|
NT安全漏洞及其解决建议(2)
19.安全漏洞:通过访问其它的并存操作系统,有可能绕过NTFS的安全设置。
解释:已经有很多工具,用来访问基于Intel系统上的NTFS格式的硬盘驱动器,而不需要任何授权,就允许你操纵NT的各种安全配置。这些工具有,
DOS/Widnows的NTFS文件系统重定向器(NTFS File System Redirector for DOS/Windows),SAMBA,或者,Linux NTFS Reader。这种情况只有一种可能,那就是物理上能访问机器。
减小风险的建议:使用专门的分区。限制administrator组和备份操作员组。制定规章制度限制管理员的操作程序,禁止这样的访问,或者明确授权给指定的几个系统管理员。可以考虑采用第三方预引导身份验证机制。
20.安全漏洞:文件句柄可能从内存中被读取到,然后用来访问文件,而无需授权。
解释:这样做需要在一个用户注册的其间内,文件已经被访问过。
减小风险的建议:限制管理员级和系统级的访问控制。
21.安全漏洞:缺省权限设置允许“所有人”可以对关键目录具有“改变”级的访问权。
解释:该安全漏洞所考虑的关键目录包括:每个NTFS卷的根目录,System32目录,以及Win32App目录。
减小风险的建议:如果可行的话,改变权限为“读”。注意,把权限改成“读”会给系统带来许多潜在的功能性问题,因此,在实现之前,一定要小心谨慎地进行测试。
22.安全漏洞:打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。
解释:黑客可以利用这个安全漏洞,用一个Trojan Horse程序替换任何一个打印驱动程序,当被执行时,它不需要任何特权;或者在打印驱动程序中插入恶意病毒,具有相同效果。
减小风险的建议:在赋予打印操作员权限时,要采取谨慎态度。要限制人数。进行系统完整性检查。适当配置和调整审计,并且定期检查审计文件。
23.安全漏洞:通过FTP有可能进行无授权的文件访问.
解释:FTP有一个设置选项,允许按照客户进行身份验证,使其直接进入一个帐户。这种直接访问用户目录的FTP操作,具有潜在的危险,使无需授权而访问用户的文件和文件夹成为可能。
减小风险的建议:合理配置FTP,确保服务器必须验证所有FTP申请。
24.安全漏洞:基于NT的文件访问权限对于非NT文件系统不可读。
解释:无论文件被移动或者复制到其它文件系统上,附于它们上的所有NT安全信息不再有效。
减小风险的建议:使用NTFS。尽可能使用共享(Shares)的方式。
25.安全漏洞:Windows NT文件安全权限的错误设置有可能带来潜在的危险。
解释:对文件设置“错误”的安全权限是很容易的,比如复制或者移动一个文件时,权限设置将会改变。文件被复制到一个目录,它将会继承该目录的权限。移动一个文件时,该文件保留原来的权限设置,无论它被移动任何目录下。
减小风险的建议:经常检查文件的权限设置是否得当,尤其是在复制或者移动之后。
26.安全漏洞:标准的NTFS“读”权限意味着同时具有“读”和“执行”。
解释:这个安全漏洞使文件被不正当的“读”和“执行”成为可能。
减小风险的建议:使用特殊权限设置。
27.安全漏洞:Windows NT总是不正确地执行“删除”权限。
解释:这个安全漏洞使一个非授权用户任意删除对象成为可能。
减小风险的建议:定期制作和保存备份。
28.安全漏洞:缺省组的权利和能力总是不能被删除,它们包括:Administrator组,服务器操作员组,打印操作员组,帐户操作员组。
解释:当删除一个缺省组时,表面上,系统已经接受了删除。然而,当再检查时,这些组并没有被真正删除。有时,当服务器重新启动时,这些缺省组被赋予回缺省的权利和能力。
减小风险的建议:创建自己定制的组,根据最小特权的原则,定制这些组的权利和能力,以迎合业务的需要。可能的话,创建一个新的Administrator组,使其具有特别的指定的权利和能力。
29.安全漏洞:NT的进程定期处理机制有“Bug”,这个安全漏洞可能造成某些服务的拒绝访问。它允许非特权用户运行某些特别程序,导致NT系统崩溃或者挂起。
解释:黑客可能利用这个“Bug”搞垮任意一台服务器。它使得非特权用户具有这样的能力,写一些特别的代码,把他们自己的进程的优先级别设置为15,超过了系统本身的优先级别14。这个安全漏洞迫使NT系统造成一种假象,它认为这个进程需要大量的CPU时间,以至它使用所有的处理能力,来运行这个进程,结果导致这个进程进入一个无限循环,最终挂起NT机器。有两个相关的程序,它们具有这样的挂起或者搞垮NT系统的能力。CPUHOG(http://www.ntinternals.com/cpuhog.htm),一个只有5行的程序,它可以被执行并且使一个NT系统挂起,没有一种方法可以杀掉这个程序。NTCrash(http://www.ntinternals.com/crashme.htm),也是一个可使NT系统挂起的程序,它把一些随意的参数放入Win32K.SYS,然后执行随机的系统调用,最终使NT系统挂起。
