荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mill (听日), 信区: WinNT
标 题: NT安全漏洞及其解决建议2
发信站: BBS 荔园晨风站 (Sun Aug 30 22:07:28 1998), 转信
NT服务器和工作站的安全漏洞
1.安 全 漏 洞: 安 全 帐 户 管 理 (SAM) 数 据 库 可 以 由 以 下 用
户 被 复 制: Administrator 帐 户, Administrator 组 中 的 所 有
成 员, 备 份 操 作 员, 服 务 器 操 作 员, 以 及 所 有 具 有 备
份 特 权 的 人 员。
解 释:SAM 数 据 库 的 一 个 备 份 拷 贝 能 够 被 某 些 工 具 所
利 用 来 破 解 口 令。 NT 在 对 用 户 进 行 身 份 验 证 时, 只 能
达 到 加 密 RSA 的 水 平。 在 这 种 情 况 下, 甚 至 没 有 必 要
使 用 工 具 来 猜 测 那 些 明 文 口 令。 能 解 码 SAM 数 据 库 并
能 破 解 口 令 的 工 具 有: PWDump 和 NTCrack。 实 际 上,
PWDump 的 作 者 还 有 另 一 个 软 件 包, PWAudit, 它 可 以
跟 踪 由 PWDump 获 取 到 的 任 何 东 西 的 内 容。
减 小 风 险 的 建 议:严 格 限 制 Administrator 组 和 备 份 组 帐
户 的 成 员 资 格。 加 强 对 这 些 帐 户 的 跟 踪, 尤 其 是
Administrator 帐 户 的 登 录 (Logon) 失 败 和 注 销 (Logoff) 失
败。 对 SAM 进 行 的 任 何 权 限 改 变 和 对 其 本 身 的 修 改 进
行 审 计, 并 且 设 置 发 送 一 个 警 告 给 Administrator, 告 知
有 事 件 发 生。 切 记 要 改 变 缺 省 权 限 设 置 来 预 防 这 个 漏
洞。
改 变 Administrator 帐 户 的 名 字, 显 然 可 以 防 止 黑 客 对 缺
省 命 名 的 帐 户 进 行 攻 击。 这 个 措 施 可 以 解 决 一 系 列 的
安 全 漏 洞。 为 系 统 管 理 员 和 备 份 操 作 员 创 建 特 殊 帐
户。 系 统 管 理 员 在 进 行 特 殊 任 务 时 必 须 用 这 个 特 殊 帐
户 注 册, 然 后 注 销。 所 有 具 有 Administrator 和 备 份 特 权
的 帐 户 绝 对 不 能 浏 览 Web。 所 有 的 帐 户 只 能 具 有 User
或 者 Power User 组 的 权 限。
采 用 口 令 过 滤 器 来 检 测 和 减 少 易 猜 测 的 口 令, 例 如,
PASSPROP (Windows NT Resource Kit 提 供), ScanNT (一 个 商
业 口 令 检 测 工 具 软 件 包)。 使 用 加 强 的 口 令 不 易 被 猜
测。 Service Pack 3 可 以 加 强 NT 口 令, 一 个 加 强 的 口 令
必 须 包 含 大 小 写 字 母, 数 字, 以 及 特 殊 字 符。 使 用 二
级 身 份 验 证 机 制, 比 如 令 牌 卡 (Token Card), 可 提 供 更
强 壮 的 安 全 解 决 方 案, 它 比 较 昂 贵。
2.安 全 漏 洞: 每 次 紧 急 修 复 盘 (Emergency Repair Disk - ERD)
在 更 新 时, 整 个 SAM 数 据 库 被 复 制 到
%system%\repair\sam._。
解 释: 在 缺 省 的 权 限 设 置 下, 每 个 人 对 该 文 件 都 有
“读” (Read) 的 访 问 权, Administrator 和 系 统 本 身 具 有
“完 全 控 制” (Full Control) 的 权 利, Power User 有 “改 变”
(Change) 的 权 利。 SAM 数 据 库 的 一 个 备 份 拷 贝 能 够 被
某 些 工 具 所 利 用, 来 破 解 口 令。 NT 在 对 用 户 进 行 身 份
