Windows应急响应和系统加固(3)——Windows操做系统的账号角色权限

　　

Windows操做系统的账号角色权限

1.Windows操做系统的账户：

　　• Windows操做系统比如一间富丽堂皇的宫殿，大门的门锁是身份和权限鉴别器，到访人员是帐户，钥匙是验证其身份和权限的措施。

　　　　<1.>本地系统账户，Local System Account

　　　　　　本地管理员账户，Local Administrator Account

　　　　　　　　特色：系统账户和管理员账户 (管理员组) 有相同的文件权限，但它们具备不一样的功能：经过操做系统和在 Windows 下运行的服务使用系统账户；系统账号是内部账户，不显示在用户管理器（lusrmgr.msc）中，不能添

加到任何组中，而且不能把用户权限分配给它；系统账户，有时显示为SYSTEM，有时，显示为LocalSystem；本地系统账户，在安全的角度看具备很是大的能力。

　　　　<2>.网络服务账户，network service account

　　　　　　　　特色：用来提供给既但愿利用计算机账户来向网络上其余机器认证身份，可是，又不须要Administrators组的所属权这样的服务身份来被使用；只能访问不多量的注册表键、文件夹、文件；只赋予少许特权，限制能力范

围；运行在network service account的进程，不可能加载设备Driver或打开任意的进程；属于Network Service组。

　　　　<3>.本地服务账户，local service account

　　　　　　　　特色：几乎等同于网络服务账户；隶属于Local Service组。

　　　　<4>.本地系统账户，Local System Account

　　　　　　　　特色：是核心的、Windows用户模式、操做系统组件运行时，所在的账户；绝大多数文件和注册表键（HOST_LOCAL_KEYS），都赋予本地系统账户，彻底的访问权限；当系统是Windows域中的一个成员，本地系统账户包含了一个服务进程运行时所在计算机的机器安全标识符（SID），所以，一个运行在本地系统账户中的服务，经过利用它的计算机账户，便可自动地在同一个域林中的其余机器，获得身份认证。

　　　　　　　　　　　组件包括：

　　　　　　　　　　　　• 会话管理器（%SystemRoot%\System32\Smss.exe）；

　　　　　　　　　　　　• Windows子系统进程（Csrss.exe）；

　　　　　　　　　　　　• 本地权威进程（%SystemRoot%\System32\Lsass.exe）；

　　　　　　　　　　　　• Logon进程（%SystemRoot%\System32\Winlogon.exe）。　　　

　　　　<5>.服务帐户的组成员关系图：

　　　　　　　　

　　　　　　　　　

 

 

 

 2.Windows操做系统的角色：

　　　　<1>.Administrators，管理员，对计算机/域有不受限制的彻底访问权；

　　　　<2>.Users，普通用户，防止用户进行有意或无心的系统范围的更改，可是能够运行大部分应用程序；

　　　　<3>.Guests，来宾访客，来宾跟用户组的成员有同等访问权，但来宾账户的限制更多；

　　　　<4>.Hyper-V Administrators，虚拟化管理员，对Hyper-V全部功能的彻底且不受限制的访问权限；

　　　　<5>.IIS_IUSRS，Web服务，Internet 信息服务使用的内置组；

　　　　<6>.Power Users，超级管理员，包括高级用户以向下兼容，高级用户拥有有限的管理权限；

　　　　<7>.Remote Desktop Users，远程桌面使用，授予远程登陆的权限；

　　　　<8>.Performance Monitor Users，性能监视，能够从本地和远程访问性能计数器数据。

　　• 经过lusrmgr.msc工具，查看角色设置。

 

3.Windows操做系统的权限：

　　• 理解Windows访问控制（Access Control）权限（Permissions），须要理解几个关键概念和工做机制，在应急响应工做中，才能事半功倍、掌握关键线索：安全标识符（SID）、访问令牌、安全描述符、访问控制管理（权限）、特权。

　　　　<1>.安全标识符

　　　　　　特色：每一个用户和系统须要为之作出信任决策的每一个实体，都会被赋予一个安全标识符（Security Identifier，SID）；SID具备惟一性，具备多种不一样的形式，伴随实体整个生命周期；Windows不以账户名称来标识用户，使用

