信息安全专题培训windows系统安全-资料下载页

　　

【正文】 0。NetworkMonitorApps03UMessengerService00GDomainName1BUDomainMasterBrowser1CGDomainControllers1DUMasterBrowser1EGBrowserServiceElections1CGInterInformationServer00UInterInformationServer名称列表名称列表 267Strictly Private amp。 Confidential强化 SMB会话安全• 强制的显式权限许可：限制匿名访问• 控制 LANManager验证• 使用 SMB的签名– 服务端和客户端都需要配置注册表68Strictly Private amp。 Confidential降低 Windows风险69Strictly Private amp。 Confidential安全修补程序• Windows系列– ServicePack167。 NT(SP6A)、 2022(SP4)、 XP(SP2)– Hotfix• Microsoft出品的 hfchk程序– 检查补丁安装情况– 70Strictly Private amp。 Confidential服务和端口限制• 限制对外开放的端口 :在 TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置 • 禁用 snmp服务或者更改默认的社区名称和权限• 禁用 terminalserver服务• 将不必要的服务设置为手动AlerterClipBookComputerBrowser……71Strictly Private amp。 ConfidentialNetbios的安全设置• Windows2022/2022取消绑定文件和共享绑定– 打开 控制面板－网络－高级－高级设置– 选择网卡并将 Microsoft网络的文件和打印共享的复选框取消，即可以完全禁止 TCP139和 445• WindowsNT– 在 WinNT下取消 NetBIOS与 TCP/IP协议的绑定。可以按如下步骤进行：– 点击 “控制面板 网络 NetBIOS接口 WINS客户（ TCP/IP)禁用 ”，再点 “确定 ”，然后重启– 这样 NT的计算机名和工作组名也隐藏了72Strictly Private amp。 ConfidentialNetbios的安全设置• 禁止匿名连接列举帐户名需要对注册表做以下修改– 运行注册表编辑器（ ）– 定位在注册表中的下列键上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA– 在编辑菜单栏中选取加一个键值：167。 ValueName:RestrictAnonymous167。 DataType:REG_DWORD167。 Value:1（ Windows2022下为 2）73Strictly Private amp。 ConfidentialNetbios的安全设置• Windows 2022的本地安全策略（或域安全策略中）中有RestrictAnonymous（ 匿名连接的额外限制）选项，提供三个值可选 – 0： None.Relyondefaultpermissions（ 无，取决于默认的权限） – 1： DonotallowenumerationofSAMaccountsandshares（ 不允许枚举SAM帐号和共享） – 2： Noaccesswithoutexplicitanonymouspermissions（ 没有显式匿名权限就不允许访问） 74Strictly Private amp。 ConfidentialWindows2022注册表• 所有的配置和控制选项都存储在注册表中• 分为五个子树，分别是 Hkey_local_machine、 Hkey_users、Hkey_current_user、 Hkey_classes_root、 Hkey_current_config• Hkey_local_machine包含所有本机相关配置信息75Strictly Private amp。 Confidential注册表安全 查询数值 允许用户和组从注册表中读取数值 设置数值 允许用户和组从注册表中设置数值 创建子项 允许用户和组在给定的注册项中创建子项 计数子项 允许用户和组识别某注册项的子项 通 知 允许用户和组从注册表中审计通知事件 创建链接 允许用户和组在特定项中建立符号链接 删 除 允许用户和组在删除选定的注册项 写入 DAC 允许用户和组将 DAC写入注册表项 写入所有者 允许用户和组获得注册表项的所有权 读取控制 允许用户和组具有访问选定注册表项的安全信息权 限 解 释76Strictly Private amp。 Confidential注册表的默认权限77Strictly Private amp。 Confidential注册表的审计• 对注册表的审计是必需的• 审计内容的选择– 注册表每秒被访问 5001500次– 任何对象都有可能访问注册表• 默认的注册表审计策略为空78Strictly Private amp。 Confidential禁止对注册表的远程访问79Strictly Private amp。 Confidential禁止和删除服务• 通过 • 使用 ResourceKit彻底删除服务– Sc命令行工具– Instsrv工具• 举例– OS/2和 Posix系统仅仅为了向后兼容– Server服务仅仅为了接受 bios请求80Strictly Private amp。 Confidential针对 Windows2022的入侵 (1)• 探测– 选择攻击对象，了解部分简单的对象信息；针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试• 针对探测的安全建议– 对于网络：安装防火墙，禁止这种探测行为– 对于主机：安装个人防火墙软件，禁止外部主机的 ping包，使对方无法获知主机当前正确的活动状态81Strictly Private amp。 Confidential针对 Windows2022的入侵 (2)• 扫描– 使用的扫描软件– NAT、 流光 、 Xscan、 SSS• 扫描远程主机 – 开放端口扫描 – 操作系统识别 – 主机漏洞分析82Strictly Private amp。 Confidential扫描结果：端口扫描83Strictly Private amp。 Confidential扫描结果： 操作系统识别84Strictly Private amp。 Confidential扫描结果：漏洞扫描85Strictly Private amp。 Confidential针对 Windows2022的入侵 (3)• 查看目标主机的信息86Strictly Private amp。 Confidential针对 Windows2022的入侵 (4)• IIS攻击– 尝试利用 IIS中知名的 Unicode和 “Translate:f”漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限• Administrator口令强行破解– 这里我们使用 NAT（ NetBIOSAuditingTool） 进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后 用 NAT进行破解87Strictly Private amp。 ConfidentialAdministrator口令破解情况88Strictly Private amp。 Confidential针对 Windows2022的入侵 (5)• 巩固权力– 现在我们得到了 Administrator的帐户，接下去我们需要巩固权力– 装载后门– 一般的主机为防范病毒，均会安装反病毒软件，如 Norton AntiVirus、 金山毒霸等，并且大部分人也能及时更新病毒库，而多数木马程序在这类软件的病毒库中均被视为 Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来– 我们使用 NetCat作为后门程序进行演示89Strictly Private amp。 Confidential安装后门程序 (1)• 利用刚刚获取的 Administrator口令，通过 Netuse映射对方驱动器90Strictly Private amp。 Confidential安装后门程序 (2)• 将 cat主程序 ，可将程序名称改为容易迷惑对方的名字• 利用 at命令远程启动 NetCat91Strictly Private amp。 Confidential安装后门程序 (3)92Strictly Private amp。 Confidential针对 Windows2022的入侵 (6)• 清除痕迹– 我们留下了痕迹了吗– del*.evtechoxxx*.evt• 看看它的日志文件– 无安全日志记录93Strictly Private amp。 Confidential通过入侵来看 Win2022的防范• 安装防火墙软件，对安全规则库定期进行更新 • 及时更新操作系统厂商发布的 SP补丁程序 • 停止主机上不必要的服务，各种服务打开的端口往往成为黑客攻击的入口 • 使用安全的密码• 如果没有文件和打印机共享要求，最好禁止 13 139和 445端口上的空会话 • 经常利用 session、 stat查看本机连接情况94Strictly Private amp。 ConfidentialQamp。A感谢聆听！Thankyouforattending！