验 证 时, 只 能 达 到 加 密 RSA 的 水 平。 在 这 种 情 况 下,
甚 至 没 有 必 要 使 用 工 具 来 猜 测 那 些 明 文 口 令。 能 解 码
SAM 数 据 库 并 能 破 解 口 令 的 工 具 有: PWDump 和
NTCrack。
减 小 风 险 的 建 议: 确 保 %system%\repair\sam 在 每 次 ERD
更 新 后, 对 所 有 人 不 可 读。 严 格 控 制 对 该 文 件 的 读 权
利。 不 应 该 有 任 何 用 户 或 者 组 对 该 文 件 有 任 何 访 问
权。 最 好 的 实 践 方 针 是, 不 要 给 Administrator 访 问 该 文
件 的 权 利, 如 果 需 要 更 新 该 文 件, Administrator 暂 时 改
变 一 下 权 利, 当 更 新 操 作 完 成 后,Administrator 立 即 把
权 限 设 置 成 不 可 访 问。
3.安 全 漏 洞: SAM 数 据 库 和 其 它 NT 服 务 器 文 件 可 能 被
NT 的 SMB 所 读 取, SMB 是 指 服 务 器 消 息 块 (Server
Message Block), Microsoft 早 期 LAN 产 品 的 一 种 继 承 协
议。
解 释: SMB 有 很 多 尚 未 公 开 的 “后 门”, 能 不 用 授 权
就 可 以 存 取 SAM 和 NT 服 务 器 上 的 其 它 文 件。 SMB 协
议 允 许 远 程 访 问 共 享 目 录, Registry 数 据 库, 以 及 其 它
一 些 系 统 服 务。 通 过 SMB 协 议 可 访 问 的 服 务 的 准 确 数
目 尚 未 有 任 何 记 载。 另 外, 如 何 控 制 访 问 这 些 服 务 的
方 法 也 尚 未 有 任 何 记 载。
利 用 这 些 弱 点 而 写 的 程 序 在 Internet 上 随 处 可 见。 执 行
这 些 程 序 不 需 要 Administrator 访 问 权 或 者 交 互 式 访 问
权。 另 一 个 漏 洞 是, SMB 在 验 证 用 户 身 份 时, 使 用 一
种 简 易 加 密 的 方 法, 发 送 申 请 包。 因 此, 它 的 文 件 传
输 授 权 机 制 很 容 易 被 击 溃。
SAM 数 据 库 的 一 个 备 份 拷贝 能 够 被 某 些 工 具 所 利 用,
来 破 解 口 令。 NT 在 对 用 户 进 行 身 份 验 证 时, 只 能 达 到
加密 RSA 的 水 平。 在 这 种 情况 下, 甚 至 没 有 必 要 使 用
工 具 来 猜 测 那 些 明 文 口 令。 能 解 码 SAM 数 据 库 并 能 破
解 口 令 的 工 具 有: PWDump 和 NTCrack。 当 前, 对 于 使
用 SMB 进 行 NT 组 网, 还 没 有 任 何 其 它 可 选 的 方 法。
减 小 风 险 的 建 议: 在 防 火 墙 上, 截 止 从 端 口 135 到 142
的 所 有 TCP 和 UDP 连 接, 这 样 可 以 有 利 于 控 制, 其 中
包 括 对 基 于 RPC 工 作 于 端 口 135 的 安 全 漏 洞 的 控 制。
最 安 全 的 方 法 是 利 用 代 理 (Proxy) 来 限 制 或 者 完 全 拒 绝
网 络 上 基 于 SMB 的 连 接。 然 而, 限 制 SMB 连 接 可 能 导
致 系 统 功 能 的 局 限 性。 在 内 部 路 由 器 上 设 置 ACL, 在
各 个 独 立 子 网 之 间, 截 止 端 口 135 到 142。
4.安 全 漏 洞: 特 洛 伊 木 马 (Trojan Horses) 和 病 毒, 可 能 依
靠 缺 省 权 利 作 SAM 的 备 份, 获 取 访 问 SAM 中 的 口 令 信
息, 或 者 通 过 访 问 紧 急 修 复 盘 ERD 的 更 新 盘。
解 释: 特 洛 伊 木 马 (Trojan Horses) 和 病 毒, 可 以 由 以 下
各 组 中 的 任 何 成 员 在 用 缺 省 权 限 作 备 份 时 执 行 (缺 省
地, 它 们 包 括: Administrator 管 理 员, Administrator 组 成
