|
副标题[/!--empirenews.page--]
windows服务器系统登录安全与NTFS技巧
影响windows系统安全的要素很多:安全模型、文件系统、域和工作组、注册表、进程和用户等等。 [安全的五类服务:身份认证、访问控制、数据保密性、数据完整性、不可否认性。]
帐号安全策略设置:
账号介绍:
用户帐户(Account)
所谓用户帐户,是计算机使用者的身份标识。每一个使用计算机的人,必须凭借他的用户帐户才能进入计算机,进而访问计算机中的资源。用户帐户有两种基本类型:本地用户账户和全局用户账户(与用户账户): (1)本地用户创建于网络客户机,作用范围仅限于创建它的计算机,用于控制用户对该计算机上资源的访问。 (2)全局用户账户创建于服务器(域控制器),可以在网络中任何计算机上登录,适用范围是整个网络。
Windows系统常用的内置用户:
(1)Guest:来宾用户。
(2)Administrator:系统管理员账户,具有最高权限。
组(Group):
组是一组相关帐号的集合,即用户帐户的一种容器,提供了为一组用户同时设定权利和权限的可能。目的:简化对系统的管理,通过组可以一次性地为一批用户授予一定的权利和权限。 [Windows NT内置的用户和组帐号:内置用户账号: --Administrator和Guest --可以改名,不能删除。内置用户组账号: --Administrators --Users --Guests --Backup Operators --Replicator --Operators(Print,Account,Sever) --Domain(Administrators,Users,Guests) --特殊组(Network,Interative,Everyone……) ]
组介绍:
- 本地组: (工作组网络环境的组)用于创建网络客户机,控制对所创建的计算机资源的访问。它的成员是用户帐户和全局组,它在一个本地的系统或者域中进行维护。本地组只有在创建它的本地系统或者域中才能实现对许可权和权限的管理。 全局组(域环境中的组): 用于创建服务器(域控制器),控制对域资源的访问。系统管理员可以利用全局组有效地将用户按他们的需要进行安排。 windows系统提供了三类全局组: (1)管理员组(Domain Admins) (2)用户组(Domain Users) (3)域客人组(Domain Guests)
- 特别组: windows系统为了特定的目的创建了特别组。通过用户访问系统资源的方式来决定用户是否具有特别组的成员资格,特别组不可以通过用户管理器为其添加新成员,同时它也不可以被浏览和修改。 windows系统提供的特别组如下: (1)System:Windows操作系统 (2)Creator owner:创建对对象拥有所有权的用户 (3)Interactive:以交互的方式在本地系统登录入网的所有用户 (4)Network:系统中所有通过网络连接的用户。 (5)Everyone:登录上网的所有用户(包括Interactive和Network组) 需要注意的是,在特别组中,所有登录用户都是Everyone组的成员。
帐号安全管理:
- 用户帐户的管理: 从安全角度考虑,应注意,要保证用户不会从隶属于的组中获得超过其任务要求的额外权限,同时用户隶属于的组能满足它的任务要求。
- 系统管理员账户的管理: 为了使对系统的野蛮攻击和猜测变得更加困难,应该选择随即的、并且大小写混合的字符串来设置系统管理员,尤其是系统域管理员(主域控制器的系统管理员)的口令。其他服务器的管理员应采取与域控制器中管理员不同的密码,以便更安全的保证域的绝对管理权限。
- 组的安全管理措施: (1)应该清楚用户组的成员设置是否得当,要对其进行仔细的观察; (2)为了使具有相同安全策略的用户组在登录时间、密码和权限等方面保持一致,可以用组将器组织在一起。
帐号克隆和SID:
- 安全标识符(Security Identifiers) SID也就是安全标识符,是标识用户、组和计算机账户的唯一的号码。其实Windows系统是按SID来区分用户的,不是按用户的用户账号名称,所以建立一个账户A,然后删除后马上再重建一个用户A其实是两个账户。
- 利用SID原理——账号克隆 在windows操作系统中通过对注册表的HKEYLOCALMACHINESAMSAMDomainsAccountUsers下的子键进行操作,(需要system权限)使一个普通用户具有与管理员一样的桌面和权限。这样的用户就叫克隆帐号。 在日常查看中这个用户显示它正常的属性。例如guest用户被克隆后当管理员查看guest的时候它还是属于guest组,如果是禁用状态,显示还是禁用状态,但这个时候guest登入系统而且是管理员权限。 一般攻击者在入侵一个系统就会采用这个办法来为自己留一个后门。
- 防范方法: 入侵者在系统中对账号进行了克隆,一般克隆系统中已经存在账号,例如克隆aspnet账号,TsInternetuser、Guest等帐号,通过"net user"、"net localgroup administrators"以及计算用户图形管理都是查不出来的,如果计算机开放了远程终端,则入侵者可以通过这些用户账号正常访问系统。非常规检查主要通过本地管理员检查工具来检查。本地管理员检查工具则是图形界面,相对功能少些。 直接运行“本地管理员检查工具”,程序会自动以图形化界面显示系统中存在的帐号,并会给出相应的提示,一般显示为“影子管理员”。
帐号枚举:
- 由于windows的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是任何一个远程用户通过同样的方法都能得到账户列表,使用暴力法破解账户密码后,对我们的服务器进行攻击,称之为帐号枚举。
- 防范方法: 控制面板--管理工具--本地安全策略选项 在windows设置-“安全设置”中单击“本地策略”中的“安全选项”命令,将右边“策略”中“网络访问:不允许SAM账户的匿名枚举”及“网络访问:不允许SAM账户和共享的匿名枚举”命令启用。
Windows本地登陆过程 原理:
GINA->LSA->SSPI->Kerberos ->NTLM
- Winlogon Graphical Identification and Authentication DLL(GINA) Local Security Authority(LSA) Security Support Provider Interface(SSPI) Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM) (标红字体表示易被攻击的流程)
- --Winlogon and GINA 键盘记录: Winlogon调用GINA DLL,并监视安全认证序列。而GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的GINA DLL。
- Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLL [工具:WinlogonHack]
--sam文件的安全:
(编辑:核心网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
