1. 安全漏洞:安全帐户管理(SAM)数据库可以由以下用户被复制:Administrator帐户,Administrator组中的所有成员,备份操作员,服务器操作员,以及所有具有备份特权的人员。
解释:SAM数据库的一个备份拷贝能够被某些工具所利用,来破解口令。NT在对用户进行身份验证时,只能达到加密RSA的水平。在这种情况下,甚至没有必要使用工具来猜测那些明文口令。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。实际上,PWDump的作者还有另一个软件包,PWAudit,它可以跟踪由PWDump获取到的任何东西的内容。
减小风险的建议:严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪,尤其是Administrator帐户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改进行审计,并且设置发送一个警告给Administrator,告知有事件发生。切记要改变缺省权限设置来预防这个漏洞。
改变Administrator帐户的名字,显然可以防止黑客对缺省命名的帐户进行攻击。这个措施可以解决一系列的安全漏洞。为系统管理员和备份操作员创建特殊帐户。系统管理员在进行特殊任务时必须用这个特殊帐户注册,然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。
采用口令过滤器来检测和减少易猜测的口令,例如,PASSPROP(Windows NT Resource Kit提供),ScanNT(一个商业口令检测工具软件包)。使用加强的口令不易被猜测。Service Pack 3可以加强NT口令,一个加强的口令必须包含大小写字母,数字,以及特殊字符。使用二级身份验证机制,比如令牌卡(Token Card),可提供更强壮的安全解决方案,它比较昂贵。
2.安全漏洞:特洛伊木马(Trojan Horses)和病毒,可能依靠缺省权利作SAM的备份,获取访问SAM中的口令信息,或者通过访问紧急修复盘ERD的更新盘。
解释:特洛伊木马(Trojan Horses)和病毒,可以由以下各组中的任何成员在用缺省权限作备份时执行(缺省地,它们包括:Administrator管理员,Administrator组成员,备份操作员,服务器操作员,以及具有备份特权的任何人),或者在访问ERD更新盘时执行(缺省地,包括任何人)。例如,如果一个用户是Administrator组的成员,当他在系统上工作时,特洛伊木马可能做出任何事情。
减小风险的建议:所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。
3.安全漏洞:能够物理上访问Windows NT机器的任何人,可能利用某些工具程序来获得Administrator级别的访问权。
解释:Internet上有些工具程序,可以相对容易地获得Administrator特权(比如NTRecover,Winternal Software的NTLocksmith)。
减小风险的建议:改善保安措施。
4.安全漏洞:重新安装Widnows NT软件,可以获得Administrator级别的访问权。
解释:重新安装整个的操作系统,覆盖原来的系统,就可以获得Administrator特权。
减小风险的建议:改善保安措施。
5.安全漏洞:Widnows NT域中缺省的Guest帐户。
解释:如果Guest帐户是开放的,当用户登录失败的次数达到设置时,他可以获得NT工作站的Guest访问权,从而进入NT域。
减小风险的建议:据说NT第4版已经解决了这个问题,升级到第4版吧。关闭Guest帐户,并且给它一个难记的口令。
6.安全漏洞:某些系统程序的不适当使用,比如ftp.exe,rasdial.exe, telnet.exe。
解释:这些程序无疑给侵入者提供了进一步攻击的手段,如果他们发现了服务器上的安全漏洞,进而可以攻击整个网络。
减小风险的建议:删除掉不经常使用的系统程序。
7.安全漏洞:所有用户可能通过命令行方式,试图连接管理系统的共享资源。
解释:任何一个用户可以在命令行下,键入\\IPaddress\C$(或者\\IPaddress\D$,\\IPaddress\WINNT$)试图连接任意一个NT平台上管理系统的共享资源。
减小风险的建议:限制远程管理员访问NT平台。
8. 安全漏洞:由于没有定义尝试注册的失败次数,导致可以被无限制地尝试连接系统管理的共享资源。
解释:这样的系统设置相当危险,它无疑于授权给黑客们进行连续不断地连接尝试。
减小风险的建议:限制远程管理员访问NT平台。
9.安全漏洞:如果系统里只有一个Administrator帐户,当注册失败的次数达到设置时,该帐户也不可能被锁住。
解释:这种情况(系统里只有一个Administrator帐户)是NT的一个预先考虑过的特征,然而,它也成为一种风险。这种情况适用于NT域和NT工作站。
减小风险的建议:除了系统缺省创建的Administrator帐户,还应该创建至少一个具有管理员特权的帐户,并且,把缺省Administrator帐户改成另外一个名字。
10.安全漏洞:具有管理员特权的帐户在达到注册失败的次数时将被锁住,然而,30分钟后自动解锁。
解释:帐户策略(Accounts Policy)中的设置。
减小风险的建议:对于所有管理员帐户,应该使用难猜的口令。
11.安全漏洞:缺省地,Windows NT在注册对话框中显示最近一次注册的用户名。
解释:这是NT的一个预先考虑过的特征,然而,它也成为一种风险,给潜在的黑客提供了信息。
减小风险的建议:在域控制器上,修改Registry中Winlogon的设置,关闭这个功能。
|
|
12.安全漏洞:NT上的缺省Registry权限设置有很多不适当之处。
解释:Registry的缺省权限设置是对“所有人”“完全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。
减小风险的建议:对于Registry,严格限制只可进行本地注册,不可远程访问。在NT工作站上,限制对Registry编辑工具的访问。使用第三方工具软件,比如Enterprise Administrator (Mission Critical Software),锁住Registry。或者,至少应该实现的是,把“所有人”缺省的“完全控制”权利改成只能“创建”。实际上,如果把这种权利设置成“只读”,将会给系统带来许多潜在的功能性问题,因此,在实现之前,一定要小心谨慎地进行测试。NT 4.0引入了一个Registry Key用来关闭非管理员的远程Registry访问。在NT服务器上,这是一个缺省的Registry Key,对于NT工作站,必须把这个Registry Key添加到Registry数据库中。
13.安全漏洞:有可能远程访问NT平台上的Registry。
解释:在Windows 95上,或者系统管理共享资源上,运行REGEDT.EXE,将允许交互地,远程地访问NT域服务器。
减小风险的建议:严格限制Windows 95客户的使用。使用Registry审计。制定规章制度限制管理员的操作程序,禁止这样的访问,或者明确授权给指定的几个系统管理员。
|
本文作者:佚名 来源:本站原创
CIO之家 www.ciozj.com 微信公众号:imciow