Jirairya

Windows2000系统安全

2017-01-22

Windows2000系统安全中的Windows安全对象、安全组件、安全子系统…

Windows安全对象

sid.png

windows2000架构.png

windows2000安全系统.png

Windows2000中的对象类型有:

文件、文件夹、打印机、I/O设备、窗口、线程、进程、内存

本地的Windows2000安全子系统包括下列关键组件:安全标识符、访问令牌、安全描述符、访问控制列表、访问控制条目

Windows安全组件

安全标识符:

  1. 给所有用户、组、计算机的统计上的唯一号码
  2. 保证SID的唯一性,在生成它们的时候使用一个公式,结合计算机名,当前事件和当前用户模式线程使用CPU事件的总量。

例如,SID:S-1-5-21-1649288664-1549824960-1244863647-500

  • D带有前缀S,它的各个部分之间用连字符隔开
  • 个数字(本例中的1)是修订版本编号
  • 个数字是标识符颁发机构代码(对Windows 2000来说总是为5)
  • 是4个子颁发机构代码(本例中是21和后续的3个长数字串)和一个相对标识符(Relative Identifier,RID,本例中是500)

SID的生成

SID中的一部分是各系统和域惟一具有的,而另一部分(RID)是跨所有系统和域共享的。

当安装Windows 2000时,本地计算机会颁发一个随机的SID。当创建一个Windows 2000域时,它也被指定一个惟一的SID。于是对任何的Windows 2000计算机或域来说,子颁发机构代码总是惟一的(除非故意修改或复制,例如某些底层的磁盘复制技术)


RID

RID对所有的计算机和域来说都是一个常数。例如,带有RID 500的SID总是代表本地计算机的真正的Administrator账户。RID 501是Guest账户 在域中,从1000开始的RID代表用户账户 Windows 2000(或者使用适当工具的恶意黑客)总是将具有RID 500的账户识别为管理员


其它的SID

  • S-1-1-0 Everyone
  • S-1-2-0 Interactive用户
  • S-1-3-0 Creator Owner
  • S-1-3-1 Creator Group

查看SID

使用工具sid查看器查看sid情况:

sid.png


Windows2000安全组件

  • 访问控制令牌: 访问令牌由用户的SID、用户所属组的SID和用户名组成

  • 安全描述符 安全描述符由对象所有者的SID、POSIX子系统使用的组SID、访问控制列表和系统访问控制 安全描述符构成图.png

  • 访问控制列表

访问控制列表.png

  • 访问控制条目 访问控制条目(Access Control Entry,ACE)包含用户或组的SID和分配给对象的权限。

windows安全子系统

windows安全子系统.png

  • Winlogon
  • 图形身份认证和验证动态链接库(Graphical Identification And Authentication DLL,GINA)
  • 本地安全管理授权(Local Security Authority,LSA)
  • 安全支持供应商接口(Security Support Provider Interface,SSPI)
  • 验证软件包(Authentication Packages)
  • 安全支持供应商(Security Support Providers)
  • Netlogon服务
  • 安全帐户管理器(Security Account Manager,SAM)

Winlogon

Winlogon主要负责管理用户登录和注销过程,并加载GINA DLL并监视安全认证的顺序。


GINA DLL

  • GINA DLL为登陆和登陆请求提供接口。GINA DLL被设计成独立的模块并可被更强壮的认证机制所代替。目前有很多强有力的认证设备可以使用,比如利用指纹认证来代替默认的GINA DLL。
  • Winlogon访问注册表里的HKLM\software\Microsoft\windows\NT\currentversion\winlogon键来查看Gina DLL值是否存在。如果此DLL存在,Winlogon加载并使用那个DLL。否则的话,WindowsNT就使用默认的DLL(MSGINA.DLL,NT自带的)
  • 由Winlogon来监视安全认证的顺序并当一个登陆请求发生时通知给GINA。

本地安全授权(LSA)

本地安全授权是一个保护子系统,主要负责下列任务:

