计算机技术、网络技术以及互联网技术的不断普及和发展,企业或单位越来越多地依赖于网络生存,Intranet已经在各个企事业单位得到普及。作为在Internet或Intranet中应用最多的网络服务器软件Windows NT,以其友好的图形操作界面深受用户的青睐,而且众多企业构建Intranet局域网以NT作为平台的也日趋增多。
正所谓“有优必有劣”。目前的NT版本还存在着不少的安全漏洞,比起UNIX系统的安全漏洞来也“毫不逊色”。当然, Microsoft公司也在不断地为NT系统“补丁”,纠正了一些错误,但不幸的是,新的补丁又带来了一些新的漏洞。
毫无疑问,一些严重的安全漏洞会招惹来黑客的注意,并可能会对NT域中所有的主机造成破坏。一名有绅士风度的优秀黑客,会发一封让网管害怕的关于安全建议的电子邮件。
为此我们搜集了一些有关NT的安全隐患及其防范措施的建议,以飨读者。
漏洞1:系统里只有一个Administrator帐户,当注册失败的次数达到设置值时,该帐户也不可能被锁住。
建议:除了系统缺省创建的Administrator帐户,还应该创建至少一个具有管理员特权的帐户,并且把缺省Administrator帐户改成另外一个名字。
漏洞2:具有管理员特权的帐户在达到注册失败的次数时将被锁住,然而,30分钟后自动解锁。
建议:对于所有管理员帐户,应该使用很复杂而又没规律可寻口令。
漏洞3:特洛伊木马(TrojanHorses)和病毒,可能依靠缺省权利作SAM的备份,获取访问SAM中的口令信息,或者通过访问紧急修复盘ERD的更新盘。
建议:所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者PowerUser组的权限。
漏洞4:SAM数据库和其它NT服务器文件可能被NT的SMB所读取,SMB是指服务器消息块(Server Message Block),Microsoft早期网络产品的一种继承协议。
建议:在防火墙上,禁止从端口135到142的所有TCP和UDP连接,这样可以有利于控制,其中包括对基于RPC工作在端口135的安全漏洞的控制。最安全的方法是利用代理服务器(Proxy)来限制或者完全拒绝网络上基于SMB的连接。然而,限制SMB连接可能导致系统功能的局限性。在内部路由器上设置ACL,在各个独立子网之间,禁止端口135到142。
漏洞5:Windows NT域中缺省的“Guest”帐户。
建议:据说NT 4版已经解决了这个问题,升级到NT 4吧。关闭Guest帐户,并且给它一个难记的口令。
漏洞6:有一个程序,RedButton,允许任何人远程访问NT服务器,它是通过使用端口137,138和139来连接远端机器实现的。你可以读取Registry,创建新的共享资源,等等。
建议:在防火墙上,禁止所有从端口137到139的TCP和UDP连接,这样做有助于对远程连接的控制。另外,在内部路由器上设置ACL,在各个独立子网之间,禁止从端口137到139的连接。这是一种辅助措施,以限制该安全漏洞。除了更改系统缺省的Administrator帐户的名字外,把它放在一边,关闭它。然后,创建一个新的系统管理员帐户。Microsoft已经认识到这个Bug。Service Pack3解决了这个bug。
漏洞7:由于没有定义尝试注册的失败次数,导致可以被无限制地尝试连接系统管理的共享资源。
建议:限制远程管理员访问NT平台失败的次数。
漏洞8:安全帐户管理(SAM)数据库可以由以下用户复制:Administrator帐户成员,Administrator组中的所有成员,备份操作员,服务器操作员,以及所有具有备份特权的人员。
建议:严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪,尤其是Administrator帐户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改进行审计,并且设置发送一个警告给Administrator,告知有事件发生。切记要改变缺省权限设置来预防这个漏洞。改变Administrator帐户的名字,显然可以防止黑客对缺省命名的帐户进行攻击。这个措施可以解决一系列的安全漏洞。为系统管理员和备份操作员创建特殊帐户。系统管理员在进行特殊任务时必须用这个特殊帐户注册,然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。采用口令过滤器来检测和减少易猜测的口令。使用二级身份验证机制。
