|
NT安全漏洞及其解決建議(2)
19.安全漏洞:通過訪問其它的并存操作系統(tǒng),有可能繞過NTFS的安全設(shè)置�����。
解釋:已經(jīng)有很多工具�����,用來訪問基于Intel系統(tǒng)上的NTFS格式的硬盤驅(qū)動器���,而不需要任何授權(quán)�����,就允許你操縱NT的各種安全配置���。這些工具有,
DOS/Widnows的NTFS文件系統(tǒng)重定向器(NTFS File System Redirector for DOS/Windows)���,SAMBA�,或者���,Linux NTFS Reader。這種情況只有一種可能�,那就是物理上能訪問機器。
減小風(fēng)險的建議:使用專門的分區(qū)���。限制administrator組和備份操作員組。制定規(guī)章制度限制管理員的操作程序�����,禁止這樣的訪問�����,或者明確授權(quán)給指定的幾個系統(tǒng)管理員�?梢钥紤]采用第三方預(yù)引導(dǎo)身份驗證機制。
20.安全漏洞:文件句柄可能從內(nèi)存中被讀取到�����,然后用來訪問文件�����,而無需授權(quán)�。
解釋:這樣做需要在一個用戶注冊的其間內(nèi)�,文件已經(jīng)被訪問過。
減小風(fēng)險的建議:限制管理員級和系統(tǒng)級的訪問控制���。
21.安全漏洞:缺省權(quán)限設(shè)置允許“所有人”可以對關(guān)鍵目錄具有“改變”級的訪問權(quán)�。
解釋:該安全漏洞所考慮的關(guān)鍵目錄包括:每個NTFS卷的根目錄���,System32目錄�,以及Win32App目錄。
減小風(fēng)險的建議:如果可行的話���,改變權(quán)限為“讀”�����。注意���,把權(quán)限改成“讀”會給系統(tǒng)帶來許多潛在的功能性問題�,因此�����,在實現(xiàn)之前�,一定要小心謹(jǐn)慎地進(jìn)行測試。
22.安全漏洞:打印操作員組中的任何一個成員對打印驅(qū)動程序具有系統(tǒng)級的訪問權(quán)�����。
解釋:黑客可以利用這個安全漏洞�����,用一個Trojan Horse程序替換任何一個打印驅(qū)動程序�,當(dāng)被執(zhí)行時�,它不需要任何特權(quán);或者在打印驅(qū)動程序中插入惡意病毒���,具有相同效果。
減小風(fēng)險的建議:在賦予打印操作員權(quán)限時���,要采取謹(jǐn)慎態(tài)度���。要限制人數(shù)。進(jìn)行系統(tǒng)完整性檢查���。適當(dāng)配置和調(diào)整審計���,并且定期檢查審計文件。
23.安全漏洞:通過FTP有可能進(jìn)行無授權(quán)的文件訪問.
解釋:FTP有一個設(shè)置選項���,允許按照客戶進(jìn)行身份驗證�,使其直接進(jìn)入一個帳戶�。這種直接訪問用戶目錄的FTP操作,具有潛在的危險�����,使無需授權(quán)而訪問用戶的文件和文件夾成為可能���。
減小風(fēng)險的建議:合理配置FTP�,確保服務(wù)器必須驗證所有FTP申請���。
24.安全漏洞:基于NT的文件訪問權(quán)限對于非NT文件系統(tǒng)不可讀�。
解釋:無論文件被移動或者復(fù)制到其它文件系統(tǒng)上,附于它們上的所有NT安全信息不再有效���。
減小風(fēng)險的建議:使用NTFS���。盡可能使用共享(Shares)的方式。
25.安全漏洞:Windows NT文件安全權(quán)限的錯誤設(shè)置有可能帶來潛在的危險�。
解釋:對文件設(shè)置“錯誤”的安全權(quán)限是很容易的,比如復(fù)制或者移動一個文件時���,權(quán)限設(shè)置將會改變。文件被復(fù)制到一個目錄�,它將會繼承該目錄的權(quán)限。移動一個文件時���,該文件保留原來的權(quán)限設(shè)置�,無論它被移動任何目錄下�����。
減小風(fēng)險的建議:經(jīng)常檢查文件的權(quán)限設(shè)置是否得當(dāng),尤其是在復(fù)制或者移動之后�����。
26.安全漏洞:標(biāo)準(zhǔn)的NTFS“讀”權(quán)限意味著同時具有“讀”和“執(zhí)行”���。
解釋:這個安全漏洞使文件被不正當(dāng)?shù)摹白x”和“執(zhí)行”成為可能�����。
減小風(fēng)險的建議:使用特殊權(quán)限設(shè)置���。
27.安全漏洞:Windows NT總是不正確地執(zhí)行“刪除”權(quán)限。
解釋:這個安全漏洞使一個非授權(quán)用戶任意刪除對象成為可能�。
減小風(fēng)險的建議:定期制作和保存?zhèn)浞荨?
