有一台 Windows 2008 服务器,其中有一个本地用户帐户,其密码已知 - 假设其为用户“dummy”,密码为“dummy1”。该本地用户仅属于“用户”组。
攻击者无法本地访问服务器。
如果攻击者知道本地用户的用户名和密码,他是否可以远程滥用服务器?
答案1
是的。
“发生坏事”的途径是使用该帐户利用任何未打补丁的远程监听服务,然后可能使用另一种攻击来提升到管理员权限。现在他们有了管理员权限,如果有任何在具有域管理员或其他提升权限的框上运行的服务或进程,他们可以获得该帐户的密码,然后拥有您的网络。
因此,第一条规则是限制他们可以访问的端口/服务,然后确保系统每月得到全面修补,包括应用程序。
答案2
如果攻击者有用户名和密码任何系统,与没有此类详细信息的攻击者相比,他们成功攻击该服务器的机会有所增加。这没有什么神秘之处:即使他们不能直接使用被盗用的凭证,但信息越多总比信息越少好。
某些系统可能配置得比其他系统更安全(或更不安全),特定用户可能根据创建原因而拥有特定权限,从而使特定情况下的风险更高或更低,并且如果用户连接到数据库、Web 应用程序或其他服务器应用程序,那么至少它可能被用来窃取信息,这可以说是一个比“仅仅”为了获取系统权限而获取系统权限而不做其他事情更大的问题。
这实际上并不是特定于操作系统的;无论讨论的是哪个操作系统,我都会保留上述评论。
答案3
如果用户在系统上具有终端服务登录权限(或者如果是域帐户,则是域中的任何其他系统),那么攻击者可以对服务器进行任何他想做的事情,就像他通过键盘登录一样,最高可达该账户的安全信用限额。
然而,我们已经看到太多未修补的服务和应用程序的例子,当以特定方式(SQL 注入、缓冲区溢出,等等)攻击时会导致权限提升。
系统上的每个帐户都是一个漏洞,因此,您应该始终警惕用户拥有多少访问权限、他们更改密码的频率、密码强度以及他们被允许登录的方式和登录的内容。我的政策非常简单:“在他们需要时给他们他们需要的东西,仅此而已。”如果这意味着在非工作时间禁用帐户,或在人们休假时锁定帐户,或关闭终端访问,直到有人说“我需要登录这个系统”……那就这样吧。
我宁愿被合法请求所困扰,也不愿被黑客问题困扰整夜。