admin管理员组

文章数量:1130349

第一章 Windows内网服务模块

1.1 windows方向安全项目介绍

解析工作中,常见的项目如下:

我们先朝着职业晋升,中间的一个目标——项目经理努力,在整个国护项目中,项目经理需要带着团队完成以下内容,包含了行业内80%左右的安全项目,每一项单独拿出来都可以称为对客户进行服务的一个项目

  1. 前期不管做什么项目,都需要进行客户交流,偏售前的这样一个,目的:得到客户的安全需求,把需求变为可以实施并落地的项目并挖掘其他项目线索

  2. 资产梳理:目的:解决当前单位内部和供应商,所有的资产列表清晰,没有边缘资产,形成台账,准备迎接上级部门或者领导单位来检查,缩小被供给面

  3. 安全设备:(安全运维)设备的部署、调试、策略的部署和分发

  4. 流量分析:风险评估类

  5. 扫一扫:1.资产扫描 2.漏洞扫描 3.渗透测试

  6. 基线检查和加固:1.信息系统基线检查 2.网络设备 3.主机 4.安全设备

  7. 日志分析:风险评估类

  8. 内部的攻防演练:目的:团队配合、方案的完整性、查漏补缺

  9. 重保、HW:监控安全设备的流量--找到真实攻击动作流量--进行封堵、溯源追踪、反制

  10. 安全意识的培训

上面所有的分支项目,项目的方案--项目实施流程--出报告(给客户进行PPT的汇报)

11.应急响应(重难点)事后动作

1.2 安全检查-风险评估-基线加固

名词解释:

主机:办公用电脑、各种类型服务器在项目中都统称为主机

  1. 项目方案的编撰(参照模版)

  2. 跟客户去要来相关的检查通知或者是其他指导性文件,写在方案的概述里面--我们在做这个项目的时候,解决的客户哪方面的安全问题

  3. 方案中,一定要体现检查的对象和范围(划定我们的工作内容和职责范围)

  4. 采用国标文件来进行检查,作为检查依据(GB-271390)

  5. 先进行访谈(访谈对象就是客户方管理信息系统或者网络相关的人员,也可能是第三方外包)

  6. 使用的工具不要超纲,测试范围,不要进行大范围模糊测试(给我们几个IP地址或者信息系统,只针对本次目标进行检查和工具分析)

  7. 一定要询问客户,是否可以在被检查机器上插入U盘(跟客户去沟通,制作相应的光盘)(带着光盘,或者带着USB光驱)

  8. 检查时注意客户机器的杀毒软件,在杀软中将本工具进行加白

  9. 将不符合安全要求规定的内容写在报告中

  10. 提交报告以后,需求根据整改意见,出具一个整改记录表

  11. 最后进行复测

项目中,分清本次项目的范围,如果本项目只是检查项目,我们就不负责对刚刚扫描出来的不符合项进行加固

1.3 虚拟化 - Vsphere 与VMware

1.3.1 虚拟化环境搭建

虚拟化

WWWH

漏洞复现:当企业,没有办法,来进行深度的研究(信息系统:客户方用来存储线上或者线下的数据时,所使用的操作系统、中间件等环境的集成,一般是放在服务器硬件中),这时,我们就要知道客户信息系统采用的是什么环境,然后在我们的虚拟化平台上,复现客户的环境来为我们的后续挖掘他的安全漏洞进行平台化的支持

  1. 业余在挖掘SRC漏洞的时候,深度挖掘或者是漏洞验证

  2. 技术研究

  3. 在项目中如果碰到客户方,需要将我们的渗透测试成果,进行展示

为什么要使用虚拟化

硬件的价格昂贵,硬件调试繁琐,虚拟化可以在安全工作中,灵活的布局各种各样的信息系统

个人习惯,不喜欢使用新版本

好处:新版本漏洞比较多 更新:打补丁

不好的点:老版本,有些漏洞是修复不上

可以使用迂回的方式来解决,比如防火墙屏蔽,永恒之蓝(445,139)

安装过程(一路下一步)

