Windows 版 (精华区)

发信人: WyzIdeal (一叶小舟), 信区: OS
标  题: NT安全漏洞(1-5)
发信站: 紫 丁 香 (Sun Aug 29 08:47:35 1999), 转信

引 言

Windows NT 越 来 越 受 欢 迎。 Internet 上 采 用 NT 平 台 作 为 服
务 器 的 站 点 越 来 越 多， 同 时， 众 多 企 业 已 经 采 用 NT 平 台 作
为 企 业 计 算 和 内 部 网 Intranet 的 解 决 方 案。 本 文 讨 论 了
Windows NT 系 统 上 的 重 大 安 全 漏 洞， 包 括 两 大 部 分： 第 一，
NT 服 务 器 和 工 作 站 的 安 全 漏 洞； 第 二， 关 于 浏 览 器 和 NT
机 器 的 两 个 严 重 安 全 漏 洞。

                            概 况

Windows NT 所 采 用 的 存 储 数 据 库 和 加 密 过 程 导 致 了 一 系
列 安 全 漏 洞 值 得 探 讨。 特 别 地， NT 把 用 户 信 息 和 加 密 口 令
保 存 于 NT Registry 中 的 SAM 文 件 中， 即 安 全 帐 户 管 理
(Security Accounts Management) 数 据 库。 加 密 口 令 分 两 个 步 骤
完 成。 首 先， 采 用 RSA MD4 系 统 对 口 令 进 行 加 密。 第 二 步
则 是 令 人 迷 惑 的 缺 乏 复 杂 度 的 过 程， 不 添 加 任 何 “调
料”， 比 如 加 密 口 令 时 考 虑 时 间 的 因 素。 结 果，NT 口 令 比
UNIX 口 令 更 加 脆 弱， 更 容 易 受 到 一 本 简 单 字 典 的 攻 击。 由
于 有 这 么 多 与 NT 口 令 有 关 的 安 全 问 题， Microsoft 已 经 在 NT
第 5.0 版 中 加 密 口 令 时 增 加 一 个 步 骤。

这 里 描 述 的 某 些 安 全 漏 洞 是 很 严 重 的。 在 最 坏 的 情 况 下，
一 个 黑 客 可 以 利 用 这 些 漏 洞 来 破 译 一 个 或 多 个 Domain
Administrator 帐 户 的 口 令， 并 且 对 NT 域 中 所 有 主 机 进 行 破 坏
活 动。

           NT服务器和工作站的安全漏洞

   1.安 全 漏 洞： 安 全 帐 户 管 理 (SAM) 数 据 库 可 以 由 以 下 用
     户 被 复 制： Administrator 帐 户， Administrator 组 中 的 所 有
     成 员， 备 份 操 作 员， 服 务 器 操 作 员， 以 及 所 有 具 有 备
     份 特 权 的 人 员。

     解 释：SAM 数 据 库 的 一 个 备 份 拷 贝 能 够 被 某 些 工 具 所
     利 用 来 破 解 口 令。 NT 在 对 用 户 进 行 身 份 验 证 时， 只 能
     达 到 加 密 RSA 的 水 平。 在 这 种 情 况 下， 甚 至 没 有 必 要
     使 用 工 具 来 猜 测 那 些 明 文 口 令。 能 解 码 SAM 数 据 库 并
     能 破 解 口 令 的 工 具 有： PWDump 和 NTCrack。 实 际 上，
     PWDump 的 作 者 还 有 另 一 个 软 件 包， PWAudit， 它 可 以
     跟 踪 由 PWDump 获 取 到 的 任 何 东 西 的 内 容。

     减 小 风 险 的 建 议：严 格 限 制 Administrator 组 和 备 份 组 帐
     户 的 成 员 资 格。 加 强 对 这 些 帐 户 的 跟 踪， 尤 其 是
     Administrator 帐 户 的 登 录 (Logon) 失 败 和 注 销 (Logoff) 失
     败。 对 SAM 进 行 的 任 何 权 限 改 变 和 对 其 本 身 的 修 改 进
     行 审 计， 并 且 设 置 发 送 一 个 警 告 给 Administrator， 告 知
     有 事 件 发 生。 切 记 要 改 变 缺 省 权 限 设 置 来 预 防 这 个 漏
     洞。

