首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Windows 操作系统安全配置实践(安全基线)

[+]确保拒绝作为批处理作业登录包含Guests SeDenyBatchLogonRight [+]确保拒绝服务身份登录包含Guests SeDenyServiceLogonRight [+]确保拒绝本地登录包含...:不允许 SAM 帐户和共享的匿名枚举:已启用(没域时候) 网络访问:将 everyone权限应用于匿名用户: 已禁用 网络访问:不允许储存网络身份验证的凭据: 已启用(没域时候) 网络访问:可匿名访问的共享...SAM 帐户的匿名枚举:已启用 网络访问:不允许 SAM 帐户和共享的匿名枚举:已禁用 网络访问:将 everyone权限应用于匿名用户: 已禁用 网络访问:不允许储存网络身份验证的凭据: 已禁用 网络访问...->eventvwr.msc ->事件查看器,展开"windows日志"查看"应用程序"、"安全"、"系统"的属性 加固方法: 开始-> 管理工具 -> 服务 1.启动Windows Time服务”...Shell Hardware Detection 服务已成功停止 (3)管理员账号未设置密码,未设置密码策略 建议设置: 增强口令策略16位大小写字母、Win7设置匿名共享但不让其(Guest)登录,

4K20

谷歌更新服务是个败类

该文件似乎主要用于记录/调试详细信息,如此处所述,并且由于该服务作为特权组件运行并且可供管理员人员访问,因此它可能是一个有趣的研究领域。...很多人会说“C:\”默认情况下不允许用户在那里创建新文件,但从 Windows 10 2009 开始,它似乎默认允许经过身份验证的用户在那里写入,并且在那里完成了一些 DACL 更改,以下图片取自默认的...image.png image.png 正如您在 Windows 10 2009 中看到的那样,经过身份验证的用户现在可以在根目录中创建文件,在这种情况下,我们可以将“C:\GoogleUpdate.ini...如果您要询问 Windows 服务器,则 C:\ 不允许管理员在那里创建文件。...并作为系统启动服务

61010
您找到你想要的搜索结果了吗?
是的
没有找到

红队提权 - 基于RBCD的提权

本地主机 NTLM 中继技术概述 在这种情况下,我们利用这样一个事实,即从非特权用户上下文中,我们可以诱导 NT AUTHORITY\SYSTEM 身份运行的本地服务通过 HTTP 对运行在...然后,攻击者可以将该身份验证尝试中继到 LDAP 服务配置基于资源的约束委派 (RBCD) ,允许攻击者控制的用户或计算机帐户冒充任何用户访问受害计算机。...在他的文章“Gone to the Dogs”中,Elad Shamir 概述了一种通过利用自定义 Windows 锁定屏幕的能力,特权用户身份获取“基于 HTTP 的计算机帐户 NetNTLM 身份验证...要成功利用该漏洞,需要满足以下先决条件: 运行 Windows Server 2012 或更新操作系统的域控制器 攻击者必须有权访问具有服务主体名称集的用户或计算机帐户对象,或者能够将新计算机添加到域...域控制器不得配置为强制执行 LDAP 签名和 LDAP 通道绑定(默认设置) 受害计算机必须安装并运行“webclient”服务(默认安装在 Windows 10 上) 必须允许用户自定义 Windows

1.9K40

Active Directory 域安全技术实施指南 (STIG)

V-8536 高的 受控接口必须在 DoD 和 DoD 系统或网络之间运行的 DoD 信息系统之间具有互连。...V-8551 中等的 域功能级别必须是 Windows 2003 或更高版本。 不允许在 DoD 中使用供应商支持的 AD 版本。...此密码对每个 DC 都是唯一的,用于在重新启动服务器恢复模式时登录到 DC。和... V-8522 中等的 必须使用 V** 来保护目录网络流量,实现跨越飞地边界的目录服务实施。...AD的正常运行需要使用IP网口和协议来支持查询、复制、用户认证、资源授权等服务。至少,LDAP 或 LDAPS......如果一个 AD 域或其中的服务器被指定为 MAC I 或 II,并且该域仅受... V-8548 中等的 特权组中的成员帐户数量不得过多。

