到FAT分区中时权限会丢失。删除继承权限删除继承权限的方法：夺权：只有两种人员可以抢夺所有权：1、Administrators(管理员)组的用户；2、拥有“获得所有权”这一特别权限的用户。Windows共享管理默认共享、共享权限Windows共享资源计算机管理界面查看共享资源共享与CMD命令netshare：功能：文件或目录共享相关设置默认共享默认共享（C$、D$、E$……）1.IPC$(InternetProcessConnection)可以被理解为一种“专用管道”，可以在连接双方建立一条安全的通道，实现对远程计算机的访问。WindowsNT/2000/XP提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(C$,D$,E$……)和系统目录(ADMIN$)共享。2.所有这些共享的目的，都是为了方便管理员的管理，只要服务器服务”Server”正在运行当中，就不可能删除IPC$。试图删除只会出现”拒绝访问”的错误提示。当你停止了Server服务后。IPC$会自动消失。但在有意无意中，导致了系统安全性的隐患。3.默认共享不是个漏洞。造成安全隐患的并不是默认共享本身。而是系统使用者本身。自定义共享自定义共享1.相关用户启用2.相关用户权限设置3.网络工作组设置4.共享文件夹设置访问共享访问共享资源的方法访问WindowsXP默认共享非常简单：一是通过“开始”→“运行”，输入“\计算机名或IP地址\D$或admin$”（不包括两侧的引号，下同）；二是使用IE等浏览器，在地址栏中输入上述格式或“file://127.0.0.1/d$”（如图）：共享权限“共享”选项卡：共享权限：Windows2003的默认共享权限是Everyone读取；Windows2000的默认共享权限是Everyone完全控制。CMD共享命令Netshare：1.sharename：指共享资源的网络名。如果此名字后面加上“$”字符则此共享就会成为隐含的。2.drive:path：指定将被共享的文件夹的绝对路径（包括驱动器名）。如：C:\MyDocuments。3./USERS：设置可以同时访问共享资源的最大用户数，“number”指具体的用户数。4./UNLIMITED：指不限定同时访问共享资源的用户数。5./REMARK：添加一个有关共享资源的描述性注释，注释内容的文本应该包含在引号(“)中。6./DELETE：关闭共享。CMD共享命令关闭共享：1.netshareD$/del含义：关闭名D$的共享。Windows系统管理服务、进程服务服务属性注册表与服务的关联–在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一服务项目子项都有一个Start数值,这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容所记录的就是服务项目驱动程式该在何时被加载。–目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用。服务与CMD命令Net命令netconfig：功能：显示当前运行的可配置服务，或显示并更改某项服务的设置。更改立即生效并且是永久的参数：1./autodisconnect:time设置在断开连接前用户会话可以不活动的最大分钟数。可以指定-1不断开连接。范围从-1到65535分钟，默认值是15分钟。2./srvcomment:text为在屏幕上显示出来的服务器添加注释。注释可以包含多达48个字符（24个汉字），给文本加上引号。3./hidden:{yes|no}指定服务器的计算机名是否在服务器显示列表上显示。注意隐藏的服务器将不会改变服务器上的权限。默认设置是no。netstart/stopservername:netstart查看已经开启的服务netstopservername停止服务服务带来的威胁建议将以下服务停止，并将启动方