NT安全漏洞及其解決建議1

NT安全漏洞及其解決建議(1) 引言WindowsNT越來越受歡迎。Internet上采用NT平臺作為服務器的站點越來越多，同時，眾多企業(yè)已經(jīng)采用NT平臺作為企業(yè)計算和內(nèi)部網(wǎng)Intranet的解決方案。本文討論了WindowsNT系統(tǒng)上的重大安全漏洞，包括兩大部分：第一，NT服務器和工作站的安全漏洞；第二，關于瀏覽器和NT機器的兩個嚴重安全漏洞。隨著新的安全漏洞被發(fā)現(xiàn)，或在基本產(chǎn)品上被改變，本文也將作更新。 概況WindowsNT所采用的存儲數(shù)據(jù)庫和加密過程導致了一系列安全漏洞值得探討。特別地，NT把用戶信息和加密口令保存于NTRegistry中的SAM文件中，即安全帳戶管理(SecurityAccountsManagement)數(shù)據(jù)庫。加密口令分兩個步驟完成。首先，采用RSAMD4系統(tǒng)對口令進行加密。第二步則是令人迷惑的缺乏復雜度的過程，不添加任何“調(diào)料”，比如加密口令時考慮時間的因素。結(jié)果，NT口令比Unix口令更加脆弱，更容易受到一本簡單詞典的攻擊。由于有這么多與NT口令有關的安全問題，Microsoft已經(jīng)在NT第5.0版中加密口令時增加一個步驟。這里描述的某些安全漏洞是很嚴重的。在最壞的情況下，一個黑客可以利用這些漏洞來破譯一個或多個DomainAdministrator帳戶的口令，并且對NT域中所有主機進行破壞活動。 NT服務器和工作站的安全漏洞 1.安全漏洞:安全帳戶管理(SAM)數(shù)據(jù)庫可以由以下用戶被復制：Administrator帳戶，Administrator組中的所有成員，備份操作員，服務器操作員，以及所有具有備份特權(quán)的人員。 解釋：SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用來破解口令。NT在對用戶進行身份驗證時，只能達到加密RSA的水平。在這種情況下，甚至沒有必要使用工具來猜測那些明文口令。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有：PWDump和NTCrack。實際上，PWDump的作者還有另一個軟件包，PWAudit，它可以跟蹤由PWDump獲取到的任何東西的內(nèi)容。 減小風險的建議：嚴格限制Administrator組和備份組帳戶的成員資格。加強對這些帳戶的跟蹤，尤其是Administrator帳戶的登錄(LOGOn)失敗和注銷(Logoff)失敗。對SAM進行的任何權(quán)限改變和對其本身的修改進行審計，并且設置發(fā)送一個警告給Administrator，告知有事件發(fā)生。切記要改變?nèi)笔?quán)限設置來預防這個漏洞。 改變Administrator帳戶的名字，顯然可以防止黑客對缺省命名的帳戶進行攻擊。這個措施可以解決一系列的安全漏洞。為系統(tǒng)管理員和備份操作員創(chuàng)建特殊帳戶。系統(tǒng)管理員在進行特殊任務時必須用這個特殊帳戶注冊，然后注銷。所有具有Administrator和備份特權(quán)的帳戶絕對不能瀏覽Web。所有的帳戶只能具有User或者PowerUser組的權(quán)限。 采用口令過濾器來檢測和減少易猜測的口令，例如，PASSPROP(WindowsNTResourceKit提供)，ScanNT(一個商業(yè)口令檢測工具軟件包)。使用加強的口令不易被猜測。ServicePack3可以加強NT口令，一個加強的口令必須包含大小寫字母，數(shù)字，以及特殊字符。使用二級身份驗證機制，比如令牌卡(TokenCard)，可提供更強壯的安全解決方案，它比較昂貴。 2.安全漏洞：每次緊急修復盤(EmergencyRepairDisk-ERD) 在更新時，整個SAM數(shù)據(jù)庫被復制到％system%repairsam._。 解釋：在缺省的權(quán)限設置下，每個人對該文件都有“讀”(Read)的訪問權(quán)，Administrator和系統(tǒng)本身具有“完全控制”(FullControl)的權(quán)利，PowerUser有“改變”(Change)的權(quán)利。SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用，來破解口令。NT在對用戶進行身份驗證時，只能達到加密RSA的水平。在這種情況下，甚至沒有必要使用工具來猜測那些明文口令。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有:PWDump和NTCrack。