1.1K10

Windows 权限提升

系统服务,,System权限)高权限运行,访问控制列表错误配置,低权限用户可写依赖的DLL、或者服务本身,当服务重启时,服务加载替换的DLL从而获得权限。...因此,操作系统和程序能够更快地加载和运行并且在计算机中占用较少的磁盘空间。——什么是 DLL?...在特权文件操作滥用(例如:任意文件写入)时非常有用,假设你发现了一个服务,该服务允许你写入任意文件并且NT AUTHORITY SYSTEM权限到文件系统上的任何位置,配置DLL劫持就可以完成NT AUTHORITY...,主要有两个原因: 需要重新启动:重启很可能导致当前的权限断掉 服务启动失败:即使成功的写入DLL到目标文件中,服务NT AUTHORITY\SYSTEM身份加载DLL,但是服务成功启动了吗?...Explorer.exe是父进程,所有其他用户启动的进程都将从该父进程继承其访问令牌。结果,除非用户提供同意或凭据来批准应用程序使用完整的管理访问令牌,否则所有应用程序均以标准用户身份运行

3.6K20

《Docker极简教程》--Docker服务管理和监控--Docker服务的管理

一、Docker服务的管理 1.1 启动停止Docker服务 启动停止Docker服务通常取决于正在使用的操作系统。...以下是在常见操作系统启动停止Docker服务的基本步骤: 在Linux上启动停止Docker服务启动Docker服务: sudo systemctl start docker 停止Docker...status docker 在Windows启动停止Docker服务: 使用Docker Desktop: 在Windows任务栏中找到Docker图标。...以下是一些确保 Docker 服务安全性的用户权限管理方法: 避免 root 权限运行容器: 在 Docker 中,默认情况下,容器将以 root 用户身份运行。这可能会增加容器被攻击的风险。...你应该尽量避免 root 权限运行容器,而是使用非特权用户或者更严格的权限设置来运行容器。 使用非特权用户运行容器: 在 Dockerfile 中使用 USER 指令来指定容器内运行时的用户

4800

原创 Paper | 利用 SSPI 数据报上下文 bypassUAC

它使应用程序和任务始终管理员账户的安全上下文中运行,除非管理员专门授权管理员级别的权限。如图1所示。...这个被采用的身份可以是另一个用户服务帐户或系统进程的身份。 当用户登录系统时,系统会为用户创建一个主令牌,这个令牌是与用户相关联的全局身份和权限,而模拟令牌会在进程执行时根据需要动态生成。...这时服务本身的主令牌启动运行,当收到上传的请求时,服务会创建一个新线程来,新而线程将使用模拟令牌一个较低的权限来执行后续操作。如图4所示。...因此,除非用户批准应用程序使用完整的管理访问令牌,否则所有应用程序都会标准用户身份运行。...我们 Rpcss 服务为目标,因为它也作为网络服务运行并且具有很多高权限的令牌句柄,最重要的是,Rpcss 是第一个 Network Service 运行的进程。如图20,图21所示。

14310

工具推荐|研究横向渗透和代码执行的工具

CheeseExec 该工具基于类PsExec功能来实现命令执行和横向渗透,并且必须特权用户身份才能运行。...,如果停止运行则尝试启动它,如果不存在则尝试创建并启动它; 搜索目标服务是否存在或是否正在运行,如果是则尝试终止其运行; 搜索目标服务是否存在或是否正在运行,如果是则尝试终止其运行并删除该服务; 命令使用样例...该工具能够绕过目标主机创建的常见安全限制,并在目标主机上创建和使用PowerShell运行空间,但是此操作必须使用特权用户身份执行。...); 避免从远程目标执行出站连接(所有内容都通过WS-Management传输); 支持传输中的完全加密; CheeseDCOM CheeseDCOM组件可以通过DCOM实现命令执行或横向渗透,但必须特权用户身份执行该任务..., --help Show Help CheeseRDP 该组件可以通过RDI(反射型DLL注入)实现RDP凭证企鹅去,但必须特权用户身份执行该任务。

