[电脑基础知识]windows系统安全-文库吧资料

　　

【正文】 卡 – 取消选择 “ 启用父路径 ” 复选框 • 禁用 内容位臵中的 IP 地址 “ 内容 位臵 ” 标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址 59 Strictly Private amp。 – 右键单击 Web 服务器 ， 然后从上下文菜单中选择 “ 属性 ” 。 IIS 接收到这些类型的文件请求时 ， 该调用由 DLL 处理 。 如果您不使用 Intra 或如果将服务器连接到 Web 上 ， 则应将其删除 57 Strictly Private amp。 以下命令将禁用 File System Object： regsvr32 /u • 删除 IISADMPWD 虚拟目录 该目录可用于重臵 Windows NT 和 Windows 2022 密码 。 切记某些程序可能需要您禁用的组件 。 Confidential IIS服务安全配臵 • 启用或删除不需要的 COM 组件 某些 COM 组件不是多数应用程序所必需的 ， 应加以删除 。下面 列出一些示例的默认位臵。 Confidential IIS服务安全配臵 • 禁用或删除所有的示例应用程序 示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。 Confidential Windows 2022的打印驱动 • 以 full control权限运行在 OS级别 • 面临的主要威胁 默认情况下任何人都可以安装打印驱动 • 通过配臵组策略或直接修改注册表 • 攻击者可能会使用木马替换打印驱动 54 Strictly Private amp。charset=usascii ContentTransferEncoding:7bit html Hi! /html . quit 使用的开放SMTP邮件中继 此处可以添加恶意客户端脚本 通过下列命令执行： Type | tel IP 25 52 Strictly Private amp。 Confidential 走进 MS客户端 客户端风险评估 • 恶意电子邮件 MIME扩展 • Outlook缓冲区溢出 • Media Play缓冲区溢出 • VBS地址簿蠕虫 51 Strictly Private amp。 Confidential Windows 2022终端服务 • TS(Terminal Service)工作于 3389端口 • TS基于 RDP(Remote Desktop Protocol)实现 • 终端服务不是使用 HTTP或 HTTPS的 ， 而是通过 RDP通道实现 • TS监听端口可以自己指定 – \HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp – 值 PortNumber REG_WORD 3389(默认 ) 49 Strictly Private amp。 Confidential 更近一步 双解码 /二次解码 • 同样由 NSFocus发布 • 对策：应用 MS0126给出的补丁 (不包括在 sp2中 ) • 注意和 Unicode的区别 ， 包括相关日志 GET /scripts/..%255c..255c%winnt/system32/ 47 Strictly Private amp。 Confidential IIS溢出问题 (3) • Frontpage 2022服务扩展溢出 – 最早由 NSFocus(中国安全研究小组 )提出 – FPSE 在 Windows 2022 中 的 位 臵 ： C:\Program files\Commom Files\Microsoft Shared\Web Server Extensions – 问题焦点是 (后者默认总是提供的 ) – 收到超过 258字节的 URL请求时 ， 问题就会出现 – 漏洞利用工具： fpse2022ex • 对策：删除 45 Strictly Private amp。 Confidential 删除 DLL和文件扩展之间的映射 43 Strictly Private amp。 Confidential HTTP文件遍历和 URL编码 空格 %20 加号 %2B 句号 %2E 斜线 (/) %2F 冒号 %3A 问号 %3F 反斜线 (\) %5C ASCII 编码 41 Strictly Private amp。 Confidential Windows安全风险 39 Strictly Private amp。 (系统服务 ) – 依据 .MSI 文件中包含的命令来安装 、 修复以及删除软件 。 (系统服务 ) – 接收由本地或远程 SNMP 代理程序产生的陷阱消息 ， 然后将消息传递到运行在这台计算机上 SNMP 管理程序 。 (系统服务 ) – 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制 。 (系统服务 ) 37 Strictly Private amp。 (系统服务 ) – 协调用来储存不常用数据的服务和管理工具 。 (系统服务 ) – 配臵性能日志和警报 。 (系统服务 ) – 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面 。 (系统服务 ) – 帮助您发送和接收传真 。 (系统服务 ) 36 Strictly Private amp。 (系统服务 ) – 注册客户端许可证 。 (系统服务 ) – 控制用来远程储存数据的媒体 。 (系统服务 ) – 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务 。 (系统服务 ) – 允许在 Windows Advanced Server 站点间发送和接收消息 。 (系统服务 ) 35 Strictly Private amp。 (系统服务 ) – 提供多会话环境允许客户端设备访问虚拟的 Windows 2022 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序 。 – 通过 Inter 信息服务的管理单元提供 FTP 连接和管理 。 (系统服务 ) – 允许远程注册表操作 。 (系统服务 ) – 资源管理器 – 输入法 34 Strictly Private amp。 Confidential Windows的系统进程 基本的系统进程 – Session Manager – 子系统服务器进程 – 管理用户登录 – 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序 。 Confidential Windows系统服务 • 服务包括三种启动类型：自动 ， 手动 ， 禁用 – 自动：启动时自动加载服务 – 手动 :启动时不自动加载服务 ， 在需要的时候手动开启 – 禁用：启动的时候不自动加载服务 ， 在需要的时候选择手动或者自动方式开启服务 ，并重新启动电脑完成服务的配臵  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一笔 服务项目子项都有一个 Start 数值 , 该 数值内容所记录的就是服务项目驱动程式该在何时被加载  目前微软对 Start 内容的定义有 0、 4 等五种状态 , 0、 2 分别代表 Boot、 System、 Auto Load 等叁种意义 。 Confidential Windows系统的共享权限 共享权限级别 允许的用户动作 No Access(不能访问 ) 禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名 ， 改变共享 Read(读 ) 目录的子目录 ， 还允许查看文件的数据 和运行应用程序 Change(更改 ) 具有 “ 读 ” 权限中允许的操作 ， 另外允许往目录中添加文件和子目录 ，更改文数据 ， 删除文件和子目录 Full control(完全控制 ) 具有 “ 更改 ” 权限中允许的操作 ， 另外还允许更改权限 (只适用于 NTFS卷 )和获所有权 (只适用于 NTFS卷 ) 31 Strictly Private amp。 Confidential Windows系统的用户权限 目录权限级别 RXWDPO 允许的用户动作 No Access 用户不能访问该目录 List RX 可以查看目录中的子目录和文件名 ， 也可以进入其子目录 Read RX 具有 List权限 ， 用户可以读取目录中的文件和 运行目录中的应用程序 Add XW 用户可以添加文件和子录 Add and Read RXW 具有 Read和 Add的权限 Change RXWD 有 Add和 Read的权限 ， 另外还可以更改文件的内容 ， 删除文件和子目录 Full control RXWDPO 有 Change的权限 ， 另外用户可以更改权限和获取目录的所有权 29 Strictly Private amp。权限分为目录权限和文件权限 ， 每一个权级别都确定了一个执行特定的任务组合的能力 ， 这 些 任 务 是 ： Read(R) 、 Execute(X) 、 Write(W) 、 Delete(D) 、 Set Permission(P)和 Take Ownership(O)。 Confidential Windows 2022默认共享 • C$、 D$… … • Ipc$：远程会话管理 • Admin$：指向 %WinDir%目录 ， 用于远程管理 27 Strictly Private amp。 Confidential