1、第四章 基于系统的攻击与防御第四章 基于系统的攻击与防御4.1 基于基于Windows的系统攻击与防御的系统攻击与防御4.2 Linux系统的攻击与系统的攻击与防御防御第四章 基于系统的攻击与防御 4.1 基于基于Windows的系统攻击与防御的系统攻击与防御4.1.1 系统口令攻击系统口令攻击 1.口令攻击概述口令攻击概述 口令是网络系统的第一道防线。当前的网络系统都是通过口令来验证用户身份、实施访问控制的。口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程。在典型的计算机系统中,每个用户都有一个固定的口令,除
2、非用户决定进行更改。当口令通过键盘输入时,系统的身份认证内核模块会对它进行加密运算,经过运算后的加密字符串同系统的密码表进行逐项比较,通常密码表是一个存储在计算机上的密码文件,如果认证模块发现某项与输入的加密串等同,则允许登录。基于这种密码验证原理,攻击者攻击目标时常常把破译用户的口令作为攻击的开始。如果口令攻击成功,黑客进入了目标网络系统,他就能够随心所欲地窃取、破坏和篡改被侵入方的信息,直至完全控制被侵入方。所以,口令攻击是黑客实施网络攻击最基本、最重要、最有效的方法之一。第四章 基于系统的攻击与防御 进行口令攻击的前提是必须先得到该主机上的某个合法用户的账号,获得普通用户账号的方法很多,
3、例如:(1)利用目标主机的Finger功能。使用finger options useraddress格式的命令,可以让使用者查询一些其他使用者的资料,如用户名、登录时间等。例如:在Linux下使用Finger指令查询本机管理员的资料:其操作方法如下:Finger root其结果如下:Login:root Name:root Directory:/root Shell:/bin/bash Never logged in.No mail.No Plan.第四章 基于系统的攻击与防御(2)从电子邮件地址中收集。有些用户的电子邮件地址常会透露其在目标主机上的账号。(3)查看主机是否有习惯性的账号。有经
4、验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。第四章 基于系统的攻击与防御2.口令攻击的方法口令攻击的方法口令攻击主要采用以下几种方法。(1)猜测攻击。也就是使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯来猜测用户口令,像姓名缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内完成猜测攻击。(2)字典攻击。如果猜测攻击不成功,攻击者可以继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可以试完。
5、所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。第四章 基于系统的攻击与防御(3)穷举攻击。如果字典攻击仍然不能够成功,攻击者可以采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,因此穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。(4)混合攻击。该种攻击方法结合了字典攻击和穷举攻击的特点,先字典攻击,再进行海量连续测试口令的方法进行攻击。第四章 基于系统的攻击与防御(5)直接破解系统口令文件。所有的攻击都不能够奏效时,入侵者会寻找目标主机的安全漏洞和薄弱环节,伺机偷走存放系统口令的文件,
6、然后破译加密的口令,以便冒充合法用户访问这台主机。(6)网络嗅探(sniffer)。通过嗅探器在局域网内嗅探明文传输的口令字符串。(7)键盘记录。在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件、木马等都可能会盗取用户的口令。第四章 基于系统的攻击与防御(8)其他攻击方式。中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟为一台或两台原始计算机,使“中间人”能够