减小风险的建议:制定并且执行严格的规章制度,限制管理员的操作程序,明确禁止这样的程序的非授权使用。据说Microsoft有一个Service Pack已经能够解决这个“Bug”。赶快安装最新的Service Pack。
30.安全漏洞:如果一个帐户被设置成同时具有Guest组和另一组的成员资格,那么Guest组的成员资格可能会失效,导致用户Profiles和其它设置的意想不到的损失。
解释:用户Profiles和设置的损失可能导致服务的中断。
减小风险的建议:不要把用户分到Guest组。
31.安全漏洞:“所有人”的缺省权利是,可以创建公共GUI组,不受最大数目的限制。
解释:如果一个用户创建的公共GUI组超过了最大数目256的话,有可能导致系统性能的降低,错误的消息,或者系统崩溃。
减小风险的建议:定期检查审计文件。
32.安全漏洞:事件管理器中Security Log的设置,允许记录被覆写,否则它将导致服务器挂起。
解释:这样做可能造成系统的闯入者不会被记录。
减小风险的建议:实现一个适当的备份操作程序和策略。选择“Overwrite events greater than 7 days”选项。这个数字可以改,并不是一个绝对的数字。当达到条件设置时,系统将会开始覆写最老的事件。
33.安全漏洞:审计文件是不完全的。
解释:事实上,有很多遗漏的事件,不会记录在审计文件中,包括系统的重新装入,备份,恢复,以及更改控制面板(Control Panel),这些都是一些关键的事件。“System Log”是完全的,但是,它们看起来象是密文,很难读懂。
减小风险的建议:编辑Registry,打开对备份和恢复的审计。定期检查System Log,查看是否出现新类型的事件。
34.安全漏洞:Security Log不是全部集成的。
解释:由于你在跟踪NT域上所有的系统活动,以至很难确定NT域上到底发生了什么事情。当一个事件ID最终被记录到系统的某个地方,很难把它们区分开来。
减小风险的建议:实现第三方工具软件。Bindview,是一个不错的审计工具,它可以检查系统上究竟发生了什么事情。E.L.M. Sentry ( http://www.ntsoftdist.com /ntsoftdist /sentry.htm),也是一个很好的审计工具,它可以过滤你从每个机器上抓来的事件,并且把它们写入一个中心审计文件里。
35.安全漏洞:屏幕保护器有“Bug”,它允许非授权用户访问闲置终端。
解释:这个“Bug”允许你绕过屏幕保护器而获得访问权,甚至不必输入你的ID和口令。
减小风险的建议:据说最近的Service Pack已经解决了这个问题。赶快安装最新的Service Pack。
36.安全漏洞:任何用户可以通过命令行方式,远程查询任何一台NT服务器上的已注册的用户名。
解释:这个安全漏洞意味着一个十分严重的风险,如果它涉及到特权帐户的话。
减小风险的建议:关闭远程管理员级的访问。定期检查审计文件和系统审计文件。
37.安全漏洞:使用SATAN扫描可使Windows NT平台崩溃。另外,使用SafeSuite的Internet Scanner同样可使NT平台崩溃。
解释:这个安全漏洞迫使服务的拒绝访问。
减小风险的建议:避免或者限制对网络上NT平台的SATAN扫描使用,以及Internet Scanner的使用。据说最近的Service Pack已经解决了这个问题。赶快安装最新的Service Pack。
38.安全漏洞:有一个程序,Red Button,允许任何人远程访问NT服务器,它是通过使用端口137, 138和139来连接远端机器实现的。你可以读取Registry,创建新的共享资源,等等。
解释:这个程序不需要任何用户名或者口令,可以进行远程登录。它可判断当前系统缺省Administrator帐户的名字,读取多个Registry记录,并能够列出所有共享资源,甚至包括隐含的共享资源。
减小风险的建议:在防火墙上,截止所有从端口137到139的TCP和UDP连,这样做有助于对远程连接的控制。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口137到139的连接。这是一种辅助措施,以限制该安全漏洞。除了更改系统缺省的Administrator帐户的名字外,把它放在一边,关闭它。然后,创建一个新的系统管理员帐户。Microsoft已经认识到这个Bug。Service Pack 3解决了这个安全Bug。赶快安装Service Pack 3。
