windows系统安全

Windows 安全简介

目前，Windows 系统已经占据了绝大部分的桌面市场，同时在服务器市场也占有较大比重。长期以来，由于病毒攻击、黑客入侵等原因，给人们留下了易受攻击的不好印象。本文将以 Windows 系统安全方面展开分享一些 Windows 系统安全防护措施。

Windows 安全基础

1. 常用命令

命令	功能
ver	查看系统版本
hostname	查看主机名
ipconfig /all	查看网络配置
net user	查看用户
netstat -ano	查看开放端口号
regedit	打开注册表
eventvwr.msc	打开事件查看器
services.msc	打开系统服务
gpedit.msc	打开组策略编辑器
secpol.msc	打开本地安全策略
lusrmgr.msc	打开本地用户和组

命令：net user

查看账户aaa的信息信息：net user aaa
创建[删除]空密码账户aaa：net user aaa /add [del]
创建[删除]普通账户aaa，密码为123：net user aaa 123 /add [del]
把aaa加入[退出]管理员组：net localgroup administrators aaa /add [del]
启用[停用]账户aaa：net user aaa /active:yes [no]
新建[删除]组admin1：net localgroup admin1 /add [del]

命令：whoami

查看当前有效用户名的命令

命令1：whoami
命令2：whoami /user
命令3：whoami /all

2. 账户安全

禁用默认账户

禁用 Guest 账户
禁用或删除无用账户

操作步骤：

使用 WIN+R 按键，输入 lusrmgr.msc 打开本地用户和组 > 用户中，双击 Guest 帐户，在属性中选中帐户已禁用，单击确定。

排查隐藏账户

在建立账户时，如果在用户名后面加上 $ 符号，就可以建立一个简单的隐藏账户，如：test$

在字符界面下执行 net user 命令，就无法查看到这个账户，但是在图形界面的“本地用户和组”中仍然可以看到。

黑客入侵一台主机后，一般都想办法给自己留后门，而给自己加一个管理员组的账户是常用手法。由于带 $ 的账户容易被发现，黑客能耐会建立一个类似系统管理员的账户名迷惑管理员，如：admin、sysadmin、Billgates、root 等。

另外还可能通过提升普通用户的权限到管理组中，例如把 test$ 账户加入管理组。所以，我们除了要检查可疑管理员账户外，还要对可疑的普通账户进行排查。

想了解如何实现账户隐藏的，可以查看我之前写的一篇文章：Windows 系统账户隐藏

按照用户分配账户

按照用户分配帐户。根据业务要求，设定不同的用户和用户组。例如，管理员用户，数据库用户，审计用户，来宾用户等。

操作步骤：

使用 WIN+R 按键，输入 lusrmgr.msc 打开本地用户和组中，根据业务要求设定不同的用户和用户组，包括管理员用户、数据库用户、审计用户、来宾用户等。

定期检查并删除与无关帐户

定期删除或锁定与设备运行、维护等与工作无关的帐户。

操作步骤：

使用 WIN+R 按键，输入 lusrmgr.msc 打开本地用户和组中，删除或锁定与设备运行、维护等与工作无关的帐户。

3. 本地策略

隐藏最后的用户名

配置登录登出后，不显示用户名称。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 安全选项中，双击交互式登录：不显示最后的用户名，选择已启用并单击确定。

远程关机

在本地安全设置中，从远端系统强制关机权限只分配给Administrators组。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 用户权限分配中，配置从远端系统强制关机权限只分配给Administrators组。

本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 用户权限分配中，配置关闭系统权限只分配给Administrators组。

用户权限指派

在本地安全设置中，取得文件或其它对象的所有权权限只分配给Administrators组。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 用户权限分配中，配置取得文件或其它对象的所有权权限只分配给Administrators组。

授权帐户登录

在本地安全设置中，配置指定授权用户允许本地登录此计算机。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 用户权限分配中，配置允许本地登录权限给指定授权用户。

授权帐户从网络访问

在本地安全设置中，只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 用户权限分配中，配置从网络访问此计算机权限给指定授权用户。

