《SEC312以最少权限运行Windows的技巧.ppt》由会员分享,可在线阅读,更多相关《SEC312以最少权限运行Windows的技巧.ppt(42页珍藏版)》请在三一办公上搜索。
1、SEC 312以最少权限运行Windows的技巧,提要,为什么要以最少权限用户运行如何以最少权限用户运行演示,一些概念,管理员用户/非管理员用户LUA 最少权限用户“最少权限”原则,管理员能做,LUA不能做:,安装rootkit安装keylogger安装ActiveX控件,包括IE插件安装/启动系统服务停止系统服务(例如放火墙)读取其它用户的文件可以让任何人登录时运行某一特定程序用“木马”程序替换系统程序停止/卸载防毒软件创建/修改用户帐号重设用户口令修改系统的配置文件(例如hosts)删除系统的安全日志使机器无法启动.,日常软件,互联网浏览器(IE,FireFox)eMail软件(Outlo
2、ok Express)即时消息(MSN Messenger,QQ)网络游戏媒体播放器不只是Microsoft的问题,也包括其它软件开发商,“但我需要管理我的机器”,管理员权限双刃剑 平时以普通用户的身份运行只在必要时提升成管理员身份企业用户:不需管理员权限,给软件开发者的一个建议,以“LUA”用户身份运行 更好的软件及早发现bug降低开发成本养成好的使用习惯,LUA缺陷(bug),只在管理员身份下才能运行原因:软件开发者开发时以管理员身份登录“这个软件在我的机器上运行的好好的!”增加软件开发成本,这真的很重要吗?,(过去)谁是坏蛋?,MBA 候选?,(今天)谁是坏蛋?,有组织的犯罪集团外国政府
3、不道德企业恐怖份子雇佣黑客,Malware(有害软件)能赚钱?,“僵尸”机器(被黑客控制的机器)发垃圾邮件“拒绝服务”攻击广告软件身份窃取(信用卡号,银行帐号)商业间谍政治/军事间谍,“我的机器很安全,因为”,我总是及时安装软件补丁我总是及时更新防毒软件我使用放火墙我升级到Windows XP SP2我在用Microsoft的反间谍软件包我的密码很复杂我从不打开陌生邮件里的附件我从不去乱七八糟的网站我从不随便安装软件我有良好的判断力我的机器从没被感染过,软件缺陷公布到被利用的间隔 0天,用户未来得及打补丁软件补丁在公布当天就被黑客用反向工程分析出对应的软件缺陷软件缺陷在补丁出来前被发现者公布未
4、知的软件缺陷在公众知道软件缺陷前加以利用,Rootkit 是什么?,可以隐藏自己的软件使操作系统欺骗用户进行某些操作而不被用户察觉通常在系统被侵占后被安装,Rootkit 可以:,隐藏信息:进程文件注册表的键值系统服务驱动程序用户帐号网络端口和连接修改安全令牌隐藏其它后门,看不见Rootkit,常用的诊断工具DIR/A任务管理器性能查看器Resource Kit 中的工具Process Explorer(SysI)反病毒软件反间谍软件一些新的工具正在出现Rootkit Revealer(S)Blacklight(F-Secure)道高一尺,魔高一丈SEC 212 病毒,间谍软件,广告软件和Ro
5、otkit,Rootkit 和我有什么关系?,非管理员用户和Rootkit,许多 Rootkit 需要管理员权限安装/加栽驱动程序安装系统服务劫持系统函数/中断修改系统内核数据结构LUA Rootkit(不需管理员权限)容易发现更难把自己隐藏/加入自动运行只影响一个用户,好了,我被说服了,现在怎么办?,在需要时才提升权限,快速用户切换Windows XP Home(家庭版)未加入域中的 Windows XP Pro(企业版)每个用户有独立,相互隔绝的登录对家庭用户的建议每个成员使用一个LUA帐号不用管理员帐号登录,快速用户切换,RunAs(运行方式/运行身份),以另一个用户身份来运行一个程序在
6、同一个桌面上命令行或图形界面程序继承“父进程”的身份以管理员身份运行CMD.EXE在CMD窗口里运行其它程序新进程也以管理员身份运行,RunAs 对话框,鼠标右击程序,快捷方式MMC(.msc)SHIFT+鼠标右击控制窗口(.cpl)Microsoft Windows Installer,RunAs 对话框,“运行身份”成为一个快捷方式的默任操作,RunAs 命令行,Runas/user:Administrator cmd.exe,RunAs 视觉区别,Runas.exe/u:administrator cmd.exe/k cd c:&color fc&title*Admin*,RunAs 视
7、觉区别,给 IE 和 Explorer 设背景利用 TweekUI,PrivBar 工具,IE以管理员身份运行,IE以普通用户身份运行,工具见附录,PrivBar 工具(续),RunAs(运行方式/运行身份),RunAs 有时不起作用,有些程序只启用一个实例Windows ExplorerOffice Word有些程序通过Shell启动ShellExecuteExDDE当前的Windows Update,RunAs 和 Explorer,两个方法:用 IE,或使 Windows Explorer 能启动多个实例方法2:“在单独的进程中打开文件夹窗口”,RunAs 和 Explorer,使用本地
8、帐号的一些问题,无法访问域里的资源不同的用户配置文件(Profiles)有些软件假设安装用户和使用用户是同一人不同的用户策略(Policies)电源管理选项如何解决?MakeMeAdmin 工具,MakeMeAdmin 工具,临时提升当前用户帐号权限结果:同一用户帐号的有管理员权限的CMD窗口从这个CMD窗口运行的程序都有管理员权限工具见附录,MakeMeAdmin 工具,LUA 的局限,LUA价值?两个极端“万能药”“没什么好处”今天LUA能保护的今天LUA不能保护的当所有人都以LUA运行后,又怎么样?,参考资料,附:MakeMeAdmin.cmd,echo offsetlocalset _
9、Admin_=%COMPUTERNAME%Administratorset _Group_=Administratorsset _Prog_=cmd.exe/k cd c:echo 第二个,是当前登录用户的密码.runas/u:%_Admin_%s0%_User_%if ERRORLEVEL 1 echo.&pause)else(echo 加入用户帐号%*到%_Group_%组.net localgroup%_Group_%*/ADDif ERRORLEVEL 1 echo.&pauseecho.echo 在新的登录里运行程序.runas/u:%*%_Prog_%if ERRORLEVEL 1 echo.&pauseecho.echo 从%_Group_%组删除用户帐号 user%*.net localgroup%_Group_%*/DELETEif ERRORLEVEL 1 echo.&pause)endlocal,WCI 262Windows Vista安全特性深入分析-用户帐号保护(UAP/LUA),相关讲座,
