荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fast (平淡), 信区: Security
标 题: NT系统的安全策略
发信站: 荔园晨风BBS站 (Tue Sep 11 13:11:33 2001), 转信
NT系统的安全策略
文章类型:攻击实例 文章加入时间:2001年9月9日17:30
----------------------------------------------------------------------------
----
当年WINDOWS NT刚刚推出的时候,人们还在怀疑这样一个原代码非公开性的操作系统如
何能占领服务器市场,但随着1996年NT4.0的推出,越来越多的使用者开始使用NT来构建
自己的网络平台,WINDOWS NT的优点也慢慢被人们所发现:使用简单、图形化界面友好
、稳定性也可以接受(较之WINDOWS系列的不稳定而言)、开发工具完善等。今年WINDO
WS2000的发布更加坚定了微软抢占服务器市场的决心,特别是WINDOWS 2000 ADVANCE S
ERVER,WINDOWS 2000 DATACENTER及群集技术的推出更是说明了微软决心要进军高端服
务器市场,与UNIX和LINUX三分天下。
但是,仅仅是使用简单是不够的,作为一个安全级别为C2级以及原代码非公开性的操作
系统,NT从一推出来便漏洞百出。NT4.0从推出至今已有了6个服务升级包(微软不好意
思称之为补丁),每一个都有几十兆之巨,下载的时候令人痛苦万分。NT系统的安全性
不好是因为其复杂的结构和源代码不对外公开,整个操作系统只有微软自己可以修改,
不象LINUX及多种UNIX系统,内核的源码是公开的,当一个安全性问题或漏洞被发现后,
全球许多优秀的程序员都可以参与修改,使得LINUX、UNIX系统的错误很快被修正。所以
当NT 的漏洞被发现后,人们首先看到的是MICROSOFT安全公告上的长篇大论的解释或是
让你删除出问题的组件,随后就是耐心的等待,直到补丁或服务升级包的推出。
WINDOWS 2000的推出并没有改变NT系统安全性不好的问题,让我们一起来看看WINDOWS
2000安装时出现的一个漏洞:在Windows 2000安装过程中未对ADMIN$进行保护,也就是
说当安装过程中第一次输入管理员密码到下一次重新启动前,任意网络用户都可以不用
密码而通过直接连接ADMIN$共享来访问系统,即在网络共享输入:\\服务器名\ADMIN$
从而进入系统。所以建议大家在安装WINDOWS 2000的时候物理隔断服务器的网络连接。
从上面的例子可以看出,Windows NT系列并不是令人放心的系统,我们需要了解NT系统
的漏洞,了解黑客的入侵方式,定出我们的安全策略。
一、NT系统的漏洞
1. 密码:
对任何人来讲,较短的密码都是极不安全的,Windows NT的密码实际上没有以文件形式
保存,而是一些杂乱的暗码夹杂在某些文件的内部。已经发现包含有NT密码的文件有8个
,包括\WINNT\rapair\sam._,这个文件中包含管理员的密码,以及\WINNT\system32\in
etsrv\ MetaBase.bin,这个文件中包含有IUSR_ComputerName等帐号的密码。破解NT的
密码有许多小工具,比如L0phtCrack这个小软件,从菜单中选取注册表获取信息或从SA
M文件中获取信息,对于六位数密码(不包含特殊字符),一般情况下20分钟内可以解出
来(当然,破解机器的速度不能太慢)。所以对于管理员的密码,最好是8-9位,而且要
带有特殊字符。
2. IIS: Internet Information Server是一个很好用的WEB和FTP服务平台,由于IIS与
ASP脚本语言及ACTIVE X控件紧密结合,用户可以在服务器端用简单的脚本作出功能强大
的数据库查询及动态WEB页面,另外IIS也提供了远程管理的功能,使用户通过WEB可以对
IIS进行管理。虽然IIS简单好用,但是漏洞百出。我们知道ASP脚本语言的一大好处是无
法查看源代码,所有的ASP脚本均在服务器端执行,客户端得到的是程序执行的结果,得
不到ASP脚本的源代码,这在一定程度上保护了开发者的利益。但是IIS3的一个经典漏洞
便暴露了ASP脚本的源代码,只要在浏览器里加上几个特殊字符,便可以看到源码,如(
假设要访问的文件为http://www.test.com/test.asp), 在浏览器地址框内敲入红框内
的内容,即可在查看源码中看到整个ASP源码。当然,这个漏洞已被补上,但现在已知能
查看ASP源码的漏洞已有六个,真是令人防不胜防。下面我们来看看最近的一些典型的漏
洞:
(1)shtml.dll的问题 在NT4+ Frontpage Extention以及WINDOWS2000的"_vti_bin" 的
虚拟目录下有一个文件shtml.dll,目的是用来浏览smart HTML文件。如果在windows20