28.安全漏洞:缺省組的權(quán)利和能力總是不能被刪除,它們包括:Administrator組�����,服務(wù)器操作員組�����,打印操作員組�����,帳戶操作員組���。
解釋:當(dāng)刪除一個缺省組時,表面上���,系統(tǒng)已經(jīng)接受了刪除�。然而,當(dāng)再檢查時���,這些組并沒有被真正刪除�。有時�����,當(dāng)服務(wù)器重新啟動時�,這些缺省組被賦予回缺省的權(quán)利和能力�����。
減小風(fēng)險的建議:創(chuàng)建自己定制的組�,根據(jù)最小特權(quán)的原則,定制這些組的權(quán)利和能力���,以迎合業(yè)務(wù)的需要�。可能的話�����,創(chuàng)建一個新的Administrator組,使其具有特別的指定的權(quán)利和能力�����。
29.安全漏洞:NT的進(jìn)程定期處理機制有“Bug”�,這個安全漏洞可能造成某些服務(wù)的拒絕訪問。它允許非特權(quán)用戶運行某些特別程序�,導(dǎo)致NT系統(tǒng)崩潰或者掛起。
解釋:黑客可能利用這個“Bug”搞垮任意一臺服務(wù)器�。它使得非特權(quán)用戶具有這樣的能力,寫一些特別的代碼���,把他們自己的進(jìn)程的優(yōu)先級別設(shè)置為15�,超過了系統(tǒng)本身的優(yōu)先級別14�。這個安全漏洞迫使NT系統(tǒng)造成一種假象���,它認(rèn)為這個進(jìn)程需要大量的CPU時間�,以至它使用所有的處理能力���,來運行這個進(jìn)程�����,結(jié)果導(dǎo)致這個進(jìn)程進(jìn)入一個無限循環(huán)�,最終掛起NT機器。有兩個相關(guān)的程序���,它們具有這樣的掛起或者搞垮NT系統(tǒng)的能力。CPUHOG(http://www.ntinternals.com/cpuhog.htm)�����,一個只有5行的程序�����,它可以被執(zhí)行并且使一個NT系統(tǒng)掛起���,沒有一種方法可以殺掉這個程序�。NTCrash(http://www.ntinternals.com/crashme.htm)�,也是一個可使NT系統(tǒng)掛起的程序�,它把一些隨意的參數(shù)放入Win32K.SYS���,然后執(zhí)行隨機的系統(tǒng)調(diào)用���,最終使NT系統(tǒng)掛起�。
減小風(fēng)險的建議:制定并且執(zhí)行嚴(yán)格的規(guī)章制度���,限制管理員的操作程序���,明確禁止這樣的程序的非授權(quán)使用。據(jù)說Microsoft有一個Service Pack已經(jīng)能夠解決這個“Bug”�。趕快安裝最新的Service Pack。
30.安全漏洞:如果一個帳戶被設(shè)置成同時具有Guest組和另一組的成員資格�,那么Guest組的成員資格可能會失效�����,導(dǎo)致用戶Profiles和其它設(shè)置的意想不到的損失�。
解釋:用戶Profiles和設(shè)置的損失可能導(dǎo)致服務(wù)的中斷���。
減小風(fēng)險的建議:不要把用戶分到Guest組�����。
31.安全漏洞:“所有人”的缺省權(quán)利是���,可以創(chuàng)建公共GUI組���,不受最大數(shù)目的限制。
解釋:如果一個用戶創(chuàng)建的公共GUI組超過了最大數(shù)目256的話���,有可能導(dǎo)致系統(tǒng)性能的降低�,錯誤的消息�,或者系統(tǒng)崩潰。
減小風(fēng)險的建議:定期檢查審計文件�。
32.安全漏洞:事件管理器中Security Log的設(shè)置,允許記錄被覆寫���,否則它將導(dǎo)致服務(wù)器掛起���。
解釋:這樣做可能造成系統(tǒng)的闖入者不會被記錄�����。
減小風(fēng)險的建議:實現(xiàn)一個適當(dāng)?shù)膫浞莶僮鞒绦蚝筒呗�。選擇“Overwrite events greater than 7 days”選項�����。這個數(shù)字可以改�,并不是一個絕對的數(shù)字。當(dāng)達(dá)到條件設(shè)置時���,系統(tǒng)將會開始覆寫最老的事件���。
33.安全漏洞:審計文件是不完全的。
解釋:事實上�����,有很多遺漏的事件���,不會記錄在審計文件中�����,包括系統(tǒng)的重新裝入���,備份,恢復(fù)���,以及更改控制面板(Control Panel)���,這些都是一些關(guān)鍵的事件���。“System Log”是完全的�,但是���,它們看起來象是密文�,很難讀懂���。