7、与原始计算机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他们是在互相通信,因而这种攻击方式并不很容易被发现,通过这种方式可以顺利进入网络获取口令。(9)社会工程学(Social Engineering)。通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。第四章 基于系统的攻击与防御3.Windows操作系统的口令破解技术操作系统的口令破解技术在Windows系统中,以Windows XP为例,由于系统本身保存密码的特点和缺陷,以及系统管理员的疏忽,可以对系统口令进行本地的破解。下面介绍利用SAMInside工具实现针对Windows XP系统口令的本地破解。1)
8、破解Syskey加密过的密码文件在Windows 2003及后续系统中,本地的用户名和密码一般是保存在SAM密码文件中的,SAM文件位于Windows目录下的“system32config”或“repair”文件夹中。用LC5之类的工具,可以直接从SAM文件中还原破解出登录密码。但是如果用户运行位于“system32”文件夹下的“syskey.exe”程序时,将会出现一个账户数据库加密提示界面,如图4-1所示。第四章 基于系统的攻击与防御图4-1 运行syskey.exe文件第四章 基于系统的攻击与防御图4-2 设置启动密码第四章 基于系统的攻击与防御2)导入SAM密码文件图4-3 运行SAM
9、Inside工具第四章 基于系统的攻击与防御图4-4 选择菜单第四章 基于系统的攻击与防御小提示:破解方式下拉选择菜单中的“从SAM和SYSKEY注册表文件导入”命令是常见的密码破解方式,用于破解经过Syskey加密的SAM文件。运行该命令后选择相应的SAM文件及System文件后,即可像LC5一样快速还原破解出登录密码。如果是破解远程入侵主机的密码,切记需要将主机上与SAM文件同一文件夹下的“Syskey”文件下载到本地进行破解。另外的几个菜单选项命令是用来破解其他格式的密码文档的,比如.LCP、.LCS、.LC格式密码文件或PWDUMP文件等。第四章 基于系统的攻击与防御图4-5 选择SA
10、M文件第四章 基于系统的攻击与防御图4-6 打开SYSKEY文件第四章 基于系统的攻击与防御3)导入SYSKEY加密文件在SAMInside目录下的tools子目录下选择GetSyskey工具,运行该工具可以生成SYSKEY文件,如图4-7所示。图4-7 选择Getsyskey文件第四章 基于系统的攻击与防御此工具是一个DOS命令行下使用的程序,格式如下:GetSyskey Output SYSKEY-file其中SYSTEM-file表示系统中与SAM文件放在同一目录下经过Syskey加密过的“System”文件路径,一般位于“C:WINDOWSsystem32config”或“C:WIND
11、OWSrepair”下。运行命令“GetSyskey C:WINDOWSrepairsystem syskey.key”。命令执行后,提示“The system key file“syskey”is created.”,即可在DOS的运行目录(笔者的运行目录是C:Documents and Settingstest)中生成一个16个字节的二进制代码文件“syskey”,如图4-8所示,将其导入SAMIniside中即可,如图4-9所示。第四章 基于系统的攻击与防御图4-8 生成syskey文件第四章 基于系统的攻击与防御图4-9 导入syskey文件第四章 基于系统的攻击与防御小提示:在破解的
12、时候,要求SAM文件和SYSKEY-file未被使用中,也就是说假如我们要破解当前登录的Windows系统的密码的话,首先应该在DOS下或其他Windows系统中将SAM密码文档复制保存到其他的文件夹中,然后再从SAMinside中导入进行破解。否则将会出现“共享违例”的错误提示对话框,如图4-10所示。图4-10 共享违例第四章 基于系统的攻击与防御4)选择破解方式将SAM文件和SYSKEY加密文档导入后,在SAMIniside程序窗口中点击工具栏上的“Attack Options”按钮,在弹出菜单中可以看到当前可使用的密码破解方式。首先选择使用“LMHash attack”或“NTHash
