荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mill (听日), 信区: WinNT
标 题: NT的安全漏动及其解决建议3
发信站: BBS 荔园晨风站 (Sun Aug 30 22:09:39 1998), 转信
11.安 全 漏 洞: 如 果 系 统 里 只 有 一 个 Administrator 帐 户, 当
注 册 失 败 的 次 数 达 到 设 置 时, 该 帐 户 也 不 可 能 被 锁
住。
解 释: 这 种 情 况 (系 统 里 只 有 一 个 Administrator 帐 户) 是
NT 的 一 个 预 先 考 虑 过 的 特 征, 然 而, 它 也 成 为 一 种 风
险。 这 种 情 况 适 用 于NT 域 和 NT 工 作 站。
减 小 风 险 的 建 议: 除 了 系 统 缺 省 创 建 的 Administrator 帐
户, 还 应 该 创 建 至 少 一 个 具 有 管 理 员 特 权 的 帐 户, 并
且, 把 缺 省 Administrator 帐 户 改 成 另 外 一 个 名 字。
12.安 全 漏 洞: 具 有 管 理 员 特 权 的 帐 户 在 达 到 注 册 失 败 的
次 数 时 将 被 锁 住, 然 而, 30 分 钟 后 自 动 解 锁。
解 释: 帐 户 策 略 (Accounts Policy) 中 的 设 置。
减 小 风 险 的 建 议: 对 于 所 有 管 理 员 帐 户, 应 该 使 用 难
猜 的 口 令。
13.安 全 漏 洞: 缺 省 地, Windows NT 在 注 册 对 话 框 中 显 示
最 近 一 次 注 册 的 用 户名。
解 释: 这 是 NT 的 一 个 预 先 考 虑 过 的 特 征, 然 而, 它 也
成 为 一 种 风 险, 给 潜 在 的 黑 客 提 供 了 信 息。
减 小 风 险 的 建 议: 在 域 控 制 器 上, 修 改 Registry 中
Winlogon 的 设 置, 关 闭 这 个 功 能。
14.安 全 漏 洞: Windows NT 和 Windows 95 的 客 户 可 以 保 存 口
令 于 文 件 中, 以 便 快 速 缓 冲。
解 释: 任 何 人 可 能 通 过 访 问 内 存 来 获 取 加 密 的 口 令,
或 者 通 过 访 问 Windows NT 工 作 站 的 ADMINST.PWD 文
件, 以 及 Windows 95 的 ADMINST.PWL, 来 读 取 口 令, 以
获 得 缺 省 管 理 员 的 访 问 权。 尤 其 在 Windows 95 上, 这 个
文 件 很 容易 得 到。
减 小 风 险 的 建 议: 严 格 限 制 NT 域 中 Windows 95 客 户 的
使 用。 限 制 Windows NT 工 作 站 上 的 管 理 员 特 权。
15.安 全 漏 洞: Windows NT 口 令 可 能 被 非 NT 平 台 进 行 同
步。
解 释: 如 果 Windows 95 中 的 “Change Windows Password” 工
具 在 Windows NT 系 统 中 已 被 授 权,就 可 以 作 到 这 一 点。
结 果 是 一 个 强 的 口 令 被 一 个 弱 的 口 令 所 替 代。
减 小 风 险 的 建 议: 在 与 Windows NT 平 台 连 接 时, 不 能
运 行 “Change Windows Password” 工 具。
16.安 全 漏 洞: 管 理 员 有 能 力 从 非 安 全 的 工 作 站 上 进 行 远
程 登 录。
解 释: 这 种 能 力 带 来 许 多 潜 在 的 对 系 统 的 严 重 攻 击。
减 小 风 险 的 建 议: 加 强 计 算 机 设 施 的 保 安 工 作 是 可 行
的。 关 闭 系 统 管 理 员 的 远 程 能 力, 对 管 理 员 只 允 许 直
接 访 问 控 制 台。 可 以 从 [用 户 管 理 器] [帐 户 策 略] (User
Manager, Policies) 进 行 设 置。 使 用 加 密 的 对 话, 在 管 理
员 的 属 性 中, 限 制 他 可 以 从 哪 些 工 作 站 上 进 行 远 程 登
录。
由 于 远 程 管 理 员 访 问 很 危 险, 商 业 机 构 必 须 要 测 试 和
评 估 与 此 相 关 的 风 险, 以 满 足 业 务 的 需 要。 在 实 施 计
