Windows Server 2003安全性方面的一些改进 (sowhat)
2004-11-24 14:21
375 查看
算是对Mikhow下面文章的摘要,具体的可以查看MSDN
Development Impacts of Security Changes in Windows Server 2003
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure09112003.asp
Michael Howard
Secure Windows Initiative
June 16, 2003
1.IIS 6.0不再以SYSTEM权限运行任何用户代码,改用低权限的Network Service帐户
2.只有admin才能impersonation。2003上的命名管道劫持vulns就彻底被扼杀了?
3.dll文件搜索的顺序变了。不再是先搜索当前目录了。而是先搜索所有的系统目录,再搜索
当前目录,最后才是各种用户指定的路径
主要是用来对付某些trojan攻击,不过也会带来一些负面效果,呵呵。
还有这个SetDllDirectory函数,看MSDN上说,调用这个函数后,dll文件的搜索顺序应该是:
当前路径->SetDllDirectory指定的路径->GetSystemDrectory->16为系统路径->GetWindowsDirectory->PATH环境变量中指定的路径
4.IE的安全性大大提高
5.根目录的ACL增强。以前系统根目录是Everyone:F,嘎危险啊。现在是:
Admin, SYS, Creator – Full Control
Everyone – Read/Execute
Users – Read/Execute
Create Folders/Append Data (this and sub folders)
Create Files/Write Data (sub folders)
6.共享的ACL也从Everyone:F改为Everyone:Read
7.事件日志的ACL更严格了。而且你可以通过下面这个键来修改这些ACL
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
如果要修改系统日志的ACL,就修改对应的
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog/System/CustomSD
项,应该以SDDL语法格式描述:
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)
(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)
更多关于SDDL的介绍:http://msdn.microsoft.com/library/en-us/security/security/security_descriptor_string_format.asp
8.限制远程执行控制台程序。
这个对某些人还是有些影响的,呵呵。一些比较重要的控制台程序的ACL设置的比较严格,比如cmd.exe
比较一下WIN2K和2003下cmd.exe的ACL就知道了:
Windows 2000
Administrators (Full Control)
System (Full Control)
Users (Read & Execute)
Windows Server 2003
Administrators (Full Control)
System (Full Control)
Interactive (Read & Execute)
Services (Read & Execute)
怎么样?只有Interactive用户才可以执行 :)
9.还有对内存中数据的加密。这个开发人员应该多关心一下,黑人就不用了,你只要知道你的findpass不能用了就行了。
Development Impacts of Security Changes in Windows Server 2003
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure09112003.asp
Michael Howard
Secure Windows Initiative
June 16, 2003
1.IIS 6.0不再以SYSTEM权限运行任何用户代码,改用低权限的Network Service帐户
2.只有admin才能impersonation。2003上的命名管道劫持vulns就彻底被扼杀了?
3.dll文件搜索的顺序变了。不再是先搜索当前目录了。而是先搜索所有的系统目录,再搜索
当前目录,最后才是各种用户指定的路径
主要是用来对付某些trojan攻击,不过也会带来一些负面效果,呵呵。
还有这个SetDllDirectory函数,看MSDN上说,调用这个函数后,dll文件的搜索顺序应该是:
当前路径->SetDllDirectory指定的路径->GetSystemDrectory->16为系统路径->GetWindowsDirectory->PATH环境变量中指定的路径
4.IE的安全性大大提高
5.根目录的ACL增强。以前系统根目录是Everyone:F,嘎危险啊。现在是:
Admin, SYS, Creator – Full Control
Everyone – Read/Execute
Users – Read/Execute
Create Folders/Append Data (this and sub folders)
Create Files/Write Data (sub folders)
6.共享的ACL也从Everyone:F改为Everyone:Read
7.事件日志的ACL更严格了。而且你可以通过下面这个键来修改这些ACL
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
如果要修改系统日志的ACL,就修改对应的
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog/System/CustomSD
项,应该以SDDL语法格式描述:
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)
(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)
更多关于SDDL的介绍:http://msdn.microsoft.com/library/en-us/security/security/security_descriptor_string_format.asp
8.限制远程执行控制台程序。
这个对某些人还是有些影响的,呵呵。一些比较重要的控制台程序的ACL设置的比较严格,比如cmd.exe
比较一下WIN2K和2003下cmd.exe的ACL就知道了:
Windows 2000
Administrators (Full Control)
System (Full Control)
Users (Read & Execute)
Windows Server 2003
Administrators (Full Control)
System (Full Control)
Interactive (Read & Execute)
Services (Read & Execute)
怎么样?只有Interactive用户才可以执行 :)
9.还有对内存中数据的加密。这个开发人员应该多关心一下,黑人就不用了,你只要知道你的findpass不能用了就行了。
相关文章推荐
- ISA Server 的故障排除工具(2)
- Windows Powershell创建对象
- SQL Server 索引结构及其使用(一)--深入浅出理解索引结构第1/4页
- Slow shutdown of Windows 2003 Server after installing Exchange 2003 Server
- Slow shutdown of WindoServer after installing Exchange 2003 Server
- 千年零一虫
- ORACLE9i连接SYBASE的透明网关的配置
- 如何用VB获得机器的MAC地址
- 独具量身定做特色的管理软件--数据大师
- delphi中的时间操作技术(2)
- Ghost V8.0 使用详解
- sql server7.0数据库恢复
- 越过调试这道槛——ASP.NET无法调试问题剖析
- 移植到 Windows 2000 和 COM+
- 2004/09/17又重装系统了——知道vsconfig.xml是谁生成的吗?
- 解决打过震荡波补丁之后oracle无法正常启动的问题
- 统一部署 PowerShell 5.1