13、 attack”破解方式,其中LMHash只能破解长度为14位字符的密码,而NTHash可以破解长度为32位字符的密码。由于这里是在本机测试,知道密码长度为7,因此选择了“LMHash attack”破解方式。设置完密码破解方式后,点击“审计”菜单,选择“开始攻击”,即可开始破解选中用户的登录密码了。很快就可以看到破解结果了,如图4-11所示。第四章 基于系统的攻击与防御图4-11 破解结果第四章 基于系统的攻击与防御4.Windows操作系统的口令保护技术操作系统的口令保护技术Windows系统对口令的安全性做了很多设计,使用128位以上的加密技术,并支持Windows中几乎所有的加密服务,
14、如Kerberos、加密文件系统以及IPSec等。表4-1提供了Windows 2003支持的多种不同的标准身份验证协议,而这些方式使得Windows 2003在口令安全上有了很大的选择性。第四章 基于系统的攻击与防御第四章 基于系统的攻击与防御图4-12 注册表中的SAM文件第四章 基于系统的攻击与防御保持口令安全的措施包括以下几点:口令长度不要小于8位,并应同时包含大小写字母、数字以及标点符号和控制字符。口令中不要使用常用单词(避免字典攻击)、英文简称、个人信息(如生日、名字、系统登录名等)、年份以及机器中的命令等。不要将口令写下来,不要将口令存于电脑文件中。不要在不同系统上,特别是不同级
15、别的用户上使用同一口令。为防止旁人窃取口令,输入口令时应确认无人在身边。第四章 基于系统的攻击与防御 定期改变口令;至少6个月改变一次。对口令文件进行隐藏。对用户口令设置情况进行检测,并强制用户定期改变口令。任何一个脆弱的口令,都可能影响整个系统的安全。作为系统管理员应该定期运行破解口令的工具,来尝试破解口令文件,若用户的口令密码轻易被破译,说明用户的密码取得过于简单或有规律可循,应尽快地更换密码,以防止黑客的入侵。第四章 基于系统的攻击与防御保护好系统口令的另一个重要的方面就是合理地对系统的策略进行设置。以下介绍几个策略设置的例子,系统策略的合理设置也有助于口令的保护。(1)连接策略:默认情
16、况下系统没有设置登录的失败次数限制,导致可以被无限制地尝试连接系统管理的共享资源。利用这个问题攻击者可以进行口令的暴力猜测。解决这个问题的方法是设置用户的访问策略,定义用户登录失败达到一定次数时锁定账号,并限制管理员远程访问。账户锁定的策略在活动目录中进行设定,设定的方法如下:在“开始”菜单中的“程序”中的“管理工具”中,选择“本地安全策略”,如图4-13所示。第四章 基于系统的攻击与防御 在“本地安全策略”中选择“账户策略”,如图4-14所示,其中的“密码策略”可以对密码的长度、密码的存留时间等进行设置。比如:在“密码必须符合复杂性要求”的选项中,系统默认是停用该功能,但推荐用户在使用时将该
17、功能开启。图4-13 本地安全策略位置第四章 基于系统的攻击与防御 在“本地安全策略”中选择“账户策略”,如图4-14所示,其中的“密码策略”可以对密码的长度、密码的存留时间等进行设置。比如:在“密码必须符合复杂性要求”的选项中,系统默认是停用该功能,但推荐用户在使用时将该功能开启。图4-14 本地安全设置第四章 基于系统的攻击与防御图4-15 账户锁定策略第四章 基于系统的攻击与防御图4-16 账户锁定阈值设定第四章 基于系统的攻击与防御图4-16 账户锁定阈值设定第四章 基于系统的攻击与防御图4-17 阈值修改界面第四章 基于系统的攻击与防御(2)管理员无法设置账号锁定:为抵御对用户口令的
18、暴力猜解,Windows 2003提供了账号策略,允许在某个账号登录失败次数达到一定阈值时,将账号锁定。由于Administrator账号的特殊性,Administrator账号无法设置账号锁定,即使登录失败的次数达到阈值时,该账号也不可能被锁定。这是为了避免由于入侵者对管理员口令进行猜解而使得管理员账号被锁,管理员自己都无法登录维护系统,这个设计使得管理员账号无法受到账号策略的保护。因此除了系统默认创建的Administrator账号,还应该创建至少一个具有管理员特权的账号,并且,把默认账号Administrator改成另外一个名字。修改Administrator的名字,可以使得入侵者进行密
19、码猜解的难度加大,入侵者不仅要猜管理员的密码,还必须首先知道管理员的用户名。第四章 基于系统的攻击与防御4.1.2 SMB/NetBIOS协议攻击协议攻击1.SMB/NetBIOS原理原理SMB(Server Message Block,服务器消息块)是一种通过网络在共享文件、设备、命名管道和邮槽之间操作数据的协议。CIFS(Common Internet File System)是SMB的一个公共版本。SMB中有两种安全模式:共享级安全模式和用户级安全模式。共享级安全模式把一个网络上的共享资源同一个口令关联起来,用户通过这个正确的口令来访问网络资源;用户级安全模式是对共享级模式的增强,它把一
