在这里必须指出:任何使用合法帐户的用户都可以检索管理员帐户的名称,无论该帐户是否经过重命名。管理员帐户的 RID 始终为 500。只要直接搜索 RID 为 500 的帐户名称,任何拥有帐户的用户都可以看到它的真实名称,如图 2 所示。
图 2 查找重命名的管理员帐户
Roger 的观点
我听到反对重命名管理员帐户的主要论据是:要将任何安全性主体帐户名称转换为相关安全标识符 (SID) 并找到它的 RID 非常简单,而且真正的管理员帐户的 RID 始终为 500。因此,如果攻击者可以很容易地将用户帐户名称转换为 SID/RID 组合,并找出 RID 500,实施攻击就太容易了!
但是事情并不那么简单。若要完成从用户帐户名称到 SID/RID 的转换,您必须具有访问 NetBIOS 或 LDAP 端口的权限。多数外围防火墙不允许通过 Internet 进行这种类型的访问,因此,除非攻击者完全绕过防火墙,否则他根本无法进行转换。此外,除了域控制器 (DC) 以外,Windows XP 以及更高的 Windows 版本并不能进行匿名 SID 转换。对于大多数面向外部的计算机(也就是风险最高的计算机),攻击者需要具有经过身份验证的凭据才能执行从名称到 SID 的转换。
因此,若要发动转换攻击,得绕过不少真正的深度防御障碍才行。即便攻击者克服了这些障碍,也不过是相当于这些帐户名称没有重命名。重命名管理员帐户只会提高安全性,而没有什么实质性的坏处。
●另外一个秘密 如果攻击者不知道管理员帐户名称,它就变成了另一个“秘密”标签,跟密码类似,攻击者必须要知道才行。不可否认,用户帐户名称显然那不太可能像管理密码一样复杂,但它仍是一道障碍,极大地增加猜测/破解密码问题的复杂性。如果您曾经进行过密码渗透测试,一定知道同时猜出用户名和密码并不容易。这相当于难上加难。
●阻挠自动恶意软件和脚本黑客 我研究 Windows 安全性防御至今已有 22 个年头,过去 5 年来运行了八个公开在 Internet 上的 Windows 蜜罐 (honeypot)。这段时间内,我从来没看过自动恶意软件(绝大多数的攻击都是由此构成)使用除管理员(在 *NIX 系统中称为根)以外的任何用户帐户标签。如果您重命名了管理员帐户,则所有依赖管理员名称的恶意软件会立即失效。换句话说,等于降低了安全性风险。
对于脚本黑客,情况也一样。我所知的每本“畅销”的 Windows 入侵手册都提到了将名称转换成 SID 的方法,但要是我基于某种原因同时设置了一个“假”的管理员帐户来分散注意力,在蜜罐上就完全看不到这种情况。优秀的黑客应该随时确认他们找到的管理员帐户是真正的管理员帐户 (RID 500),但他们通常忘了这一点。我也不清楚具体原因,但应该是由于黑客的懒惰和人的本性。
●大多数专业人士也不进行转换 这令大部分人感到惊讶。只要执行蜜罐几年的时间,您就可以很快区分自动攻击、脚本黑客和专业人士之间的差异。过去五年以来,系统报告了上百万次对我的蜜罐的攻击,我却从来没看过专业人士在有假管理员帐户时进行 SID 转换。
【责编:Zenghui】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
2008-6-16
