|
注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 341|回复: 0

[网络安全] 黑客针对账户的攻防

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
46715
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   638 小时
   最后登录
   2020-9-25
发表于 2020-9-16 07:40:55 来自手机 | 显示全部楼层 |阅读模式
    利用操作系统的漏洞,攻击者可以对目标计算机进行远程控制,让其执行各种操作和命令。但对于任何一个操作系统来说,出于安全考虑,对其访问账户的权限都进行了严格管理。例如,攻击者利用权限提升漏洞可以提升入侵账号的权限(直至系统管理员权限),进而对计算机进行控制或进行恶意操作。账户管理尤其是账户权限的管理,对防范网络攻击具有重要的意义。
2.3.1 账户和组
账户是用户登录系统时的凭证,一般由用户名和对应的口令组成,账户也称为用户账户。组是对用户进行分类管理的基本单位,同一组中的用户具有相同的权限。
1. 安全主体
在Windows操作系统中,可以将用户、组、计算机或服务都看作是一个安全主体。根据系统架构的不同,账户的管理方式也有所不同,其中本地账户由本地SAM文件来管理,而域账户由活动目录(Active Directory,AD)管理。
用户是登录计算机的一个独立安全主体。Windows中存在本地用户和域用户两种类型,其中本地用户是在计算机的本地安全账户管理器(SAM)数据库中定义的,每一台Windows计算机都有一个本地SAM,用于管理该计算机上的所有用户。本地SAM至少包含Administrator和Guest两个账户。
需要说明的是,对于活动目录域控制器来说仍然存在本地的SAM,只不过该SAM中的账户只能在目录服务还原模式下使用。
在操作系统发展早期,设计者已经意识到将每个对象的权限分配给需要它的每个用户,在管理上是非常困难的。为此,设计者提出了组的概念,即将拥有相同权限的用户置于同一个组进行管理。组也是一种安全主体,在Windows中用户可以是多个组的成员,并且对象可将权限分配给多个组,组可以嵌套。
2. 常用账户
Windows操作系统中有两个常用账户:Administrator和Guest。
这两个账户是网络攻击者经常关注和获取的目标,加强对这两个账户的安全管理是实现防范的有效方法。
(1)Administrator。Administrator是Windows操作系统内置的具有最高管理权限的系统管理员账户,也称为超级用户。Administrator对系统拥有全部的控制权,可以管理计算机内置账户,通过该账户可以对计算机进行全部的操作,包括安装程序、读取或删除计算机上所有的文件等。
只有拥有Administrator账户的用户,才拥有对计算机上其他用户账户的完全控制权,包括创建和删除计算机上的用户账户;为其他用户账户设置密码;更改其他用户的账户类型等。需要说明的是,Administrator无法将自己更改为受限制的账户类型,除非在该计算机上有多个拥有Administrator权限的用户账户。
(2)Guest。Guest(来宾)没有预设的密码,是供那些在系统中暂时没有个人账户的用户,在访问计算机时使用的临时账户。出于安全起见,系统默认Guest处于禁用状态。Guest可以更名和禁用,但不能被删除。
当用户通过Guest登录系统时,可以访问已经安装在计算机上的程序,但无法更改其账户类型。
3. 常用组
Windows操作系统中常见的组有Administrators、Users和Guests。其中,位于Administrators组中的用户拥有修改、控制系统的权利,主要包括安装操作系统和组件、升级操作系统和安装补丁程序、修复操作系统、配置操作系统的主要参数、管理安全和审计日志、备份和还原系统等。位于Users组中的成员不允许修改操作系统的设置或其他用户的参数,仅可以从事一些有限的操作,主要包括创建和管理本地组、运行经认证的程序(这些程序由管理员安装或部署)等。Guests组是微软公司为了提升系统的安全性,为特殊情况下的应用设计的,如局域网中的文件共享就是利用Guests组来实现的。
需要说明的是,在Windows活动目录域控制器中,出于对不同用户的细精度(权限管理等级)管理,提供了大量的组,有些组的功能随着操作系统版本的升级而变化。由于目前Windows操作系统的版本较多,所以在此不再一一赘述,需要时可查阅对应版本的操作说明。
2.3.2 用户的登录认证
Windows提供了NTLM(NT LAN Manager)和Kerberos,前者主要应用于Windows Server的工作组(workgroup)环境,后者主要用于Windows Server的域(domain)环境。
1. NTLM