20、对用户名/口令同共享资源关联起来,所以如果某一个用户需要访问这种类型的共享资源,必须同时提供用户名和口令。第四章 基于系统的攻击与防御NetBIOS(Network Basic Input Output System,网络基本输入输出系统)是一种应用程序接口(API),作用就是为局域网(LAN)添加特殊功能,几乎所有的局域网电脑都是在NetBIOS基础上工作的。Windows系统下的SMB可以运行在TCP/IP、DECnet和IPX/SPX协议之上,目前运行在端口TCP/139或端口TCP/445上,这主要依赖于NetBIOS是否运行在TCP/IP协议之上。Windows 2003中SMB可以
21、直接运行在TCP/IP协议上,端口是445(TCP)。Windows 2003的NetBIOS通讯协议本身存在大量的安全漏洞,使得入侵者很容易收集到目标网络的大量信息,当入侵者攻击类似Windows 2003、NT系统时,NetBIOS往往是首选的攻击对象。针对SMB/BIOS协议进行攻击的方法有很多种,下面我们将介绍一种具有代表性的空会话攻击。第四章 基于系统的攻击与防御2.空会话空会话(Null Session)攻击攻击Windows 2003可以使用协议同远程主机建立一个会话。会话是通信双方交换信息的安全通道,每次会话都包含了访问资源所需的认证信息。而同远程服务器建立的空会话则没有用户认
22、证。换句话说,就好比是一个匿名访问。在会话建立时用户不提供用户和口令凭证,所以令牌中不会包含用户信息,因此建立会话双方没有密匙的交换,也不能在系统间发送加密信息和签名信息。由于NULL会话没有用户的认证信息,攻击者可以轻而易举地通过空连接取得目标主机上的账号信息。访问令牌包含用户的SID:“S-1-5-7”,以及用户名“ANONYMOUS LOGON”。这个用户名可以在用户列表中看到,但不能在SAM数据库中找到,属于系统内置的账号。第四章 基于系统的攻击与防御1)空会话的建立从用户的角度来看,在登录系统或者访问服务器的某些资源时需要同服务器建立会话。例如:名为“BOB”的用户希望访问名为“DA
23、TASTORE”的服务器上的共享资源“DATA”,那么它可以发布以下命令:net use*DATASTROEDATA*/user:BOB。另一方面,如果允许空会话,即“DATA”共享是一个空共享,那么它只要输入:net use*DATASTOREDATA“”/user:,BOB将作为匿名用户获得DATA共享的访问权,而不需要提供用户名和口令。空会话可以把连接建立成空会话管道(Null Session Pipes),如果服务器许可的话,管道是另一种工具,允许不同系统之间的进程相互通信。空会话还可以用来建立共享连接。包括servernameIPC$这类系统级共享,IPC$是一种特殊的隐藏的共享,它
24、给用户提供了一个同服务器进程通信的接口,可以从远程访问。第四章 基于系统的攻击与防御2)空会话的攻击方法在默认的安全设置下,借助空会话可以列举目标用户和共享资源,访问everyone权限的共享,访问部分注册表等。最简单的方法就是用net use 命令建立空会话,然后利用net view命令获取目标系统的共享资源名列表。同时利用其他一些专用工具如enum还可以获得用户、机器名、口令、LSA策略信息等,甚至进行穷举口令攻击。第四章 基于系统的攻击与防御在此我们来看一个例子说明空会话的隐患:Net userserverIPC$“”/user:“”/建立一个空会话Net viewserver /查看远
25、程服务器的共享资源服务器名称 注释pc1pc2命令成功完成。Net timeserver /得到一个远程服务器的当前时间Nbtstat-A server /得到远程服务器的NetBIOS用户名列表第四章 基于系统的攻击与防御Netbios Remote machine name tableName type statusNULL UNIQUE RegisteredNULL UNIQUE RegisteredINTERNET GROUP RegisteredXIXIUNIQUE RegisteredISNULL UNIQUE RegisteredINTERNET GOURP Registered
