Windows系统安全

Windows系统安全基础

1. 常用命令

   

2. 账户安全

   通过lusrmgr.msc打开

   账户相关命令之net user:

   ​ 查看账户abc的详细信息：net user abc

   ​ 创建（空密码）[删除]账户:net user abc /add[abc]

   ​ 创建普通账户abc,密码123:net user abc 123 /add

   ​ 把abc加入[退出]管理员组:net localgroup administrators abc /add[del]

   ​ 启用[停用]账户abc:net user abc /acti:yes[no]

   ​ 新建[删除]组admin：net localgroup admin /add[del]

   whoami:

   ​ whoami

   ​ whoami /user suid

   ​ whoami /all 所有信息

   建立隐藏用户

   ​ 在建立用户账户时，如果在用户名后面加上$符号，就可以建立一个简单的隐藏账户，如"test$"

   ​ 在字符界面下执行net user命令，就无法查看到这个账户，但是在图形界面的“本地用户和组”中仍然可以查看到。

   ​ 由于带$的账户容易被发现，于是建立一个看起来和系统类似的名字迷惑管理员，如admin、sysadmin另一种就是把普通用户组队用户账户提升到管理员组中

3. 本地安全策略

   账户安全策略–secpol.msc

   密码策略：

   • 密码必须符合复杂度要求
   • 密码长度最小值
   • 密码最短期限
   • 密码最长使用期限
   • 前缀密码历史
   • 用可还原的加密来存储密码

   账户策略

   • 账户锁定事件
   • 账户锁定阈值
   • 重置账户锁定计时器

4. 口令安全

利用hydra暴力破解内网Windows登录密码

在线：hydra -l whoami -P /root/666shuzi.txt smb://192.168.1.114

离线：PwDump

Windows安全配置规范

系统服务

服务——services.msc进行打开

net start/stop servername 开启服务

net start 查看已开启的服务

net stop servername 停止服务

服务与进程安全

日志审计

事件查看器——eventvwr.msc

审核策略——secpol.msc

文件权限控制

前提条件

​ NTFS分区：

​ 1.NTFS权限既影响网络访问者也影响本地访问者

​ 2.NTFS权限可以为驱动器、文件夹、注册表键值、打印机等进行设置

​ 3.权限可以配置给用户或组，不同用户或对文件夹或文件可以有不同的权限

分区转换：

convert D：/fs：ntfs

注意：不可逆，只能将FAT或FAT系统转货物NTFS系统，不能将NTFS系统转换成FAT或FAT32系统。如果必须转换，一般需要重新格式化磁盘。

权限的优先顺序：

​ 每种权限都有允许和拒绝两种设置方法

​ 权限的来源有直接设置和继承两种

​ 如果权限的设置出现矛盾，系统按下面的顺序确定权限

​ 直接设置的拒绝——直接设置的允许——继承的拒绝——继承的允许

移动、复制对权限继承性的影响：

1. 在同一分区内移动文件或文件夹，权限保持不变。在不同分区剑移动文件或文件夹，权限继承新位置的权限
2. 复制文件或文件夹，权限会继承新位置的权限
3. 把文件或文件夹移动或复制到FAT分区中时权限会丢失

Windows入侵调查

及早发现系统异常

查看日志分析入侵情况

分析入侵情况

审核日志

系统日志

应用日志

安全性日志

web日志

ftp日志

数据库日志

查看攻击者遗留痕迹

分析入侵原因并弥补漏洞

Windows登录类型及安全日志解析

审核日志

日志审核的首要条件

​ 日志的记录能力

​ 日志的保存能力

系统日志

• ​ 记录设备驱动状态，系统进程、服务状态改变、以及补丁安装情况

• ​ 可能能够获得被攻击的事件以及方法

  • ​ 某时刻系统重启

  • ​ 某时刻某系统服务出错并重启

  • ​ 某时刻系统弹出对话框（如终端连接人数超过限制）

应用程序日志

记录用户应用程序的活动情况

可能能够获得被攻击的事件及方法

某时刻防火墙被关闭

某时刻杀毒软件自动防护功能被禁止

某时刻杀毒软件警告发现病毒

某时刻安装或删除了软件

安全性日志

记录系统使用的登录情况、特权使用、安全审计以及审核结果

可能能够获得被攻击的事件及方法

某时刻某用户登录系统成功

某时刻某用户尝试登录系统失败

某时刻某用户更改了审核策略

web日志

IIS日志在%systemroot%\system32\logfiles下相应子目录

特定请求

上传下载请求，如upfile.asp、up.asp、download.asp等

特殊关键字请求，如select *、insert into、drop from等

异常参数请求，如‘ ；-- ； 1=1 1=2

服务器状态码

请求成功，200-299

客户端错误，400-499

服务器端错误，500-599（并非攻击失败）

恢复系统以及应用

Windows应急响应

查找系统后门

autoruns

可例举常见的启动条目，可以通过检测Publisher和Description两个条目可排除一些较简单的后门程序或恶意代码。

按行为查找后门

在后门程序运行的过程中，后门程序除正常的访问一些敏感文件、注册表行为外，还可能出现创建模块等异常行为，而这些额外创建出来的文件会复制恶意程序的主进程工作，防止主进程被用户或杀毒软件中断，因此可通过监控软件查看恶意程序的行为。

Filemon

以进程为线索，列举该进程以何种方式对什么文件进行什么样的访问

Regmon

用于监控进程对注册表的操作行为

按隐藏技术查找后门

lcesword

查看系统中是否存在隐藏进程

全面分析日志

账号的审计信息

若系统配置了审计，则会在事件查看器的安全性日志中查看到某些非管理账号的登录、文件访问等行为：

用户目录

如何分析日志

Windows日志分析——eventvwr

安全性日志

​ 取决于审核策略的条目

系统日志

​ 监控系统行为

window日志分析——IIS日志

路径

%systemroot%\system32\Logfiles\

命名

exYYMMDD.log

内容

时间、客户端IP、用户名、访问的文件、端口、方法

Windows日志分析——IIS日志

事件查看器的安全性日志中查看到某些非管理账号的登录、文件访问等行为：

用户目录

[外链图片转存中…(img-bFUYYIuB-1658976682588)]

如何分析日志

Windows日志分析——eventvwr

安全性日志

​ 取决于审核策略的条目

系统日志

​ 监控系统行为

window日志分析——IIS日志

路径

%systemroot%\system32\Logfiles\

命名

exYYMMDD.log

内容

时间、客户端IP、用户名、访问的文件、端口、方法

Windows日志分析——IIS日志