減小風險的建議：確保%system%repairsam在每次ERD更新后，對所有人不可讀。嚴格控制對該文件的讀權(quán)利。不應該有任何用戶或者組對該文件有任何訪問權(quán)。最好的實踐方針是，不要給Administrator訪問該文件的權(quán)利，如果需要更新該文件，Administrator暫時改變一下權(quán)利，當更新操作完成后，Administrator立即把權(quán)限設置成不可訪問。 3.安全漏洞：SAM數(shù)據(jù)庫和其它NT服務器文件可能被NT的SMB所讀取，SMB是指服務器消息塊(ServerMessageBlock)，Microsoft早期LAN產(chǎn)品的一種繼承協(xié)議。 解釋：SMB有很多尚未公開的“后門”，能不用授權(quán)就可以存取SAM和NT服務器上的其它文件。SMB協(xié)議允許遠程訪問共享目錄，Registry數(shù)據(jù)庫，以及其它一些系統(tǒng)服務。通過SMB協(xié)議可訪問的服務的準確數(shù)目尚未有任何記載。另外，如何控制訪問這些服務的方法也尚未有任何記載。 利用這些弱點而寫的程序在Internet上隨處可見。執(zhí)行這些程序不需要Administrator訪問權(quán)或者交互式訪問權(quán)。另一個漏洞是，SMB在驗證用戶身份時，使用一種簡易加密的方法，發(fā)送申請包。因此，它的文件傳輸授權(quán)機制很容易被擊潰。 SAM數(shù)據(jù)庫的一個備份拷貝能夠被某些工具所利用，來破解口令。NT在對用戶進行身份驗證時，只能達到加密RSA的水平。在這種情況下，甚至沒有必要使用工具來猜測那些明文口令。能解碼SAM數(shù)據(jù)庫并能破解口令的工具有：PWDump和NTCracko當前，對于使用SMB進行NT組網(wǎng)，還沒有任何其它可選的方法。 減小風險的建議：在防火墻上，截止從端口135到142的所有TCP和UDP連接，這樣可以有利于控制，其中包括對基于RPC工作于端口135的安全漏洞的控制。最安全的方法是利用代理(Proxy)來限制或者完全拒絕網(wǎng)絡上基于SMB的連接。然而，限制SMB連接可能導致系統(tǒng)功能的局限性。在內(nèi)部路由器上設置ACL，在各個獨立子網(wǎng)之間，截止端口135到142。 4.安全漏洞：特洛伊木馬(TrojanHorses)和病毒，可能依靠缺省權(quán)利作SAM的備份，獲取訪問SAM中的口令信息，或者通過訪問緊急修復盤ERD的更新盤。 解釋：特洛伊木馬(TrojanHorses)和病毒，可以由以下各組中的任何成員在用缺省權(quán)限作備份時執(zhí)行(缺省地，它們包括：Administrator管理員，Administrator組成員，備份操作員，服務器操作員，以及具有備份特權(quán)的任何人)，或者在訪問ERD更新盤時執(zhí)行(缺省地，包括任何人)。例如，如果一個用戶是Administrator組的成員，當他在系統(tǒng)上工作時，特洛伊木馬可能做出任何事情。 減小風險的建議：所有具有Administrator和備份特權(quán)的帳戶絕對不能瀏覽Web。所有的帳戶只能具有User或者PowerUser組的權(quán)限。 5.安全漏洞：能夠物理上訪問WindowsNT機器的任何人，可能利用某些工具程序來獲得Administrator級別的訪問權(quán)。解釋：Internet上有些工具程序，可以相對容易地獲得Administrator特權(quán)(比如NTRecover，WinternalSoftware的NTLocksmith)。 減小風險的建議：改善保安措施。6.安全漏洞：重新安裝WidnowsNT軟件，可以獲得Administrator級別的訪問權(quán)。 解釋：重新安裝整個的操作系統(tǒng)，覆蓋原來的系統(tǒng)，就可以獲得Administrator特權(quán)。 減小風險的建議：改善保安措施。 7.安全漏洞：WidnowsNT域中缺省的Guest帳戶。解釋：如果Guest帳戶是開放的，當用戶登錄失敗的次數(shù)達到設置時，他可以獲得NT工作站的Guest訪問權(quán)，從而進入NT域。 減小風險的建議：據(jù)說NT第4版已經(jīng)解決了這個問題，升級到第4版吧。關閉Guest帳戶，并且給它一個難記的口令。 8.安全漏洞：某些系統(tǒng)程序的不適當使用，比如ftp.exe,rasdial.exe,telnet.exe。 解釋：這些程序無疑給侵入者提供了進一步攻擊的手段，如果他們發(fā)現(xiàn)了服務器上的安全漏洞，進而可以攻擊整個網(wǎng)絡。