  1. 安装位置,需要更改C盘,该位置一定注意,不要带中文

  2. 开启BIOS的虚拟化功能(互联网查阅资料),在搜索引擎中,搜索你的笔记本品牌(型号)进入BIOS

  3. 在桌面上,右键--网络--点击更改适配器设置--看网卡的变化

  4. 安装好以后,打开虚拟机软件,在帮助菜单中选择输入序列号

  5. 安装vmtools虚拟机软件中,在菜单栏中点击虚拟机,在打开的菜单中点击安装vmtools

迁移虚拟机

拿到别人发送的虚拟机时,打开时,需要选择“我移动他”

在做虚拟机快照的时候,一定要关机做

虚拟机克隆

目的:快速创建多台,相同配置相同环境的虚拟机,节省时间

链接克隆:在磁盘中只创建临时使用文件,不会复制全部的虚拟机文件

完整克隆:相当于,将我们要创建的模板虚拟机完全的在磁盘中复制一份

1.3.2 vsphere环境搭建

  • vSphere

    • VMware vSphere是VMware的虚拟化平台,可将数据中心转换为包括CPU、存储和网络资源的聚合计算机基础架构

    • vSphere将这些基础架构作为一个统一的运行环境进行管理,并未您提供工具来管理加入该环境的数据中心

  • vSphere的两个核心组件

    • ESXi 是用于创建并运行虚拟机和虚拟设备的虚拟化平台

    • vCenter Server是一项服务,用于管理网络中连接的多个主机,并将主机资源池化

1.3.3 靶场环境使用

  • 漏洞名词

    • POC:漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在

    • EXP:漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本)

    • 0DAY:含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大

    • CVE:公共漏洞和暴露,CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称

    • VUL:漏洞

    • CNVD:国家信息安全漏洞共享平台

    • CNNVD:中国国家信息安全漏洞库

1.4 Windows账户相关

1.4.1 服务器远程管理与IP地址

使用一台计算机连接到位于不同地点的其他远程计算机

  • 方法一

    • 远程桌面通信协议(RDP)

    • 远程桌面连接

    • 通过远程桌面功能实时的操作远程计算机

  • 方法二

    • 终端服务网页访问

    • 远程桌面页面连接

    • 通过浏览器连接远程计算机

  • 实现步骤

    • 为两台计算机设置相同网段的IP地址

    • 远程计算机的设置

      • 启用远程桌面连接

      • 授予用户远程桌面的权限

    • 在本地计算机上连接远程计算机

      • 连接远程计算机

      • 注销或断开连接

远程桌面连接命令:mstsc

远程桌面连接的默认端口号:3389

修改远程桌面连接端口号的执行步骤

  1. 在远程计算机上运行 regedit.exe 程序,更改路径的数值

  2. 重新启动远程计算机

  3. 在Windows防火墙内启用这个新的端口

  4. 客户端计算机在连接远程计算机时,必须加入新的连接端口号

远程桌面高级设置

常规选项卡设置:设置要连接的远程计算机、用户账户、密码等

本地资源选项卡设置:设置远程音频、键盘、本地设备和资源等

远程桌面连接的命令行参数

注意:如果使用 mstsc /admin 命令连接远程桌面,在输入账号和密码后可以强行替换其他正在连接的用户,/admin 参数要慎用

VNC介绍

虚拟网络计算机:一种屏幕画面分享及远程操作软件

使用远程帧缓冲(RFB)协议

组成:客户端:VNC Viewer 服务端:VNC Server

特点:平台无关性、可使用浏览器、广泛的用户群

考题

  • 什么是远程桌面连接?

  • 用户应具备什么权限才能利用连接远程计算机?

  • 利用远程桌面连接可以对远程计算机做那些设置?

  • 使用那个命令能连接远程桌面?

  • 远程桌面连接的目的是什么?

