Windows應急回應和系統加固(3)——Windows作業系統的帳號角色權限

Windows作業系統的帳號角色權限

1.Windows作業系統的帳戶：

　　• Windows作業系統好比一間富麗堂皇的宮殿，大門的門鎖是身份和權限鑒別器，到訪人員是賬戶，鑰匙是驗證其身份和權限的措施，

　　　　<1.>本地系統帳戶，Local System Account

　　　　　　本地管理員帳戶，Local Administrator Account

　　　　　　　　特點：系統帳戶和管理員帳戶 (管理員組) 有相同的檔案權限，但它們具有不同的功能：通過作業系統和在 Windows 下運行的服務使用系統帳戶；系統帳號是內部帳戶，不顯示在用戶管理器（lusrmgr.msc）中，不能添

加到任何組中，并且不能把用戶權限分配給它；系統帳戶，有時顯示為SYSTEM，有時，顯示為LocalSystem；本地系統帳戶，在安全的角度看具有非常大的能力，

　　　　<2>.網路服務帳戶，network service account

　　　　　　　　特點：用來提供給既希望利用計算機帳戶來向網路上其他機器認證身份，但是，又不需要Administrators組的所屬權這樣的服務身份來被使用；只能訪問很少量的注冊表鍵、檔案夾、檔案；只賦予少量特權，限制能力范

圍；運行在network service account的行程，不可能加載設備Driver或打開任意的行程；屬于Network Service組，

　　　　<3>.本地服務帳戶，local service account

　　　　　　　　特點：幾乎等同于網路服務帳戶；隸屬于Local Service組，

　　　　<4>.本地系統帳戶，Local System Account

　　　　　　　　特點：是核心的、Windows用戶模式、作業系統組件運行時，所在的帳戶；絕大多數檔案和注冊表鍵（HOST_LOCAL_KEYS），都賦予本地系統帳戶，完全的訪問權限；當系統是Windows域中的一個成員，本地系統帳戶包含了一個服務行程運行時所在計算機的機器安全識別符號（SID），因此，一個運行在本地系統帳戶中的服務，通過利用它的計算機帳戶，即可自動地在同一個域林中的其他機器，得到身份認證，

　　　　　　　　　　　組件包括：

　　　　　　　　　　　　• 會話管理器（%SystemRoot%\System32\Smss.exe）；

　　　　　　　　　　　　• Windows子系統行程（Csrss.exe）；

　　　　　　　　　　　　• 本地權威行程（%SystemRoot%\System32\Lsass.exe）；

　　　　　　　　　　　　• Logon行程（%SystemRoot%\System32\Winlogon.exe），　　　

　　　　<5>.服務賬戶的組成員關系圖：

 2.Windows作業系統的角色：

　　　　<1>.Administrators，管理員，對計算機/域有不受限制的完全訪問權；

　　　　<2>.Users，普通用戶，防止用戶進行有意或無意的系統范圍的更改，但是可以運行大部分應用程式；

　　　　<3>.Guests，來賓訪客，來賓跟用戶組的成員有同等訪問權，但來賓帳戶的限制更多；

　　　　<4>.Hyper-V Administrators，虛擬化管理員，對Hyper-V所有功能的完全且不受限制的訪問權限；

　　　　<5>.IIS_IUSRS，Web服務，Internet 資訊服務使用的內置組；

　　　　<6>.Power Users，超級管理員，包括高級用戶以向下兼容，高級用戶擁有有限的管理權限；

　　　　<7>.Remote Desktop Users，遠程桌面使用，授予遠程登錄的權限；

　　　　<8>.Performance Monitor Users，性能監視，可以從本地和遠程訪問性能計數器資料，

　　• 通過lusrmgr.msc工具，查看角色設定，

3.Windows作業系統的權限：

　　• 理解Windows訪問控制（Access Control）權限（Permissions），需要理解幾個關鍵概念和作業機制，在應急回應作業中，才能事半功倍、掌握關鍵線索：安全識別符號（SID）、訪問令牌、安全描述符、訪問控制管理（權限）、特權，

　　　　<1>.安全識別符號

　　　　　　特點：每個用戶和系統需要為之做出信任決策的每個物體，都會被賦予一個安全識別符號（Security Identifier，SID）；SID具有唯一性，具有多種不同的形式，伴隨物體整個生命周期；Windows不以帳戶名稱來標識用戶，使用