減小風險的建議：刪除掉不經(jīng)常使用的系統(tǒng)程序。 9.安全漏洞：所有用戶可能通過命令行方式，試圖連接管理系統(tǒng)的共享資源。 解釋：任何一個用戶可以在命令行下，鍵入\IPaddressC$(或者\IPaddressD$,\IPaddressWINNT$)試圖連接任意一個NT平臺上管理系統(tǒng)的共享資源。 減小風險的建議：限制遠程管理員訪問NT平臺。 10.安全漏洞：由于沒有定義嘗試注冊的失敗次數(shù)，導致可以被無限制地嘗試連接系統(tǒng)管理的共享資源。 解釋：這樣的系統(tǒng)設置相當危險，它無疑于授權(quán)給黑客們進行連續(xù)不斷地連接嘗試。 減小風險的建議：限制遠程管理員訪問 NT平臺。11.安全漏洞：如果系統(tǒng)里只有一個Administrator帳戶，當注冊失敗的次數(shù)達到設置時，該帳戶也不可能被鎖住。 解釋：這種情況(系統(tǒng)里只有一個Administrator帳戶)是NT的一個預先考慮過的特征，然而，它也成為一種風險。這種情況適用于NT域和NT工作站。 減小風險的建議：除了系統(tǒng)缺省創(chuàng)建的Administrator帳戶，還應該創(chuàng)建至少一個具有管理員特權(quán)的帳戶，并且，把缺省Administrator帳戶改成另外一個名字。 12.安全漏洞：具有管理員特權(quán)的帳戶在達到注冊失敗的次數(shù)時將被鎖住，然而，30分鐘后自動解鎖。 解釋：帳戶策略(AccountsPolicy)中的設置。減小風險的建議：對于所有管理員帳戶，應該使用難猜的口令。 13.安全漏洞：缺省地，WindowsNT在注冊對話框中顯示最近一次注冊的用戶名。 解釋：這是NT的一個預先考慮過的特征，然而，它也成為一種風險，給潛在的黑客提供了信息。 減小風險的建議：在域控制器上，修改Registry中Winlogon的設置，關閉這個功能。14.安全漏洞：WindowsNT和Windows95的客戶可以保存口令于文件中，以便快速緩沖。 解釋：任何人可能通過訪問內(nèi)存來獲取加密的口令，或者通過訪問 WindowsNT工作站的ADMINST.PWD文件，以及Windows95的ADMINST.PWL，來讀取口令，以獲得缺省管理員的訪問權(quán)。尤其在Windows95上，這個文件很容易得到。 減小風險的建議：嚴格限制NT域中Windows95客戶的使用。限制WindowsNT工作站上的管理員特權(quán)。 15.安全漏洞：WindowsNT口令可能被非NT平臺進行同步。解釋:如果Windows95中的“ChangeWindowsPassword”工具在WindowsNT系統(tǒng)中已被授權(quán)，就可以作到這一點。結(jié)果是一個強的口令被一個弱的口令所替代。 減小風險的建議：在與WindowsNT平臺連接時，不能運行“ChangeWindowsPassword”工具。 16.安全漏洞：管理員有能力從非安全的工作站上進行遠程登錄。 解釋：這種能力帶來許多潛在的對系統(tǒng)的嚴重攻擊。 減小風險的建議：加強計算機設施的保安工作是可行的。關閉系統(tǒng)管理員的遠程能力，對管理員只允許直接訪問控制臺?？梢詮模塾脩艄芾砥鳎荩蹘舨呗裕?UserManager,Policies)進行設置。使用加密的對話，在管理員的屬性中，限制他可以從哪些工作站上進行遠程登錄。 由于遠程管理員訪問很危險，商業(yè)機構(gòu)必須要測試和評估與此相關的風險，以滿足業(yè)務的需要。在實施計劃中，必須作出決定，來如何控制和限制這種風險。 17.安全漏洞：NT上的缺省Registry權(quán)限設置有很多不適當之處。 解釋：Registry的缺省權(quán)限設置是對“所有人”“完全控制”(FullControl)和“創(chuàng)建”(Create)。這種設置可能引起Registry文件的刪除或者替換。減小風險的建議：對于Registry，嚴格限制只可進行本地注冊，不可遠程訪問。在NT工作站上，限制對Registry編輯工具的訪問。使用第三方工具軟件，比如EnterpriseAdministrator(MissionCriticalSoftware)，鎖住Registry?；蛘?，至少應該實現(xiàn)的是，把“所有人”缺省的“完全控制”權(quán)利改成只能“創(chuàng)建”。實際上，如果把這種權(quán)利設置成“只讀”，將會給系統(tǒng)帶來許多潛在的功能性問題，因此，在實現(xiàn)之前，一定要小心謹慎地進行測試。NT4.0引入了一個RegistryKey用來關閉非管理員的遠程R