发布日期：2002-01-21
更新日期：2002-01-25

受影响系统：

Microsoft Windows NT Terminal Server
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0

描述：

---

BUGTRAQ  ID: 3933
CVE(CAN) ID: CVE-2002-2028

微软很多Windows版本具有限制和审计本地登录功能，可以定制自己的安全策略，比如多少无效登录后锁定相应帐号，并记录成功、失败次数。

设计Windows 2000系统时，一台锁定中的机器并不产生安全日志。假设某人已经知道你的口令，他/她可以利用这点登录、入侵、重新锁定，此时你无法察觉到这次入侵。

而所有版本的Windows NT在下列任一条件满足的情况下，针对一次成功登录只产生安全事件539(已锁定帐号在做无效登录)的日志，而不是应有的安全事件528(成功登录)。

1. 由于既定安全策略，一个帐号只剩一次机会就要被锁定了
2. 机器已经被锁定
3. 因为理由1，帐号已经被锁定
4. 缺省配置下，允许一个锁定中的帐号解锁一台机器
5. 攻击者已经知道口令，或者可以很快猜出口令

Windows XP存在另外一个问题，比如安全策略指定3次无效登录后锁定帐号，但XP中会在2次无效登录后锁定帐号。

一台单独的(不属于一个域)Windows XP存在第三个问题。假设一个非法用户输入错误的口令导致合法帐号被锁定了。现在合法用户回来了，当他/她登录时，看到的是""Did you forget your password"，即使输入了正确的口令。当ForceUnlockLogon设置成1时Windows 2000存在同样的问题。不过，Windows NT 4不存在这样的问题，总是能正确地提示用户。

<*来源：Frank Heyne （fh@rcs.urz.tu-dresden.de）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0274.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

不需要单独的测试程序，直接参照漏洞描述进行测试

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 微软在知识库Q188700中给出了临时解决办法:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q188700

利用regedit.exe增加如下键值

Key    : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value  : ForceUnlockLogon
Type   : DWORD
Content: 1 (on) or 0 (off)

微软说必须重启才能生效，但在Frank Heyne的所有测试中，无需重启立即生效。当ForceUnlockLogon设置成1时，一个锁定中的帐号无法解锁一台锁定的机器。这意味着攻击者无法利用这个漏洞逃避检测。

尽管微软承诺在未来的NT Service Pack中修正此问题，但似乎不可能有NT SP7发布了。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，可以按照临时解决方法中的建议进行处理。

浏览次数：4231
严重程度：0（网友投票）