94930

云计算的20大常见安全漏洞与配置错误

始终采用最小特权原则,并仅从选定的IP地址,网络范围或VNet(Azure虚拟网络)子网限制对每个存储账户的访问。 02 存储账户的不安全传输 通过此设置,可以强制执行向存储的安全(加密)数据传输。...03 特权用户缺乏多因素身份验证 对任何Azure资源具有管理或写入权限的任何用户都应该要求多因素身份验证(MFA),包括以下角色: ·管理员 ·服务共同管理员 ·订阅所有者 ·贡献者 使用MFA保护这些高特权账户非常重要...Azure安全中心应始终配置有电子邮件地址和/或电话号码,以便接收有关事件的通知,尤其是,当特定资源受到威胁时。 邮件通知应当在每个环境中都配置,并始终很高的优先级进行监视。...17 Azure身份保护功能被禁用 Azure身份保护为Active Directory中的用户账户增加了一层额外的保护,减轻登录(登录)风险,例如: ·用户的异常行径 ·恶意软件链接的源IP地址...要安全地进行设置,需要付出巨大的努力,需要了解多个技术领域,并且需要了解Azure生态系统。您需要深入了解许多领域,而不仅仅是Azure云本身。

2K10

Kali Linux将默认启用root用户,因被当作主力系统的需求增加

“当人们将Kali作为日常操作系统运行时,很显然,他们不会默认的root用户身份运行。随着时间的推移,显而易见的结果就是不再需要默认的root用户并且Kali最好改用更传统的安全模型。”...此外,多年来,发行版中包含的许多安全工具不再需要root用户访问权限,用户对其所有功能具有完全访问权限,其中一些功能甚至默认禁root用户身份使用。...以下是终端用户在实施root用户之后需要注意的一些更改: 实时模式下的Kali将以用户kali密码kali运行。没有更多的root/toor。...(请准备好设置您的IDS过滤器,因为我们确信此用户/密码组合很快就会被扫描)。 在安装时,Kali将提示您创建一个具有管理特权root用户(由于将其添加到sudo组中)。...我们确定需要root访问权限的工具以及常见的管理功能(例如启动/停止服务),将以交互方式要求管理特权(至少从Kali菜单启动时如此)。

2.1K20

C# 创建安装Windows服务程序(干货)

一、Windows服务概述 1.1、Windows服务是什么? Windows服务是在Windows操作系统上,以后台形式运行的应用程序。它们可以在系统启动时自动启动并且独立于用户登录。...1.3、Windows服务有什么优势? 后台执行:Windows服务在后台运行,不会干扰用户的工作,也无需用户登录即可持续执行任务。...系统级别权限:Windows服务可以在系统级别运行,具有更高的权限,可以访问系统资源和执行敏感操作。 自动启动Windows服务可以在系统启动时自动启动,确保任务始终处于运行状态。...管理员身份运行cmd命令,然后安装服务。...4.3、停止服务 我们可以创建一个文件【卸载服务.bat】输入以下内容: REM Install net stop 服务名 pause 注意:执行这个命令需要【管理员身份运行,不然会报这个错误:

31540

令牌模拟

在入侵过程中,令牌盗窃和用户冒充可以提供很大帮助,节省我们大量时间并帮助我们尽可能保持隐秘,仅使用 Microsoft Windows 操作系统本身提供的功能和工具。...您在上一篇文章“ TrustedInstaller,停止 Windows Defender ”中有第一个示例,尽管现在我们会看到更多。...请注意,我们将在 Windows 10 Pro 20H2 上“高”完整性和属于管理员组的用户运行该程序,暂时避免将其作为 SYSTEM 启动。...开放进程() 当我们调用此函数时,操作系统会根据与“进程”对象关联的 DACL 集验证请求的访问类型,允许或不允许访问其处理程序。...我们唯一需要记住的是不要运气不好,并且该线程此时正在冒充特权较少的用户,这将非常罕见,尽管我们应该在代码中检查这种可能性。

