|
NT安全漏洞及其解決建議(2)
19.安全漏洞:通過訪問其它的并存操作系統,有可能繞過NTFS的安全設置。
解釋:已經有很多工具,用來訪問基于Intel系統上的NTFS格式的硬盤驅動器,而不需要任何授權,就允許你操縱NT的各種安全配置。這些工具有,
DOS/Widnows的NTFS文件系統重定向器(NTFS File System Redirector for DOS/Windows),SAMBA,或者,Linux NTFS Reader。這種情況只有一種可能,那就是物理上能訪問機器。
減小風險的建議:使用專門的分區。限制administrator組和備份操作員組。制定規章制度限制管理員的操作程序,禁止這樣的訪問,或者明確授權給指定的幾個系統管理員。可以考慮采用第三方預引導身份驗證機制。
20.安全漏洞:文件句柄可能從內存中被讀取到,然后用來訪問文件,而無需授權。
解釋:這樣做需要在一個用戶注冊的其間內,文件已經被訪問過。
減小風險的建議:限制管理員級和系統級的訪問控制。
21.安全漏洞:缺省權限設置允許“所有人”可以對關鍵目錄具有“改變”級的訪問權。
解釋:該安全漏洞所考慮的關鍵目錄包括:每個NTFS卷的根目錄,System32目錄,以及Win32App目錄。
減小風險的建議:如果可行的話,改變權限為“讀”。注意,把權限改成“讀”會給系統帶來許多潛在的功能性問題,因此,在實現之前,一定要小心謹慎地進行測試。
22.安全漏洞:打印操作員組中的任何一個成員對打印驅動程序具有系統級的訪問權。
解釋:黑客可以利用這個安全漏洞,用一個Trojan Horse程序替換任何一個打印驅動程序,當被執行時,它不需要任何特權;或者在打印驅動程序中插入惡意病毒,具有相同效果。
減小風險的建議:在賦予打印操作員權限時,要采取謹慎態度。要限制人數。進行系統完整性檢查。適當配置和調整審計,并且定期檢查審計文件。
23.安全漏洞:通過FTP有可能進行無授權的文件訪問.
解釋:FTP有一個設置選項,允許按照客戶進行身份驗證,使其直接進入一個帳戶。這種直接訪問用戶目錄的FTP操作,具有潛在的危險,使無需授權而訪問用戶的文件和文件夾成為可能。
減小風險的建議:合理配置FTP,確保服務器必須驗證所有FTP申請。
24.安全漏洞:基于NT的文件訪問權限對于非NT文件系統不可讀。
解釋:無論文件被移動或者復制到其它文件系統上,附于它們上的所有NT安全信息不再有效。
減小風險的建議:使用NTFS。盡可能使用共享(Shares)的方式。
25.安全漏洞:Windows NT文件安全權限的錯誤設置有可能帶來潛在的危險。
解釋:對文件設置“錯誤”的安全權限是很容易的,比如復制或者移動一個文件時,權限設置將會改變。文件被復制到一個目錄,它將會繼承該目錄的權限。移動一個文件時,該文件保留原來的權限設置,無論它被移動任何目錄下。
減小風險的建議:經常檢查文件的權限設置是否得當,尤其是在復制或者移動之后。
26.安全漏洞:標準的NTFS“讀”權限意味著同時具有“讀”和“執行”。
解釋:這個安全漏洞使文件被不正當的“讀”和“執行”成為可能。
減小風險的建議:使用特殊權限設置。
27.安全漏洞:Windows NT總是不正確地執行“刪除”權限。
解釋:這個安全漏洞使一個非授權用戶任意刪除對象成為可能。
減小風險的建議:定期制作和保存備份。
28.安全漏洞:缺省組的權利和能力總是不能被刪除,它們包括:Administrator組,服務器操作員組,打印操作員組,帳戶操作員組。
解釋:當刪除一個缺省組時,表面上,系統已經接受了刪除。然而,當再檢查時,這些組并沒有被真正刪除。有時,當服務器重新啟動時,這些缺省組被賦予回缺省的權利和能力。
減小風險的建議:創建自己定制的組,根據最小特權的原則,定制這些組的權利和能力,以迎合業務的需要。可能的話,創建一個新的Administrator組,使其具有特別的指定的權利和能力。
29.安全漏洞:NT的進程定期處理機制有“Bug”,這個安全漏洞可能造成某些服務的拒絕訪問。它允許非特權用戶運行某些特別程序,導致NT系統崩潰或者掛起。
解釋:黑客可能利用這個“Bug”搞垮任意一臺服務器。它使得非特權用戶具有這樣的能力,寫一些特別的代碼,把他們自己的進程的優先級別設置為15,超過了系統本身的優先級別14。這個安全漏洞迫使NT系統造成一種假象,它認為這個進程需要大量的CPU時間,以至它使用所有的處理能力,來運行這個進程,結果導致這個進程進入一個無限循環,最終掛起NT機器。有兩個相關的程序,它們具有這樣的掛起或者搞垮NT系統的能力。CPUHOG(http://www.ntinternals.com/cpuhog.htm),一個只有5行的程序,它可以被執行并且使一個NT系統掛起,沒有一種方法可以殺掉這個程序。NTCrash(http://www.ntinternals.com/crashme.htm),也是一個可使NT系統掛起的程序,它把一些隨意的參數放入Win32K.SYS,然后執行隨機的系統調用,最終使NT系統掛起。