00上安装Frontpage,将在web根目录下创建一个 "_vti_bin" 的虚拟目录,shtml.dll是
位于该目录下的文件之一。当我们要访问的文件不存在的时候,例如访问一个根本不存
在的aaa.html, 则会返回一个错误信息,而其中也会包含WEB的本地路径信息。获取WE
B的本地路径信息对黑客来说是一件开心的事,是他准备入侵系统所做的准备工作中的重
要一步。更糟的是由于注意到shtml.dll对较长的带html后缀的文件名都会进行识别和处
理,利用这一点,可以对IIS服务器执行DOS攻击。
D.O.S(Denial of Service):拒绝服务攻击,是指一个用户占据了大量的共享资源,
使系统没剩余的资源给其它用户再提供服务的一种攻击方式。拒绝服务攻击的结果可以
降低系统资源的可用性,这些资源可以是CPU、CPU时间、磁盘空间、Mode、打印机、甚
至是系统管理员的时间,往往是减少或者失去服务。 拒绝服务攻击是针对IP实现的核心
进行的,它可以出现在任何一个平台之上。
利用shtml.dll的漏洞,通过编制一小段的D.O.S攻击程序,便可以使目标的资源耗尽。
建议:禁止 /_vti_bin 目录远程访问。
(2) 过长的ida后缀使IIS5.0服务崩溃
这也是一个典型的D.O.S漏洞,对于IIS4+SP4以及IIS5,只要在所要访问的URL后面粘贴
25K的字符,如:http://www.test.com/…….(25k)…ida,然后加上后缀ida,就会使I
IS的服务停止。 建议:将无用的应用程序映射删除。
(3)关于MSADC目录下的两个漏洞
两个漏洞均为IIS4的漏洞,IIS4若安装了范例文件则会在/wwwroot下生成/msadc目录,
其中有两个文件带来了漏洞: Showcode.asp:这是一个ASP的范例文件,通过它我们可以
查看ASP源码甚至是系统配置文件。例如我们想要看的是test.asp:
Msadcs.dll: 这是一个允许通过web远程访问ODBC,获取系统的控制权的文件,微软为此
发布过补丁,但没有彻底解决问题,黑客可以通过该文件通过vb函数调用VbBusObj请求
或shell,从而获得系统最高权限。 建议:删除MSADC目录及Msadcs.dll。
(4) 微软的动态库文件与Netscape
在装有Frontpage Extion Server的IIS 服务器上,有两个动态库文件 dvwssr.dll,mtd
2lv.dll被发现有后门,所谓后门也就是程序开发者设计程序时留下的供自己日后可随意
访问系统的入口,一般是有口令的,这个后门的功能是允许用户远程读取asp、asa和CG
I程序的源代码,但要求解码后才能发挥读取asp等源程序的功能,有趣的是这个后门的
密码竟然是"Netscape engineers are weenies!"。微软的操作系统已经不止一次被人发
现有后门了,但是密码如此有攻击性确实少见。另一方面,发展我们中国自己的操作系
统是势在必行了。 建议:删除dvwssr.dll。
二、黑客的入侵方式
黑客经常端坐在电脑面前,废寝忘食,他们大部分的时间是在寻找主机,查找漏洞,然
后进入你的系统。但是黑客不完全等于入侵者,好的黑客会帮你查找系统的漏洞,然后
告诉你解决方法,但我们不能期望只碰到善意的黑客,我们必须了解黑客入侵的方法(
由于本文并不是黑客教程,故具体操作内容从略):
1. 查找指纹
这是入侵的最重要的一步,首先使用的工具是PING。查找想要入侵的一段IP地址,如果
没有任何机器,再换一段,直到找到目标。然后判断它是否是NT服务器?你可以这样判
断
(1) Telnet远程登录到它的21号端口(ftp),看它是不是显示nt信息。
(2) 检查一下服务器是否只是说它在运行什么(检查它们的页面)。
(3) 试一下NBTSTAT -A [ip address]看它的回应。如果未出错,并出现相关的共享信息
,就可以得到结果了。
然后就是用一些端口扫描器扫描目标机器所运行的服务,从而判断从那一个端口进攻。
2. 寻找漏洞 运行类似letmein.exe这样的程序可以对目标机器的帐号进行攻击,并取得
相应的密码。另一个方法是由NBTSTAT -A [ip address]得到目标机器详细的共享目录,
然后编辑本地文件c:\windows\lmhosts(LMHOSTS文件是一个包含NetBIOS到IP地址映射
的简单文本文件),将目标主机IP解析加入,然后尝试连接目标机的共享逻辑盘。SNIF
FER也是黑客常用的工具,用SNIFFER可以分析各种信息包可以很清楚的描述出网络的结
构和使用的机器,由于它接受任何一个在同一网段上传输的数据包,所以也就存在着 S
NIFFER可以用来捕获密码,EMAIL信息,秘密文档等一些其他没有加密的信息。所以这成
为黑客们常用的扩大战果的方法,夺取其他主机的控制权。当然最容易入侵的是IIS及F
