NT安全漏洞及其解决建议（四）

　　21.安全漏洞：缺省权限设置允许“所有人”可以对关键目录具有“改变”级的访问权。 　　　　解释：该安全漏洞所考虑的关键目录包括：每个NTFS卷的根目录，System32目录，以及Win32App目录。 　　　　减小风险的建议：如果可行的话，改变权限为“读”。注意，把权限改成“读”会给系统带来许多潜在的功能性问题，因此，在实现之前，一定要小心谨慎地进行测试。 　　　　22.安全漏洞：打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。 　　　　解释：黑客可以利用这个安全漏洞，用一个Trojan Horse程序替换任何一个打印驱动程序，当被执行时，它不需要任何特权；或者在打印驱动程序中插入恶意病毒，具有相同效果。 　　　　减小风险的建议：在赋予打印操作员权限时，要采取谨慎态度。要限制人数。进行系统完整性检查。适当配置和调整审计，并且定期检查审计文件。 　　　　23.安全漏洞：通过FTP有可能进行无授权的文件访问. 　　　　解释：FTP有一个设置选项，允许按照客户进行身份验证，使其直接进入一个帐户。这种直接访问用户目录的FTP操作，具有潜在的危险，使无需授权而访问用户的文件和文件夹成为可能。 　　　　减小风险的建议：合理配置FTP，确保服务器必须验证所有FTP申请。 　　　　24.安全漏洞：基于NT的文件访问权限对于非NT文件系统不可读。 　　　　解释：无论文件被移动或者复制到其它文件系统上，附于它们上的所有NT安全信息不再有效。 　　　　减小风险的建议：使用NTFS。尽可能使用共享(Shares)的方式。 　　　　25.安全漏洞：Windows NT文件安全权限的错误设置有可能带来潜在的危险。 　　　　解释：对文件设置“错误”的安全权限是很容易的，比如复制或者移动一个文件时，权限设置将会改变。文件被复制到一个目录，它将会继承该目录的权限。移动一个文件时，该文件保留原来的权限设置，无论它被移动任何目录下。 　　　　减小风险的建议：经常检查文件的权限设置是否得当，尤其是在复制或者移动之后。 　　　　26.安全漏洞：标准的NTFS“读”权限意味着同时具有“读”和“执行”。 　　　　解释：这个安全漏洞使文件被不正当的“读”和“执行”成为可能。 　　　　减小风险的建议：使用特殊权限设置。 　　　　27.安全漏洞：Windows NT总是不正确地执行“删除”权限。 　　　　解释：这个安全漏洞使一个非授权用户任意删除对象成为可能。 　　　　减小风险的建议：定期制作和保存备份。 　　　　28.安全漏洞：缺省组的权利和能力总是不能被删除，它们包括：Administrator组，服务器操作员组，打印操作员组，帐户操作员组。 　　　　解释：当删除一个缺省组时，表面上，系统已经接受了删除。然而，当再检查时，这些组并没有被真正删除。有时，当服务器重新启动时，这些缺省组被赋予回缺省的权利和能力。 　　　　减小风险的建议：创建自己定制的组，根据最小特权的原则，定制这些组的权利和能力，以迎合业务的需要。可能的话，创建一个新的Administrator组，使其具有特别的指定的权利和能力。 　　　　29.安全漏洞：NT的进程定期处理机制有“Bug”，这个安全漏洞可能造成某些服务的拒绝访问。它允许非特权用户运行某些特别程序，导致NT系统崩溃或者挂起。 　　　　解释：黑客可能利用这个“Bug”搞垮任意一台服务器。它使得非特权用户具有这样的能力，写一些特别的代码，把他们自己的进程的优先级别设置为15，超过了系统本身的优先级别14。这个安全漏洞迫使NT系统造成一种假象，它认为这个进程需要大量的CPU时间，以至它使用所有的处理能力，来运行这个进程，结果导致这个进程进入一个无限循环，最终挂起NT机器。有两个相关的程序，它们具有这样的挂起或者搞垮NT系统的能力。CPUHOG(http://www.ntinternals.com/cpuhog.htm)，一个只有5行的程序，它可以被执行并且使一个NT系统挂起，没有一种方法可以杀掉这个程序。NTCrash(http://www.ntinternals.com/crashme.htm)，也是一个可使NT系统挂起的程序，它把一些随意的参数放入Win32K.SYS，然后执行随机的系统调用，最终使NT系统挂起。 　　　　减小风险的建议：制定并且执行严格的规章制度，限制管理员的操作程序，明确禁止这样的程序的非授权使用。据说Microsoft有一个Service Pack已经能够解决这个“Bug”。赶快安装最新的Service Pack。 　　　　30.安全漏洞：如果一个帐户被设置成同时具有Guest组和另一组的成员资格，那么Guest组的成员资格可能会失效，导致用户Profiles和其它设置的意想不到的损失。 　　　　解释：用户Profiles和设置的损失可能导致服务的中断。 　　　　减小风险的建议：不要把用户分到Guest组。 　　　　31.安全漏洞：“所有人”的缺省权利是，可以创建公共GUI组，不受最大数目的限制。 　　　　解释：如果一个用户创建的公共GUI组超过了最大数目256的话，有可能导致系统性能的降低，错误的消息，或者系统崩溃。 　　　　减小风险的建议：定期检查审计文件。 　　　　32.安全漏洞：事件管理器中Security Log的设置，允许记录被覆写，否则它将导致服务器挂起。 　　　　解释：这样做可能造成系统的闯入者不会被记录。 　　　　减小风险的建议：实现一个适当的备份操作程序和策略。选择“Over write events greater than 7 days”选项。这个数字可以改，并不是一个绝对的数字。当达到条件设置时，系统将会开始覆写最老的事件。 　　　　33.安全漏洞：审计文件是不完全的。 　　　　解释：事实上，有很多遗漏的事件，不会记录在审计文件中，包括系统的重新装入，备份，恢复，以及更改控制面板(Control Panel)，这些都是一些关键的事件。“System Log”是完全的，但是，它们看起来象是密文，很难读懂。 　　　　减小风险的建议：编辑Registry，打开对备份和恢复的审计。定期检查System Log，查看是否出现新类型的事件。 　　　　34.安全漏洞：Security Log不是全部集成的。 　　　　解释：由于你在跟踪NT域上所有的系统活动，以至很难确定NT域上到底发生了什么事情。当一个事件ID最终被记录到系统的某个地方，很难把它们区分开来。 　　　　减小风险的建议：实现第三方工具软件。Bindview,是一个不错的审计工具，它可以检查系统上究竟发生了什么事情。E.L.M. Sentry(http://www.ntsoftdist.com/ntsoftdist/sentry.htm)，也是一个很好的审计工具，它可以过滤你从每个机器上抓来的事件，并且把它们写入一个中心审计文件里。 　　　　35.安全漏洞：屏幕保护器有“Bug”，它允许非授权用户访问闲置终端。 　　　　解释：这个“Bug”允许你绕过屏幕保护器而获得访问权，甚至不必输入你的ID和口令。 　　　　减小风险的建议：据说最近的Service Pack已经解决了这个问题。赶快安装最新的Service Pack。