減小風險的建議:制定并且執行嚴格的規章制度,限制管理員的操作程序,明確禁止這樣的程序的非授權使用。據說Microsoft有一個Service Pack已經能夠解決這個“Bug”。趕快安裝最新的Service Pack。
30.安全漏洞:如果一個帳戶被設置成同時具有Guest組和另一組的成員資格,那么Guest組的成員資格可能會失效,導致用戶Profiles和其它設置的意想不到的損失。
解釋:用戶Profiles和設置的損失可能導致服務的中斷。
減小風險的建議:不要把用戶分到Guest組。
31.安全漏洞:“所有人”的缺省權利是,可以創建公共GUI組,不受最大數目的限制。
解釋:如果一個用戶創建的公共GUI組超過了最大數目256的話,有可能導致系統性能的降低,錯誤的消息,或者系統崩潰。
減小風險的建議:定期檢查審計文件。
32.安全漏洞:事件管理器中Security Log的設置,允許記錄被覆寫,否則它將導致服務器掛起。
解釋:這樣做可能造成系統的闖入者不會被記錄。
減小風險的建議:實現一個適當的備份操作程序和策略。選擇“Overwrite events greater than 7 days”選項。這個數字可以改,并不是一個絕對的數字。當達到條件設置時,系統將會開始覆寫最老的事件。
33.安全漏洞:審計文件是不完全的。
解釋:事實上,有很多遺漏的事件,不會記錄在審計文件中,包括系統的重新裝入,備份,恢復,以及更改控制面板(Control Panel),這些都是一些關鍵的事件。“System Log”是完全的,但是,它們看起來象是密文,很難讀懂。
減小風險的建議:編輯Registry,打開對備份和恢復的審計。定期檢查System Log,查看是否出現新類型的事件。
34.安全漏洞:Security Log不是全部集成的。
解釋:由于你在跟蹤NT域上所有的系統活動,以至很難確定NT域上到底發生了什么事情。當一個事件ID最終被記錄到系統的某個地方,很難把它們區分開來。
減小風險的建議:實現第三方工具軟件。Bindview,是一個不錯的審計工具,它可以檢查系統上究竟發生了什么事情。E.L.M. Sentry ( http://www.ntsoftdist.com /ntsoftdist /sentry.htm),也是一個很好的審計工具,它可以過濾你從每個機器上抓來的事件,并且把它們寫入一個中心審計文件里。
35.安全漏洞:屏幕保護器有“Bug”,它允許非授權用戶訪問閑置終端。
解釋:這個“Bug”允許你繞過屏幕保護器而獲得訪問權,甚至不必輸入你的ID和口令。
減小風險的建議:據說最近的Service Pack已經解決了這個問題。趕快安裝最新的Service Pack。
36.安全漏洞:任何用戶可以通過命令行方式,遠程查詢任何一臺NT服務器上的已注冊的用戶名。
解釋:這個安全漏洞意味著一個十分嚴重的風險,如果它涉及到特權帳戶的話。
減小風險的建議:關閉遠程管理員級的訪問。定期檢查審計文件和系統審計文件。
37.安全漏洞:使用SATAN掃描可使Windows NT平臺崩潰。另外,使用SafeSuite的Internet Scanner同樣可使NT平臺崩潰。
解釋:這個安全漏洞迫使服務的拒絕訪問。
減小風險的建議:避免或者限制對網絡上NT平臺的SATAN掃描使用,以及Internet Scanner的使用。據說最近的Service Pack已經解決了這個問題。趕快安裝最新的Service Pack。
38.安全漏洞:有一個程序,Red Button,允許任何人遠程訪問NT服務器,它是通過使用端口137, 138和139來連接遠端機器實現的。你可以讀取Registry,創建新的共享資源,等等。
解釋:這個程序不需要任何用戶名或者口令,可以進行遠程登錄。它可判斷當前系統缺省Administrator帳戶的名字,讀取多個Registry記錄,并能夠列出所有共享資源,甚至包括隱含的共享資源。
減小風險的建議:在防火墻上,截止所有從端口137到139的TCP和UDP連,這樣做有助于對遠程連接的控制。另外,在內部路由器上,設置ACL,在各個獨立子網之間,截止從端口137到139的連接。這是一種輔助措施,以限制該安全漏洞。除了更改系統缺省的Administrator帳戶的名字外,把它放在一邊,關閉它。然后,創建一個新的系統管理員帳戶。Microsoft已經認識到這個Bug。Service Pack 3解決了這個安全Bug。趕快安裝Service Pack 3。