IPV4、IPV6、DNS

IPV4:IP地址、子网掩码

  • 手工设置IPV4参数

    • IPV4参数

      • IP地址

      • 子网掩码

      • 默认网关

      • 首选DNS服务器地址

      • 备用DNS服务器地址

    • 为网卡添加多IP地址

    • 通过命令设置IPV4参数

      • netsh interface ip set address "本地连接" static 192.168.33.5 255.255.255.0 192.168.33.1

        • 本地连接:网络适配器名称

        • static:静态IP

        • 192.168.33.5 255.255.255.0 192.168.33.1:IP地址、子网掩码、默认网关

  • 自动获取IPV4参数

    • 自动获得IP地址

      • 169.X.X.X:表示自动获得IP地址失败

IPV6:提供更多的IP地址

DNS:将计算机名称解析为IP地址

  • 设置DNS解析

    • 手工设置DNS服务器地址

    • 通过命令设置DNS服务器地址

      • netsh interface ip set dnsserver "本地连接" static 202.106.0.20

      • 本地连接:接口名称

      • static:静态DNS服务器地址

    • 自动获得DNS服务器地址

      • netsh interface ip set dnsserver "本地连接" dhcp

    • 通过 ipconfig /all命令查看DNS服务器地址

    • ipconfig /release

    • /renew

接入Windows工作组

  • 微软设计的一种网络连接模型

    • 网络中的计算机地位相等

    • 可以相互使用彼此的资源

Windows域介绍

可以对网络资源进行统一管理,如计算机、用户账户等

考题

  • 如何配置IPV4网络参数

  • 如何设置计算机名称?

  • 如何设置DNS服务器地址?

  • 如何加入Windows工作组?

1.4.2 用户与组管理

学习目标

  • 理解用户账户

  • 掌握创建、管理用户账户的方法

  • 理解用户组

  • 掌握创建、管理用户组的方法

  • 融汇贯通,从安全的角度看项目中用户与组的安全性分析

一、用户账户概述

  • 用户账户

    • 不同的用户身份拥有不同的权限

    • 每个用户包含一个名称和密码

    • 用户账户拥有唯一的安全标识符

  • 在服务器管理器中管理用户

    • 创建用户

    • 为用户重置密码

    • 重命名用户

    • 启用、禁用用户账户

    • 删除用户账户

    • 为用户设置权限

  • 内置用户账户

    • 用于特殊用途,一般不需要更改其权限

      • 与使用者关联的用户账户

        • Administrator(管理员用户)

        • Guest(来宾账户)

      • 与Windows组件关联的用户账户

        • SYSTEM(

第一章 Windows内网服务模块

1.1 windows方向安全项目介绍

解析工作中,常见的项目如下:

我们先朝着职业晋升,中间的一个目标——项目经理努力,在整个国护项目中,项目经理需要带着团队完成以下内容,包含了行业内80%左右的安全项目,每一项单独拿出来都可以称为对客户进行服务的一个项目

  1. 前期不管做什么项目,都需要进行客户交流,偏售前的这样一个,目的:得到客户的安全需求,把需求变为可以实施并落地的项目并挖掘其他项目线索

  2. 资产梳理:目的:解决当前单位内部和供应商,所有的资产列表清晰,没有边缘资产,形成台账,准备迎接上级部门或者领导单位来检查,缩小被供给面

  3. 安全设备:(安全运维)设备的部署、调试、策略的部署和分发

  4. 流量分析:风险评估类

  5. 扫一扫:1.资产扫描 2.漏洞扫描 3.渗透测试

  6. 基线检查和加固:1.信息系统基线检查 2.网络设备 3.主机 4.安全设备

  7. 日志分析:风险评估类

  8. 内部的攻防演练:目的:团队配合、方案的完整性、查漏补缺

  9. 重保、HW:监控安全设备的流量--找到真实攻击动作流量--进行封堵、溯源追踪、反制

  10. 安全意识的培训

上面所有的分支项目,项目的方案--项目实施流程--出报告(给客户进行PPT的汇报)

11.应急响应(重难点)事后动作

1.2 安全检查-风险评估-基线加固

名词解释:

主机:办公用电脑、各种类型服务器在项目中都统称为主机

  1. 项目方案的编撰(参照模版)

  2. 跟客户去要来相关的检查通知或者是其他指导性文件,写在方案的概述里面--我们在做这个项目的时候,解决的客户哪方面的安全问题

  3. 方案中,一定要体现检查的对象和范围(划定我们的工作内容和职责范围)

  4. 采用国标文件来进行检查,作为检查依据(GB-271390)

  5. 先进行访谈(访谈对象就是客户方管理信息系统或者网络相关的人员,也可能是第三方外包)

