Windows 组策略加固攻击及配置方法
2016-10-14 08:44
141 查看
1. 直接执行
1.1. IE地址栏执行
1.1.1.攻击步骤
c:\windows\system32\cmd.exedsquery groups增加账号 net user test111 "Ab123456" /add查看当前用户 net user 增加用户为administrators组 net localgroup administrators test111 /add查看当前用户权限 net user test111删掉该用户netuser test111 /del查询域用户:net user /domain查询域用户权限 net user /domain jt_test002查询域管理员用户:net group “domain admins” /domain
查询域名称:net view/domain
查询域内计算机:net view/domain:XX
查询域控制器:net time/domain
查询所有域控制器:dsqueryserver
查询域内计算机:dsquerycomputer
查询域用户:dsqueryuser
查询域内用户组:dsquerygroup
查询域内组织单位:dsqueryou
查询域内站点: dsquerysite
1.1.2.加固方法
组策略:用户配置→ 管理模版→ 任务栏和[开始]菜单→从[开始]菜单中删除“运行”菜单:已启用。(windows 2003域控)用户配置→策略→管理模版→[开始]菜单和任务栏→从[开始]菜单中删除“运行”菜单:已启用。(windows 2008域控) 备注:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]不能有"NoRun"=dword:00000000,否则组策略会失效。如果有则需要删除该键值并重启系统。另外,20008的组策略都是在策略里面,其他路径跟2003相同,后面不再累述。1.2. IE的文件菜单打开
1.2.1.攻击步骤
备注:IE打开不仅可以打开cmd,还可以打开其他exe文件。1.2.2.加固方法
与上面相同,组策略:用户配置→ 管理模版→ 任务栏和[开始]菜单→从[开始]菜单中删除“运行”菜单:已启用。1.3. IE的查看菜单浏览器栏→文件夹
1.3.1.攻击步骤
备注:如果AD中帐号为domain Admins组帐号,则很容易修改服务器本地管理员及其他普通用户的帐号密码,并将普通帐号加入本地管理员组中。另外,如果配置的软件限制策略排除了本地管理员的话,该软件限制策略会对这些属于本地管理组(默认Domain Admins组属于域成员主机的本地管理员组)的帐号失效;如果不排除本地管理员,该策略如果应用到了域控上面,将会导致域控很难管理。备注:IE的查看菜单浏览器栏→文件夹,实际已经打开了资源管理器,可以进行URL攻击,下面的加固方法不涉及URL攻击的防范,URL攻击后面单独再描述。虽然可以通过删除SLID来实现屏蔽IE的查看菜单浏览器栏→文件夹显示的内容,但是对管理用户一样会产生效果,使用资源管理器时左侧树形结构不会出现内容,因此先不考虑。
1.3.2.加固方法
需要多个组策略配合:A. 隐藏"我的电脑"中指定的驱动器用户配置→ 管理模版→ Windows组件→ Windows资源管理器→隐藏“我的电脑”中的这些指定的驱动器:已启用。B. 防止从"我的电脑"访问驱动器
用户配置→ 管理模版→ Windows组件→ Windows资源管理器→防止从“我的电脑”访问驱动器:已启用。C. 将所有的与4A主帐号相同的AD中的帐号从Domain Admins组中移除
D. 软件限制策略,%USERPROFILE%\桌面\和C:\users\%USERNAME%\Desktop\ 路径策略(分别针对2003和2008系统)
E. 软件限制策略,%USERPROFILE%\My Documents\和C:\users\%USERNAME%\My Documents\ 路径策略(分别针对2003和2008系统)
F. 软件限制策略,\\* 路径规则
G. 软件限制策略,mmc.exe 路径规则
H. 软件限制策略,*.url路径规则
1.4. 用户桌面创建文件攻击
1.4.2.加固方法
A. 将所有的与4A主帐号相同的AD中的帐号从Domain Admins组中移除B. 软件限制策略,%USERPROFILE%\桌面\ 路径规则(2003)
计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:\\* 安全级别:不允许的。C. 软件限制策略,C:\users\%USERNAME%\Desktop\ 路径规则(2008)
计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:mmc.exe 安全级别:不允许的。D. 把桌面的快捷方式删除,防止利用桌面的快捷方式进行攻击
即:C:\Documents and Settings\All Users\桌面目录。(2003)E. 软件限制策略,*.url路径规则
1.5. IE的internet选项
1.5.2.加固方法
通过上面的加固以后,基本上无法再形成有效攻击,如果想把Internet 选项给禁止,可通过如下组策略:组策略:用户配置→ 管理模版→ Windows组件→ Internet Explorer→ Internet控制面板→禁用**页:已启用(所有列出的页都必须禁用)。1.5.3.加固效果