4. 口令安全

image

密码复杂度

密码复杂度要求必须满足以下策略：

最短密码长度要求八个字符。
启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的两种：
- 英语大写字母 A, B, C, … Z
- 英语小写字母 a, b, c, … z
- 西方阿拉伯数字 0, 1, 2, … 9
- 非字母数字字符，如标点符号，@, #, $, %, &, * 等

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 本地安全策略，在帐户策略 > 密码策略中，确认密码必须符合复杂性要求策略已启用。

密码最长留存期

对于采用静态口令认证技术的设备，帐户口令的留存期不应长于90天。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 本地安全策略，在帐户策略 > 密码策略中，配置密码最长使用期限不大于90天。

帐户锁定策略

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次后，锁定该用户使用的帐户。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 本地安全策略，在帐户策略 > 帐户锁定策略中，配置帐户锁定阈值不大于10次。

弱口令检查

利用一些暴力破解工具对 Windows 系统的密码以及相关服务应用的密码来检查口令是否安全。

在线方式：

利用 hydra 暴力破解内网 Windows 登录密码，以及其他应用服务密码服务，例如：FTP、SMB、SSH等等

none

hydra -l whoami -P /root/pass.txt smb://192.168.1.100

离线方式：

Pwdump7 可以在 CMD 下提取出系统中的用户的密码 hash (包括 LM 和NTLM),当然必须要有系统权限.提取出密码的 HASH 值

none

pwdump7.exe                               (Dump system passwords)
pwdump7.exe -s <samfile> <systemfile>     (Dump passwords from files)
pwdump7.exe -d <filename> [destionation]  (Copy filename to destionation)
pwdump7.exe -h                            (Show this help)-s 是从一个sam文件中提取hash,这个文件在%systemroot%configsam,这里.
-d 是把一个文件复制到另一个位置,D:>PwDump7.exe -d c:pagefile.sys pagefile.dmp

pwdump7 地址：https://www.openwall.com/passwords/windows-pwdump

解决报错问题：拷贝libeay32.dll到windows/system32下即可

再用 Ophcrack 破解 Pwdump7 提取出的 HASH 值

Ophcrack 地址：https://www.onlinedown.net/soft/44356.htm

0x003 Windows 安全配置

1. 系统服务

使用 WIN+R 按键，输入 services.msc 打开系统服务管理界面

image

使用命令行开启和关闭服务

none

net stat             查看已开启的服务
net stop servername   停止服务

建议将停止不必要的服务，并将启动方式修改为手动

image

使用 WIN+R 按键，输入 regedit 打开注册表，在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一服务项子项都有一个 start 数值，这个数值的内容依照每一服务项目的状况而又有不同。start 数值内容所记录的就是服务项目驱动程式该在何时启动

2. 服务进程

基本的系统进程

none

smss.exe           Session Manager
csrss.exe          子系统服务进程
winlogon.exe       管理用户登录
services.exe       包含很多系统服务
lsass.exe          管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和安全驱动程序 (系统服务)
svchost.exe        包含很多系统服务
spoolsv.exe        将文件加载到内存中以便此后打印 (系统服务)
explorer.exe       资源管理器
internat.exe       输入法

端口与进程

使用 netstat -ano 查看进程，找到对应端口的 PID 值

image

然后在系统任务管理器的服务选项中，根据 PID 值查找该端口的服务，点击右键可以停止该服务

image

3. 日志审核

日志位置

Windows 日志文件默认位置：%systemroot%\system32\config
安全日志文件：%systemroot%\system32\config\SecEvent.EVT
系统日志文件：%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT
FTP 链接日志和 HTTPD 事务日志：%systemroot%\system32\LogFiles\

事件查看器

使用 WIN+R 按键，输入 eventvwr.msc 打开事件查看器

image

审核登录

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核登录事件。

审核策略

启用本地安全策略中对Windows系统的审核策略更改，成功和失败操作都需要审核。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核策略更改。

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问，成功和失败操作都需要审核。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核对象访问。