划 中, 必 须 作 出 决 定, 来 如 何 控 制 和 限 制 这 种 风 险。
17.安 全 漏 洞: N T 上 的 缺 省 Registry 权 限 设 置 有 很 多 不 适
当 之 处。
解 释: Registry 的 缺 省 权 限 设 置 是 对 “所 有 人” “完 全
控 制” (Full Control) 和 “创 建” (Create)。 这 种 设 置 可 能 引
起 Registry 文 件 的 删 除 或 者 替 换。
减 小 风 险 的 建 议: 对 于 Registry, 严 格 限 制 只 可 进 行 本
地 注 册, 不 可 远 程 访 问。 在 NT 工 作 站 上, 限 制 对
Registry 编 辑 工 具 的 访 问。 使 用 第 三 方 工 具 软 件, 比 如
Enterprise Administrator (Mission Critical Software), 锁 住
Registry。 或 者, 至 少 应 该 实 现 的 是, 把 “所 有 人” 缺
省 的 “完 全 控 制” 权 利 改 成 只 能 “创 建”。 实 际 上, 如
果 把 这 种 权 利 设 置 成 “只 读”, 将 会 给 系 统 带 来 许 多
潜 在 的 功 能 性 问 题, 因 此, 在 实 现 之 前, 一 定 要 小 心
谨 慎 地 进 行 测 试。 NT 4.0 引 入 了 一 个 Registry Key 用 来
关 闭 非 管 理 员 的 远 程 Registry 访 问。 在 NT 服 务 器 上,
这 是 一 个 缺 省 的 Registry Key, 对 于 NT 工 作 站, 必 须 把
这 个 Registry Key 添 加 到 Registry 数 据 库 中。
18.安 全 漏 洞: 有 可 能 远 程 访 问 NT 平 台 上 的 Registry。
解 释: 在 Windows 95 上, 或 者 系 统 管 理 共 享 资 源 上, 运
行 REGEDT.EXE, 将 允 许 交 互 地, 远 程 地 访 问 NT 域 服
务 器。
减 小 风 险 的 建 议: 严 格 限 制 Windows 95 客 户 的 使 用。 使
用 Registry 审 计。 制 定 规 章 制 度 限 制 管 理 员 的 操 作 程
序, 禁 止 这 样 的 访 问, 或 者 明 确 授 权 给 指 定 的 几 个 系
统 管 理 员。
19.安 全 漏 洞: 通 过 访 问 其 它 的 并 存 操 作 系 统, 有 可 能 绕
过 NTFS 的 安 全 设 置。
解 释: 已 经 有 很 多 工 具, 用 来 访 问 基 于 Intel 系 统 上 的
NTFS 格 式 的 硬 盘 驱 动 器, 而 不 需 要 任 何 授 权, 就 允 许
你 操 纵 NT 的 各 种 安 全 配 置。 这 些 工 具 有,
DOS/Widnows 的 NTFS 文 件 系 统 重 定 向 器 (NTFS File System
Redirector for DOS/Windows), SAMBA, 或 者, Linux NTFS
Reader。 这 种 情 况 只 有 一 种 可 能, 那 就 是 物 理 上 能 访
问 机 器。
减 小 风 险 的 建 议: 使 用 专 门 的 分 区。 限 制 administrator
组 和 备 份 操 作 员 组。 制 定 规 章 制 度 限 制 管 理 员 的 操 作
程 序, 禁 止 这 样 的 访 问, 或 者 明 确 授 权 给 指 定 的 几 个
系 统 管 理 员。 可 以 考 虑 采 用 第 三 方 预 引 导 身 份 验 证 机
制。
20.安 全 漏 洞: 文 件 句 柄 可 能 从 内 存 中 被 读 取 到, 然 后 用
来 访 问 文 件, 而 无 需 授 权。
解 释: 这 样 做 需 要 在 一 个 用 户 注 册 的 其 间 内, 文 件 已
经 被 访 问 过。
减 小 风 险 的 建 议: 限 制 管 理 员 级 和 系 统 级 的 访 问 控
制。
--
┏━━━━━━━━━━━━━┯┓
┃ 弃我去者,昨日之日不可留, ╚┫
┃ 乱我心者,今日之日多烦忧. ┃
┗━━━━━━━━━━━━━━┛
Waiting For You...
※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 202.103.153.33]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店