加固后,无法呼起Internet 选项,也无法提前手工添加信任站点,但是添加信任站点可以在下载文件时出现提示时添加,如果希望用户手工添加信任站点,可以不禁用安全页。即使不禁止internet 选项,也无法形成有效攻击:1.6. IE的MSN工具栏,打开资源管理器
1.6.1.加固方法
用户配置→管理模板→windows组件→Windows Messenger→不允许运行WindowsMessenger:已启用。用户配置→管理模板→windows组件→Windows Messenger→初始化时不启动WindowsMessenger:已启用。1.6.2.加固效果
加固后,无法通过IE界面呼起MSN,同时建议不要在服务器上安全其他多余的软件,特别是即时通讯软件,安装软件后可能会在IE工具栏上添加快捷方式,导致其他攻击方式发生。2. IE右键执行
2.1. IE右键转到图片收藏夹
2.1.2.加固方法
和前面相同,利用组策略禁止访问本地磁盘。A. 隐藏"我的电脑"中指定的驱动器用户配置→ 管理模版→ Windows组件→ Windows资源管理器→隐藏“我的电脑”中的这些指定的驱动器:已启用。B. 防止从"我的电脑"访问驱动器
用户配置→ 管理模版→ Windows组件→ Windows资源管理器→防止从“我的电脑”访问驱动器:已启用。
3. IE其他攻击
3.1. IE收藏夹攻击
3.1.1.攻击步骤
编辑收藏夹里面的网站,将其中一个网站的url设置成:file:///c:/windows/system32/cmd.exe或file://c:\windows\system32\cmd.exe,双击该网站即可调出cmd界面。http://blog.cyberdin.com/2010/02/hacking-citrix-and-terminal-server.html3.1.2.加固方法
组策略,隐藏IE“收藏夹”菜单:用户配置→管理模版→ Windows组件→ Internet Explorer→浏览器菜单→隐藏“收藏夹”菜单:已启用。3.2. 通过呼起邮件客户端,邮件附件进行攻击
3.2.1.攻击步骤
3.2.2.加固方法
虽然通过前面的加固方法:禁止访问本地磁盘、软件限制策略等已难形成有效攻击,还是建议把默认的outlook Express卸载,卸载方法:以域管理员帐号登录,命令行运行(可以不用重启):%HOMEDRIVE%\progra~1\Outloo~1\setup50.exe /APP:OE/CALLER:WINNT /PROMPT /uninstall。3.2.3.加固效果
加固效果与IE的查看菜单浏览器栏→文件夹加固效果相同。3.3. 通过windowsupdate进入控制面板进行攻击(2008)
3.3.1.攻击步骤
备注:测试用的是2008 IE7,并且citrix用户为DomainAdmins组或服务器本地管理员组才能形成有效的攻击。3.3.2.加固方法
A. 将所有的AD中的帐号从Domain Admins组中移除组策略:
用户配置→管理模板→控制面板→禁止访问控制面板:已启用。(2003)用户配置→策略→管理模板→控制面板→禁止访问控制面板:已启用。(2008)
4. office攻击
4.1. 通过插入附件进行攻击
4.1.2.加固方法
A. 将所有的AD中的帐号从Domain Admins组中移除B. 软件限制策略,%USERPROFILE%\Local Settings\Temporary InternetFiles\Content.IE5\ 路径规则(2003)
计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\ 安全级别:不允许的。C. 软件限制策略,C:\users\%USERNAME%\AppData\Local\Temp\ 路径规则(2008)
计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:C:\users\%USERNAME%\AppData\Local\Temp\ 安全级别:不允许的。
相关文章推荐
- VS2013+openCV3.0无脑配置方法+解决警告问题【windows平台】
- 在Windows中配置Rsync同步文件的方法
- Apache 2.2 + SubVersion 1.44 的配置方法 For WindowsXP
- Windows 2008远程桌面多用户登陆的配置方法(转贴)
- 菜鸟 Bundler 在 Windows 下的安装、配置和使用 方法以及cygwin的安装和卸载方法汇总
- python安装MySQLdb:在windows下或linux下(以及eclipse中pydev使用msqldb的配置方法)
- 关闭Windows 2003/2008中IE增强的安全配置的方法
- 【转】配置windows路由表,使电脑同时连接内网外网方法
- 全面介绍Github for Windows安装 配置使用方法
- windows平台上多网卡路由配置方法
- Windows7下IIS7的安装及ASP配置方法
- Windows安装配置php+memcached的方法
- Windows下,Netbeans使用C++的配置方法
- Windows 7 下安装IIS及ASP配置方法
- Win8开机总是“配置Windows更新失败,正在还原更改”的解决方法(图)
- Jetty 在windows 上JVM 的配置方法
- windows下Eclipse+MinGW+Qt+c++配置安装解决方法
- Windows下Memcached的安装配置方法
- MOSS站点同时支持Windows集成验证与Form验证的配置方法(三)
- 防止同网段ARP欺骗攻击的配置方法