  • 加载所有的认证包,包括检查存在于注册表中\HKLM\System\CurrentControlSet\ControL\LSA中的Authentication Packages值
  • 为用户找回本地组的SID以及用户的权限
  • 创建用户的访问令牌
  • 管理本地安全服务的服务帐号
  • 存储和映射用户权限
  • 管理审计策略和设置
  • 管理信任关系

安全支持供应商接口(SSPI)

微软的安全支持供应商接口的RFC2743和RFC2744所定义的一般安全服务API极为相似,安全服务提供商API为应用程序和服务要求安全认证连接提供了解决方法


认证信息包

认证包的内容提供真正的用户验证。认证包检查通过GINA DLL所得到的证书,当用户的证书被检验后,认证包向LSA返回SID,包括用户的访问令牌


安全支持供应

安全支持供应是安装驱动程序来支持额外的安全机制。WindowsNT默认安装包括以下:

  • Msnsspc.dll:微软网络(MSN)挑战/响应认证方法。
  • Msapsspc.dll:分布式密码认证(DPA)挑战/响应方法,也用于MSN。
  • Schannel.Dll 利用证书授权机购(如VeriSign)所发布的证书来时行验证。这种认证方法通常是在安全套接字层(SSL)或私有通信技术(PCT)协议连接时所使用。

Netlogon

  • Net logon服务必须为认证的传输建立一个安全的通道。
  • 为了达到这种效果,要定位—个域控制器来建立安全通道。
  • 最后,通过这条安全通道来传递用户的认证再以用户SID及用户权限的形式接收到域控制器的响应。

安全帐号管理

安全帐号管理实际上是一个掌管用户和用户证书的数据库。它存储在Windows NET 注册表的一部分。每个域都有不同的SAM,作为两台域服务器复制的一部分。

Windows2000认证与授权访问

windows2000认证与授权.png

Windows安全机制

  1. Windows认证机制
    • 本地认证
    • 网络认证
  2. Windowss访问控制机制
    • WindowsNT/XP的安全性达到C2级,C2级实现了受控访问机制
  3. Windows审计和日志机制
  4. Windows协议过滤和防火墙
  5. Windows文件系统加密系统

和C1一样的控制(自主访问保护,用户可以使用ACL、组或者其他安全机制,对其他用户隐藏数据),但是自主访问控制机制必须更为严格。管理员首先拒绝任何人访问文件和资源,然后根据需要授予每个用户访问权。C2也必须审计用户的活动,以便记录谁实行了什么活动。需要额外的检测和文档编制来达到这种等级。

身份验证

Windows2000支持,包括X.509证书、智能卡、Kerberos协议和NTLM协议数种产业标准身份验证机制

Windows访问控制机制

TCSEC定义的内容.png

  • 自主的访问控制
  • 对象再利用必须由系统控制
  • 用户标识和认证
  • 审计活动
  • 能够审计所有安全相关事件和个人活动
  • 只有管理员才有权限访问

Windows安全审计功能

审计子系统结构,在Windows系统中,几乎每一项事务都可以在一定程度上被审计(开始->控制面板->管理工具->本地安全策略->审核策略);审计日志和记录格式;事件日志管理特征;安全日志的审计策略。

Windows2000的默认目录

  • Windows2000的%system%\winnt\目录
  • 需要注意的默认安装目录
  • IIS的默认目录
  • Log的默认目录(%WinDir%\System32\LogFiles和%WinDir%\system32\config)
  • SAM(账户管理器)和SAM备份的日志目录
  1. 安全帐户管理器多年来一直是微软操作系统的核心部分,现在也是Windows 8.1的一部分。SAM的功能固定于lsass.exe中。lsass.exe是一个位于c:\Windows\system32的Windows服务。 Windows SAM管理本地Windows账户密码并管理登录过程中的密码验证。

  2. 本地安全帐户管理器文件(技术上来说是Windows注册表的一部分)称为SAM,位于c:\windows\system32\config\。在域控制器上,SAM文件相当于活动目录数据库文件ntds.dit。

  3. SAM文件被锁定,不能访问加载的操作系统。然而,如果计算机是从一个动态恢复磁盘如ophcrack中启动的,该计算机是完全可访问的。这是为什么需要加密企业笔记本和台式机硬盘的主要原因之一。尽管如此,如果存在其他弱点,Windows密码可能会暴露,所以你不能完全依赖于加密。

