Windows主机安全.pptVIP

目录 操作系统安全定义 WINDOWS系统的安全架构 WINDOWS系统的安全组件 一次针对Windows 2000 Server 的入侵 入侵过程的分析 我们该做些什么 Windows系统安装注意事项 Windows系统安全检查与加固 Windows系统维护 Windows系统异常监控与检查 操作系统安全定义 Windows系统的安全架构 Windows系统的安全组件 访问控制的判断（Discretion access control） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。 强制登陆（Mandatory log on） 要求所有的用户必须登陆，通过认证后才可以访问资源 审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。 常见安全问题 DOS/DDOS 漏洞 溢出 蠕虫 木马、后门 病毒 口令窃取 …… 一般入侵步骤 针对Windows 2000的入侵 (1) 探测 选择攻击对象，了解部分简单的对象信息；针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试 针对探测的安全建议 对于网络：安装防火墙，禁止这种探测行为 对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态 针对Windows 2000的入侵 (2) 扫描 使用的扫描软件 NAT、流光、Xscan、SSS 扫描远程主机 开放端口扫描 操作系统识别 主机漏洞分析 扫描结果：端口扫描 扫描结果：操作系统识别 扫描结果：漏洞扫描 针对Windows 2000的入侵(3) 查看目标主机的信息 针对Windows 2000的入侵(4) IIS攻击 尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击，没有成功。目标主机可能已修复相应漏洞，或没有打开远程访问权限 Administrator口令强行破解 这里我们使用NAT（NetBIOS Auditing Tool）进行强行破解：构造一个可能的用户帐户表，以及简单的密码字典，然后用NAT进行破解 Administrator口令破解情况 针对Windows 2000的入侵(5) 巩固权力 现在我们得到了Administrator的帐户，接下去我们需要巩固权力 装载后门 一般的主机为防范病毒，均会安装反病毒软件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及时更新病毒库，而多数木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以，这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来 我们使用NetCat作为后门程序进行演示 安装后门程序(1) 利用刚刚获取的Administrator口令，通过Net use映射对方驱动器 安装后门程序(2) 将netcat主程序nc.exe复制到目标主机的系统目录下，可将程序名称改为容易迷惑对方的名字 利用at命令远程启动NetCat 安装后门程序(3) 针对Windows 2000的入侵(6) 清除痕迹 我们留下了痕迹了吗 del *.evt echo xxx *.evt 看看它的日志文件 无安全日志记录 本次入侵，我们都做了什么？ 踩点 扫描 渗透 口令破解 安装后门 清除脚印 通过入侵来看Win2000的防范 安装防火墙软件，对安全规则库定期进行更新 及时更新操作系统厂商发布的SP补丁程序 停止主机上不必要的服务，各种服务打开的端口往往成为黑客攻击的入口 使用安全的密码 如果没有文件和打印机共享要求，最好禁止135、139和445端口上的空会话 经常利用net session、netstat查看本机连接情况 Windows系统安装 使用正版可靠安装盘 将系统安装在NTFS分区上 系统和数据要分开存放在不同的磁盘 最小化安装组件 安全补丁合集和相关的Hotfix 装其它的服务和应用程序补丁 系统安全检查 系统信息 补丁安装情况 帐号和口令 网络与服务 文件系统 日志审核 安全性增强 系统信息 检查服务器是否安装多系统，多系统无法保障文件系统的安全 系统信息 查看主机路由信息 补丁安装情况 检查当前主机所安装的Service Pack以及Hotfix 补丁安装情况