Windows2003的安全 ows2003的安全特性 200的安全配置 Windows2003的安全审核 Windows2003攻击实例
Windows 2003的安全 •Windows 2003的安全特性 •Windows 2003的安全配置 •Windows 2003注册表 •Windows 2003的安全审核 •Windows 2003攻击实例
Windows2003的安全特性 用户身份验证 访问控制 °证书服务 ●加密传输 TIPSEC EFS加密文件系统
Windows 2003的安全特性 •用户身份验证 •访问控制 •证书服务 •加密传输IPSEC •EFS加密文件系统
Windows2003的安全架构 Windows NT2K的安全包括6个主要的安全元素: 1.审计:Audi, 2.管理: Administration 加密: Encryptio 4.权限控制: Access control 用户认证: User authentication 6.安全策略: Corporate Security Policy Windows nt/K系统内置支持用户认证、访问控制、管理、审核 审计 管理 Audit Administra tion 加密 权限控制 Encryption Access Control 用户认证: User Authentication 安全策略: Corporate Security Policy
安全策略:Corporate Security Policy 用户认证:User Authentication 加密 Encryption 审计 Audit 权限控制 Access Control 管理 Administration Windows NT/2K的安全包括6个主要的安全元素: 1. 审计:Audit, 2. 管理:Administration 3. 加密:Encryption 4. 权限控制:Access Control 5. 用户认证:User Authentication 6. 安全策略:Corporate Security Policy。 Windows NT/2K 系统内置支持用户认证、访问控制、管理、审核。 Windows 2003的安全架构
Window52003安全子系统结 Windows2003中默认的身份 验证协议。它用于 Windows 2003计算机之间以及支持 Active Directory Kerberos身份验证的客户之 服务 间的所有身份验 Kerberos 提供 Windows203目录 服务和复制。它支持轻 量级目录访间围议 本地安全策略 LDAP)和数据的管理部 安全子系统的中心组件 它促使访问令牌、管 理地计算机的安的) Windows 2003 策略并向用户登录提供 客户和服务器 身份验证 用于 Windows NT身份验 证的身份验证包。它用 于为不支持 Kerberos身 份验证的 Windows客户 审核 提供兼容支持 Windows NT Netlogon 日志 SRM 客户和服务器 个内核模式组件,它可以 避免任何用户或连植接访 是本地用户和工作组的一个数据库, 问对象而且还可以验证所有 对象访问,它还生成相应的 SAM/用于对本地用户的登录身份进行验证 以及对所有登录的用户权限进行设置 审核消息
组策略 Active Directory 服务 用户 本地安全策略 Kerberos 审核 日志 SRM 内核 MSV1_0 Netlogon Windows NT 客户和服务器 Windows 2003 客户和服务器 SAM 登录 本地安全授权(LSA) 提供Windows 2003目录 服务和复制。它支持轻 量级目录访问协议( LDAP)和数据的管理部 分 Windows 2003中默认的身份 验证协议。它用于Windows 2003计算机之间以及支持 Kerberos身份验证的客户之 间的所有身份验证。 安全子系统的中心组件 ,它促使访问令牌、管 理本地计算机上的安全 策略并向用户登录提供 身份验证 用于Windows NT身份验 证的身份验证包。它用 于为不支持Kerberos身 份验证的Windows客户 提供兼容支持 一个内核模式组件,它可以 避免任何用户或进程直接访 问对象而且还可以验证所有 对象访问,它还生成相应的 审核消息 是本地用户和工作组的一个数据库, 用于对本地用户的登录身份进行验证 以及对所有登录的用户权限进行设置 Windows 2003 安全子系统结构
用户登录过 Halogen 圖■ 6o WinDy-身份验证 1.识别安全注意序列( Secure attention Sequence,SAS),并调用相应的GINA 处理程序 用户名Q liujian 2.向用户命令解释程序授予访问令牌 密码① 3.加载用户配置文件 □下次启动不需要密码 4.保护计算机和桌面 5.控制屏幕保护程序 确定匚取消 6.处理远程(性能监视器)请求 GINA
1. 识别安全注意序列(Secure Attention Sequence,SAS),并调用相应的GINA 处理程序 2. 向用户命令解释程序授予访问令牌 3. 加载用户配置文件 4. 保护计算机和桌面 5. 控制屏幕保护程序 6. 处理远程(性能监视器)请求 用户登录过程
a winDY-身份验证 冈 身价验证 用户名QD an 密码① □下次启动不需要密码 确定□取消
身份验证
Wmdw安全子系绩的具体内容 主子系统包括以下部分 1. Winlogon(登录认证 2./Graphical ldentification and Authentication DLL GINA (G|NA)(登录认证) 3 Local Security Authority(LSA)(本地安全认证) 4. Security Support Provider Interface(SSPI)(4 Local Security Authority 支持提供者的接口) Authentication Packages(认证模块) SSPI 6, Security support providers(安全支持提供者) 7. Netlogon Service(网络登录认证) 8 Security Account Manager((AM)(安全账号管理 Authe notication Security Support 者) Packages Provide Winlogon、 Local Security Authority以及 Netlogon服务 在任务管理器中都可以看到,其他的以DL方式被这 Security Account Net logon 些文件调用。 Manager