39.安全漏洞:用Ping命令可能使一台NT机器自杀身亡。
解释:NT对较大的ICMP包是很脆弱的。如果发一条Ping命令,指定包的大小为64K,NT的TCP/IP栈将不会正常工作。它可使系统离线工作,直至重新启动,结果造成某些服务的拒绝访问。下面的命令可以作为例子用于测试这个安全漏洞:ping -l 65524 host.domain.com。注意:UNIX同样具有这个安全漏洞。
减小风险的建议:最新的Service Pack已经纠正了这个问题,它限制了Ping包的大小。赶快安装Service Pack3。
40.安全漏洞:NT机器允许在安装时输入空白口令。
解释:很明显,这将是一个潜在的安全问题。
减小风险的建议:使用最小口令长度选项,并且,关闭“Permit Blank Passwords”选项,以阻止空白口令的发生。
41.安全漏洞:作为一个TCP连接的一部分,向Windows NT机器发送out-of-band数据,可使服务拒绝访问的攻击成为可能。这个安全漏洞同样适用于Windows 95。在Internet上,利用这个安全漏洞而写的代码有很多。
解释:这种攻击可造成NT系统和Windows 95系统的崩溃。未存盘的数据丢失。Microsoft的Service Pack 3 for NT4.0已经纠正了一部分问题,UNIX和Windows平台上的问题,对于Macintosh平台,它还没有解决。
减小风险的建议:Microsoft的Service Pack 3 for NT 4.0已经纠正了一部分问题,UNIX和Windows平台上的问题,对于Macintosh平台,它还没有解决。在安装Microsoft的补包之前,一定要安装正确的Service Pack,因为,如果你不这样做的话,你的系统很有可能不能引导。请查看Microsoft的站点,
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa以确认不同的NT版本需要什么样的Service Pack。
最佳的解决方案是,建设一个强壮的防火墙,精心地配置它,只授权给可信赖的主机能通过防火墙。正象以上针对大多数安全漏洞的解决建议一样,在防火墙上,截止所有从端口137到139的TCP和UDP连接,这样做有助于对远程连接的控制。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口137到139的连接。这是一种辅助措施,以限制该安全漏洞。值得注意的是,有些黑客程序可以具有选择端口号的能力,它可能成功地攻击其它端口。
与浏览器和NT机器有关的安全漏洞
1.安全漏洞:Internet Explorer在指定的情况下,随意地向Internet上发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说,是完全透明的。
解释:当与一个兼容的Web服务器(比如Microsoft的IIS服务器)时,NT平台上的Internet Explorer将会对SMB协议自动反应,发送用户的名字和加密的口令,用户根本不知道什么事情发生。
减小风险的建议:赶快安装Microsoft的最新补包,据说已经解决了这个问题。
2.安全漏洞:NT和Windows 95机器上的所有浏览器,都有一个相似的弱点,对于一个HTML页上的超级链接,浏览器都首先假设该链接是指向本地机器上的一个文件。如果这台机器是一个SMB服务器,它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说,是完全透明的。
解释:如果一个HTML页有这样一个链接,如:
file://IP-address.path-and-filename
嵌入在HTML代码之中,浏览器将假设该链接是指向本地机器上的一个文件,然后自动地试图连接上该链接。如果这台机器是一个SMB服务器,本地机器将试图进行身份验证。它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说,是完全透明的。用户根本不知道什么事情发生。
减小风险的建议:由于这种反应过程只发生在TCP和UDP端口135至142上,建议在防火墙上,截止所有这些端口。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口135到142的连接。这是一种辅助措施,以限制该安全漏洞。
注意:对于以上两个浏览器问题,如果SMB服务器声明,它无法处理加密过程,本地的浏览器将会弹出一个窗口,询问用户名和口令。
|