     改 变 Administrator 帐 户 的 名 字， 显 然 可 以 防 止 黑 客 对 缺
     省 命 名 的 帐 户 进 行 攻 击。 这 个 措 施 可 以 解 决 一 系 列 的
     安 全 漏 洞。 为 系 统 管 理 员 和 备 份 操 作 员 创 建 特 殊 帐
     户。 系 统 管 理 员 在 进 行 特 殊 任 务 时 必 须 用 这 个 特 殊 帐
     户 注 册， 然 后 注 销。 所 有 具 有 Administrator 和 备 份 特 权
     的 帐 户 绝 对 不 能 浏 览 Web。 所 有 的 帐 户 只 能 具 有 User
     或 者 Power User 组 的 权 限。

     采 用 口 令 过 滤 器 来 检 测 和 减 少 易 猜 测 的 口 令， 例 如，
     PASSPROP (Windows NT Resource Kit 提 供)， ScanNT (一 个 商
     业 口 令 检 测 工 具 软 件 包)。 使 用 加 强 的 口 令 不 易 被 猜
     测。 Service Pack 3 可 以 加 强 NT 口 令， 一 个 加 强 的 口 令
     必 须 包 含 大 小 写 字 母， 数 字， 以 及 特 殊 字 符。 使 用 二
     级 身 份 验 证 机 制， 比 如 令 牌 卡 (Token Card)， 可 提 供 更
     强 壮 的 安 全 解 决 方 案， 它 比 较 昂 贵。
2.安 全 漏 洞： 每 次 紧 急 修 复 盘 (Emergency Repair Disk - ERD)
     在 更 新 时， 整 个 SAM 数 据 库 被 复 制 到
     %system%\repair\sam._。

     解 释： 在 缺 省 的 权 限 设 置 下， 每 个 人 对 该 文 件 都 有
     “读” (Read) 的 访 问 权， Administrator 和 系 统 本 身 具 有
     “完 全 控 制” (Full Control) 的 权 利， Power User 有 “改 变”
     (Change) 的 权 利。 SAM 数 据 库 的 一 个 备 份 拷 贝 能 够 被
     某 些 工 具 所 利 用， 来 破 解 口 令。 NT 在 对 用 户 进 行 身 份
     验 证 时， 只 能 达 到 加 密 RSA 的 水 平。 在 这 种 情 况 下，
     甚 至 没 有 必 要 使 用 工 具 来 猜 测 那 些 明 文 口 令。 能 解 码
     SAM 数 据 库 并 能 破 解 口 令 的 工 具 有： PWDump 和
     NTCrack。

     减 小 风 险 的 建 议： 确 保 %system%\repair\sam 在 每 次 ERD
     更 新 后， 对 所 有 人 不 可 读。 严 格 控 制 对 该 文 件 的 读 权
     利。 不 应 该 有 任 何 用 户 或 者 组 对 该 文 件 有 任 何 访 问
     权。 最 好 的 实 践 方 针 是， 不 要 给 Administrator 访 问 该 文
     件 的 权 利， 如 果 需 要 更 新 该 文 件， Administrator 暂 时 改
     变 一 下 权 利， 当 更 新 操 作 完 成 后，Administrator 立 即 把
     权 限 设 置 成 不 可 访 问。
3.安 全 漏 洞： SAM 数 据 库 和 其 它 NT 服 务 器 文 件 可 能 被
     NT 的 SMB 所 读 取， SMB 是 指 服 务 器 消 息 块 (Server
     Message Block)， Microsoft 早 期 LAN 产 品 的 一 种 继 承 协
     议。

     解 释： SMB 有 很 多 尚 未 公 开 的 “后 门”， 能 不 用 授 权
     就 可 以 存 取 SAM 和 NT 服 务 器 上 的 其 它 文 件。 SMB 协
     议 允 许 远 程 访 问 共 享 目 录， Registry 数 据 库， 以 及 其 它
     一 些 系 统 服 务。 通 过 SMB 协 议 可 访 问 的 服 务 的 准 确 数
     目 尚 未 有 任 何 记 载。 另 外， 如 何 控 制 访 问 这 些 服 务 的
     方 法 也 尚 未 有 任 何 记 载。

