Windows系统安全

Windows系统安全

---

一、课程目标

• 理解Windows账户的基本概念、账户风险与安全策略、访问控制、安全审计、文件系统的安全机制和安全策略。
• Windows系统的安全配置方法。

二、系统安全配置及用户账户管理

1、账户的基本概念

Windows安全主体

• 账户：在操作系统中，账户是操作系统进行权限管理的基本单元

• 用户组：用户组是由多个用户组成的一个群体，这个群体对某个资源拥有相同的权限。

• 用户账户

  • 本地用户
  • 域用户

  在windows系统中，用户可以分为本地用户和域用户。而本地用户与域用户的不同就是本地用户只能对本机有效，而域账户对整个安全域都是可以使用的。

• 组账户

  • everyone组
  • network组

  

• 计算机

• 服务

用户账户管理

在本地计算机中，用户账户和用户是相互对应的，当创建用户账户时，应赋予适当的操作权限。

注：从用户安全方面考虑，用户需要在下次登录时需更改密码，在设置密码时密码必须符合复杂性和字符长度的要求。

• 用户账户启用、禁用和删除

  • 账户和用户时相互对应的，如果新用户加入，需要创建新的账户；如果有些账户暂时用不到，应将账户禁用，以防被其他用户滥用；如果用户完全脱离计算机或控制域，应删除对应账户。

• 用户组管理

  • 为了事件对用户账户的统一管理，应该为其创建相应的本地用户组。

  

Windows用户安全策略

• 空口令风险：用户账户如果设置了空口令，其他用户可以不需要任何技术手段进入计算机，访问浏览空口令用户下的任何数据。

• 弱口令或常用口令风险：非授权用户借助辅助工具根据密码库或社工库尝试撞库，获取用户口令，进入系统访问获取任何数据。

  

Window审核策略

2、账户的风险与安全策略

用户鉴别

• 账户信息管理

• 登录验证

  • 本地登录验证
  • 远程登录验证

• Windows账号信息存储（SAM：安全管理账号）

  • 运行期锁定、存储格式加密。
  • 仅对system账号有权限，通过服务进行访问控制。

• 本地用户登录

  • GINA（Graphical Identification and Authentication）图形化识别和验证
  • LSA（Local Security Authority）本地安全授权

• 远程用户登录鉴别协议

  • SMB（Server Message Block）口令明文传输
  • LM（LAN Manager）口令哈希传输，强度低
  • NTLM（NT LAN Manager）提高口令散列加密强度、挑战/响应机制。
  • Kerberos：为分布网络提供单一身份验证。

三、访问控制

• Windows系统访问控制-ACL（Access Control List, ACL）

  • 安全描述符（SD）

    • 安全标识符（SID）

      安全标识符（Security Identifiers，SID），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。

      

    • 访问控制项（ACE）

      ACE即Access Contorl Entry，访问控制项，ACL是ACE的有序列表集合。ACE由SID、ACE的访问权限、ACE类型和继承标志组成。

      ACE类型有3种：拒绝访问、允许访问、系统审核（受信者访问对象时产生审核记录）。

      

    • 访问控制列表（DACL、SACL）

  • 设置文件ACL

    • ACE、DACL、SACL

    

    

• 用户账户控制（User Account Control, UAC）

  • 完全访问令牌
  • 标准受限访问令牌

  

1、Windows安全配置

• Windows文件系统安全

  • NTFS文件系统权限控制（ACL）

    文件、文件夹、注册表、打印机

  • 安全加密

    • EFS（Encrypting File System）
      • 系统内置，与文件系统高度集成
      • 对用户透明
      • 对称与非对称算法结合
    • Bitlocker
      • 对整个操作系统卷加密
      • 解决设备物理丢失安全问题

• Windows系统审计日志

  • windows日志

    • 系统
    • 应用程序
    • 安全
    • 设置

  • 应用程序和服务日志

  • 应用访问日志

    • FTP访问日志
    • IIS访问日志
    

• Windows系统安全策略

  • 账户策略
    • 密码策略
    • 账户锁定策略
  • 本地策略
    • 审核策略
    • 用户权限分配
    • 安全选项
  • 其他

  

• Windows系统安全配置

  • 安全配置前置工作
  • 账号安全设置
  • 关闭自动播放
  • 远程访问控制
  • 本地安全策略
  • 服务运行安全设置
  • 使用第三方安全增强软件

• Windows安全设置1-前置工作

  • 安全的安装

    • 分区设置：不要使用一个分区
    • 系统补丁：SP+Hotfix

  • 补丁更新设置

    • 检查更新
    • 自动下载安装或手动
    

• Windows安全配置2-账号安全设置

  • 账号安全设置

    • 默认管理账户Administrator更名
    • 设置好的口令
      • 自己容易记、别人不好猜

  • 系统账号策略设置

    • 账号锁定策略（应对口令暴力破解）

      • 账号锁定时间
      • 账号锁定阈值
      • 重置账号锁定计数器

      

  • 账号安全选项设置

    • 用户权限分配

      • 从网络访问这台计算机
      • 拒绝从网络访问这台计算机
      • 管理审核和安全日志
      • 从远程系统强制关机

      

