Windows 版 (精华区)
发信人: xhc (再见理想), 信区: Windows
标 题: Windows2000安全漏洞一瞥
发信站: 哈工大紫丁香 (2000年11月02日12:03:51 星期四), 站内信件
Windows2000可以说是微软公司2000年的骄傲,它不仅是微软花费时间最长的开发项
目,而且集成了以前各个版本Windows系统和Windows NT系统的功能,成为下一代的操作
系统。然而,最近Windows 2000居然被发现出现了安全漏洞,而且被发现的不仅仅是一
个!
■漏洞一,Telnet漏洞
首先被发现的是Windows2000的Telnet(远程连接服务)漏洞。Telnet程序让使用者
借助一部PC连上网络服务器,并且自远程遥控,执行另一部机器上的命令。这次的问题
出在微软简便的统一登录(Sign-on)功能上,这原本是为了省去使用者每次Telnet连线
都必须重新输入使用者名称及密码的麻烦,改用自动提供使用者名称和加密密码的方式
,但是黑客可在网页或电子邮件中植入连结,然后启动受害者的Telnet程序,以窃取密
码。一旦加密的密码被黑客拦截,就可能用密码破解程序判断实际密码。Telnet的安全
漏洞可能导致怀恶意的黑客从其它不知情的用户处窃取用户的资料信息。即使需要密码
登录的电脑也难逃此劫。其攻击方式为,黑客进入一受害者的电脑,该受害者的电脑可
登录到另一名将成为受害者的电脑。黑客通过此通道,当受害者的电脑请示第三方电脑
的认证时,就可自动获取第三者的用户密码。之后,微软马上又发布了新的补丁程序来
修补漏洞。
■漏洞二,本地操作漏洞
Telnet漏洞是一个计算机上网后会被黑客袭击的漏洞,但不幸的是Windows2000中还
有本地操作的漏洞。简单地说,Windows2000的设计初衷是在启动后出现一个登录窗口,
不同的用户以自己不同的用户口令和密码进行登录,同时获得不同的使用权限。这套机
制在Windows98中是没有的,在Windows98中的登录窗口只需要选择取消就可以直接进入
系统。但Windows2000这套用户登录机制也出现了大漏洞,任何人只要能本地接触到计算
机,就能访问本地计算机中的信息。那个登录验证窗口竟然形同虚设!
■最严重的漏洞:登录漏洞
在Windows2000启动之后, 按照屏幕提示按下ALT+CTRL+DEL进行登录,在登录界
面将光标移至用户名输入框,按键盘上的Ctrl+Shift键进行输入法的切换,屏幕上出现
输入法状态条,在出现的“全拼”输入法中将鼠标移至输入法状态条点击鼠标右键,出
现的选单中选择“帮助”,然后继续选择“输入法入门”,在窗口顶部会出现几个按钮
,奥妙就在“选项按钮”上。如果系统是未安装Windows2000 ServicePack1或IE5.5的系
统,用鼠标左键点击选项按钮,在出现的选单中选择“主页”,这时在已出现的帮助窗
口的右侧会出现IE浏览器界面中的“此页不可显示”页面,其中有个“检测网络设置”
的链接,点击它就会出现网络设置选项,这样任何人都可以对网络设置甚至控制面板做
任何修改。或者之前用鼠标左键点击“选项”按钮时,在出现的选单选择“Internet选
项”中,就可以对主页、连结,安全、高级选项等做任何修改。最为严重的是用鼠标右
键点击先前提到的“选项”按钮会出现一个选单,选择“跳至URL”,这时出现一个对话
框,其中有一个跳至该URL输入框,输入你想看到的路径,比如c:\,那么这时在已出现
的帮助窗口的右侧会出现资源管理器c盘的界面显示,这时已经是系统管理员权限对C盘
进行操作了。操作者可以对看到的数据做任何的操作,这样他就完全绕过了Windows200
0的登录验证机制。
如果系统是安装了Windows2000 ServicePack1或IE5.5的系统,上面所用的“网络设
置选项”就不能执行了,但“Internet选项”仍可执行。资源管理器界面仍可出现,通
过路径输入,所有的文件夹中的文件和根目录下的文件都可看到,但已不能直接对文件
夹和文件进行操作,然而仍可以用鼠标右键点击文件夹和文件选择进行删除、重命名和
发送到软盘等操作,而且更为严重的是操作者可以对文件夹进行共享操作,在单个文件
出现的对话框中选择属性,就可以任意添加共享权限,如任何人都能完全控制的权限,
这样网络中的所有人都可以通过网络远程登录完全控制所有数据资料!
针对这个漏洞目前还没有及时的补丁程序出现,所以暂时的解决方法只能是把系统
输入法选项中启用任务栏上指示器复选框,然后在任务栏上用鼠标选择关闭输入法状态
。
■Windows2000需要再接再厉
Windows2000出现的这些问题已经引起了微软的密切关注,而且对于一个超级系统来
说,不可能没有“Bug”(臭虫)的出现,正是在不断地弥补漏洞的同时,Windows2000
才能不断地成熟起来,真正称为下一代操作系统的主流,和UNIX系统进行面对面的重量
级碰撞。而且只有这样,才能使技术得到进一步的发展。我们这些用户当然就能得到更
加好用的产品和更大的选择自由度。
--
语言只是工具,飞刀只有在李寻欢手中才有光芒!
细节毕竟只是细节,大局观并非只在围棋中适用。
先抄袭和模仿,但一定要学会创造。
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: dip8.hit.edu.cn]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.514毫秒