展开全文

服务

Windows账号信息存储（SAM：安全管理账号）

一个用户账户数据库，存在于C:WindowsSystem32configSAM文件，类似于Linux的passwd文件

特点：运行期锁定、加密存储，仅对system账号有权限，通过服务进行访问控制。

本地用户登录：

GINA图形化识别和验证

LSA本地安全授权

远程用户登录鉴别协议：

SMB口令明文传输

LM口令哈希传输，强度低

NTLM提高口令散列加密强度、挑战/相应机制

Kerberos为分布网络提供单一身份认证

Windows的ACL

安全描述符（SD）包含如下信息

安全标识符（SID）

访问控制项（ACE）

访问控制列表【DACL（控制权限）、SACL（只记录）】

设置文件ACL

ACE、DACL、SACL

安全标识符SID

安全主体的代表，即标识用户、组和计算机账户的唯一编码。

访问控制项ACE：

ACL是ACE的有序列表集合。ACE由SID、ACE的访问权限、ACE类型和继承标志组成。

ACE类型有3种：拒绝访问、允许访问、系统审核（受信者访问对象时产生审核记录）

DACL：任意访问控制列表

SACL：系统访问控制列表

用户账户控制UAC：

完全访问令牌，标准受限访问令牌。

安全加密方式：

EFS

系统内置，与文件系统（NTFS）高度集成。

对用户透明。

对称与非对称算法结合。

Bitlocker

对整个操作系统卷加密。

解决设备物理丢失安全问题。

Windows系统审计机制

Windows日志：系统、应用程序、安全、设置

应用程序和服务日志

应用访问日志：FTP访问日志、IIS访问日志

IIS全称为Internet Information Service（Internet信息服务），它的功能是提供信息服务，如架设http、ftp服务器等，是WindowsNT内核的系统自带的。

IIS全称为Internet Information Service（Internet信息服务），它的功能是提供信息服务，如架设http、ftp服务器等，是WindowsNT内核的系统自带的。

