windows安全(1)

1.用户权限

管理员Administrator账户 Administrators组
权限：

标准用户（受限用户） user组

来宾用户 guest组

密码存在sam数据库

2.sid

查看Sid
whoami /user

SID 组 用途
s-1-1-0 everyone
s-1-2-0 local
s-1-3-0 Creator owner
s-1-3-1 Creator Group

3.ACL 访问控制列表(Access Control Lists)

登录给一个安全访问令牌（SAT） TOKEN 包含sid信息、

每个对象都有Acl ACL包含了sid的信息

DACL 是安全对象(securable object)的一个属性

SACL 是系统中的一个列表，用来记录指定用户（组）、指定类型的访问的访问结果，并记录。

4.ACE 访问控制项 (Access Control ITEM)

5.没有UAC文件系统和注册表虚拟化技术

6.应用程序清单文件

1、RunAsInvoker
2、RunAsHighest
3、RunAsAdmin

7.组域

开发最佳实践

1. 最小特权原则 currentuser (CAN-2003-0352)
2. 避免缓冲区溢出 writing solid code
3. 加密 DPAPI
4. 安全相关的编译链接选项开启
5. 剔除被取缔API 和加密算法
   https://docs.microsoft.com/en-us/previous-versions/bb288454(v=msdn.10)?redirectedfrom=MSDN危险API列表 SDL检查 开启，vs工具会提示
6. 不使用异常
   __try {}
   __except{} 不用
7. EncodePointer DecodePointer 对指针处理
8. 使用新版编译器
9. 静态分析工具消除警告
10. 使用x64程序
11. SAL注解：用SAL注解所有C++字符串缓冲区

安全编译选项

1. /GS 控制堆栈检查调用 (体积增大)https://docs.microsoft.com/zh-cn/cpp/build/reference/gs-control-stack-checking-calls?view=vs-2019

2. /SafeSEH
   设计SafeSEH保护机制的目的，以为了防止那种攻击者通过覆盖堆栈上的异常处理函数句柄，从而控制程序执行流程的攻击。
   Windwos XP SP2

   dumpbin  __except_handler4   IMAGE_LOAD_CONFIG_DIRECTORY
   #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG  10  // Load Configuration Directory

3. /DynamicBase 地址随机化 PE IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 操作系统必须开启ALSR功能，不然无效

4. /NXCOMPAT PE头部
   DEP 数据执行保护 DEP，就是禁止应用程序和服务在非可执行的内存区（non-executable memory）上执行指令。
   DEP 分为软件DEP 和硬件DEP 硬件DEP 需要CPU提供支持

5. /guard:cf 控制流防护编译选项和链接选项都要开启

打赏