Windows NT/2000系统漏洞及防范措施（5）

　　27. 安全漏洞：Windows NT总是不正确地执行“删除”权限。

　　漏洞描述：

　　这个安全漏洞使一个非授权用户可以任意进行删除操作成为可能。

　　防范措施：

　　定期制作和保存备份。

　　28. 安全漏洞：缺省组的权利总是不能被删除，它们包括：Administrator组、服务器操作员组、打印操作员组、帐户操作员组等。

　　漏洞描述：

　　当删除一个缺省组时，表面上看来系统已经接受了删除。然而再检查时，会发现这些组并没有被真正删除。或者完成删除后重新启动服务器，这些缺省组有被赋予了缺省的权利。

　　防范措施：

　　创建自己定制的组，根据最小特权的原则，定制这些组的权利和能力以适应业务的需要。可能的话，可以创建一个新的Administrator组，使其具有特别指定的权利和能力。

　　29. 安全漏洞：Windows NT的进程定期处理机制存在“Bug”，并可能造成某些服务拒绝访问请求，或允许非特权用户运行某些特别的程序，导致Windows NT系统崩溃或者挂起。

　　漏洞描述：

　　黑客可能利用这个“Bug”来搞垮服务器。即使是非特权用户，只要写一些特别的程序代码，把程序自身的进程的优先级别设置为15(超过了系统本身的优先级别14)，该程序一运行就会告诉系统：这个进程需要大量的 CPU 时间。因此系统就会让这个进程占用大量的处理器资源，结果将导致这个进程进入死循环并最终使得系统被挂起。

　　CPUHOG就是这样的一个程序，其代码竟然只有5行，它可以被执行并能使Windows NT系统挂起，目前还很难有办法把这个程序彻底清楚;NTCrash也是一个这样的程序，也能够使Windows NT系统挂起，这个程序能把一些随意的参数放入Win32K.SYS，然后执行随机的系统调用而最终导致Windows NT系统挂起。

　　防范措施：

　　制定并且执行严格的规章制度，限制管理员的操作程序，明确禁止这类程序的非授权使用。据说Microsoft有一个Service Pack已经能够解决这个“Bug”，读者可不妨一试。

　　30. 安全漏洞：如果一个帐户被设置成同时具有Guest组和另一组的成员资格，那么Guest组的成员资格可能会失效，导致用户Profiles和其他设置的意想不到的损失。

　　漏洞描述：

　　用户Profiles和设置的损失可能导致服务的中断。

　　防范措施：

　　不要把用户分配给Guest组。

　　31. 安全漏洞：“所有人”的缺省权利是，可以创建公共GUI组，不受最大数目的限制。

　　漏洞描述：

　　如果一个用户创建的公共GUI组超过了最大数目256的话，有可能导致系统性能的降低、出错或使系统崩溃。

　　防范措施：

　　定期检查审计文件。

　　32. 安全漏洞：事件管理器中Security Log的设置允许记录被覆盖，否则它将导致服务器挂起。

　　漏洞描述：

　　这样做可能造成系统的闯入者不会被记录下来。

　　防范措施：

　　采取适当的备份操作和策略并修改事件管理器的相关设置。在事件管理器中选择Security Log设置中的“Overwrite eventsgreater than 7 days”选项，并更改相应的事件数字。这样当达到所设置的条件时，系统将会覆写最老的事件记录。

　　33. 安全漏洞：审计文件是不完全的。

　　漏洞描述：

　　事实上，系统中有很多遗漏的事件不会记录在审计文件中，比如系统的重新装入、备份、恢复、以及更改控制面板(Control Panel)等。

　　防范措施：

　　编辑Registry，打开对备份和恢复的审计。定期检查System Log看是否出现了新类型的事件。

　　34. 安全漏洞：Security Log不是全部集成的。

　　漏洞描述：

　　当Security Log跟踪Windows NT域上所有的系统活动时，并不能检查系统上究竟发生了什么事情，某一事件的ID最终被记录到系统的某个地方，但很难把它们区分开来。

　　防范措施：

　　可以采用第三方工具软件，如Bindview就是一个不错的审计工具，它可以检查系统上究竟发生了什么事情。还有，E.L.M. Sentry也是一个很好的审计工具，它可以过滤你从每个机器上抓来的事件，并且把它们写入一个中心审计文件里。

　　35. 安全漏洞：屏幕保护程序有“Bug”，它允许非授权用户访问闲置终端。

　　漏洞描述：

　　这个“Bug”允许你绕过屏幕保护器而获得访问权，甚至不必输入你的ID和口令。

　　防范措施：

　　采用最近推出的Service Pack可以解决这个问题。