Windows應急響應和系統加固(3)——Windows操做系統的賬號角色權限

時間 2020-03-03

標籤 windows 應急響應系統加固賬號角色權限欄目 Windows 简体版

原文原文鏈接

Windows操做系統的賬號角色權限數據庫

1.Windows操做系統的賬戶：windows

　　• Windows操做系統比如一間富麗堂皇的宮殿，大門的門鎖是身份和權限鑑別器，到訪人員是帳戶，鑰匙是驗證其身份和權限的措施。sass

　　　　<1.>本地系統賬戶，Local System Account安全

　　　　　　本地管理員賬戶，Local Administrator Account網絡

　　　　　　　　特色：系統賬戶和管理員賬戶 (管理員組) 有相同的文件權限，但它們具備不一樣的功能：經過操做系統和在 Windows 下運行的服務使用系統賬戶；系統賬號是內部賬戶，不顯示在用戶管理器（lusrmgr.msc）中，不能添工具

加到任何組中，而且不能把用戶權限分配給它；系統賬戶，有時顯示爲SYSTEM，有時，顯示爲LocalSystem；本地系統賬戶，在安全的角度看具備很是大的能力。性能

　　　　<2>.網絡服務賬戶，network service accountui

　　　　　　　　特色：用來提供給既但願利用計算機賬戶來向網絡上其餘機器認證身份，可是，又不須要Administrators組的所屬權這樣的服務身份來被使用；只能訪問不多量的註冊表鍵、文件夾、文件；只賦予少許特權，限制能力範spa

圍；運行在network service account的進程，不可能加載設備Driver或打開任意的進程；屬於Network Service組。操作系統

　　　　<3>.本地服務賬戶，local service account

　　　　　　　　特色：幾乎等同於網絡服務賬戶；隸屬於Local Service組。

　　　　<4>.本地系統賬戶，Local System Account

　　　　　　　　特色：是核心的、Windows用戶模式、操做系統組件運行時，所在的賬戶；絕大多數文件和註冊表鍵（HOST_LOCAL_KEYS），都賦予本地系統賬戶，徹底的訪問權限；當系統是Windows域中的一個成員，本地系統賬戶包含了一個服務進程運行時所在計算機的機器安全標識符（SID），所以，一個運行在本地系統賬戶中的服務，經過利用它的計算機賬戶，便可自動地在同一個域林中的其餘機器，獲得身份認證。

　　　　　　　　　　　組件包括：

　　　　　　　　　　　　• 會話管理器（%SystemRoot%\System32\Smss.exe）；

　　　　　　　　　　　　• Windows子系統進程（Csrss.exe）；

　　　　　　　　　　　　• 本地權威進程（%SystemRoot%\System32\Lsass.exe）；

　　　　　　　　　　　　• Logon進程（%SystemRoot%\System32\Winlogon.exe）。　　　

　　　　<5>.服務帳戶的組成員關係圖：

2.Windows操做系統的角色：

　　　　<1>.Administrators，管理員，對計算機/域有不受限制的徹底訪問權；

　　　　<2>.Users，普通用戶，防止用戶進行有意或無心的系統範圍的更改，可是能夠運行大部分應用程序；

　　　　<3>.Guests，來賓訪客，來賓跟用戶組的成員有同等訪問權，但來賓賬戶的限制更多；

　　　　<4>.Hyper-V Administrators，虛擬化管理員，對Hyper-V全部功能的徹底且不受限制的訪問權限；

　　　　<5>.IIS_IUSRS，Web服務，Internet 信息服務使用的內置組；

　　　　<6>.Power Users，超級管理員，包括高級用戶以向下兼容，高級用戶擁有有限的管理權限；

　　　　<7>.Remote Desktop Users，遠程桌面使用，授予遠程登陸的權限；

　　　　<8>.Performance Monitor Users，性能監視，能夠從本地和遠程訪問性能計數器數據。

　　• 經過lusrmgr.msc工具，查看角色設置。

3.Windows操做系統的權限：

　　• 理解Windows訪問控制（Access Control）權限（Permissions），須要理解幾個關鍵概念和工做機制，在應急響應工做中，才能事半功倍、掌握關鍵線索：安全標識符（SID）、訪問令牌、安全描述符、訪問控制管理（權限）、特權。