  6. 使用的工具不要超纲,测试范围,不要进行大范围模糊测试(给我们几个IP地址或者信息系统,只针对本次目标进行检查和工具分析)

  7. 一定要询问客户,是否可以在被检查机器上插入U盘(跟客户去沟通,制作相应的光盘)(带着光盘,或者带着USB光驱)

  8. 检查时注意客户机器的杀毒软件,在杀软中将本工具进行加白

  9. 将不符合安全要求规定的内容写在报告中

  10. 提交报告以后,需求根据整改意见,出具一个整改记录表

  11. 最后进行复测

项目中,分清本次项目的范围,如果本项目只是检查项目,我们就不负责对刚刚扫描出来的不符合项进行加固

1.3 虚拟化 - Vsphere 与VMware

1.3.1 虚拟化环境搭建

虚拟化

WWWH

漏洞复现:当企业,没有办法,来进行深度的研究(信息系统:客户方用来存储线上或者线下的数据时,所使用的操作系统、中间件等环境的集成,一般是放在服务器硬件中),这时,我们就要知道客户信息系统采用的是什么环境,然后在我们的虚拟化平台上,复现客户的环境来为我们的后续挖掘他的安全漏洞进行平台化的支持

  1. 业余在挖掘SRC漏洞的时候,深度挖掘或者是漏洞验证

  2. 技术研究

  3. 在项目中如果碰到客户方,需要将我们的渗透测试成果,进行展示

为什么要使用虚拟化

硬件的价格昂贵,硬件调试繁琐,虚拟化可以在安全工作中,灵活的布局各种各样的信息系统

个人习惯,不喜欢使用新版本

好处:新版本漏洞比较多 更新:打补丁

不好的点:老版本,有些漏洞是修复不上

可以使用迂回的方式来解决,比如防火墙屏蔽,永恒之蓝(445,139)

安装过程(一路下一步)

  1. 安装位置,需要更改C盘,该位置一定注意,不要带中文

  2. 开启BIOS的虚拟化功能(互联网查阅资料),在搜索引擎中,搜索你的笔记本品牌(型号)进入BIOS

  3. 在桌面上,右键--网络--点击更改适配器设置--看网卡的变化

  4. 安装好以后,打开虚拟机软件,在帮助菜单中选择输入序列号

  5. 安装vmtools虚拟机软件中,在菜单栏中点击虚拟机,在打开的菜单中点击安装vmtools

迁移虚拟机

拿到别人发送的虚拟机时,打开时,需要选择“我移动他”

在做虚拟机快照的时候,一定要关机做

虚拟机克隆

目的:快速创建多台,相同配置相同环境的虚拟机,节省时间

链接克隆:在磁盘中只创建临时使用文件,不会复制全部的虚拟机文件

完整克隆:相当于,将我们要创建的模板虚拟机完全的在磁盘中复制一份

1.3.2 vsphere环境搭建

  • vSphere

    • VMware vSphere是VMware的虚拟化平台,可将数据中心转换为包括CPU、存储和网络资源的聚合计算机基础架构

    • vSphere将这些基础架构作为一个统一的运行环境进行管理,并未您提供工具来管理加入该环境的数据中心

  • vSphere的两个核心组件

    • ESXi 是用于创建并运行虚拟机和虚拟设备的虚拟化平台

    • vCenter Server是一项服务,用于管理网络中连接的多个主机,并将主机资源池化

1.3.3 靶场环境使用

  • 漏洞名词

    • POC:漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在

    • EXP:漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本)

    • 0DAY:含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大

    • CVE:公共漏洞和暴露,CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称

    • VUL:漏洞

    • CNVD:国家信息安全漏洞共享平台

    • CNNVD:中国国家信息安全漏洞库

1.4 Windows账户相关

1.4.1 服务器远程管理与IP地址

使用一台计算机连接到位于不同地点的其他远程计算机

  • 方法一

    • 远程桌面通信协议(RDP)