減小風(fēng)險的建議:編輯Registry,打開對備份和恢復(fù)的審計���。定期檢查System Log�����,查看是否出現(xiàn)新類型的事件�。
34.安全漏洞:Security Log不是全部集成的。
解釋:由于你在跟蹤NT域上所有的系統(tǒng)活動�,以至很難確定NT域上到底發(fā)生了什么事情。當(dāng)一個事件ID最終被記錄到系統(tǒng)的某個地方���,很難把它們區(qū)分開來。
減小風(fēng)險的建議:實現(xiàn)第三方工具軟件�。Bindview,是一個不錯的審計工具,它可以檢查系統(tǒng)上究竟發(fā)生了什么事情���。E.L.M. Sentry ( http://www.ntsoftdist.com /ntsoftdist /sentry.htm)�,也是一個很好的審計工具�����,它可以過濾你從每個機器上抓來的事件���,并且把它們寫入一個中心審計文件里。
35.安全漏洞:屏幕保護(hù)器有“Bug”���,它允許非授權(quán)用戶訪問閑置終端���。
解釋:這個“Bug”允許你繞過屏幕保護(hù)器而獲得訪問權(quán),甚至不必輸入你的ID和口令。
減小風(fēng)險的建議:據(jù)說最近的Service Pack已經(jīng)解決了這個問題�。趕快安裝最新的Service Pack。
36.安全漏洞:任何用戶可以通過命令行方式���,遠(yuǎn)程查詢?nèi)魏我慌_NT服務(wù)器上的已注冊的用戶名。
解釋:這個安全漏洞意味著一個十分嚴(yán)重的風(fēng)險���,如果它涉及到特權(quán)帳戶的話�����。
減小風(fēng)險的建議:關(guān)閉遠(yuǎn)程管理員級的訪問���。定期檢查審計文件和系統(tǒng)審計文件�����。
37.安全漏洞:使用SATAN掃描可使Windows NT平臺崩潰�����。另外�����,使用SafeSuite的Internet Scanner同樣可使NT平臺崩潰���。
解釋:這個安全漏洞迫使服務(wù)的拒絕訪問。
減小風(fēng)險的建議:避免或者限制對網(wǎng)絡(luò)上NT平臺的SATAN掃描使用���,以及Internet Scanner的使用。據(jù)說最近的Service Pack已經(jīng)解決了這個問題�。趕快安裝最新的Service Pack。
38.安全漏洞:有一個程序�,Red Button,允許任何人遠(yuǎn)程訪問NT服務(wù)器���,它是通過使用端口137, 138和139來連接遠(yuǎn)端機器實現(xiàn)的�����。你可以讀取Registry�����,創(chuàng)建新的共享資源�����,等等���。
解釋:這個程序不需要任何用戶名或者口令,可以進(jìn)行遠(yuǎn)程登錄�����。它可判斷當(dāng)前系統(tǒng)缺省Administrator帳戶的名字�,讀取多個Registry記錄�����,并能夠列出所有共享資源�����,甚至包括隱含的共享資源�����。
減小風(fēng)險的建議:在防火墻上���,截止所有從端口137到139的TCP和UDP連�����,這樣做有助于對遠(yuǎn)程連接的控制�。另外,在內(nèi)部路由器上�,設(shè)置ACL,在各個獨立子網(wǎng)之間�,截止從端口137到139的連接。這是一種輔助措施�����,以限制該安全漏洞。除了更改系統(tǒng)缺省的Administrator帳戶的名字外�����,把它放在一邊�,關(guān)閉它。然后�����,創(chuàng)建一個新的系統(tǒng)管理員帳戶。Microsoft已經(jīng)認(rèn)識到這個Bug�����。Service Pack 3解決了這個安全Bug�����。趕快安裝Service Pack 3�。
39.安全漏洞:用Ping命令可能使一臺NT機器自殺身亡。
解釋:NT對較大的ICMP包是很脆弱的���。如果發(fā)一條Ping命令�,指定包的大小為64K�����,NT的TCP/IP棧將不會正常工作。它可使系統(tǒng)離線工作�,直至重新啟動,結(jié)果造成某些服務(wù)的拒絕訪問�。下面的命令可以作為例子用于測試這個安全漏洞:ping -l 65524 host.domain.com。注意:UNIX同樣具有這個安全漏洞�。
減小風(fēng)險的建議:最新的Service Pack已經(jīng)糾正了這個問題,它限制了Ping包的大小�。趕快安裝Service Pack3。
40.安全漏洞:NT機器允許在安裝時輸入空白口令���。
