透视NT安全漏洞 -天瑞科技，深圳电脑维修，深圳电脑维护

众所周知，Windows NT并不如人们预想中的那么安全，NT上种种安全漏洞，也让网管们伤透了脑筋，下面我尽自己的能力罗列出NT中的安全漏洞及其解决方法，希望对大家有所帮助。

　　　　漏洞一：安全帐户管理(SAM)数据库可以由以下用户被复制：Administrator帐户，Administrator组中的所有成员，备份操作员，服务器操作员，以及所有具有备份特权的人员。

　　　　补救措施：严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪，尤其是Administrator帐户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改进行审计，并且设置发送一个警告给Administrator，告知有事件发生。切记要改变缺省权限设置来预防这个漏洞。

　　　　改变Administrator帐户的名字，显然可以防止黑客对缺省命名的帐户进行攻击。这个措施可以解决一系列的安全漏洞。为系统管理员和备份操作员创建特殊帐户。系统管理员在进行特殊任务时必须用这个特殊帐户注册，然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。

　　　　采用口令过滤器来检测和减少易猜测的口令，例如，PASSPROP(Windows NT Resource Kit提供)，ScanNT(一个商业口令检测工具软件包)。使用加强的口令不易被猜测。Service Pack 3可以加强NT口令，一个加强的口令必须包含大小写字母，数字，以及特殊字符。使用二级身份验证机制，比如令牌卡(Token Card)，可提供更强壮的安全解决方案，它比较昂贵。

　　　　漏洞二：每次紧急修复盘(Emergency Repair Disk － ERD)在更新时，整个SAM数据库被复制到％system％\repair\sam._。

　　　　补救措施：确保％system％\repair\sam._在每次ERD更新后，对所有人不可读。严格控制对该文件的读权利。不应该有任何用户或者组对该文件有任何访问权。最好的实践方针是，不要给Administrator访问该文件的权利，如果需要更新该文件，Administrator暂时改变一下权利，当更新操作完成后，Administrator立即把权限设置成不可访问。

　　　　漏洞三：SAM数据库和其它NT服务器文件可能被NT的SMB所读取，SMB是指服务器消息块(Server Message Block)，Microsoft早期LAN产品的一种继承协议。

　　　　补救措施：在防火墙上，截止从端口135到142的所有TCP和UDP连接，这样可以有利于控制，其中包括对基于RPC工作于端口135的安全漏洞的控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。然而，限制SMB连接可能导致系统功能的局限性。在内部路由器上设置ACL，在各个独立子网之间，截止端口135到142。

　　　　漏洞四：特洛伊木马(Trojan Horses)和病毒，可能依靠缺省权利作SAM的备份，获取访问SAM中的口令信息，或者通过访问紧急修复盘ERD的更新盘。

　　　　补救措施：所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。

　　　　漏洞五：能够物理上访问Windows NT机器的任何人，可能利用某些工具程序来获得Administrator级别的访问权。

　　　　补救措施：改善保安措施。

　　　　漏洞六：重新安装Widnows NT软件，可以获得Administrator级别的访问权。

　　　　补救措施：改善保安措施。

　　　　漏洞七：Widnows NT域中缺省的Guest帐户。

　　　　补救措施：据说NT第4版已经解决了这个问题，升级到第4版吧。关闭Guest帐户，并且给它一个难记的口令。

　　　　漏洞八：Widnows NT工作站上的缺省Guest帐户。

　　　　补救措施：据说NT第4版已经解决了这个问题，升级到第4版吧。关闭Guest帐户，并且给它一个难记的口令。

　　　　漏洞九：所有用户可能通过命令行方式，试图连接管理系统的共享资源。

　　　　补救措施：限制远程管理员访问NT平台。

　　　　漏洞十：由于没有定义尝试注册的失败次数，导致可以被无限制地尝试连接系统管理的共享资源。

　　　　补救措施：限制远程管理员访问NT平台。

　　　　漏洞十一：如果系统里只有一个Administrator帐户，当注册失败的次数达到设置时，该帐户也不可能被锁住。

　　　　补救措施：除了系统缺省创建的Administrator帐户，还应该创建至少一个具有管理员特权的帐户，并且，把缺省Administrator帐户改成另外一个名字。