[转载]让黑客无处下手 未知漏洞的预防技巧
<P>信息来源:安全中国</P><P>还记得“震荡波”病毒的危害吗?“震荡波”病毒的起因在于LSA服务的漏洞,它是Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。利用上述漏洞,“震荡波”病毒在系统上取得控制权后,打开端口并绑定cmd.exe,然后连接上来,通过ftp方式将蠕虫自身传输到系统目录下,传输完毕后,蠕虫文件就会被执行,系统就开始出现一些中毒的异常现象。可见,漏洞正成为病毒攻击的一个重要缺口。正所谓“无风不起浪”,我们必须对Windows操作系统的漏洞以及补丁有一定的了解。如果我们能预知系统的一些缺陷,让黑客无处下手,岂非妙哉?下面我们来看看一些预防未知漏洞的技巧。</P>
<P> <STRONG> 一、漏洞与补丁</STRONG></P>
<P> <STRONG>1、漏洞基础知识</STRONG></P>
<P> 微软公司的产品补丁分为2类,即SP(Service Pack)和HotFixes。SP集合一段时间发布的HotFixes的大补丁,一般称为SP补丁程序,命名规则为SP1、SP2等,一段时间就会发布一次。HotFixes是小补丁,一般称为热修复补丁程序,它位于当前SP和下一个SP之间,是为解决微软网站上最新安全告示(Security bulletin)中的系统漏洞而发布的,命名规则为“MS年份-序号”,比如MS04-011表示2004年的第11个HotFixes。了解这些基本的命名规则后,我们就可以有的放矢的进行操作了。</P>
<P> <STRONG>2、漏洞检测方法</STRONG></P>
<P> 系统都已经安装了哪些补丁,我们需要心中有数,如何能够获得这些信息呢?微软公司有一套免费的系统检测工具“微软基线安全分析仪(MBSA)”,软件下载地址为:[url]http://www.microsoft.com/technet/security/tools/mbsahome.mspx[/url]。它可以确定企业的服务器和工作站已经安装了哪些软件更新,MBSA 将报告系统未安装的安全更新和 Service Pack,并为已经安装的Windows Server 2003、Windows XP、Windows 2000 和 Windows NT等操作系统标识漏洞。安装此软件,对系统扫描后将生成一份检测报告,该报告将列举系统中存在的所有漏洞和弱点。安装该软件后,在打开的界面中,单击“Start”即可开始扫描。扫描完毕,如图1所示。</P>
<P><IMG src="http://searchwindowssecurity.techtarget.com.cn/imagelist/06/03/95dizo4y5gv9.jpg" border=0></P>
<P> 图1</P>
<P> 单击“View a secutity report”,可以给出一份安全报告,包括本机安装了哪些补丁,并可以提示用户安装哪些补丁。在“View security report”窗口中,单击“What was scanned”、“Result details”等链接,可以得到详细的报告。如果需要修复这些漏洞,可以单击“How to correct this”链接,软件将提示详细操作步骤和安装补丁的详细地址。</P>
<P> <STRONG>3、部署局域网内部的漏洞防范服务</STRONG></P>
<P> 对于局域网的网管员来说,除了要争取在第一时间为自己管辖的所有服务器升级外,还要为客户端下载适用于多种平台、多种语言环境的补丁包,之后还要检验这些补丁包是否都升级到位。往往一个补丁还未处理完毕,另一补丁又来了,麻烦程度可想而知,如果要防范漏洞,必须首先从局域网内部开始。微软推出的SUS(Software Update Services)服务可以帮助我们解决这个问题。</P>
<P> SUS下载地址:[url]http://go.microsoft.com/fwlink/?LinkId=22337[/url]</P>
<P> 客户端:[url]http://www.microsoft.com/windowsserversystem/sus/default.mspx[/url]</P>
<P> 软件下载后,选择典型安装,但要注意分区,因为下载中英文版的补丁就要占用1GB的硬盘空间。需要说明的是,SUS服务只提供关键性更新,如果版本较高,则不在此服务范围内。不过,微软公司将在今年推出SUS2.0,其强大的功能也值得我们期待。</P>
<P><STRONG>二、停止不必要的服务</STRONG></P>