SID全域標識；用戶、用戶組、域用戶組、本地計算機、域、域成員、服務，都有SID

　　　　　　格式：

　　　　　　　　S-Revision Level-Authority Value-Relative Identifier

　　　　　　　　• *Revision Level：結構版本號；

　　　　　　　　• *Authority Value：48位，識別符號機構值；

　　　　　　　　• *Relative Identifier：可變數量的，32位子機構值或相對識別符號，

　　　　　　著名的 SID：

　　　　　　　　• LocalSystem：S-1-15-18

　　　　　　　　• LocalService：S-1-15-19

　　　　　　　　• Netword Service：S-1-15-20

　　　　　　　　• Administrators：S-1-5-32-544

　　　　　　　　• Users：S-1-5-32-545

　　　　　　　　• Print Operators：S-1-5-32-550

　　　　　　　　• Nobody Group：S-1-0-0，Null SID，當SID未知時，使用；

　　　　　　　　• Everyone：S-1-1-0，包含了所有用戶，但不包括匿名用戶的組；

　　　　　　　　• Local：S-1-2-0，登錄到本地終端的用戶，NT AUTHORITY\本地帳戶；

　　　　　　　　• Creator Owner：創建新用戶的識別符號來代替；

　　　　　　　　• Creator Group：S-1-3-1，由創建新物件的用戶所屬的主組SID來替代；

　　　　　　　　• Power Users：S-1-5-32-547

　　　　　　　　• Console Logon：S-1-2-1

　　　　　　• 可通過指令whoami /all 來查看SID

　　　　　　• 可使用psgetsid工具，決議、轉換SID和物體之間的關系

　　　　　　• Process Explorer工具的Security標簽，查看SID

　　　　<2>.訪問令牌

　　　　　　• 訪問令牌，SRM，標識行程、執行緒、檔案、注冊表、資源等的安全環境

　　　　　　　　• 訪問令牌，包括：

　　　　　　　　　　• 用戶帳號SID；

　　　　　　　　　　• 所屬組SID；

　　　　　　　　　　• 標識當前登錄會話的SID；

　　　　　　　　　　• 用戶或其對應用戶組所擁有的權限串列；

　　　　　　　　　　• 對權限或組成員身份的限制；

　　　　　　　　　　• 支持以較低權限身份運行的標志，

　　　　　　　　• 訪問令牌的一些TIPS：

　　　　　　　　　　•Local：意味著行程以控制臺方式登錄；　　　　　　　　　　

　　　　　　　　　　• Authenticated Users：認證登錄用戶的令牌中都包含這個組；

　　　　　　　　　　• SeChangeNotifyPrivilege：開啟；

　　　　　　　　　　• Logon Session：會話標識；

　　　　　　　　　　• 行程以作業站的方式運行；

　　　　　　　　　　• 內置的管理員，Built-In Administrators；

　　　　　　　　　　• 檢查其他的特權

　　　　<3>.安全描述符：

　　　　　　•被請求、訪問物件的安全描述符（Security Descriptor，SD），包含：被訪問物件的所有者（Owner）、自主訪問控制串列（Discretionary Access Control List，DACL）、系統訪問控制串列（System Access Control，SACL）

　　　　　　　　安全描述符：ACE，訪問控制項權限的情況

　　　　　　　　　　• N：no access；

　　　　　　　　　　• F：full access；

　　　　　　　　　　• M：modify；

　　　　　　　　　　• RX：read & execute；

　　　　　　　　　　• R：read；

　　　　　　　　　　• W：write；

　　　　　　　　　　• D：delete access；

　　　　　　　　　　• DE：delete；

　　　　　　　　　　• GR：generic read；

　　　　　　　　　　• GW：generic write；

　　　　　　　　　　• GE：generic execute；

　　　　　　　　　　• GA：generic access；

　　　　　　　　　　• X：execute；

　　　　　　　　• 訪問權限的檢查：accesschk64.exe

　　　　<4>.權限

　　　　　　• 權限：用戶權限的分配：secpol.msc，本地安全策略分配

　　　　　　　　系統給用戶分配權限的步驟：用戶登錄到系統，等待登錄請求回應，本地安全權威中心（LSA），從LSA策略資料庫（注冊表鍵）獲取已賦予該用戶的權限，LSA根據分配給用戶的權限，檢查登錄型別，如果“沒有被允

許”，或“拒絕該操作”，則拒絕登錄請求，

　　　　<5>.特權

　　　　　　• 特點：由OS定義的特權數量，隨著時間推移，會不斷增加；不同特權，由不同的組件來定義，并由這些組件強制使用；

　　　　　　• Windows特權串列：https://docs.microsoft.com/zh-cn/windows/desktop/secauthz/privilege-constants

　　　　　　• 有安全漏洞，被濫用的Windows特權串列：

　　　　　　　　• SeBackupPrivilege

　　　　　　　　• 描述：該特權導致擁有對所有檔案的讀訪問權限，無視檔案的訪問控制鏈表（ACL），

　　　　　　　　• 攻擊情景：搜集

　　　　　　　　• SeCreateTokenPrivilege

　　　　　　　　• 描述：請求創建一個主令牌

　　　　　　　　• 攻擊情景：特權提升

　　　　　　　　• SeDebugPrivilege

　　　　　　　　• 描述：通過任意賬戶請求除錯和調整某個行程擁有的記憶體

　　　　　　　　• 攻擊情景：特權提升；防護逃逸；憑據竊取

　　　　　　　　• SeLoadDriverPrivilege

　　　　　　　　• 描述：請求加載或卸載一個設備驅動，

　　　　　　　　• 攻擊情景：滲透；防護逃逸

　　　　　　　　• SeRestorePribilege

　　　　　　　　• 描述：請求執行恢復操作，該特權使得系統授權對任意檔案的寫訪問，無視檔案的ACL，

　　　　　　　　• 攻擊情景：滲透；防護逃逸

　　　　　　　　• SeTakeOwershipPrivilege

　　　　　　　　• 描述：無需授予任意訪問權限，獲得某個物件的擁有權，

　　　　　　　　• 攻擊情景：滲透；防護逃逸；搜集

　　　　　　　　• SeTcbPrivilege

　　　　　　　　• 描述：表示它的持有者是可信計算基的一部分，一些被可信計算保護的子系統被授予這個權限，

　　　　　　　　• 攻擊情景：特權提升

　　　　　　• 查看當前用戶下特權的設定 ： whoami  /priv

標籤：Windows

上一篇：CMD命令實作數字雨

下一篇：EXCEL處理資料太慢了！！！