專職的網絡和系統安全管理人員在日復一日的進行著補丁更新、系統升級,每天都要重復安全警告、硬件故障、漏洞掃描以及密碼反破解等工作,但很有必要從這些煩雜的瑣事中抽身出來,認真了解一下到底哪些才是網絡安全的最大敵人,只有這樣你才能了解是否浪費資源或是忽略了關鍵問題。 SANS(System Administration, Networking, Security-系統管理、網絡和安全學會)和NIPC(國家基礎保護中心)在最近聯合發布了與互聯網相關的SANS/FBI 20大系統安全威脅列表。(注一) 經驗豐富的網絡管理員可以參考這份安全威脅列表,針對以往工作中可能疏漏的地方,在各自管理的網絡和系統中進行一次快速、徹底的清查,同時這份列表對於剛接觸網絡管理工作的工作人員更有幫助,可以按圖索骥地查找各種可能存在的系統漏洞和危險,以便能夠及時關掉最危險的漏洞。 這篇文章強集中討論列表中涉及的Windows系統漏洞,還包括SANS建議關閉的防火牆管理端口以防止大多數的攻擊,幫助管理員有足夠的時間來安裝合適的補丁軟件。 如果要得到更多的參考資料,請訪問2002年5月2日發布的Top 20 List 以及2001年發布的Top 10 list。 Windows 漏洞 來自SANS/FBI聯合發表的報告並非只是簡單的列表。它提供了關於漏洞和如何解決的頗有價值的信息。用戶可以根據這份原創報告來找出更多的特定漏洞。 以下列出了以往找出的Windows系統存在重大漏洞的服務名單: W1 IIS(互聯網信息服務器) W2 微軟數據訪問部件(MDAC)-遠程數據服務 W3 微軟SQL Server W4 NETBIOS-不受保護的Windows網絡共享 W5 匿名登入 -- Null Sessions(空會話,注二) W6 LAN Manager 身份認證 -易被攻擊的LAN Manager口令散列(注三) W7 一般Windows身份認證-帳戶密碼太脆弱或干脆為空 W8 IE浏覽器漏洞 W9 遠程注冊表訪問 W10 WSH(Windows腳本主機服務) 讓我們進一步了解上述漏洞。 1. IIS服務器 微軟的IIS服務器存在緩存溢出漏洞,它難以合適地過濾客戶端請求,執行應用腳本的能力較差。部分問題可以通過已發布的補丁解決,但每次IIS的新版本發布都帶來新的漏洞,因此IIS出現安全漏洞並不能完全歸罪於網管的疏漏。建議管理人員運行HFNetChk來檢查目前可更新的補丁。 適用性說明——Windows NT 4運行 IIS 4, Windows 2000 運行IIS 5,Windows XP Pro運行 IIS 5.1 。 修復方法——安裝補丁文件。為你的系統安裝最新的IIS補丁,並在IIS中排除惡意用戶的訪問IP地址(相關解釋見 )。刪除IIS中缺省支持的ISAPI擴展名,諸如:.htr、.idq、.ism以及.printer,這些可執行腳本的擴展名在IIS安裝時缺省支持,但用戶很少會需要它們。刪除\inetput\wwwroot\scripts目錄中的腳本樣本文件。同樣,在進行IIS安裝時不要安裝遠程管理工具。 2. MDAC 微軟數據訪問部件的遠程數據服務單元有一個編碼錯誤,遠程訪問用戶有可能通過這一漏洞獲得遠程管理的權限,並有可能使數據庫遭到外部匿名攻擊。 適用性說明——NT 4.0系統運行IIS 3.0和4.0,RDS 1.5或是 VS 6.0。 修復方法——升級MDAC到2.1或更新的版本,或者基於以下發布的方法進行系統配置: Q184375 MS98-004 MS99-025 從上述公告發布的時間可以看出,這些漏洞是所謂的well-know (著名的) 漏洞。實際上上述漏洞常被用來攻擊Windows網絡 ,尤其是那些較早的系統。 3. 微軟SQL數據庫 Internet Storm Center始終在警告用戶微軟SQL數據庫的1433端口是攻擊者必定掃描的十大現存漏洞端口之一。 適用性說明——SQL服務器7.0,SQL服務器2000以及SQL桌面安裝版本。 修復方法——根據各自的系統安裝下面的其中一個補丁: SQL Server 7.0 服務包 4 SQL Server 2000 服務包 2 4. NETBIOS/Windows網絡共享 由於使用了服務器信息塊(SMB) 協議或通用互聯網文件系統(CIFS),5自學網,將使遠程用戶可以訪問本地文件,但也向攻擊者開放了系統。 適用性說明——所有的windows系統。 風險——肆虐一時的Sircam和Nimda蠕蟲病毒都利用這一漏洞進行攻擊和傳播,自學教程,因此用戶對此絕對不能掉以輕心。 修復方法——限制文件的訪問共享,並指定特定IP的訪問限制以避免域名指向欺騙。關閉不必要的文件服務,取消這一特性並關閉相應端口。 