发信人: topwebmaster(小土豆)
整理人: ipaq(2001-05-27 14:37:30), 站内信件
|
时间:2000/10/13 12:05 eNet技术学院
漏洞一:安全帐户管理(SAM)数据库可以由以下用户被复制:Administrator帐户,Administrator组中的所有成员,备份操作员,服务器操作员,以及所有具有备份特权的人员。
补救措施:
1、严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪,尤其是Administrator帐户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改进行审计,并且设置发送一个警告给Administrator,告知有事件发生。切记要改变缺省权限设置来预防这个漏洞。
2、改变Administrator帐户的名字,显然可以防止黑客对缺省命名的帐户进行攻击。这个措施可以解决一系列的安全漏洞。为系统管理员和备份操作员创建特殊帐户。系统管理员在进行特殊任务时必须用这个特殊帐户注册,然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。
3、采用口令过滤器来检测和减少易猜测的口令,例如,PASSPROP(Windows NT Resource Kit提供),ScanNT(一个商业口令检测工具软件包)。使用加强的口令不易被猜测。Service Pack 3可以加强NT口令,一个加强的口令必须包含大小写字母,数字,以及特殊字符。使用二级身份验证机制,比如令牌卡(Token Card),可提供更强壮的安全解决方案,它比较昂贵。
漏洞二:每次紧急修复盘(Emergency Repair Disk - ERD)在更新时,整个SAM数据库被复制到%system%\repair\sam._。
补救措施:确保%system%\repair\sam._在每次ERD更新后,对所有人不可读。严格控制对该文件的读权利。不应该有任何用户或者组对该文件有任何访问权。最好的实践方针是,不要给Administrator访问该文件的权利,如果需要更新该文件,Administrator暂时改变一下权利,当更新操作完成后,Administrator立即把权限设置成不可访问。
漏洞三:SAM数据库和其它NT服务器文件可能被NT的SMB所读取,SMB是指服务器消息块(Server Message Block),Microsoft早期LAN产品的一种继承协议。
补救措施:在防火墙上,截止从端口135到142的所有TCP和UDP连接,这样可以有利于控制,其中包括对基于RPC工作于端口135的安全漏洞的控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。然而,限制SMB连接可能导致系统功能的局限性。在内部路由器上设置ACL,在各个独立子网之间,截止端口135到142。
漏洞四:特洛伊木马(Trojan Horses)和病毒,可能依靠缺省权利作SAM的备份,获取访问SAM中的口令信息,或者通过访问紧急修复盘ERD的更新盘。
补救措施:所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。
漏洞五:能够物理上访问Windows NT机器的任何人,可能利用某些工具程序来获得Administrator级别的访问权。
补救措施:改善保安措施。
漏洞六:重新安装Widnows NT软件,可以获得Administrator级别的访问权。
补救措施:改善保安措施。
----
小土豆,削土豆
|
|