26、ADMINSTRATORUNIQUE RegisteredINTERNET GOURP Registered._MSBROWSE_.GROUP RegisteredMAC Address=00-54-4f-34-d8-80这里出现的两个,就是对方所有的用户名第四章 基于系统的攻击与防御3)空会话攻击的防御预防空会话最简单的方法就是设置复杂的密码,防止通过IPC$穷举密码。但如果有其他漏洞,IPC$将为进一步入侵提供方便。防范IPC$入侵的方法如下:(1)禁止空会话。方法是修改以下注册表键值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSAR
27、estrictanonymous在Windows 2003中将值改为“2”,表示限制所有的匿名访问,除非明确许可。(2)禁止自动打开默认共享。对于Windows 2003 Server来说,修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,把AUTOShare Wks(DWORD)的键值该为00000000。如果主键不存在,就新建一个再修改键值。第四章 基于系统的攻击与防御4.1.3 NTFS文件系统文件系统1.NTFS格式格式NTFS(New Technology File System,新技术
28、文件系统)是微软专为Windows NT操作环境所设计的文件系统,并且广泛应用在Windows NT的后续版本Windows 2000、Windows XP等中。与传统的FAT/FAT32格式的文件系统相比,NTFS具有以下的优势:长文件名支持 对文件目录的安全控制 先进的容错能力 不易受到病毒和系统崩溃的侵袭第四章 基于系统的攻击与防御而在这些优势中,NTFS文件系统最主要的特色是增了额外的安全功能,使得用户能对Windows中的每一个对象赋予特定的访问权限。对文件夹和文件可控制的权限包括:完全控制(包括读、修改、删除、运行和其他所有的权限)修改(包括读、写、修改、运行和列举文件夹内容)读取
29、和运行(列出文件夹内容、读文件、运行)列出文件夹目录(文件夹才有的特殊权限)读取(读取文件、目录内容)写入(能修改文件,向目录中写入文件,但不能读)实际上,上面所列的基本权限设置都是一个权限设置的集合,具体的权限设置可在文件或文件夹对象属性页的安全属性标签的高级选项中进行控制。第四章 基于系统的攻击与防御2.Windows中中NTFS权限使用权限使用1)NTFS文件保护文件保护要实现文件夹和文件级别的安全控制,前提条件是分区是NTFS分区。如果是FAT或者FAT32分区,是无法实现该功能的,其实如果电脑上只有一个Windows 2003操作系统,那么用NTFS分区是一个非常好的选择,这将大大提
30、高系统的稳定性和安全性。如果分区是FAT32分区,那么可以通过这条命令来把它转成NTFS分区:convert x:/fs:ntfs其中的x可以用实际的盘符替换。第四章 基于系统的攻击与防御使用了NTFS分区以后,必须为需要访问一个资源的每一个用户账号授予NTFS权限,用户必须获得明确的授权才能访问经过设置的资源。如果没有权限,那么它将被拒绝访问该资源。打个比方:假设有一个文件,用户对其进行NTFS权限设置,用户设置成只有他自己和A用户才能访问,那么除了该用户和A以外,其他任何账户登陆都将无法使用该文件,Windows 2003会给出“没有适当的权限读取”等字样的提示。这就实现了该文件的安全性,
31、而且该安全性无论是在计算机上还是在网络上都有效,也就是说即使通过网络连接到该计算机,也只有该用户和A用户可以使用该文件,其他人也是无法使用的,虽然该文件被共享,但是其他人只能看到有这个文件,却不能读取,如图4-18所示。第四章 基于系统的攻击与防御图4-18 NTFS文件保护第四章 基于系统的攻击与防御Windows 2003中的Access Control List(ACL,访问控制列表)里面包含了可以访问该资源的用户的账户、组和计算机。当一个用户访问该资源时,必须在ACL中有它的账号,Windows 2003才允许该用户访问该资源,否则拒绝。需要说明的是,Windows 2003不是根据用