    • 远程桌面连接

    • 通过远程桌面功能实时的操作远程计算机

  • 方法二

    • 终端服务网页访问

    • 远程桌面页面连接

    • 通过浏览器连接远程计算机

  • 实现步骤

    • 为两台计算机设置相同网段的IP地址

    • 远程计算机的设置

      • 启用远程桌面连接

      • 授予用户远程桌面的权限

    • 在本地计算机上连接远程计算机

      • 连接远程计算机

      • 注销或断开连接

远程桌面连接命令:mstsc

远程桌面连接的默认端口号:3389

修改远程桌面连接端口号的执行步骤

  1. 在远程计算机上运行 regedit.exe 程序,更改路径的数值

  2. 重新启动远程计算机

  3. 在Windows防火墙内启用这个新的端口

  4. 客户端计算机在连接远程计算机时,必须加入新的连接端口号

远程桌面高级设置

常规选项卡设置:设置要连接的远程计算机、用户账户、密码等

本地资源选项卡设置:设置远程音频、键盘、本地设备和资源等

远程桌面连接的命令行参数

注意:如果使用 mstsc /admin 命令连接远程桌面,在输入账号和密码后可以强行替换其他正在连接的用户,/admin 参数要慎用

VNC介绍

虚拟网络计算机:一种屏幕画面分享及远程操作软件

使用远程帧缓冲(RFB)协议

组成:客户端:VNC Viewer 服务端:VNC Server

特点:平台无关性、可使用浏览器、广泛的用户群

考题

  • 什么是远程桌面连接?

  • 用户应具备什么权限才能利用连接远程计算机?

  • 利用远程桌面连接可以对远程计算机做那些设置?

  • 使用那个命令能连接远程桌面?

  • 远程桌面连接的目的是什么?

IPV4、IPV6、DNS

IPV4:IP地址、子网掩码

  • 手工设置IPV4参数

    • IPV4参数

      • IP地址

      • 子网掩码

      • 默认网关

      • 首选DNS服务器地址

      • 备用DNS服务器地址

    • 为网卡添加多IP地址

    • 通过命令设置IPV4参数

      • netsh interface ip set address "本地连接" static 192.168.33.5 255.255.255.0 192.168.33.1

        • 本地连接:网络适配器名称

        • static:静态IP

        • 192.168.33.5 255.255.255.0 192.168.33.1:IP地址、子网掩码、默认网关

  • 自动获取IPV4参数

    • 自动获得IP地址

      • 169.X.X.X:表示自动获得IP地址失败

IPV6:提供更多的IP地址

DNS:将计算机名称解析为IP地址

  • 设置DNS解析

    • 手工设置DNS服务器地址

    • 通过命令设置DNS服务器地址

      • netsh interface ip set dnsserver "本地连接" static 202.106.0.20

      • 本地连接:接口名称

      • static:静态DNS服务器地址

    • 自动获得DNS服务器地址

      • netsh interface ip set dnsserver "本地连接" dhcp

    • 通过 ipconfig /all命令查看DNS服务器地址

    • ipconfig /release

    • /renew

接入Windows工作组

  • 微软设计的一种网络连接模型

    • 网络中的计算机地位相等

    • 可以相互使用彼此的资源

Windows域介绍

可以对网络资源进行统一管理,如计算机、用户账户等

考题

  • 如何配置IPV4网络参数

  • 如何设置计算机名称?

  • 如何设置DNS服务器地址?

  • 如何加入Windows工作组?

1.4.2 用户与组管理

学习目标

  • 理解用户账户

  • 掌握创建、管理用户账户的方法

  • 理解用户组

  • 掌握创建、管理用户组的方法

  • 融汇贯通,从安全的角度看项目中用户与组的安全性分析

一、用户账户概述

  • 用户账户

    • 不同的用户身份拥有不同的权限

    • 每个用户包含一个名称和密码

    • 用户账户拥有唯一的安全标识符

  • 在服务器管理器中管理用户

    • 创建用户

    • 为用户重置密码

    • 重命名用户

    • 启用、禁用用户账户

    • 删除用户账户

    • 为用户设置权限

  • 内置用户账户

    • 用于特殊用途,一般不需要更改其权限

      • 与使用者关联的用户账户

        • Administrator(管理员用户)

        • Guest(来宾账户)

      • 与Windows组件关联的用户账户

        • SYSTEM(

本文标签: 网络安全内网模块Windows

版权声明:本文标题:基于网络安全下 第一章Windows内网服务模块 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://it.en369.cn/jiaocheng/1758231616a2776937.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。