Windows操作系統的帳號角色權限
1.Windows操作系統的帳戶:
• Windows操作系統好比一間富麗堂皇的宮殿,大門的門鎖是身份和權限鑒別器,到訪人員是賬戶,鑰匙是驗證其身份和權限的措施。
<1.>本地系統帳戶,Local System Account
本地管理員帳戶,Local Administrator Account
特點:系統帳戶和管理員帳戶 (管理員組) 有相同的文件權限,但它們具有不同的功能:通過操作系統和在 Windows 下運行的服務使用系統帳戶;系統帳號是內部帳戶,不顯示在用戶管理器(lusrmgr.msc)中,不能添
加到任何組中,並且不能把用戶權限分配給它;系統帳戶,有時顯示為SYSTEM,有時,顯示為LocalSystem;本地系統帳戶,在安全的角度看具有非常大的能力。
<2>.網絡服務帳戶,network service account
特點:用來提供給既希望利用計算機帳戶來向網絡上其他機器認證身份,但是,又不需要Administrators組的所屬權這樣的服務身份來被使用;只能訪問很少量的注冊表鍵、文件夾、文件;只賦予少量特權,限制能力范
圍;運行在network service account的進程,不可能加載設備Driver或打開任意的進程;屬於Network Service組。
<3>.本地服務帳戶,local service account
特點:幾乎等同於網絡服務帳戶;隸屬於Local Service組。
<4>.本地系統帳戶,Local System Account
特點:是核心的、Windows用戶模式、操作系統組件運行時,所在的帳戶;絕大多數文件和注冊表鍵(HOST_LOCAL_KEYS),都賦予本地系統帳戶,完全的訪問權限;當系統是Windows域中的一個成員,本地系統帳戶包含了一個服務進程運行時所在計算機的機器安全標識符(SID),因此,一個運行在本地系統帳戶中的服務,通過利用它的計算機帳戶,即可自動地在同一個域林中的其他機器,得到身份認證。
組件包括:
• 會話管理器(%SystemRoot%\System32\Smss.exe);
• Windows子系統進程(Csrss.exe);
• 本地權威進程(%SystemRoot%\System32\Lsass.exe);
• Logon進程(%SystemRoot%\System32\Winlogon.exe)。
<5>.服務賬戶的組成員關系圖:
2.Windows操作系統的角色:
<1>.Administrators,管理員,對計算機/域有不受限制的完全訪問權;
<2>.Users,普通用戶,防止用戶進行有意或無意的系統范圍的更改,但是可以運行大部分應用程序;
<3>.Guests,來賓訪客,來賓跟用戶組的成員有同等訪問權,但來賓帳戶的限制更多;
<4>.Hyper-V Administrators,虛擬化管理員,對Hyper-V所有功能的完全且不受限制的訪問權限;
<5>.IIS_IUSRS,Web服務,Internet 信息服務使用的內置組;
<6>.Power Users,超級管理員,包括高級用戶以向下兼容,高級用戶擁有有限的管理權限;
<7>.Remote Desktop Users,遠程桌面使用,授予遠程登錄的權限;
<8>.Performance Monitor Users,性能監視,可以從本地和遠程訪問性能計數器數據。
• 通過lusrmgr.msc工具,查看角色設置。
3.Windows操作系統的權限:
• 理解Windows訪問控制(Access Control)權限(Permissions),需要理解幾個關鍵概念和工作機制,在應急響應工作中,才能事半功倍、掌握關鍵線索:安全標識符(SID)、訪問令牌、安全描述符、訪問控制管理(權限)、特權。
<1>.安全標識符
特點:每個用戶和系統需要為之做出信任決策的每個實體,都會被賦予一個安全標識符(Security Identifier,SID);SID具有唯一性,具有多種不同的形式,伴隨實體整個生命周期;Windows不以帳戶名稱來標識用戶,使用
SID全局標識;用戶、用戶組、域用戶組、本地計算機、域、域成員、服務,都有SID
格式:
S-Revision Level-Authority Value-Relative Identifier
• *Revision Level:結構版本號;
• *Authority Value:48位,標識符機構值;
• *Relative Identifier:可變數量的,32位子機構值或相對標識符。
著名的 SID:
• LocalSystem:S-1-15-18
• LocalService:S-1-15-19
• Netword Service:S-1-15-20
