權(quán)限浮沉,巧捉系統(tǒng)安全漏洞_第1頁
權(quán)限浮沉,巧捉系統(tǒng)安全漏洞_第2頁
權(quán)限浮沉,巧捉系統(tǒng)安全漏洞_第3頁
免費(fèi)預(yù)覽已結(jié)束,剩余2頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、權(quán)限浮沉 ,巧捉系統(tǒng)安全漏洞一次偶然的機(jī)會,我發(fā)現(xiàn)本來空空如也的注冊表鍵HKEY_LOCAL_MACHINESECURITY,在管理員狀態(tài)下提升權(quán)限后,多出了許多內(nèi)容。這些隱藏的內(nèi)容有什么作用,是否屬操作系統(tǒng)被植入的后門?不知貴刊能否詳細(xì)介紹一下。讀者吳星 (筆名 :海草花 )郵件提問。答:HKLMSECURITY是包含關(guān)于本地計算機(jī)系統(tǒng)的安全信息配置單元,這里保存了系統(tǒng)賬戶設(shè)置、權(quán)限分配、系統(tǒng)登錄、本地安全策略等重要配置信息。默認(rèn)情況下,只有SYSTEM賬戶才能訪問。如果要展開該鍵值,需要右鍵點(diǎn)擊該項目,在彈出菜單中選擇“權(quán)限”命令,打開權(quán)限設(shè)置對話框。在對話框上方的用戶名列表中,選中Adm

2、inistrators組,勾選下方權(quán)限列表中的“完全控制”項。接著單擊注冊表編輯器菜單欄的“查看刷新”就可以展開鍵值查看了。這里隱藏了什么秘密?下面我們以實例來進(jìn)行解讀。注意:對 SECURITY鍵值更改可能會對系統(tǒng)造成不可預(yù)料的故障,操作前請做好注冊表的備份工作。小提示由于一些安全軟件(如殺毒軟件 )以 SYSTEM身份運(yùn)行,它們可以監(jiān)測到上述鍵值變化。如果根據(jù)安全軟件掃描提示無法打開某些鍵值, 可以使用提權(quán)方法進(jìn)行讀取(注 :HKLM 是HKEY_LOCAL_MACHINE的縮寫,下同 )。同樣的,本來默認(rèn)誰都可以訪問的鍵值,我們則可以通過降權(quán)的方法阻止用戶訪問。比如,對于自啟動鍵值,我們

3、可以設(shè)置所有賬戶都不可以寫入,防止其他程序添加自啟動。由于架構(gòu)的不同, Windows 98 里并沒有上述鍵值。 而 Windows 2000 注冊表中無法使用權(quán)限設(shè)置, 2000 用戶可以使用 REGWORKSHOP(可到漢化新世紀(jì)下載)對上述鍵值進(jìn)行訪問。實例 1:自動登錄的安全隱患一旦設(shè)置過自動登錄,即使后來取消自動登錄并更改了賬戶密碼,在注冊表HKLMSECURITYPolicySecretsDefaultPassword下還是會自動保存賬戶密碼。黑客們只要借助LSASecretsView(下載地址即可輕松獲取賬戶密碼,從而入侵我們的電腦。 解決隱患的方法很簡單 :只要刪除HKLMSO

4、FTWAREMicrosoftWindowsNTCurrentVersionWinlogonDefaultPassword鍵值即可,要注意的是每次設(shè)置過自動登錄后,以后如果要取消自動登錄都必須刪除上述鍵值。實例 2:限制管理員賬戶本地登錄每臺電腦至少都有一個管理員賬戶用于系統(tǒng)維護(hù),不過有時候我們卻希望禁止用戶使用管理員賬戶本地登錄。比如,公司某部門員工的電腦水平很菜,使用管理員賬戶本地登錄很容易破壞系統(tǒng),但是我們又不能將管理員賬戶停用(否則無法維護(hù)系統(tǒng)) ?,F(xiàn)在可以通過修改賬戶 SIDActSysAc的值禁止賬戶本地登錄,但可以保留該賬戶網(wǎng)絡(luò)登錄,方便進(jìn)行遠(yuǎn)程維護(hù)。比如,需要限制Adminis

5、trator 賬戶本地登錄,展開HKLMSECURITYPolicyAccountsS-1-5-21-687439264-1844322744-2086245278-501ActSysAc(默認(rèn)無該鍵值,需要使用Ntrights.exe 添加 ),將其右側(cè)默認(rèn)值更改為“40 00 00 00”,這樣本機(jī)的 Administrator 賬戶就無法本地登錄了。 用戶試圖使用這個賬戶登錄或者運(yùn)行程序的時候,系統(tǒng)會彈出登錄失敗的錯誤 (見圖 )。實例 3:揪出危險的克隆賬戶現(xiàn)在有些黑客使用管理員克隆賬戶入侵我們的電腦,這個賬戶隱身性極強(qiáng),我們無法在用戶賬戶,或者“本地用戶和組”中發(fā)現(xiàn)它們的身影。不過,

6、HKLMSECURITYSAM中保存著本機(jī)所有賬戶信息,任何隱身賬戶均會在此暴露無遺。展開HKLMSECURITYSAMDomainsAccountUsersNames ,這里列出所有賬戶的名稱,看看其中是否有類似cfan$(賬戶名后帶 $符號)的賬戶名稱。如果有,則恭喜你“中招了”。干掉隱身賬戶的方法很簡單,刪除其中的賬戶,然后根據(jù)賬戶默認(rèn) 16 進(jìn)制值,刪除HKLMSECURITYSAMDomainsAccountUsers 下對應(yīng)子項即可,比如 0x3ef 對應(yīng)就是 000003EF。當(dāng)然, SECURITY鍵值下隱藏的秘密還有很多,以后有機(jī)會再多多給大家介紹。不過對于該鍵值的更改是很危險的操作,其實系統(tǒng)已經(jīng)提供不少可視化工具對該鍵值的讀取。比如,我們可以通過“本地用戶和組”對賬戶進(jìn)行管理,通過組策略編輯器對系統(tǒng)安全進(jìn)行設(shè)置等等。網(wǎng)絡(luò)大補(bǔ)貼注冊表中只

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論