39.安全漏洞:用Ping命令可能使一臺NT機器自殺身亡。
解釋:NT對較大的ICMP包是很脆弱的。如果發一條Ping命令,指定包的大小為64K,NT的TCP/IP棧將不會正常工作。它可使系統離線工作,直至重新啟動,結果造成某些服務的拒絕訪問。下面的命令可以作為例子用于測試這個安全漏洞:ping -l 65524 host.domain.com。注意:UNIX同樣具有這個安全漏洞。
減小風險的建議:最新的Service Pack已經糾正了這個問題,它限制了Ping包的大小。趕快安裝Service Pack3。
40.安全漏洞:NT機器允許在安裝時輸入空白口令。
解釋:很明顯,這將是一個潛在的安全問題。
減小風險的建議:使用最小口令長度選項,并且,關閉“Permit Blank Passwords”選項,以阻止空白口令的發生。
41.安全漏洞:作為一個TCP連接的一部分,向Windows NT機器發送out-of-band數據,可使服務拒絕訪問的攻擊成為可能。這個安全漏洞同樣適用于Windows 95。在Internet上,利用這個安全漏洞而寫的代碼有很多。
解釋:這種攻擊可造成NT系統和Windows 95系統的崩潰。未存盤的數據丟失。Microsoft的Service Pack 3 for NT4.0已經糾正了一部分問題,UNIX和Windows平臺上的問題,對于Macintosh平臺,它還沒有解決。
減小風險的建議:Microsoft的Service Pack 3 for NT 4.0已經糾正了一部分問題,UNIX和Windows平臺上的問題,對于Macintosh平臺,它還沒有解決。在安裝Microsoft的補包之前,一定要安裝正確的Service Pack,因為,如果你不這樣做的話,你的系統很有可能不能引導。請查看Microsoft的站點,
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa以確認不同的NT版本需要什么樣的Service Pack。
最佳的解決方案是,建設一個強壯的防火墻,精心地配置它,只授權給可信賴的主機能通過防火墻。正象以上針對大多數安全漏洞的解決建議一樣,在防火墻上,截止所有從端口137到139的TCP和UDP連接,這樣做有助于對遠程連接的控制。另外,在內部路由器上,設置ACL,在各個獨立子網之間,截止從端口137到139的連接。這是一種輔助措施,以限制該安全漏洞。值得注意的是,有些黑客程序可以具有選擇端口號的能力,它可能成功地攻擊其它端口。
與瀏覽器和NT機器有關的安全漏洞
1.安全漏洞:Internet Explorer在指定的情況下,隨意地向Internet上發送用戶的名字和口令。這種對身份驗證的自動反應和發送對用戶來說,是完全透明的。
解釋:當與一個兼容的Web服務器(比如Microsoft的IIS服務器)時,NT平臺上的Internet Explorer將會對SMB協議自動反應,發送用戶的名字和加密的口令,用戶根本不知道什么事情發生。
減小風險的建議:趕快安裝Microsoft的最新補包,據說已經解決了這個問題。
2.安全漏洞:NT和Windows 95機器上的所有瀏覽器,都有一個相似的弱點,對于一個HTML頁上的超級鏈接,瀏覽器都首先假設該鏈接是指向本地機器上的一個文件。如果這臺機器是一個SMB服務器,它將隨意發送用戶的名字和口令。這種對身份驗證的自動反應和發送對用戶來說,是完全透明的。
解釋:如果一個HTML頁有這樣一個鏈接,如:
file://IP-address.path-and-filename
嵌入在HTML代碼之中,瀏覽器將假設該鏈接是指向本地機器上的一個文件,然后自動地試圖連接上該鏈接。如果這臺機器是一個SMB服務器,本地機器將試圖進行身份驗證。它將隨意發送用戶的名字和口令。這種對身份驗證的自動反應和發送對用戶來說,是完全透明的。用戶根本不知道什么事情發生。
減小風險的建議:由于這種反應過程只發生在TCP和UDP端口135至142上,建議在防火墻上,截止所有這些端口。另外,在內部路由器上,設置ACL,在各個獨立子網之間,截止從端口135到142的連接。這是一種輔助措施,以限制該安全漏洞。
注意:對于以上兩個瀏覽器問題,如果SMB服務器聲明,它無法處理加密過程,本地的瀏覽器將會彈出一個窗口,詢問用戶名和口令。
|