漏洞9:每次紧急修复盘(Emergency RepairDisk-ERD)在更新时,整个SAM数据库被复制到%system%\repair\sam。
建议:确保%system%\repair\sam在每次ERD更新后,对所有人不可读。严格控制对该文件的读权限。不应该有任何用户或者组对该文件有任何访问权。最好的方法是不要给Administrator访问该文件的权利,如果需要更新该文件,Administrator暂时改变一下权利,当更新操作完成后,Administrator立即把权限设置成不可访问。
漏洞10:缺省地,Windows NT在注册对话框中显示最近一次注册的用户名。
建议:在域控制器上,修改Registry中Winlogon的设置,关闭这个功能。
漏洞11:Windows NT和Windows 95的客户可以保存口令于文件中,以便快速访问。
建议:严格限制NT域中Windows 95客户的使用。限制Windows NT工作站上的管理员特权。
漏洞12:管理员有能力从非安全的工作站上进行远程登录。
建议:加强计算机设施的保安工作是可行的。关闭系统管理员的远程能力,对管理员只允许直接访问控制台。可以从“用户管理器”/“帐户策略(User Manager,Policies)”进行设置。使用加密的对话,在管理员的属性中,限制用户可以从哪些工作站上进行远程登录。
漏洞13:NT上的缺省Registry权限设置有很多不适当之处。
建议:对于Registry,严格限制只可进行本地注册,不可远程访问。在NT工作站上,限制对Registry编辑工具的访问。使用第三方工具软件,比如Enterprise Administrator(Mission Critical Software),锁住Registry。或者,至少应该是把“所有人”缺省的“完全控制”权限改成只能“创建”。实际上,如果把这种权限设置成“只读”,将会给系统带来许多潜在的功能性问题,因此,在实现之前,一定要小心谨慎地进行测试。NT 4.0引入了一个Registry Key用来关闭非管理员的远程Registry访问。在NT服务器上,这是一个缺省的Registry Key,对于NT工作站,必须把这个Registry Key添加到Registry数据库中。
漏洞14:有可能远程访问NT平台上的Registry。
建议:严格限制Windows 95客户的使用。使用Registry审计。制定规章制度限制管理员的操作程序,禁止这样的访问,或者明确授权给指定的几个系统管理员。
漏洞15:通过访问其它的并存操作系统,有可能绕过NTFS的安全设置。
建议:使用专门的分区。限制Administrator组和备份操作员组。制定规章制度限制管理员的操作程序,禁止这样的访问,或者明确授权给指定的几个系统管理员。可以考虑采用第三方预引导身份验证机制。
漏洞16:文件句柄可能从内存中被读取到,然后用来访问文件,而无需授权。
建议:限制管理员级和系统级的访问控制。
漏洞17:缺省权限设置允许“所有人”可以对关键目录具有“改变”级的访问权。
建议:如果可行的话,改变权限为“读”。注意,把权限改成“读”会给系统带来许多潜在的功能性问题,因此,在实现之前,一定要小心谨慎地进行测试。
漏洞18:打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。
建议:在赋予打印操作员权限时,要采取谨慎态度。要限制人数。进行系统完整性检查。适当配置和调整审计,并且定期检查审计文件。
漏洞19:通过FTP有可能进行无授权的文件访问。
建议:合理配置FTP,确保服务器必须验证所有FTP申请。
漏洞20:基于NT的文件访问权限对于非NT文件系统不可读。
建议:使用NTFS。尽可能使用共享(Shares)的方式。
漏洞21:Windows NT文件安全权限的错误设置有可能带来潜在的危险。
建议:经常检查文件的权限设置是否得当,尤其是在复制或者移动之后。
漏洞22:标准的NTFS“读”权限意味着同时具有“读”和“执行”。
建议:使用特殊权限设置。
漏洞23:Windows NT总是不正确地执行“删除”权限。
建议:定期制作和保存备份。
漏洞24:缺省组的权利和能力总是不能被删除,它们包括:Administrator组,服务器操作员组,打印操作员组,帐户操作员组。
建议:创建自己定制的组,根据最小特权的原则,定制这些组的权利和能力,以迎合业务的需要。可能的话,创建一个新的Administrator组,使其具有特别的指定的权利和能力。
漏洞25:NT的进
如何防止Windows NT的安全漏洞
comments powered by Disqus