    • 设置唤醒密码

      • 设置唤醒计算机时的登录密码

      • 设置屏幕时的登录密码

        

• Windows安全配置3-自动播放功能的威胁

  • 为方便用户而设计
  • 恶意代码借助移动存储介质传播的方式

  

  • 关闭自动播放（可以有效阻断U盘病毒的传播路径）

    

• Windows安全配置4-远程访问控制

  • 网络访问控制

    • 确保启用windows自带防火墙

      

    • 防火墙高级配置

      • 出站规则
      • 入站规则
      • 连接安全规则
      • 监视
        • 防火墙
        • 连接安全规则
        • 安全关联

    • 管理工具–>本地安全策略–>安全设置–>本地策略–>安全选项

      • 网络访问：不允许SAM账号的匿名枚举，设置为已启用
      • 网络访问：可匿名访问的共享，删除策略设置里的值
      • 网络访问：可匿名访问的命名管道，删除策略设置里的值
      • 网络访问：可远程访问的注册表路径，删除策略设置里的值

      

  • 共享安全防护

    • 关闭管理共享

      • 空会话连接控制

        • 本地安全策略设置中对匿名访问的限制

      • 关闭管理共享：修改注册表

        • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanman Server\Parameters

          

          

• Windows安全设置5-本地安全策略

  • 审核策略
  • 用户权限分配
  • 安全选项

  

  • 安全选项

    • 管理工具–>本地安全策略–>安全设置–>本地策略–>安全选项

      • 交互式登录：无需按Ctrl+Alt+Del，设置为已禁用

      • 交互式登录：不显示最后的用户名，设置为已禁用

      • 设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用

        

2、Windows服务运行安全设置

• 关闭不必要的服务

  • 关闭不需要的服务
    • 计划任务
    • 远程操作注册表
    • …
  • 控制服务权限
    • System（本地系统）
    • Local Service
    • Network Service

  

• Windows安全配置7-第三方安全软件

  • 防病毒软件
    • 安装病毒防护软件
      • 恶意代码是终端安全最大威胁
    • 确保病毒防护软件病毒库更新
      • 病毒防护软件主要工作机制：特征码扫描
    • 开启云查杀
  • 安全防护软件
    • 系统安全保护软件
    • 影子系统（构建现有操作系统的虚拟镜像）
    • 主机入侵检测(host-basd IDS)
  
  

四、Windows文件系统安全

1、NTFS文件权限

• NTFS权限概述

  对于NTFS分区上的文件和文件夹，管理员可以通过NTFS权限限制不同用户账户的访问权限。

• NTFS权限类型

  显示权限是系统创建对象时，默认赋予用户账户的访问和操作权限

  继承权限是从父对象传播到当前对象的权限

  继承权限可以减轻管理权限的任务，并且确保给定容器内所有对象之间权限的一致性

  默认情况下，文件自动继承来自其父文件夹的NTFS权限设置。

2、访问控制

• 访问控制列表

  任意访问控制列表（DACL）:包含用户和组的名称列表以及其相对应的权限

  系统访问控制列表（SACL）:审核服务，包含对象被访问的事件

• 访问控制项

  访问控制项包含允许访问和拒绝访问两种，其中拒绝访问的优先级高于允许访问。

• 访问控制条目

  访问控制条目包含用户或组的SID以及对象的权限。当使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，并不像防火墙的规则那样由上往下的顺次执行，访问控制条目中的权限是永远不会冲突的，并且拒绝访问总是优先于允许访问的。

3、NTFS权限设置

• Windows权限基本原则

  • 拒绝由于允许（解决权限设置的冲突问题）
  • 权限最小化（保障资源安全问题）
  • 权限继承（自动化执行权限设置问题）
  • 权限累加（权限设置更加灵活，更加多变）

• 如何设置NTFS文件夹权限

  使用管理员进行权限设置，取消everyone的所有权限

  

• 设置NTFS文件夹权限

  • 指定最高权限
  • 更改权限
  • 取得所有权
  • 指定高级访问权限

  

• 移动/复制对文件夹权限影响

  

• 文件权限审核

  在一般情况下，只需针对有一定系统安全要求级别的计算机实施审核策略，而且在实施过程中只审核那些与系统安全性密切相关的某些特定事件，并确定审核成功还是失败的事件。如果需要使用情况的发展趋势，则还需要编制事件日志的归档计划，以便定期或当安全事件发生后进行查阅和分析。

  • 登录/注销行为
  • 异常管理员
  • 对象访问（如文件、打印机）

  

• Windows权限基本原则

  每个对象都带有一组安全信息或安全描述符。安全描述符部分指定了可以访问对象的组或用户，以及授予这些组或对象的访问类型（权限）。安全描述符中的一部分称为随机访问控制列表（DACL）。对象的安全描述符还包含审核信息。审核信息被称为系统访问控制列表（SACL）.

  SACL特别指定：

  • 组和用户账户访问对象时要审核它们。
  • 要为每个组或用户进行审核的操作，例如修改一个文件。
  • 基于在对象的DACL中授予每个组或用户的权限的每个访问事件的“成功”或“失败”属性。

• 共享文件夹权限特点

  

• 共享文件夹权限

  

五、日志分析

1、系统日志分类

2、事件类型及描述

3、Windows日志审核