Windows系统安全策略

账户策略：密码策略、账户锁定策略

本地策略：审核策略、用户权限分配、安全选项

其他

Windows系统安全配置

前置工作：

分区设置：不要只用一个分区。

系统补丁：SP+Hotfix

补丁更新设置：

检查更新

自动下载安装或手动。

账号安全设置

默认管理账户Administrator更名

设置好的口令

账号锁定策略：应对口令爆破

账号锁定时间、阈值、重置账号锁定计数器

用户权限分配：

（拒绝）从网络访问这台计算机

管理审核和安全日志

从远程系统强制关机

权限控制设置唤醒密码：设置唤醒计算机时的密码，设置登录密码

Windows安全配置-自动播放功能的威胁

为方便用户儿设计

恶意代码借助移动存储介质传播的方式

关闭自动播放功能可以有效阻断u盘病毒的传播路径

远程访问控制：网络访问控制、共享安全防护

确保开启Windows自带防护墙

防火墙高级设置：

出站规则，入站规则，连接安全规则，监视（防火墙、安全关联）

共享安全风险

IPC$的安全问题（空会话连接导致信息泄露）

管理共享风险（远程文件操作）

普通共享的风险（远程文件操作）

关闭管理共享

本地安全策略

安全选项

远程访问控制

服务运行安全

windows服务是一个长时间运行的可执行程序，不需要用户交互也不需要用户登录

关闭不必要的服务：计划任务、远程操作注册表

控制服务权限：System、Local Service、Network Service

安装安全防护软件

防病毒软件：恶意代码，确保软件病毒库更新，开启云查杀

系统安全防护软件：影子系统，主机入侵检测

账户安全

账户：操作系统中进行权限管理的基本单元

用户：Windows中，用户可分为本地用户和域用户。区别是是本地用户只对本机有效，域用户对整个安全域都可以使用。

用户组：由多个用户组成，对某个资源有相同的权限。

本地用户组有如下分类：

在本地计算机中，用户账户和用户是相互对应的，当创建用户账户时，应赋予适当的操作权限。

注：从用户安全方面考虑，用户需要在下次登录时更改密码，在设置密码时密码必须符合复杂性和字符长度的要求。

如果新用户加入，需创建新的账户。如果有些用户暂时用不到，应将账户禁用，以防被其他用户滥用。如果用户完全脱离计算机或控制域，应删除对应账户。

用户组管理：为了对用户账户统一管理，应该为其创建相应的本地用户组。

用户安全策略：

空口令风险

弱口令或常用口令风险

为防止出现以上风险，应当设置相应的安全防护策略

审核策略是本地安全策略的一部分，当用户执行某项操作，审核日志会逐一记录。

通过配置审核策略，系统可以自动记录所有登录到本地计算机的事件，通过记录的事件日志，能迅速判断系统是否被入侵或试图入侵。

审核策略开启建议：

登陆事件、对象访问、过程跟踪、目录服务访问、特权使用、系统事件、审核账号登陆事件、审核账户管理。

将部分安全功能设置权限，分配给特定用户账户，可以做到重要权限的分散，减轻系统管理员的工作量，避免个别用户权限过高给系统带来威胁。

为避免权限管理混乱，应尽量将用户指派到组，将需要获得此权限的用户添加到组中。

文件系统安全

NTFS文件权限：

读取、写入、读取及运行、修改、完全控制

NTFS文件夹权限：与文件权限类似

NTFS权限类型：

显式权限是系统创建对象时，默认赋予用户账户的访问和操作权限。

继承权限是从父对象传播到当前对象的权限。继承权限可以减轻管理权限的任务，并且确保给定容器内所有对象之间权限的一致性。

默认情况下，文件自动继承来自其父文件夹的NTFS权限设置。

访问控制列表：DACL（用户和组的名称列表及其对应的权限）、SACL（审核服务，包含对象被访问的时间）

访问控制项：访问控制项条目包含用户或组的SID以及对象权限。包含允许访问和拒绝访问两种，其中拒绝访问的优先级高于允许访问。

当使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的。并不像防火墙的规则那样由上往下的顺次执行，访问控制条目中的权限永远不会冲突，并且拒绝访问总是优先于允许访问的。

Windows权限基本原则

拒绝优于允许（解决权限冲突问题）

权限最小化

权限继承（子目录自动继承父目录的权限设置）

权限累加（属于两个组，则同时拥有两个组的权限）

使用管理员进行权限设置，取消everyone的所有权限。

指定最高权限，更改权限，取得所有权，指定高级访问权限。

移动/复制文件对文件夹权限的影响

文件权限审核

一般只对有一定系统安全要求级别较高的计算机实施审核策略，且实施过程只审核那些与系统安全性密切相关的特定时间，并确定审核成功还是失败的事件。如果需要使用情况的发展趋势，则还需编制事件日志的归档计划，以便定期或发生安全事件后进行查阅和分析。

登录/注销行为

异常管理员

对象访问（文件、打印机）

Windows权限基本原则

每个对象都有一组安全信息或安全描述符。安全描述符部分指定可以访问对象的组或用户，以及授予组或对象的访问类型，被称为随机访问控制列表（DACL）。审核信息被成为系统访问控制列表（SACL）。

SACL特别指定：

组合用户账户访问对象时要审核它。

要为每个组或者用户进行审核操作，例如修改一个文件。

基于在对象的DACL中授予每个组或用户的权限的每个访问事件的“成功”或“失败”属性。

共享文件夹权限特点

当NTFS卷上为共享文件夹授予权限时，应当遵守如下规则：

Windows日志分析

Windows系统日志会记录账户的登录事件、文件对象的访问，系统的特权使用相关事件。

分为应用程序日志、系统日志、安全日志。

系统日志默认最大为512KB，如果超过最大值，会改写超过七天的事件，为了不丢失要及时备份。

每个记录事件的数据结构包含9个元素：日期时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证，了解计算机上发生的具体行为。

时间的类型及描述：

‍