安全子系统包括以下部分: 1. Winlogon(登录认证) 2. Graphical Identification and Authentication DLL (GINA) (登录认证) 3. Local Security Authority (LSA)(本地安全认证) 4. Security Support Provider Interface (SSPI)(安全 支持提供者的接口) 5. Authentication Packages(认证模块) 6. Security support providers(安全支持提供者) 7. Netlogon Service(网络登录认证) 8. Security Account Manager (SAM)(安全账号管理 者) Winlogon、 Local Security Authority 以及Netlogon 服务 在任务管理器中都可以看到,其他的以DLL方式被这 些文件调用。 SSPI Win logon GINA Local Security Authority Authentication Packages Security Support Providers Security Account Manager Net logon Windows 安全子系统的具体内容
Wd杀练电的账号 s)=98998999 1. windows nt及win200中对用户帐户的安全管理使用了安全帐号管理器 ( security account manager)的机制 2.安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创 建时就同时创建,一旦帐号被删除,安全标识也同时被删除 3.安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识 都时完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在 了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保 留原来的权限
1. windows NT及win2000中对用户帐户的安全管理使用了安全帐号管理器 (security account manager)的机制 2. 安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创 建时就同时创建,一旦帐号被删除,安全标识也同时被删除 3. 安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识 都时完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在 了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保 留原来的权限。 SAM Windows 系统中的账号
Windows2003的安全标识符 D: \ssh)user2sid 107-station s-1-5-21-1993962763-1586436667-839522115-1803 Number of subauthorities is 5 Domain is 107-TEA CHER Length of SID in memory is 28 bytes Type of SiD is SidT ypeUser D: \ssh)user2sid administrator_107 s-1-5-21-1993962763-1588436667-839522115-560 Number of subaut horities is 5 Domain is 107-TEACHER Length of SID in memory is 28 bytes Type of SiD is SidT ypeUser
Windows 2003的安全标识符
全账号管理器:SAMA 安全账号弹器的具体表现就是% SystemRoot% system32 config sam文件 2.sam文件是 windows nt的用户帐户数据库所有2KNT用户的登录名及口令等相关信息都会保存在这 个文件中。 3.sam文件可以认为类似于un系统中的pawd文件不过没有这么直观明了。 passwd使用的是存文 本的格式保存信息,这是一个 nux passw文件内容的例子 root: 8L7v6: 0: 0: root /root /bin/bash msql: !: 502: 504: /home/msql: /bin/bash unx中的 passwd文件中每一行都代表一个用户资料,每一个账号都有七部分资料不同资料中使用 ":"分割格式如下 账号名称密码 uid: gid个人资料用户目录shel 除了密码是加密的以外这里的密码部分已经 shadow了)其他项目非常清楚明了。 而 Windows中就不是这样,虽然也是用文件保存账号信息不过如果我们用编辑器打开这些NT的 sam文件,除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理,一般的编辑器 是无法直接读取这些信息的。注册表中的 HKEY LOCAL MACHINEISAMISAM HKEY LOCAL MACHINEISECURITYSAM 保存的就是SAM文件的内容,在正常设置下仅对 system是可读写的。 ndowsNI 观察:注册表中的SAM内容
1. 安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。 2. sam文件是windows NT的用户帐户数据库,所有2K/NT用户的登录名及口令等相关信息都会保存在这 个文件中。 3. sam文件可以认为类似于unix系统中的passwd文件,不过没有这么直观明了。passwd使用的是存文 本的格式保存信息,这是一个linux passwd文件内容的例子 root:8L7v6:0:0:root:/root:/bin/bash msql:!!:502:504::/home/msql:/bin/bash unix中的passwd文件中每一行都代表一个用户资料,每一个账号都有七部分资料,不同资料中使用 ":"分割格式如下 账号名称:密码:uid:gid:个人资料:用户目录:shell 除了密码是加密的以外(这里的密码部分已经shadow了)其他项目非常清楚明了。 而Windows中就不是这样,虽然也是用文件保存账号信息,不过如果我们用编辑器打开这些NT的 sam文件,除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理,一般的编辑器 是无法直接读取这些信息的。注册表中的 HKEY_LOCAL_MACHINE\SAM\SAM HKEY_LOCAL_MACHINE\SECURITY\SAM 保存的就是SAM文件的内容,在正常设置下仅对system是可读写的。 安全账号管理器:SAM 观察:注册表中的SAM内容