Windows系统安全基础
-
常用命令
-
账户安全
通过lusrmgr.msc打开
账户相关命令之net user:
查看账户abc的详细信息:net user abc
创建(空密码)[删除]账户:net user abc /add[abc]
创建普通账户abc,密码123:net user abc 123 /add
把abc加入[退出]管理员组:net localgroup administrators abc /add[del]
启用[停用]账户abc:net user abc /acti:yes[no]
新建[删除]组admin:net localgroup admin /add[del]
whoami:
whoami
whoami /user suid
whoami /all 所有信息
建立隐藏用户
在建立用户账户时,如果在用户名后面加上 符号,就可以建立一个简单的隐藏账户,如 " t e s t 符号,就可以建立一个简单的隐藏账户,如"test 符号,就可以建立一个简单的隐藏账户,如"test"
在字符界面下执行net user命令,就无法查看到这个账户,但是在图形界面的“本地用户和组”中仍然可以查看到。
由于带$的账户容易被发现,于是建立一个看起来和系统类似的名字迷惑管理员,如admin、sysadmin另一种就是把普通用户组队用户账户提升到管理员组中
-
本地安全策略
账户安全策略–secpol.msc
密码策略:
- 密码必须符合复杂度要求
- 密码长度最小值
- 密码最短期限
- 密码最长使用期限
- 前缀密码历史
- 用可还原的加密来存储密码
账户策略
- 账户锁定事件
- 账户锁定阈值
- 重置账户锁定计时器
-
口令安全
利用hydra暴力破解内网Windows登录密码
在线:hydra -l whoami -P /root/666shuzi.txt smb://192.168.1.114
离线:PwDump
Windows安全配置规范
系统服务
服务——services.msc进行打开
net start/stop servername 开启服务
net start 查看已开启的服务
net stop servername 停止服务
服务与进程安全
日志审计
事件查看器——eventvwr.msc
审核策略——secpol.msc
文件权限控制
前提条件
NTFS分区:
1.NTFS权限既影响网络访问者也影响本地访问者
2.NTFS权限可以为驱动器、文件夹、注册表键值、打印机等进行设置
3.权限可以配置给用户或组,不同用户或对文件夹或文件可以有不同的权限
分区转换:
convert D:/fs:ntfs
注意:不可逆,只能将FAT或FAT系统转货物NTFS系统,不能将NTFS系统转换成FAT或FAT32系统。如果必须转换,一般需要重新格式化磁盘。
权限的优先顺序:
每种权限都有允许和拒绝两种设置方法
权限的来源有直接设置和继承两种
如果权限的设置出现矛盾,系统按下面的顺序确定权限
直接设置的拒绝——直接设置的允许——继承的拒绝——继承的允许
移动、复制对权限继承性的影响:
- 在同一分区内移动文件或文件夹,权限保持不变。在不同分区剑移动文件或文件夹,权限继承新位置的权限
- 复制文件或文件夹,权限会继承新位置的权限
- 把文件或文件夹移动或复制到FAT分区中时权限会丢失
Windows入侵调查
及早发现系统异常
查看日志分析入侵情况
分析入侵情况
审核日志
系统日志
应用日志
安全性日志
web日志
ftp日志
数据库日志
查看攻击者遗留痕迹
分析入侵原因并弥补漏洞
Windows登录类型及安全日志解析
审核日志
日志审核的首要条件
日志的记录能力
日志的保存能力
系统日志
-
记录设备驱动状态,系统进程、服务状态改变、以及补丁安装情况
-
可能能够获得被攻击的事件以及方法
-
某时刻系统重启
-
某时刻某系统服务出错并重启
-
某时刻系统弹出对话框(如终端连接人数超过限制)
-
应用程序日志
记录用户应用程序的活动情况
可能能够获得被攻击的事件及方法
某时刻防火墙被关闭
某时刻杀毒软件自动防护功能被禁止
某时刻杀毒软件警告发现病毒
某时刻安装或删除了软件
安全性日志
记录系统使用的登录情况、特权使用、安全审计以及审核结果
可能能够获得被攻击的事件及方法
某时刻某用户登录系统成功
某时刻某用户尝试登录系统失败
某时刻某用户更改了审核策略
web日志
IIS日志在%systemroot%\system32\logfiles下相应子目录
特定请求
上传下载请求,如upfile.asp、up.asp、download.asp等
特殊关键字请求,如select *、insert into、drop from等
异常参数请求,如‘ ;-- ; 1=1 1=2
服务器状态码
请求成功,200-299
客户端错误,400-499
服务器端错误,500-599(并非攻击失败)
恢复系统以及应用
Windows应急响应
查找系统后门
autoruns
可例举常见的启动条目,可以通过检测Publisher和Description两个条目可排除一些较简单的后门程序或恶意代码。
按行为查找后门
在后门程序运行的过程中,后门程序除正常的访问一些敏感文件、注册表行为外,还可能出现创建模块等异常行为,而这些额外创建出来的文件会复制恶意程序的主进程工作,防止主进程被用户或杀毒软件中断,因此可通过监控软件查看恶意程序的行为。
Filemon
以进程为线索,列举该进程以何种方式对什么文件进行什么样的访问
Regmon
用于监控进程对注册表的操作行为
按隐藏技术查找后门
lcesword
查看系统中是否存在隐藏进程
全面分析日志
账号的审计信息
若系统配置了审计,则会在事件查看器的安全性日志中查看到某些非管理账号的登录、文件访问等行为:
用户目录
如何分析日志
Windows日志分析——eventvwr
安全性日志
取决于审核策略的条目
系统日志
监控系统行为
window日志分析——IIS日志
路径
%systemroot%\system32\Logfiles\
命名
exYYMMDD.log
内容
时间、客户端IP、用户名、访问的文件、端口、方法
Windows日志分析——IIS日志
事件查看器的安全性日志中查看到某些非管理账号的登录、文件访问等行为:
用户目录
[外链图片转存中…(img-bFUYYIuB-1658976682588)]
如何分析日志
Windows日志分析——eventvwr
安全性日志
取决于审核策略的条目
系统日志
监控系统行为
window日志分析——IIS日志
路径
%systemroot%\system32\Logfiles\
命名
exYYMMDD.log
内容
时间、客户端IP、用户名、访问的文件、端口、方法
Windows日志分析——IIS日志