解釋:很明顯,這將是一個潛在的安全問題���。
減小風(fēng)險的建議:使用最小口令長度選項�����,并且�����,關(guān)閉“Permit Blank Passwords”選項,以阻止空白口令的發(fā)生���。
41.安全漏洞:作為一個TCP連接的一部分���,向Windows NT機器發(fā)送out-of-band數(shù)據(jù),可使服務(wù)拒絕訪問的攻擊成為可能�。這個安全漏洞同樣適用于Windows 95���。在Internet上,利用這個安全漏洞而寫的代碼有很多�。
解釋:這種攻擊可造成NT系統(tǒng)和Windows 95系統(tǒng)的崩潰。未存盤的數(shù)據(jù)丟失�。Microsoft的Service Pack 3 for NT4.0已經(jīng)糾正了一部分問題,UNIX和Windows平臺上的問題�,對于Macintosh平臺,它還沒有解決�����。
減小風(fēng)險的建議:Microsoft的Service Pack 3 for NT 4.0已經(jīng)糾正了一部分問題���,UNIX和Windows平臺上的問題,對于Macintosh平臺�����,它還沒有解決�����。在安裝Microsoft的補包之前�����,一定要安裝正確的Service Pack,因為���,如果你不這樣做的話���,你的系統(tǒng)很有可能不能引導(dǎo)。請查看Microsoft的站點,
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa以確認(rèn)不同的NT版本需要什么樣的Service Pack���。
最佳的解決方案是,建設(shè)一個強壯的防火墻,精心地配置它���,只授權(quán)給可信賴的主機能通過防火墻�����。正象以上針對大多數(shù)安全漏洞的解決建議一樣���,在防火墻上�����,截止所有從端口137到139的TCP和UDP連接���,這樣做有助于對遠(yuǎn)程連接的控制���。另外,在內(nèi)部路由器上���,設(shè)置ACL�����,在各個獨立子網(wǎng)之間���,截止從端口137到139的連接�。這是一種輔助措施,以限制該安全漏洞�����。值得注意的是�����,有些黑客程序可以具有選擇端口號的能力,它可能成功地攻擊其它端口�����。
與瀏覽器和NT機器有關(guān)的安全漏洞
1.安全漏洞:Internet Explorer在指定的情況下�����,隨意地向Internet上發(fā)送用戶的名字和口令�����。這種對身份驗證的自動反應(yīng)和發(fā)送對用戶來說�,是完全透明的�。
解釋:當(dāng)與一個兼容的Web服務(wù)器(比如Microsoft的IIS服務(wù)器)時,NT平臺上的Internet Explorer將會對SMB協(xié)議自動反應(yīng)���,發(fā)送用戶的名字和加密的口令�����,用戶根本不知道什么事情發(fā)生���。
減小風(fēng)險的建議:趕快安裝Microsoft的最新補包,據(jù)說已經(jīng)解決了這個問題���。
2.安全漏洞:NT和Windows 95機器上的所有瀏覽器�����,都有一個相似的弱點���,對于一個HTML頁上的超級鏈接,瀏覽器都首先假設(shè)該鏈接是指向本地機器上的一個文件�。如果這臺機器是一個SMB服務(wù)器,它將隨意發(fā)送用戶的名字和口令�。這種對身份驗證的自動反應(yīng)和發(fā)送對用戶來說,是完全透明的�。
解釋:如果一個HTML頁有這樣一個鏈接,如:
file://IP-address.path-and-filename
嵌入在HTML代碼之中�,瀏覽器將假設(shè)該鏈接是指向本地機器上的一個文件,然后自動地試圖連接上該鏈接�����。如果這臺機器是一個SMB服務(wù)器�,本地機器將試圖進(jìn)行身份驗證。它將隨意發(fā)送用戶的名字和口令�����。這種對身份驗證的自動反應(yīng)和發(fā)送對用戶來說���,是完全透明的。用戶根本不知道什么事情發(fā)生�。
減小風(fēng)險的建議:由于這種反應(yīng)過程只發(fā)生在TCP和UDP端口135至142上,建議在防火墻上�,截止所有這些端口。另外�����,在內(nèi)部路由器上���,設(shè)置ACL�,在各個獨立子網(wǎng)之間�����,截止從端口135到142的連接���。這是一種輔助措施�����,以限制該安全漏洞�。
注意:對于以上兩個瀏覽器問題�����,如果SMB服務(wù)器聲明�����,它無法處理加密過程�����,本地的瀏覽器將會彈出一個窗口�,詢問用戶名和口令。
|