TP,黑客可以用自制的小程序监听IIS及FTP,发现未加密的密码,以及如上文所讲的利
用IIS及FTP的已公开的漏洞,逐个尝试进行入侵。
3. 入侵系统
能入侵系统的人不一定都是坏人,但典型的破坏者入侵后会更改你的首页,窃取你的帐
号密码,下载你硬盘的重要资料,在你的系统里放入木马程序,运行DOS攻击程序,或利
用你的机器作为向别人发动攻击的中转站。
三、安全策略
为了防止恶意的入侵,我们必须定出详细的安全策略:
1. 硬件或软件的防火墙是必须的,同时也是有效的,防火墙可以抵挡大部分的恶意进
攻,也可以记录进出网络的每一个包的简要信息,为日后查找入侵记录提供了方便。但
防火墙并不是买回来就摆在那里,它需要细心的配置和升级。
2. 硬盘最好Format 成NTFS格式,经常看看一些安全站点,使用最新的Service Pack,
并时常打一些微软发布的小补丁。
3. 删除不必要的网络共享,可以命令net share /d。那些为了管理而设置的共享,如
C$,D$,ADMIN$,删除后重启就又共享了,所以必须通过修改注册表的方法来实现,对NT
4,可以修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Services\ Lan
manServer\Parameters 的 AutoShareServer设置为0。
4. 重要的系统配置如信任机器的配置,共享资源的配置,注册表的配置,系统服务的配置
和域用户管理器的配置,都必须经常检查。注册表是一个很容易被入侵和修改的地方,你
应该经常备份注册表。.
5. 在防火墙上,截止所有从端口137到139的TCP和UDP连,这样做有助于对远程连接的
控制。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口137到139的
连接,以限制安全漏洞。
6. 任何时候查看系统日志都是有用的,可以在"域用户管理器->规则->审核"中添加审
核Success/Failed Logon/Logoff日志。
7. 严格控制FTP的权限,最好禁止匿名FTP上载及对FTP用户的读写活动进行详细的监控
,禁止FTP目录的脚本执行权利。
8. 控制一般用户对注册表Run项的可写权限,就可以防止一般用户都具有对 HKEY_LOC
AL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run 项的可读可写权限,防
止其在Run项创建文件,将自己加入到管理员组内。
9. 管理员的密码最好是8-9位,包含有字符及特殊字符,同时严格监控密码文件SAM的
读写。
10. 最好能将默认的系统服务端口移至较高位置,如10000以上,这样可以防止黑客扫
描你的端口,因为如此大的端口值,黑客要扫描很久,多数会知难而退。
11. 把一些工具从你的NT目录中转移到一个安全的目录,例如:cmd.exe,net.exe,t
elnet.exe,ftp.exe等,可以使黑客上来后找不到合适的工具和SHELL。
12. 用NBTSTAT -A [本机IP]查看本机的共享,看看有没有非法用户联接,查看木马程
序常用的端口,如7306,7307、7308、12345、12345、12346、31337、6680、8111、99
10,看看有没有木马程序的存在。
13. 检查是否有用户帐号配置被修改,是否有组的特性被修改。黑客有时会把 Iuser_计
算机名,这类用来匿名访问web的帐号加到管理组,.建议用户帐号尽量地少,发现入侵后
将所有用户密码改掉。
14. 对IIS ,我们需要做的工作比较多:
* 设置正确的Server访问控制权限;
* 正确设置虚拟目录,建议把默认安装后的那些虚拟目录删除;
* 正确设置脚本及CGI的访问权限,建议将脚本程序与HTML分开放置;
* 正确设置IIS日志访问权限;
* 适当地设置IP拒绝访问列表,防止黑客攻击你的Server;
* 如果有需要的话,应用SSL( Secure Sockets Layer);
* 删除一些你用不上的组件,regedit XXX.dll /u;
* 删除虚拟目录IISADMPWD,因为它允许你重新设置你的管理员口令。
* 删除一些不必要的映射,象.htr,.idc,. shtm, .stm, .shtml,都可以在IIS服务管理
器删除;
* 禁用RDS;
* 使用IIS登陆日志,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HT
TP状态,用户代理;
* 禁止"Parent Paths",即禁止用"··"来访问你的上一层目录。
以上是我们在NT使用中的一点心得,如有错漏,还请批评指正。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.127]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店