32、户名是否相同来识别用户的。每一个账号在创建的时候都有一个Security ID(SID,安全标识符),Windows 2003是根据这个SID是否相同来识别用户的,如果SID不一样,就算用户名等其他设置一模一样,Windows 2003也会认为是不一样的两个账号,这就像我们在核查身份时,只认你的身份证是否符合,而不管你的名字是否相同是一个道理,而该SID是Windows 2003在创建该账号的时候随机给的,所以说当删除了一个账号后,再次重新建立一个一模一样的账号,其SID和原来的那个不一样,那么他的NTFS权限就必须重新设置。第四章 基于系统的攻击与防御2)文件权限设置如何设置文件的权限呢?用
33、鼠标右键点击你想要设置权限的文件或者文件夹,选“属性”“安全”,这时可以看到允许使用该文件的账号或者组,默认是都有Everyone组的,如图4-19所示,该组表示所有的用户,下面部分就是可以为该组或者账号设置的权限。如果Everyone的权限设置为完全控制,那么意味着所有的用户都可以随意操作该文件,包括读取、修改、删除等,这也是Windows 2003默认的权限。还可以添加账号,为账号设置权限,如图4-20所示。第四章 基于系统的攻击与防御图4-19 文件权限设置1第四章 基于系统的攻击与防御图4-20 文件权限设置2第四章 基于系统的攻击与防御以下举例说明具体的操作:假设有一个文件叫做FIL
34、E,现要设置为只有USER1、USER2和USER3这三个用户可以使用该文件,但是USER1用户可以随意操作该文件,USER2用户只能读取该文件,而不能进行如修改等其他操作,USER3可以读取,可以写入,但是不能删除该文件。具体设置步骤如下:(1)右键点击FILE,选“属性”“安全”。(2)将下面的“允许将来自父系的可继承权限传播给该对象”前面的勾去掉。此时会弹出一个对话框,选“删除”。也就是说把上面的Everyone等所有的账号删除。(3)点“添加”,弹出一个对话框,选中USER1,添加,确定。(4)然后选中USER1,将“完全控制”后面的“允许”打上勾。第四章 基于系统的攻击与防御(5)依
35、照前面的方法添加USER2。(6)选中USER2,将“读取”后面的“允许”打勾,其他的勾全部去掉。(7)添加USER3。(8)选中USER3,将“修改”后面的“允许”打勾,确认“完全控制”的勾去掉。(9)选“高级”,选中USER3,点“查看/编辑”,将“删除”后面“允许”的勾去掉。第四章 基于系统的攻击与防御这时,用USER1登录,就可以完全控制该文件。用USER2登录,可以打开该文件,当保存的时候会出现“不能创建FILE,请确认路径和文件名是否正确”的提示框,这说明现在USER2无法保存该文件,当然也无法进行其他操作,只能读取该文件。用USER3登录,可以打开该文件,也可以保存,当删除该文件
36、的时候会出现“无法删除FILE:拒绝访问。源文件可能正在使用”的提示框,说明无法删除该文件。至于给文件夹设置权限,步骤和上面差不多,不过文件夹会多了一个“继承”,也就是说可以选择权限设置是仅仅对该文件夹进行起作用,还是对该文件夹和该文件夹的子文件夹及文件起作用。只要将“重置所有子对象的权限并允许传播可继承权限”前面打勾就可以了。第四章 基于系统的攻击与防御3)多重权限当然,在权限分配中还存在着多重权限的问题,在多重权限中应该遵循以下几个原则:(1)用户对资源的有效权限是分配给该个人用户账户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限
37、,那么该用户就对该文件同时具有“读取”和“写入”的权限。(2)文件权限高于文件夹权限。NTFS文件权限对于NTFS文件夹权限具有优先权,假设你能够访问一个文件,那么即使该文件位于你不具有访问权限的文件夹中,你也可以进行访问(前提是该文件没有继承它所属的文件夹的权限)。(3)拒绝权限高于其他权限。拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。第四章 基于系统的攻击与防御4.1.4 文件系统加密与保护文件系统加密与保护1.文件系统加密文件系统加
38、密文件加密系统(EFS)是Windows XP的一项新功能,也应用于之后的Windows操作系统中,任何在NTFS上的文件和文件夹都可被授权用户进行加密。EFS使用的是扩展的数据加密标准(DESX),能让用户在一个硬盘上使用公钥加密去保护数据。如果硬盘上的文件已经使用EFS进行了加密,这样即使一个攻击者能访问硬盘,由于没有解密的Key,文件也是不可用的。第四章 基于系统的攻击与防御1)加密操作(1)利用Windows XP资源管理器选中待设置加密属性的文件或文件夹(如文件夹为“Windows XP”)。(2)单击鼠标右键,选择“属性”,启动“Windows XP属性”对话框窗口。(3)单击“常