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问，仅需要审核失败操作。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核目录服务器访问。

审核特权使用

启用本地安全策略中对Windows系统的审核特权使用，成功和失败操作都需要审核。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核特权使用。

审核系统事件

启用本地安全策略中对Windows系统的审核系统事件，成功和失败操作都需要审核。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核系统事件。

审核帐户管理

启用本地安全策略中对Windows系统的审核帐户管理，成功和失败操作都要审核。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核帐户管理。

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪，仅失败操作需要审核。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 审核策略中，设置审核进程追踪。

4. 文件权限

前提条件

NTFS 分区：

NTFS 权限既影响网络访问者也影响本地访问者
NTFS 权限可以为驱动器、文件夹、注册表键值、打印机等进行设置
权限可以配置给用户或组，不同用户或组对同一个文件夹或文件可以有不同的权限

分区转换：

convert D:/fs:ntfs
操作不可逆，只能将 FAT 或 FAT32 系统转换为 NTFS 系统，反之不可。如果必须转换，一般需要重新格式化硬盘

文件权限细分

ACL（access control list）访问控制列表

image

文件权限特性

权限的优先顺序：

每种权限都有“允许”和“拒绝”两种设置方式
权限的来源有“直接设置”和“继承”两种
如果权限的设置出现矛盾，系统按下面的优先顺序确定权限
直接设置的拒绝->直接设置的允许->继承的拒绝->继承的允许

移动、复制对权限继承性的影响：

在同一分区内移动文件或文件夹，权限保持不变。在不同分区间移动文件或文件夹，权限继承新位置的权限
复制文件或文件夹，权限会继承新位置的权限
把文件或文件夹移动或复制到FAT分区中时权限会丢失

关闭默认文件共享

非域环境中，关闭Windows硬盘默认共享，例如C，D，D，D。

操作步骤：

使用 WIN+R 按键，输入 regedit 打开注册表编辑器，根据推荐值修改注册表键值。

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer 推荐值： 0

注意： Windows Server 2012版本已默认关闭Windows硬盘默认共享，且没有该注册表键值。

共享文件夹授权访问

每个共享文件夹的共享权限，只允许授权的帐户拥有共享此文件夹的权限。

操作步骤：

每个共享文件夹的共享权限仅限于业务需要，不要设置成为 Everyone。打开控制面板 > 管理工具 > 计算机管理，在共享文件夹中，查看每个共享文件夹的共享权限。

5. 安全配置

启用安全选项

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 安全选项中，进行如下设置：

image

禁用未登录前关机

服务器默认是禁止在未登录系统前关机的。如果启用此设置，服务器安全性将会大大降低，给远程连接的黑客造成可乘之机，强烈建议禁用未登录前关机功能。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 安全选项中，禁用关机: 允许系统在未登录前关机策略。

防病毒管理

Windows系统需要安装防病毒软件。

操作步骤：

安装企业级防病毒软件，并开启病毒库更新及实时防御功能。

设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码，并将屏幕保护自动开启时间设定为五分钟。

操作步骤：

启用屏幕保护程序，设置等待时间为 5分钟，并启用在恢复时使用密码保护。

限制远程登录空闲断开时间

对于远程登录的帐户，设置不活动超过时间15分钟自动断开连接。

操作步骤：

使用 WIN+R 按键，输入 secpol.msc 打开本地安全策略，在本地策略 > 安全选项中，设置 Microsoft网络服务器：暂停会话前所需的空闲时间数量属性为15分钟。