1.2K10

《计算机系统与网络安全》第十一章 入侵检测与防御技术

像进程一般有着双重身份,进程通常由用户触发,为用户提供服务,因此进程是用户的客体,但是当进程在访问系统上的资源的时候,进程又是这些被访问资源或数据的主体。...换句话说,系统必须通过提供可信通路机制来防止特洛伊木马程序模仿登陆进程,窃取用户的口令,并保证特权用户执行特权操作的时候,终端输入的信息的泄密性和输出信息的正确性。...另外还需要定期的更新口令,第二就是停止guest账号,停止来宾账号,在计算机管理当中的用户里面,guest账号停用,任何使用都不允许guest账号登录系统。...接下来学习关闭不必要的服务,一些网络入侵或者木马会潜入或者伪装成系统服务的流量渗透系统,所以我们需要留意系统当中开启的服务并且经常检查,并且最好能够关闭不必要的服务。...可以通过按下win加r组合键,打开运行,然后运行MS config这个命令,打开系统配置工具,通过这个配置工具,就可以查看并确认系统当中开启的服务组件,然后去筛选那些不必要的服务,把它关闭,把它禁止。

9410

OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

令牌中的信息包括与进程或线程关联的用户帐户的标识和特权。当用户登录时,系统通过将用户密码与安全数据库中存储的信息进行比较来验证用户密码。验证用户的凭证后,系统将生成访问令牌。...代表该用户执行的每个进程都有此访问令牌的副本。 换句话说,它包含您的身份并说明您可以在系统上使用或不能使用的功能。...Network Logon (Type 3):当帐户对远程系统/服务进行身份验证时,将发生网络登录。在网络身份验证期间,可重用凭据不会发送到远程系统。...因此,当用户通过网络登录登录到远程系统时,该用户的凭据将不会出现在远程系统执行进一步的身份验证。...通过使用端口135上的远程过程调用(RPC)进行通信进行远程访问(以及以后的临时端口),它允许系统管理员远程执行自动管理任务,例如远程启动服务或执行命令。它可以通过wmic.exe直接进行交互。

4.1K10

Windows日志取证

Kernel) - * 19 Windows安装更新记录 - * 41 系统未正常关机/系统停止运行 - * 1074 关闭电源(关机)/重启 - * 1100 事件记录服务已关闭 1101...Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户进行登录 4775 无法映射帐户进行登录 4776 域控制器尝试验证帐户的凭据 4777...防火墙服务已成功启动 5025 Windows防火墙服务停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。...5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows...防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。

3.5K40

Windows日志取证

Kernel) - * 19 Windows安装更新记录 - * 41 系统未正常关机/系统停止运行 - * 1074 关闭电源(关机)/重启 - * 1100 事件记录服务已关闭 1101...Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户进行登录 4775 无法映射帐户进行登录 4776 域控制器尝试验证帐户的凭据 4777...防火墙服务已成功启动 5025 Windows防火墙服务停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。...5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows...防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。

2.6K11

红队提权 - 可写系统路径权限提升

接下来,创建一个非特权用户并尝试写入这两个目录。请注意,管理员用户可以写入 C:\test\ 但不能写入 C:\Program Files\test\,如下图所示。...从操作的角度来看,攻击者的最佳方案是非特权用户可以触发此操作而无需重新启动目标系统。 NetMan 服务,它允许非特权用户通过公开的 COM 接口 [1] 与其交互。...攻击者只需将恶意 DLL 放入可写路径目录,然后等待或触发系统重启。但是,在 Windows Server 操作系统上,管理用户无权执行关机或重新启动操作。...此外,重新启动生产系统通常是不明智的,并且可能对红队的运营安全产生不利影响。...此外,Windows 传真服务的配置使得任何用户都可以触发服务启动

93340

Kubernetes准入控制器指南

内置的PodSecurityPolicy准入控制器可能是最突出的例子;例如,它可以用于禁止容器root身份运行,或者确保容器的根文件系统始终只读方式挂载。...其中一个设置是默认允许容器root身份运行并且,如果没有进一步的配置,Dockerfile中也没有USER指令,也会这样)。...Kubernetes不允许在webhook配置中指定端口;它始终采用HTTPS端口443。...我们希望此podroot身份运行用户ID为1234。 一个指定安全上下文的pod,明确允许它以root身份运行(pod-with-override)。...具有冲突配置的pod,指定它必须root用户身份运行,但用户ID为0(pod-with-conflict)。为了展示拒绝对象创建请求,我们增加了我们的准入控制器逻辑,拒绝这些明显的错误配置。

1.2K10
领券