39、规”选项卡中的高级按钮,启动“高级属性”对话框,如图4-21所示。(4)选择“压缩或加密属性”框中的“加密内容以便保护数据”复选框,单击确定按钮,即可完成文件或文件夹的加密。第四章 基于系统的攻击与防御图4-21 文件系统加密第四章 基于系统的攻击与防御2)解密操作(1)利用Windows XP资源管理器选中待设置加密属性的文件或文件夹(如文件夹为“Windows XP”)。(2)单击鼠标右键,选择“属性”,启动“Windows XP属性”对话框窗口。(3)单击“常规”选项卡中的高级按钮,启动“高级属性”对话框。(4)清除“高级属性”对话框“压缩或加密属性”框中的“加密内容以便保护数据”复选框
40、中的“”(如图4-22所示)。此外,在NTFS分区上复制和移动加密文件,文件的加密状态会继续保持,但是将加密文件复制或者移动到一个非NTFS分区时,例如从NTFS分区移动到FAT分区时,文件加密状态丢失,文件加载复制的过程中就已经被解密了。第四章 基于系统的攻击与防御2.文件系统保护文件系统保护Windows XP提供了两种方式对系统文件进行保护,一种是浏览保护,一种是文件保护。1)浏览保护当用户打开Windows XP的系统文件夹时,文件夹的所有资料都是被隐藏的,会出现如图4-22所示的警告信息。用户必须先单击“显示文件”才能看到系统目录下的资料。这是Windows XP为保护系统文件的一项
41、措施。不启用浏览保护模式的设置如下:将文件夹“菜单”工具下的“文件夹选项”对话框“常规”标签中的“Web”视图选项由默认的“允许文件夹中使用Web内容”改为“使用Windows传统风格的文件夹”。第四章 基于系统的攻击与防御图4-22 浏览保护第四章 基于系统的攻击与防御2)Windows文件保护Windows中有大量重要的系统文件,这些文件如果受到破坏,可能会引起Windows系统的运行效率降低甚至无法正常运行。在Windows XP中设计了“Windows文件保护”来确保Windows XP重要系统文件的安全。“Windows文件保护”能阻止替换受保护的系统文件,这些受保护的文件包括.sy
42、s、.dll、.exe、.ttf等系统文件。Windows文件保护能检测其他程序是否在替换或移动受保护的系统文件,同时检查文件的数字签名以确定新文件是否是正确的Microsoft版本。默认情况下总是启用Windows文件保护,只有通过以下方法才允许替换受保护的系统文件:执行Update.exe安装Windows XP Service Pack Windows更新 使用Winnt32.exe升级操作系统第四章 基于系统的攻击与防御4.1.5 安全恢复安全恢复1.安全恢复安全恢复从一定程度上说,如果系统没有完善的安全恢复机制,即使有完善的保安措施,也不能认为是安全的。运行中的系统随时都有发生崩溃的
43、可能,崩溃会造成系统数据的丢失,这是无法避免的,造成系统崩溃的原因可能有很多种:硬件问题,硬件的物理损坏导致系统无法工作。病毒破坏,由于病毒、木马软件对系统的破坏造成系统崩溃。程序问题,由于安装新软件产生兼容性问题导致系统崩溃。人为失误,由于人为的操作失误对系统的破坏导致系统无法工作。人为破坏,人为的恶意破坏导致系统的瘫痪。自然灾害,由不可抗拒的问题导致系统崩溃,如火灾等。第四章 基于系统的攻击与防御因此,创建好的安全恢复机制能最大程度地恢复系统中的宝贵数据。常见的恢复机制主要有以下几点:(1)创建系统紧急修复盘。Windows XP系统可将系统的基本信息(如口令和注册信息)保存在ERD(紧急
44、修复磁盘)中,当系统发生故障时,管理员可通过紧急修复磁盘恢复系统的基本信息。紧急修复磁盘可以通过“系统工具”中的“备份”来创建。当安装并配置好一台服务器之后,有必要创建一个应急修复磁盘,并将应急修复磁盘保存在一个安全的地方,当系统发生故障时,应急修复磁盘对管理员修复系统起到关键性的作用。第四章 基于系统的攻击与防御(2)定期对系统中的重要数据进行备份。从理论上说,只要有足够的备份,系统就能完全恢复到故障前的状态,因此备份对系统崩溃后的数据恢复起着很重要的作用。Windows XP系统中自带的软件提供了备份和还原的功能。用户也可安装专业的备份和还原软件来备份系统。第四章 基于系统的攻击与防御2.