操作系统补丁管理

安装最新的操作系统Hotfix补丁。安装补丁时，应先对服务器系统进行兼容性测试。

操作步骤：

安装最新的操作系统Hotfix补丁。安装补丁时，应先对服务器系统进行兼容性测试。

注意：对于实际业务环境服务器，建议使用通知并自动下载更新，但由管理员选择是否安装更新，而不是使用自动安装更新，防止自动更新补丁对实际业务环境产生影响。

0x004 Windows 入侵调查

1. 及早发现系统异常

系统启动

系统日志记录
系统运行时间
网络连接时间

系统资源

进程占用大量 CPU 时间
进程消耗大量物理内存
磁盘空间减少

网络流量异常

发送或接收大量 SYN 数据包
发送或接收大量 ICMP 数据包
其他流量（如 BT 协议流量，FTP 协议流量）

发现途径

入侵检测软件
防火墙
管理员询问
残缺日志
其他

查看遗留痕迹

IE 临时文件

访问过的网页
Documents and Settings<账号>\Local Settings\Temporary Internet Files

访问地址记录

记录访问过的网址和本地地址
按日期排列
Documents and Settings<账号>\Local Settings\History

使用文件记录

打开过的文档
Documents and Settings<账号>\Recent

cookie 记录

访问过的网址
使用过的账户
Documents and Settings<账号>\cookie

计划任务

使用 at 命令查看

回收站

根目录下的隐藏的 Recycler 目录
用户删除的文件在以自身 SID 为基础命名的子目录中

注册表

曾经存在的账户：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList
曾经安装过的软件：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

检查交换文件

HKLM\System\CurrentControlSet\Control\Session Managemen\ClearPageFileAtShutdown
检查 \winnt\profile 目录，如果账号存在而以该账号命令的子目录不存在，则该账号还没有登录过系统
如果用户目录存在而该账户不在用户列表中，则说明用户 ID 曾经存在而已被删除

分析入侵状况

审核日志
查看入侵者遗留痕迹
分析入侵原因
修补漏洞

2. 分析日志入侵情况

日志审核首要条件：

日志的记录能力
日志的保持能力

系统日志：

记录设备驱动状态，系统进程、服务状态，以及补丁安装情况
可能会获得被攻击的时间以及方法
- 某时刻系统重启
- 某时刻系统服务出错并重启
- 某时刻系统弹出对话框（如终端连接人数超过限制）

应用程序日志：

记录用户应用程序的活动情况
可能能够获得被攻击的时间以及方法
- 某时刻防火墙被关闭
- 某时刻杀毒软件自动防护功能被禁止
- 某时刻杀毒软件警告发现了病毒
- 某时刻安装或删除了软件

安全性日志：

记录系统使用的登录进程、特权使用、安全审核以及审核结果
可能能够获得被攻击的时间以及方法
- 某时刻某用户登录系统成功
- 某时刻用户尝试登录系统失败
- 某时刻某用户更改了审核策略

WEB 日志：

IIS 日志在 %systemroot%\system32\logfiles 下的相应子目录中
特定请求
- 上传下载请求，如 ipfile.asp、up.asp、download.asp 等
- 特殊关键字请求，如 select *、insert into、drop from 等
- 异常参数请求：如 ‘、;–、;、1=1、1=2 等
服务器状态码
- 请求成功：200-299
- 客户端错误：400-499
- 服务器端错误：500-599（并非攻击失败）

3. 恢复系统以及应用

复查确认后门清理完毕：Pslist lceSword

判断系统存在漏洞

入侵手法判断：根据日志重现攻击手法；依照流行程度判断
服务内容判断：参照安全公告，检查本机服务
扫描判断：微软工具 MBBA 基准1扫描

修复系统存在漏洞，并加固系统

临时解决方案
- 使用防火墙策略阻挡指定协议或端口特殊关键字请求，如 select *、insert into、drop from 等
- 使用防火墙阻挡指定进程
- 暂停使用危险应用
根本解决方案
- 安装安全补丁
- 更换安全的应用系统
- 暂停使用危险应用

启动所有应用，测试是否正常运行

0x005 Windows 应急响应

1. 查找系统后门

Autoruns

使用 Autoruns 可列举常见的启动条目，在启动条目中，因为大部分恶意程序自身不会含有过多的描述信息，因此通过检查 Publisher 和 Description 两条项目可排除一些较简单的后门程序或恶意代码

image

2. 按行为查找后门

在后门程序运行的过程中，后门程序除正常的访问一些敏感文件、注册表行等行为外，还可能会出现创建模块等异常行为，而这些额外创建出来的文件会辅助恶意程序的主进程工作，放置主进程被用户或杀毒软件中断，因此，可通过监控工具来查看恶意程序的行为