• Administrators:S-1-5-32-544
• Users:S-1-5-32-545
• Print Operators:S-1-5-32-550
• Nobody Group:S-1-0-0,Null SID,當SID未知時,使用;
• Everyone:S-1-1-0,包含了所有用戶,但不包括匿名用戶的組;
• Local:S-1-2-0,登錄到本地終端的用戶,NT AUTHORITY\本地帳戶;
• Creator Owner:創建新用戶的標識符來代替;
• Creator Group:S-1-3-1,由創建新對象的用戶所屬的主組SID來替代;
• Power Users:S-1-5-32-547
• Console Logon:S-1-2-1
• 可通過指令whoami /all 來查看SID
• 可使用psgetsid工具,解析、轉換SID和實體之間的關系
• Process Explorer工具的Security標簽,查看SID
<2>.訪問令牌
• 訪問令牌,SRM,標識進程、線程、文件、注冊表、資源等的安全環境
• 訪問令牌,包括:
• 用戶帳號SID;
• 所屬組SID;
• 標識當前登錄會話的SID;
• 用戶或其對應用戶組所擁有的權限列表;
• 對權限或組成員身份的限制;
• 支持以較低權限身份運行的標志。
• 訪問令牌的一些TIPS:
•Local:意味着進程以控制台方式登錄;
• Authenticated Users:認證登錄用戶的令牌中都包含這個組;
• SeChangeNotifyPrivilege:開啟;
• Logon Session:會話標識;
• 進程以工作站的方式運行;
• 內置的管理員,Built-In Administrators;
• 檢查其他的特權
<3>.安全描述符:
•被請求、訪問對象的安全描述符(Security Descriptor,SD),包含:被訪問對象的所有者(Owner)、自主訪問控制列表(Discretionary Access Control List,DACL)、系統訪問控制列表(System Access Control,SACL)
安全描述符:ACE,訪問控制項權限的情況
• N:no access;
• F:full access;
• M:modify;
• RX:read & execute;
• R:read;
• W:write;
• D:delete access;
• DE:delete;
• GR:generic read;
• GW:generic write;
• GE:generic execute;
• GA:generic access;
• X:execute;
• 訪問權限的檢查:accesschk64.exe
<4>.權限
• 權限:用戶權限的分配:secpol.msc,本地安全策略分配
系統給用戶分配權限的步驟:用戶登錄到系統,等待登錄請求響應。本地安全權威中心(LSA),從LSA策略數據庫(注冊表鍵)獲取已賦予該用戶的權限。LSA根據分配給用戶的權限,檢查登錄類型。如果“沒有被允
許”,或“拒絕該操作”,則拒絕登錄請求。
<5>.特權
• 特點:由OS定義的特權數量,隨着時間推移,會不斷增加;不同特權,由不同的組件來定義,並由這些組件強制使用;
• Windows特權列表:https://docs.microsoft.com/zh-cn/windows/desktop/secauthz/privilege-constants
• 有安全漏洞,被濫用的Windows特權列表:
• SeBackupPrivilege
• 描述:該特權導致擁有對所有文件的讀訪問權限,無視文件的訪問控制鏈表(ACL)。
• 攻擊情景:搜集
• SeCreateTokenPrivilege
• 描述:請求創建一個主令牌
• 攻擊情景:特權提升
• SeDebugPrivilege
• 描述:通過任意賬戶請求調試和調整某個進程擁有的內存
• 攻擊情景:特權提升;防護逃逸;憑據竊取
• SeLoadDriverPrivilege
• 描述:請求加載或卸載一個設備驅動。
• 攻擊情景:滲透;防護逃逸
• SeRestorePribilege
• 描述:請求執行恢復操作。該特權使得系統授權對任意文件的寫訪問,無視文件的ACL。
• 攻擊情景:滲透;防護逃逸
• SeTakeOwershipPrivilege
• 描述:無需授予任意訪問權限,獲得某個對象的擁有權。
• 攻擊情景:滲透;防護逃逸;搜集
• SeTcbPrivilege
• 描述:表示它的持有者是可信計算基的一部分。一些被可信計算保護的子系統被授予這個權限。
• 攻擊情景:特權提升
• 查看當前用戶下特權的設置 : whoami /priv