SID全局标识；用户、用户组、域用户组、本地计算机、域、域成员、服务，都有SID

　　　　　　格式：

　　　　　　　　S-Revision Level-Authority Value-Relative Identifier

　　　　　　　　• *Revision Level：结构版本号；

　　　　　　　　• *Authority Value：48位，标识符机构值；

　　　　　　　　• *Relative Identifier：可变数量的，32位子机构值或相对标识符。

　　　　　　著名的 SID：

　　　　　　　　• LocalSystem：S-1-15-18

　　　　　　　　• LocalService：S-1-15-19

　　　　　　　　• Netword Service：S-1-15-20

　　　　　　　　• Administrators：S-1-5-32-544

　　　　　　　　• Users：S-1-5-32-545

　　　　　　　　• Print Operators：S-1-5-32-550

　　　　　　　　• Nobody Group：S-1-0-0，Null SID，当SID未知时，使用；

　　　　　　　　• Everyone：S-1-1-0，包含了全部用户，但不包括匿名用户的组；

　　　　　　　　• Local：S-1-2-0，登陆到本地终端的用户，NT AUTHORITY\本地账户；

　　　　　　　　• Creator Owner：建立新用户的标识符来代替；

　　　　　　　　• Creator Group：S-1-3-1，由建立新对象的用户所属的主组SID来替代；

　　　　　　　　• Power Users：S-1-5-32-547

　　　　　　　　• Console Logon：S-1-2-1

　　　　　　• 可经过指令whoami /all 来查看SID

　　　　　　• 可以使用psgetsid工具，解析、转换SID和实体之间的关系

　　　　　　• Process Explorer工具的Security标签，查看SID

　　　　<2>.访问令牌

　　　　　　• 访问令牌，SRM，标识进程、线程、文件、注册表、资源等的安全环境

　　　　　　　　• 访问令牌，包括：

　　　　　　　　　　• 用户账号SID；

　　　　　　　　　　• 所属组SID；

　　　　　　　　　　• 标识当前登陆会话的SID；

　　　　　　　　　　• 用户或其对应用户组所拥有的权限列表；

　　　　　　　　　　• 对权限或组成员身份的限制；

　　　　　　　　　　• 支持以较低权限身份运行的标志。

　　　　　　　　• 访问令牌的一些TIPS：

　　　　　　　　　　•Local：意味着进程以控制台方式登陆；　　　　　　　　　　

　　　　　　　　　　• Authenticated Users：认证登陆用户的令牌中都包含这个组；

　　　　　　　　　　• SeChangeNotifyPrivilege：开启；

　　　　　　　　　　• Logon Session：会话标识；

　　　　　　　　　　• 进程以工做站的方式运行；

　　　　　　　　　　• 内置的管理员，Built-In Administrators；

　　　　　　　　　　• 检查其余的特权

　　　　<3>.安全描述符：

　　　　　　•被请求、访问对象的安全描述符（Security Descriptor，SD），包含：被访问对象的全部者（Owner）、自主访问控制列表（Discretionary Access Control List，DACL）、系统访问控制列表（System Access Control，SACL）

　　　　　　　　安全描述符：ACE，访问控制项权限的状况

　　　　　　　　　　• N：no access；

　　　　　　　　　　• F：full access；

　　　　　　　　　　• M：modify；

　　　　　　　　　　• RX：read & execute；

　　　　　　　　　　• R：read；

　　　　　　　　　　• W：write；

　　　　　　　　　　• D：delete access；

　　　　　　　　　　• DE：delete；

　　　　　　　　　　• GR：generic read；

　　　　　　　　　　• GW：generic write；

　　　　　　　　　　• GE：generic execute；

　　　　　　　　　　• GA：generic access；

　　　　　　　　　　• X：execute；

　　　　　　　　• 访问权限的检查：accesschk64.exe

　　　　<4>.权限

　　　　　　• 权限：用户权限的分配：secpol.msc，本地安全策略分配

　　　　　　　　系统给用户分配权限的步骤：用户登陆到系统，等待登陆请求响应。本地安全权威中心（LSA），从LSA策略数据库（注册表键）获取已赋予该用户的权限。LSA根据分配给用户的权限，检查登陆类型。若是“没有被允

许”，或“拒绝该操做”，则拒绝登陆请求。

　　　　<5>.特权

　　　　　　• 特色：由OS定义的特权数量，随着时间推移，会不断增长；不一样特权，由不一样的组件来定义，并由这些组件强制使用；

　　　　　　• Windows特权列表：https://docs.microsoft.com/zh-cn/windows/desktop/secauthz/privilege-constants

　　　　　　• 有安全漏洞，被滥用的Windows特权列表：

　　　　　　　　• SeBackupPrivilege

　　　　　　　　• 描述：该特权致使拥有对全部文件的读访问权限，无视文件的访问控制链表（ACL）。

　　　　　　　　• 攻击情景：搜集

　　　　　　　　• SeCreateTokenPrivilege

　　　　　　　　• 描述：请求建立一个主令牌

　　　　　　　　• 攻击情景：特权提高

　　　　　　　　• SeDebugPrivilege

　　　　　　　　• 描述：经过任意帐户请求调试和调整某个进程拥有的内存

　　　　　　　　• 攻击情景：特权提高；防御逃逸；凭据窃取

　　　　　　　　• SeLoadDriverPrivilege

　　　　　　　　• 描述：请求加载或卸载一个设备驱动。

　　　　　　　　• 攻击情景：渗透；防御逃逸

　　　　　　　　• SeRestorePribilege

　　　　　　　　• 描述：请求执行恢复操做。该特权使得系统受权对任意文件的写访问，无视文件的ACL。

　　　　　　　　• 攻击情景：渗透；防御逃逸

　　　　　　　　• SeTakeOwershipPrivilege

　　　　　　　　• 描述：无需授予任意访问权限，得到某个对象的拥有权。

　　　　　　　　• 攻击情景：渗透；防御逃逸；搜集

　　　　　　　　• SeTcbPrivilege

　　　　　　　　• 描述：表示它的持有者是可信计算基的一部分。一些被可信计算保护的子系统被授予这个权限。

　　　　　　　　• 攻击情景：特权提高

　　　　　　• 查看当前用户下特权的设置 ： whoami  /priv