Filemon

image

Filemon 会以进程为线索、列举该进程已何种方式（即，界面中的“请求”）对什么文件（即，界面中的“路径”）进行什么样的访问（请求方式分为 OPEN、READ、QUERY、CLOSE 等），以及访问是否成功（即，界面中的“结果”）

image

如果需要对特定的进程进行监视或过滤，可点击快捷菜单上的漏洞图标，填写指定的进程名来进行结果过滤

Regmon

Regmon 与 Filemon 使用方法相同，不过 Regmon 是用于监控进程对注册表的操作行为

image

3. 按隐藏技术查找后门

lceSword–冰刃

lceSword 是一款集合了较多实用功能的安全检测工具，利用 lceSword 的进程功能，可查看系统中是否存在隐藏进程，若存在，则该进程会被自动标注为红色

image

类似的，在 SSDT 中也会查找到隐藏的驱动

image

2. 全面分析日志

账号的审计信息

若系统配置了审计，则会在事件查看器的安全性日志中查看到某些非管理员账号的登录、文件访问等行为

image

用户目录

若用户账号仅是通过net命令或用户管理员程序删除的，那么，系统中仍然会残留有该用户的目录，目录中的一些人家会记录用户的某些特定行为，便于追查，这些文件如下：

（以系统安装在C盘、恶意用户为 cracker 为例）

用户的桌面，可能放有一些临时或下载的文件
- C:\Documents and Settings\cracker\桌面
用户的网络访问情况，cookie 文件中可能会记录一些敏感信息
- C:\Documents and Settings\cracker\Cookies
用户最近访问过哪些文件或文件夹
- C:\Documents and Settings\cracker\Recent
用户上网的历史记录
- C:\Documents and Settings\cracker\Local Settings\History
一些程序安装、压缩等操作可能会在该目录下产生临时文件
- C:\Documents and Settings\cracker\Local Settings\Temp
上网时产生的临时文件，不但会存储网页页面内容，还可能以临时文件方式存储一些下载的文件
- C:\Documents and Settings\cracker\Local Settings\Temporary Internet Files

Windows 安全日志

使用 WIN+R 按键，输入 eventvwr.msc 吗，选中 Windows 日志进行分析

image

IIS 日志分析

路径：%systemroot%\ststem32\LogFiles\W3SVCx
命令：exYYMMDD.log
内容：时间、客户端IP、用户名、访问的文件、端口、方法…

image

IIS 日志分析 - 攻击者的目录扫描行为

image

IIS 日志分析 - 攻击者的 SQL 注入行为

image

Settings\cracker\Recent

用户上网的历史记录
- C:\Documents and Settings\cracker\Local Settings\History
一些程序安装、压缩等操作可能会在该目录下产生临时文件
- C:\Documents and Settings\cracker\Local Settings\Temp
上网时产生的临时文件，不但会存储网页页面内容，还可能以临时文件方式存储一些下载的文件
- C:\Documents and Settings\cracker\Local Settings\Temporary Internet Files

Windows 安全日志

使用 WIN+R 按键，输入 eventvwr.msc 吗，选中 Windows 日志进行分析

[外链图片转存中…(img-sJyNQ6Hx-1649754581651)]

image

IIS 日志分析

路径：%systemroot%\ststem32\LogFiles\W3SVCx
命令：exYYMMDD.log
内容：时间、客户端IP、用户名、访问的文件、端口、方法…

[外链图片转存中…(img-zVPyKTeP-1649754581651)]

image

IIS 日志分析 - 攻击者的目录扫描行为

[外链图片转存中…(img-i0wRIfqR-1649754581652)]

image

IIS 日志分析 - 攻击者的 SQL 注入行为

[外链图片转存中…(img-bl7AdhyR-1649754581652)]

image

参考文章