NT安全漏洞及其解决建议（五）

　　36.安全漏洞：任何用户可以通过命令行方式，远程查询任何一台NT服务器上的已注册的用户名。 　　　　解释：这个安全漏洞意味着一个十分严重的风险，如果它涉及到特权帐户的话。 　　　　减小风险的建议：关闭远程管理员级的访问。定期检查审计文件和系统审计文件。 　　　　37.安全漏洞：使用SATAN扫描可使WindowsNT平台崩溃。另外，使用Safe Suite的Internet Scanner同样可使NT平台崩溃。 　　　　解释：这个安全漏洞迫使服务的拒绝访问。 　　　　减小风险的建议：避免或者限制对网络上NT平台的SATAN扫描使用，以及Internet Scanner的使用。据说最近的Service Pack已经解决了这个问题。赶快安装最新的Service Pack。 　　　　38.安全漏洞：有一个程序，RedButton，允许任何人远程访问NT服务器，它是通过使用端口137,138和139来连接远端机器实现的。你可以读取Registry，创建新的共享资源，等等。 　　　　解释：这个程序不需要任何用户名或者口令，可以进行远程登录。它可判断当前系统缺省Administrator帐户的名字，读取多个Registry记录，并能够列出所有共享资源，甚至包括隐含的共享资源。 　　　　减小风险的建议：在防火墙上，截止所有从端口137到139的TCP和UDP连，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接。这是一种辅助措施，以限制该安全漏洞。除了更改系统缺省的Administrator帐户的名字外，把它放在一边，关闭它。然后，创建一个新的系统管理员帐户。Microsoft已经认识到这个Bug。Service Pack 3解决了这个安全Bug。赶快安装Service Pack 3。　　　　39.安全漏洞：用Ping命令可能使一台NT机器自杀身亡。 　　　　解释：NT对较大的ICMP包是很脆弱的。如果发一条Ping命令，指定包的大小为64K，NT的TCP/IP栈将不会正常工作。它可使系统离线工作，直至重新启动，结果造成某些服务的拒绝访问。下面的命令可以作为例子用于测试这个安全漏洞：ping - l65524 host.domain.com。 　　　　注意：UNIX同样具有这个安全漏洞。 　　　　减小风险的建议：最新的Service Pack已经纠正了这个问题，它限制了Ping包的大小。赶快安装Service Pack 3。 　　　　40.安全漏洞：NT机器允许在安装时输入空白口令。 　　　　解释：很明显，这将是一个潜在的安全问题。 　　　　减小风险的建议：使用最小口令长度选项，并且，关闭“Permit Blank Passwords”选项，以阻止空白口令的发生。 　　　　41.安全漏洞：作为一个TCP连接的一部分，向Windows NT机器发送out-of-band数据，可使服务拒绝访问的攻击成为可能。这个安全漏洞同样适用于Windows 95。在Internet上，利用这个安全漏洞而写的代码有很多。 　　　　解释：这种攻击可造成NT系统和Windows 95系统的崩溃。未存盘的数据丢失。Microsoft的Service Pack 3 for NT 4.0已经纠正了一部分问题，UNIX和Windows平台上的问题，对于Macintosh平台，它还没有解决。 　　　　减小风险的建议：Microsoft的Service Pack 3 for NT 4.0已经纠正了一部分问题，UNIX和Windows平台上的问题，对于Macintosh平台，它还没有解决。在安装Microsoft的补包之前，一定要安装正确的Service Pack，因为，如果你不这样做的话，你的系统很有可能不能引导。请查看Microsoft的站点,ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa以确认不同的NT版本需要什么样的Service Pack。 　　　　最佳的解决方案是,建设一个强壮的防火墙，精心地配置它，只授权给可信赖的主机能通过防火墙。正象以上针对大多数安全漏洞的解决建议一样，在防火墙上，截止所有从端口137到139的TCP和UDP连接，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接。这是一种辅助措施，以限制该安全漏洞。值得注意的是，有些黑客程序可以具有选择端口号的能力，它可能成功地攻击其它端口。 　　与浏览器和NT机器有关的安全漏洞 　　　　1.安全漏洞：Internet Explorer在指定的情况下，随意地向Internet上发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说，是完全透明的。 　　　　解释：当与一个兼容的Web服务器(比如Microsoft的IIS服务器)时，NT平台上的Internet Explorer将会对SMB协议自动反应，发送用户的名字和加密的口令，用户根本不知道什么事情发生。 　　　　减小风险的建议：赶快安装Microsoft的最新补包，据说已经解决了这个问题。 　　　　2.安全漏洞：NT和Windows 95机器上的所有浏览器，都有一个相似的弱点，对于一个HTML页上的超级链接，浏览器都首先假设该链接是指向本地机器上的一个文件。如果这台机器是一个SMB服务器，它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说，是完全透明的。 　　　　解释：如果一个HTML页有这样一个链接，如：file://IP-address.path-and-filename 　　　　嵌入在HTML代码之中，浏览器将假设该链接是指向本地机器上的一个文件，然后自动地试图连接上该链接。如果这台机器是一个SMB服务器，本地机器将试图进行身份验证。它将随意发送用户的名字和口令。这种对身份验证的自动反应和发送对用户来说，是完全透明的。用户根本不知道什么事情发生。 　　　　减小风险的建议：由于这种反应过程只发生在TCP和UDP端口135至142上，建议在防火墙上，截止所有这些端口。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口135到142的连接。这是一种辅助措施，以限制该安全漏洞。 　　　　注意：对于以上两个浏览器问题，如果SMB服务器声明，它无法处理加密过程，本地的浏览器将会弹出一个窗口，询问用户名和口令。