     利 用 这 些 弱 点 而 写 的 程 序 在 Internet 上 随 处 可 见。 执 行
     这 些 程 序 不 需 要 Administrator 访 问 权 或 者 交 互 式 访 问
     权。 另 一 个 漏 洞 是， SMB 在 验 证 用 户 身 份 时， 使 用 一
     种 简 易 加 密 的 方 法， 发 送 申 请 包。 因 此， 它 的 文 件 传
     输 授 权 机 制 很 容 易 被 击 溃。

     SAM 数 据 库 的 一 个 备 份 拷贝 能 够 被 某 些 工 具 所 利 用，
     来 破 解 口 令。 NT 在 对 用 户 进 行 身 份 验 证 时， 只 能 达 到
     加密 RSA 的 水 平。 在 这 种 情况 下， 甚 至 没 有 必 要 使 用
     工 具 来 猜 测 那 些 明 文 口 令。 能 解 码 SAM 数 据 库 并 能 破
     解 口 令 的 工 具 有： PWDump 和 NTCrack。 当 前， 对 于 使
     用 SMB 进 行 NT 组 网， 还 没 有 任 何 其 它 可 选 的 方 法。

     减 小 风 险 的 建 议： 在 防 火 墙 上， 截 止 从 端 口 135 到 142
     的 所 有 TCP 和 UDP 连 接， 这 样 可 以 有 利 于 控 制， 其 中
     包 括 对 基 于 RPC 工 作 于 端 口 135 的 安 全 漏 洞 的 控 制。
     最 安 全 的 方 法 是 利 用 代 理 (Proxy) 来 限 制 或 者 完 全 拒 绝
     网 络 上 基 于 SMB 的 连 接。 然 而， 限 制 SMB 连 接 可 能 导
     致 系 统 功 能 的 局 限 性。 在 内 部 路 由 器 上 设 置 ACL， 在
     各 个 独 立 子 网 之 间， 截 止 端 口 135 到 142。
4.安 全 漏 洞： 特 洛 伊 木 马 (Trojan Horses) 和 病 毒， 可 能 依
     靠 缺 省 权 利 作 SAM 的 备 份， 获 取 访 问 SAM 中 的 口 令 信
     息， 或 者 通 过 访 问 紧 急 修 复 盘 ERD 的 更 新 盘。

     解 释： 特 洛 伊 木 马 (Trojan Horses) 和 病 毒， 可 以 由 以 下
     各 组 中 的 任 何 成 员 在 用 缺 省 权 限 作 备 份 时 执 行 (缺 省
     地， 它 们 包 括： Administrator 管 理 员， Administrator 组 成
     员， 备 份 操 作 员， 服 务 器 操 作 员， 以 及 具 有 备 份 特 权
     的 任 何 人)， 或 者 在 访 问 ERD 更 新 盘 时 执 行 (缺 省 地，
     包 括 任 何 人)。 例 如， 如 果 一 个 用 户 是 Administrator 组 的
     成 员， 当 他 在 系 统 上 工 作 时， 特 洛 伊 木 马 可 能 做 出 任
     何 事 情。

     减 小 风 险 的 建 议： 所 有 具 有 Administrator 和 备 份 特 权 的
     帐 户 绝 对 不 能 浏 览 Web。 所 有 的 帐 户 只 能 具 有 User 或
     者 Power User 组 的 权 限。
5.安 全 漏 洞： 能 够 物 理 上 访 问 Windows NT 机 器 的 任 何
     人， 可 能 利 用 某 些 工 具 程 序 来 获 得 Administrator 级 别 的
     访 问 权。

     解 释： Internet 上 有 些 工 具 程 序， 可 以 相 对 容 易 地 获 得
     Administrator 特 权 (比 如 NTRecover， Winternal Software 的
     NTLocksmith)。

     减 小 风 险 的 建 议： 改 善 保 安 措 施。
--
***********************************
  如烟往事俱忘却，心底无私天地宽。
***********************************
           一切靠自己

※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: 202.118.248.24]