45、安全设置安全设置1)设置账户安全策略 对账户安全策略和密码安全策略分别进行设置。(1)开启账户策略。在“开始”“运行”中输入gpedit.msc,回车,出现组策略窗口,如图4-23所示。第四章 基于系统的攻击与防御图4-23 组策略第四章 基于系统的攻击与防御图4-24 安全设置第四章 基于系统的攻击与防御图4-25 账户策略第四章 基于系统的攻击与防御可进行如下的账户策略设置,开启账户策略可以有效地防止字典式攻击。复位账户锁定计数器30分钟之后在此后复位账户锁定计数器。此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。可用范围是1到99 999分钟
46、。如果定义了账户锁定阈值,此重置时间必须小于或等于账户锁定时间。默认值:无,因为只有在指定了账户锁定阈值时,此策略设置才有意义。第四章 基于系统的攻击与防御 账户锁定时间30分钟账户锁定时间。此安全设置确定锁定账户在自动解锁之前保持锁定的分钟数。可用范围从0到99 999分钟。如果将账户锁定时间设置为0,账户将一直被锁定直到管理员明确解除对它的锁定。如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。默认值:无,因为只有在指定了账户锁定阈值时,此策略设置才有意义。第四章 基于系统的攻击与防御 账户锁定阈值5次无效登录账户锁定阈值。此安全设置确定导致用户账户被锁定的登录尝试失败的次数。
47、在管理员重置锁定账户或账户锁定时间期满之前,无法使用该锁定账户。可以将登录尝试失败次数设置为介于0和999之间的值。如果将值设置为0,则永远不会锁定账户。在使用Ctrl+Alt+Del或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。默认值:0。账户策略设置如图4-26所示。第四章 基于系统的攻击与防御图4-26 设置账户策略第四章 基于系统的攻击与防御(2)开启密码策略。密码对系统安全非常重要,本地安全设置中的密码策略在默认的情况下都没有开启。选择密码策略,如图4-27所示。图4-27 密码策略第四章 基于系统的攻击与防御可进行如下的密码策略设置:“密码必须
48、符合复杂性要求”已启用。此安全设置确定密码是否必须符合复杂性要求。如果启用此策略,密码必须符合下列最低要求:不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分。至少有六个字符长。包含以下四类字符中的三类字符:英文大写字母(A到Z);英文小写字母(a到z);10个基本数字(0到9);非字母字符(例如!、$、#、%)。更改或创建密码时,会强制执行复杂性要求。默认值:在域控制器上启用;在独立服务器上禁用。第四章 基于系统的攻击与防御图4-28 出错提示 密码长度最小值6个字符此安全设置确定用户账户密码包含的最少字符数。可以设置为1到14个字符之间的某个值,或者将字符数设置为0以确定不需要
49、密码。默认值:在域控制器上为7;在独立服务器上为0。注意:默认情况下,成员计算机沿用各自域控制器的配置。第四章 基于系统的攻击与防御 密码最长存留期15天此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的时间(以天为单位)。可以将密码设置为在某些天数(1到999之间)后到期,或者将天数设置为0,指定密码永不过期。如果密码最长使用期限介于1和999天之间,那么密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为介于0和998天之间的任何值。注意:最佳安全操作是将密码设置为30到90天后过期,具体取决于用户的环境。这样,攻击者用来破解用
50、户密码以及访问网络资源的时间将受到限制。第四章 基于系统的攻击与防御默认值:42。密码最短存留期1天此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置为1到998天之间的某个值,或者将天数设置为0,允许立即更改密码。密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为0,指定密码永不过期。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为介于0和998之间的任何值。第四章 基于系统的攻击与防御如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于0 的值。如果没有设置密码最短使用期限,则用户可以循环选择密码,直到获得期望的