员, 备 份 操 作 员, 服 务 器 操 作 员, 以 及 具 有 备 份 特 权
的 任 何 人), 或 者 在 访 问 ERD 更 新 盘 时 执 行 (缺 省 地,
包 括 任 何 人)。 例 如, 如 果 一 个 用 户 是 Administrator 组 的
成 员, 当 他 在 系 统 上 工 作 时, 特 洛 伊 木 马 可 能 做 出 任
何 事 情。
减 小 风 险 的 建 议: 所 有 具 有 Administrator 和 备 份 特 权 的
帐 户 绝 对 不 能 浏 览 Web。 所 有 的 帐 户 只 能 具 有 User 或
者 Power User 组 的 权 限。
5.安 全 漏 洞: 能 够 物 理 上 访 问 Windows NT 机 器 的 任 何
人, 可 能 利 用 某 些 工 具 程 序 来 获 得 Administrator 级 别 的
访 问 权。
解 释: Internet 上 有 些 工 具 程 序, 可 以 相 对 容 易 地 获 得
Administrator 特 权 (比 如 NTRecover, Winternal Software 的
NTLocksmith)。
减 小 风 险 的 建 议: 改 善 保 安 措 施。
6.安 全 漏 洞: 重 新 安 装 Widnows NT 软 件, 可 以 获 得
Administrator 级 别 的 访 问 权。
解 释: 重 新 安 装 整 个 的 操 作 系 统, 覆 盖 原 来 的 系 统,
就 可 以 获 得 Administrator 特 权。
减 小 风 险 的 建 议: 改 善 保 安 措 施。
7.安 全 漏 洞: Widnows NT 域 中 缺 省 的 Guest 帐 户。
解 释: 如 果 Guest 帐 户 是 开 放 的, 当 用 户 登 录 失 败 的 次
数 达 到 设 置 时, 他 可 以 获 得 NT 工 作 站 的 Guest 访 问
权, 从 而 进 入 NT 域。
减 小 风 险 的 建 议: 据 说 NT 第 4 版 已 经 解 决 了 这 个 问
题, 升 级 到 第 4 版 吧。 关 闭 Guest 帐 户, 并 且 给 它 一 个
难 记 的 口 令。
8.安 全 漏 洞: 某 些 系 统 程 序 的 不 适 当 使 用, 比 如 ftp.exe,
rasdial.exe, telnet.exe。
解 释: 这 些 程 序 无 疑 给 侵 入 者 提 供 了 进 一 步 攻 击 的 手
段, 如 果 他 们 发 现 了 服 务 器 上 的 安 全 漏 洞, 进 而 可 以
攻 击 整 个 网 络。
减 小 风 险 的 建 议: 删 除 掉 不 经 常 使 用 的 系 统 程 序。
9.安 全 漏 洞: 所 有 用 户 可 能 通 过 命 令 行 方 式, 试 图 连 接
管 理 系 统 的 共 享 资 源。
解 释: 任 何 一 个 用 户 可 以 在 命 令 行 下, 键 入
\\IPaddress\C$ (或 者 \\IPaddress\D$,\\IPaddress\WINNT$) 试 图
连 接 任 意 一 个 NT 平 台 上 管 理 系 统 的 共 享 资 源。
减 小 风 险 的 建 议: 限 制 远 程 管 理 员 访 问 NT 平 台。
10.安 全 漏 洞: 由 于 没 有 定 义 尝 试 注 册 的 失 败 次 数, 导 致
可 以 被 无 限 制 地 尝 试 连 接 系 统 管 理 的 共 享 资 源。
解 释: 这 样 的 系 统 设 置 相 当 危 险, 它 无 疑 于 授 权 给 黑
客 们 进 行 连 续 不 断 地 连 接 尝 试。
减 小 风 险 的 建 议: 限 制 远 程 管 理 员 访 问 NT 平 台。
--
┏━━━━━━━━━━━━━┯┓
┃ 弃我去者,昨日之日不可留, ╚┫
┃ 乱我心者,今日之日多烦忧. ┃
┗━━━━━━━━━━━━━━┛
Waiting For You...
※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 202.103.153.33]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店