　　　　<1>.安全標識符

　　　　　　特色：每一個用戶和系統須要爲之作出信任決策的每一個實體，都會被賦予一個安全標識符（Security Identifier，SID）；SID具備惟一性，具備多種不一樣的形式，伴隨實體整個生命週期；Windows不以賬戶名稱來標識用戶，使用

SID全局標識；用戶、用戶組、域用戶組、本地計算機、域、域成員、服務，都有SID

　　　　　　格式：

　　　　　　　　S-Revision Level-Authority Value-Relative Identifier

　　　　　　　　• *Revision Level：結構版本號；

　　　　　　　　• *Authority Value：48位，標識符機構值；

　　　　　　　　• *Relative Identifier：可變數量的，32位子機構值或相對標識符。

　　　　　　著名的 SID：

　　　　　　　　• LocalSystem：S-1-15-18

　　　　　　　　• LocalService：S-1-15-19

　　　　　　　　• Netword Service：S-1-15-20

　　　　　　　　• Administrators：S-1-5-32-544

　　　　　　　　• Users：S-1-5-32-545

　　　　　　　　• Print Operators：S-1-5-32-550

　　　　　　　　• Nobody Group：S-1-0-0，Null SID，當SID未知時，使用；

　　　　　　　　• Everyone：S-1-1-0，包含了全部用戶，但不包括匿名用戶的組；

　　　　　　　　• Local：S-1-2-0，登陸到本地終端的用戶，NT AUTHORITY\本地賬戶；

　　　　　　　　• Creator Owner：建立新用戶的標識符來代替；

　　　　　　　　• Creator Group：S-1-3-1，由建立新對象的用戶所屬的主組SID來替代；

　　　　　　　　• Power Users：S-1-5-32-547

　　　　　　　　• Console Logon：S-1-2-1

　　　　　　• 可經過指令whoami /all 來查看SID

　　　　　　• 可以使用psgetsid工具，解析、轉換SID和實體之間的關係

　　　　　　• Process Explorer工具的Security標籤，查看SID

　　　　<2>.訪問令牌

　　　　　　• 訪問令牌，SRM，標識進程、線程、文件、註冊表、資源等的安全環境

　　　　　　　　• 訪問令牌，包括：

　　　　　　　　　　• 用戶賬號SID；

　　　　　　　　　　• 所屬組SID；

　　　　　　　　　　• 標識當前登陸會話的SID；

　　　　　　　　　　• 用戶或其對應用戶組所擁有的權限列表；

　　　　　　　　　　• 對權限或組成員身份的限制；

　　　　　　　　　　• 支持以較低權限身份運行的標誌。

　　　　　　　　• 訪問令牌的一些TIPS：

　　　　　　　　　　•Local：意味着進程以控制檯方式登陸；　　　　　　　　　　

　　　　　　　　　　• Authenticated Users：認證登陸用戶的令牌中都包含這個組；

　　　　　　　　　　• SeChangeNotifyPrivilege：開啓；

　　　　　　　　　　• Logon Session：會話標識；

　　　　　　　　　　• 進程以工做站的方式運行；

　　　　　　　　　　• 內置的管理員，Built-In Administrators；

　　　　　　　　　　• 檢查其餘的特權

　　　　<3>.安全描述符：

　　　　　　•被請求、訪問對象的安全描述符（Security Descriptor，SD），包含：被訪問對象的全部者（Owner）、自主訪問控制列表（Discretionary Access Control List，DACL）、系統訪問控制列表（System Access Control，SACL）

　　　　　　　　安全描述符：ACE，訪問控制項權限的狀況

　　　　　　　　　　• N：no access；

　　　　　　　　　　• F：full access；

　　　　　　　　　　• M：modify；

　　　　　　　　　　• RX：read & execute；

　　　　　　　　　　• R：read；

　　　　　　　　　　• W：write；

　　　　　　　　　　• D：delete access；

　　　　　　　　　　• DE：delete；

　　　　　　　　　　• GR：generic read；

　　　　　　　　　　• GW：generic write；

　　　　　　　　　　• GE：generic execute；