注一:SANS(System Administration, Networking, and Security-系統管理、網絡和安全學會)SANS和FBI已經陸續聯合發表多個網絡安全危險名單,這似乎已經成了一個慣例。 注二:Null Session被認為是WIN2K自帶的一個後門。當建立一個空會話之後,對於一台配置不到位的WIN2K服務器來說,那麼將能夠得到非常多的信息,比如枚舉帳號等等。更詳細的解釋請參照: 注三:微軟在Windows NT 和 2000系統裡缺省安裝了LAN Manager口令散列。由於LAN Manager使用的加密機制比微軟現在的方法脆弱,LAN Manager的口令能在很短的時間內被破解。 5. 匿名登錄 Window操作系統的帳戶服務至關重要,但一旦用戶通過匿名登錄進程(空對話)後就可以匿名訪問其它系統中的文件。不幸的是,這意味著攻擊者也可以匿名進入系統。 適用性說明——Windows NT, 2000以及XP系統 修復方法——用戶唯一可以補救的就是修改注冊表限制這一潛在的威脅。在SANS的列表中提出了若干建議可供參考執行 6. LAN Manager身份認證(被攻擊的LAN Manager口令散列) 盡管Windows的大多數用戶不再需要LAN Manager的支持,微軟還是在Windows NT 和 2000系統裡缺省安裝了LAN Manager口令散列。由於LAN Manager使用的早期加密機制比微軟現在的方法脆弱,即使相當強健的LAN Manager的口令也能在很短的時間內被破解。 適用性說明——所有的Windows操作系統: 缺省安裝的Windows NT,Windows 2000,Windows XP都存在這一漏洞。 修復方法——只要用戶用不到它,就盡快取消LM認證支持, 具體詳情還可以參照以下內容:
"如何取消NT系統的LM審核功能" [Q147706] "LM兼容級別和影響" [Q175641] "如何在Windows 95/98/2000及NT系統中支持NTLM 2審核" [Q239869] "在活動目錄和安全帳戶管理的注冊表鍵值中取消LM Hash審核" [Q299656] 7. Window 密碼 脆弱的密碼是管理人員的心腹大患。盡管各種系統設置都要求用戶使用足夠強壯的密碼並進行定期更換,但用戶往往抱怨系統管理員做出的各種限制,這就引發了訪問控制的脆弱性。 既然這一漏洞名列第七大系統漏洞,系統管理員就可以理直氣壯地要求用戶遵守足夠強壯的密碼策略。 適用性說明——所有使用密碼保護的系統和應用軟件。 修復方法——筆者不想再贅述其他的密碼建立和保護途徑,這屬於用戶和管理方面的問題。誰都不會忽略強壯密碼的重要性,但關鍵是如何把這一原則貫徹始終。 8. IE浏覽器 對於IE浏覽器的用戶有以下幾個方面的威脅 ActiveX控件 腳本漏洞 MIME 類型和內容的誤用 緩存區溢出 風險——Cookies 和其它本地文件有可能被利用來威脅系統安全,惡意代碼有可能趁虛而入安裝並運行,甚至惡意代碼可以執行刪除和格式化硬盤的命令。 修復方法——升級並安裝補丁文件。微軟不再支持版本早於5.01的IE浏覽器,因此用戶必須升級到5.01或更高版本。完成浏覽器升級到IE5.01或5.5後,安裝IE 5.01服務包2或IE 5.5服務包2 。然後安裝安全補丁的最新累積版本Q32375。 9. 注冊表訪問 在任何Windows系統中,注冊表都是最重要的文件,而允許遠程訪問注冊表將帶來很大危害。 適用性說明——所有的Windows版本:在NT Resource Kit(資源套件)中有一個軟件 regdump.exe ,可以用來測試系統是否開放了遠程注冊表訪問權限。 修復方法——限制訪問:這並非是軟件的bug,而是Windows系統所具備的一個特性,因此用戶必須通過限制訪問權限來避免潛在的威脅。 微軟知識庫的文章Q153183說明了如何限制遠程訪問NT系統注冊表,而SANS/FBI報告中也提到了幾種方法來限制授權和非授權的遠程注冊表訪問。 10. WSH (Windows腳本主機服務 用VB來編輯宏非常方便,但類似愛蟲和其它VB腳本蠕蟲病毒卻可以給用戶系統帶來難以預見的災難,用戶無意間下載的該類惡意腳本文件,很可能通過WSH服務自動在系統中執行。 適用性說明——任何Windows系統 修復方法——取消WSH:按賽門鐵克公司Symantec或Sophos)提供的方法取消系統中WSH服務,這樣惡意VB腳本就無法自動執行了。然後運行反病毒軟件並保證病毒定義庫的同步更新,以降低此類安全問題的風險。 結語: 用戶要時刻謹記,上面提到的內容很可能就是那些黑客尤其是Script Kiddies(指那些只會用別人編寫的程序和代碼進行漏洞掃描和攻擊的人)所知道的漏洞和入口。惡意攻擊者會最先對上述漏洞下手,因此建議你參照上述內容及時對系統進行升級和修復。