  4. SAM的备份文件位于c:\windows\system32\repair\。如果密码被定期更改,过期密码会包含在这个文件中,但完全可访问登录到计算机的任何人。只需要在机器上创建一个帐户,为某人提供不良意图的未授权(和不负责任的)访问。

  5. 使用新老LAN Manager(LM)散列或更安全的NTLM散列将密码存储在SAM文件中。Windows 7及以后版本默认为NTLM散列。这两种类型的散列可以使用被彩虹表(Rainbow Table)破解。彩虹表是一种破解哈希算法的技术,在10年前由瑞士联邦理工学院的Philippe Oechslin发现。Oechslin的ophcrack工具和Elcomsoft System Recovery是两款著名的使用预先计算的密码散列来破解Windows密码的工具。图2中显示了Elcomsoft System Recovery中的可用选项。

从SAM文件中提取Windows密码散列的另一个很好的工具是pwdump。尽管Windows syskey程序可以用来在SAM文件中创建更多的安全,一些工具如Elcomsoft的Proactive System Password Recovery可以破坏这些控件。

Windows2000的默认帐号

账户名 注释
System/localsystem 本地计算机的所有特权
Administrator 同上;可以改名,但是不能删除
Guest 有限的权限,默认禁用
IUER_计算机名 IIS的匿名访问,Guests组成
IWAM_计算机名 IIS进程外应用程序运行的账户,Guests
TSInternetUser 终端服务
Krbtgt Kerberos密钥分发帐号,只在DC上出现,默认禁用

Windows2000下的内建组

组名 注释
Administrators 成员具有本地计算机的全部权限
Users 所有账号,较低的权限
Guests 有限的权限,与users相同
Authenticated users 特殊的隐含组,包含所有已登录的用户
Replicator 用于域中的文件复制
Backup Operators 没有
administrators 权限高,但十分接近
Server Operators 没有
administrators 权限高,但十分接近
Account Operators 没有
administrators 权限高,但十分接近
Print Operators 没有
administrators 权限高,但十分接近

Windows2000默认共享

  • C$、D$..
  • IPC$:远程会话管理
  • Admin$:指向%WinDir%目录,用户远程管理

评估Windows2000风险的关键

  • IIS5.0风险
  • Windows2000终端服务风险
  • 客户端访问风险

Windows2000终端服务

  • TS(Terminal Service)工作于3389端口
  • TS基于RDP(Remote Desktop Protocol)实现
  • 终端服务不是使用HTTP或HTTPS的,而是通过RDP通道实现
  • TS监听端口可以自己指定(如 \HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp值—-PortNumber REG_WORD 3389)

针对TS攻击

终端服务(Terminal Service,TS)常受到攻击

  • 密码猜测攻击风险(TSGrinder)
  • 权限提升风险(PipeUpAdmin、GetAdmin)

MS客户端风险评估

  • 恶意电子邮件——MIME扩展
  • Outlook缓冲区溢出
  • Media Play缓冲区溢出
  • VBS地址簿蠕虫

Outlook溢出

  • 起源于vCard
  • Outlook直接打开并运行附件中的vCards而不提示用户
  • vCards存储于.vcf文件中,也是无提示而直接运行
  • 当vCards的生日字段(BDAY)超过55字符时,就会出现溢出
  • 对策:IE5.5sp2

Windows增强方法

  • 停止Guest帐号、限制用户数量
  • 创建多个管理员帐号、管理员帐号改名
  • 陷阱帐号、更改默认权限、设置安全密码
  • 屏幕保护密码、使用NTFS分区
  • 运行防毒软件和确保备份盘安全
  • 关闭DirectDraw、关闭默认共享
  • 禁用Dump File、文件加密系统
  • 加密Temp文件夹、锁住注册表、关机时清除文件
  • 禁止软盘光盘启动、使用智能卡、使用IPSec
  • 禁止判断主机类型、抵抗DDOS
  • 禁止Guest访问日志和数据恢复软件

Similar Posts

下一篇 巡风扫描器

Comments