NTLM使用了基于挑战/应答(challenge/response)机制的鉴别方法。在该机制中,客户端能够在不发送自己用户密码给服务器的情况下实现用户的身份鉴别。NTLM通常由协商(negotiation)、挑战(challenge)和鉴别(authentication)三类消息组成。NTLM身份鉴别机制的基本原理
①用户通过输入Windows账户的用户名和密码登录客户端主机。在登录之前,客户端计算输入密码的Hash值,并保存在本地缓存中,同时将原始密码丢弃。客户端用户在成功登录Windows后,如果要访问服务器资源,需要向对方发送一个请求报文。其中,用户在登录客户端时使用的用户名以明文形式包含在该请求报文中。
②服务器在接收到请求报文后,生成一个16位的随机数,这个随机数被称为Challenge或者Nonce。服务器在将该Challenge发送给客户端之前先将其保存起来。Challenge也是以明文的形式发送的。
③客户端在接收到服务器返回的Challenge后,用在步骤①中保存的密码Hash值对其加密,然后再将加密后的Challenge发送给服务器。
④服务器接收到客户端发送回来的加密后的Challenge后,会向域控制器(Domain Controller,DC)发送针对客户端的验证请求报文。该请求报文主要包含三方面的内容:客户端用户名、原始的Challenge和经客户端密码Hash值加密的Challenge。
⑤和⑥DC根据用户名获取该账户的密码Hash值,对原始的Challenge进行加密。如果加密后的Challenge和服务器发送的一致,则意味着用户拥有正确的密码,验证通过;否则验证失败。DC将验证结果发给服务器,并最终反馈给客户端。
2. Kerberos
Kerberos协议是MIT(麻省理工学院)开发的基于TCP/IP网络设计的可信第三方认证协议,它是目前分布式网络计算环境中应用最为广泛的认证协议。Kerberos工作在Client/Server模式下,利用可信赖的第三方KDC(Key Distribution Center,密钥分配中心)实现用户身份认证。在认证过程中,Kerberos使用对称密钥加密算法,提供了计算机网络中通信双方之间的身份认证。
设计Kerberos的目的是解决分布式网络环境中用户访问网络资源时的安全问题。Kerberos的安全性不依赖于用户端计算机或者要访问的主机(如服务器),而是依赖于KDC。Kerberos协议中每次通信过程都有3个通信参与方:需要验证身份的通信双方和一个双方都信任的第三方KDC。将发起认证服务的一方称为客户端,客户端需要访问的对象称为服务器端。在Kerberos中,客户端是通过向服务器端提交自己的“凭据”(Ticket)来证明自己身份的,该凭据是由KDC专门为客户端和服务器端在某一阶段内通信而生成的。Kerberos保存一个它的客户端及密钥的数据库,这些密钥是KDC与客户端之间共享的,是不能被第三方知道的。
由于Kerberos是基于对称加密算法来实现认证的,这就涉及加密密钥对的产生和管理问题。在Kerberos中会对每一个用户分配一个密钥对,如果网络中存在N个用户,则Kerberos系统会保存和维护N个密钥对。同时,在Kerberos系统中只要求使用对称密码,而没有对具体算法和标准做限定,这样便于Kerberos协议的推广和应用。下面介绍Kerberos的基本认证过程。
①客户端在需要访问某一资源服务器时,首先需要向票据分配服务器(Ticket Granting Server,TGS)申请本次访问所需要的票据(ticket)。该访问请求以明文方式发给认证服务器(Authentication Server,AS),请求的主要内容包含客户端名称(登录操作系统时使用的用户账号名称)和资源服务器名称等认证信息。在KDC中,由AS为用户提供身份认证,AS将用户密钥保存在KDC的数据库中。
②AS验证客户端的真实性访问权限后,以证书(credential)作为应答,证书中包含访问TGS的票据和用户与TGS间的会话密钥。其中,会话密钥通过用户的密钥加密后传输。
③客户端解密得到访问TGS的票据和用户与TGS之间通信的会话密钥,然后利用访问TGS的票据向TGS申请访问资源服务器所需要的票据。该申请包括TGS的票据和一个带有时间戳的认证符(authenticator)。认证符通过用户与TGS之间的会话密钥加密。
④TGS从票据中取出会话密钥,解密得到认证符,并验证认证符中时间戳的有效性,从而确定用户的请求是否合法。TGS确认用户的合法性后,生成所要求的资源服务器的访问票据,票据中包含有新产生的用户与资源服务器之间的会话密钥。TGS将资源服务器的票据和会话密钥传回给客户端。
⑤客户端向资源服务器提交资源服务器的访问票据和用户新产生的带有时间戳的认证符。认证符通过用户与资源服务器之间的会话密钥进行加密。
⑥资源服务器从票据中取出会话密钥,解密得到认证符,取出时间戳并检验有效性。然后向客户端返回一个带有时间戳的认证符,该认证符通过用户与资源服务器之间的会话密钥进行加密。据此,客户端可以验证资源服务器的合法性。

发表回复

您需要登录后才可以回帖 登录 | 注册会员 |

本版积分规则

快速回复 返回顶部 返回列表