<P> 在进行系统的设置时,我们只要记住一个原则,那就是:最小的权限+最少的服务=最大的安全。虽然开很多服务可以给管理带来方便,但如果对当前的服务不了解,最好关掉,免得给系统带来灾难。进入控制面板的“管理工具”,运行“服务”,进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页“启动类型”一栏,选择“已禁用”,单击“确定”按钮即可。如图2所示。</P>
<P><IMG src="http://searchwindowssecurity.techtarget.com.cn/imagelist/06/03/vjr7mk585i61.jpg" border=0></P>
<P> 图2</P>
<P> 把这些服务停止之后,不仅能保证Windows 2000的安全性,还可以提高其运行速度呢,可谓一举两得。通过以上的操作,我们就可以堵住黑客入侵时的必经之路,从而保障主机的安全性。现列出一些常用的服务供参考:</P>
<P>
<TABLE style="WIDTH: 506px; HEIGHT: 885px" borderColor=#000000 cellSpacing=0 cellPadding=0 width=506 bgColor=#ffffff border=1 heihgt="">
<TBODY>
<TR>
<TD>显示名称</TD>
<TD>描述</TD></TR>
<TR>
<TD>Alerter</TD>
<TD>通知所选用户和计算机有关系统管理级警报。</TD></TR>
<TR>
<TD>Application Management</TD>
<TD>提供软件安装服务,诸如分派、发行以及删除。</TD></TR>
<TR>
<TD>ClipBook</TD>
<TD>支持“剪贴簿查看器”,以便从远程剪贴簿查阅剪贴页面。</TD></TR>
<TR>
<TD>COM+ Event System</TD>
<TD>提供事件的自动发布到订阅 COM 组件。</TD></TR>
<TR>
<TD>Computer Browser</TD>
<TD>维护网络上计算机的最新列表以及提供这个列表给请求的程序。</TD></TR>
<TR>
<TD>DHCP Client</TD>
<TD>通过注册和更改IP地址以及 DNS 名称来管理网络配置。</TD></TR>
<TR>
<TD>Distributed Link Tracking Client</TD>
<TD>文件在网络域的NTFS 卷中移动时发送通知。</TD></TR>
<TR>
<TD>Distributed Transaction Coordinator</TD>
<TD>并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。</TD></TR>
<TR>
<TD>DNS Client</TD>
<TD>解析和缓冲域名系统 (DNS) 名称。</TD></TR>
<TR>
<TD>Event Log</TD>
<TD>记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息。您可以在“事件查看器”中查看报告。</TD></TR>
<TR>
<TD>Fax Service</TD>
<TD>帮助您发送和接收传真</TD></TR>
<TR>
<TD>Indexing Service</TD>
<TD>本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。</TD></TR>
<TR>
<TD>Internet Connection Sharing</TD>
<TD>为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、定址以及名称解析服务。</TD></TR>
<TR>
<TD>IPSEC Policy Agent</TD>
<TD>管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。</TD></TR>
<TR>
<TD>Logical Disk Manager</TD>
<TD>逻辑磁盘管理器监视狗服务</TD></TR>
<TR>
<TD>Logical Disk Manager Administrative Service</TD>
<TD>磁盘管理请求的系统管理服务</TD></TR>
<TR>
<TD>Message Queuing</TD>
<TD>为分布的、异步消息应用程序提供通讯基础结构。</TD></TR>
<TR>
<TD>Messenger</TD>
<TD>发送和接收系统管理员或者“警报器”服务传递的消息。</TD></TR>
<TR>
<TD>Net Logon</TD>
<TD>支持网络上计算机 pass-through 账户登录身份验证事件。</TD></TR>
<TR>
<TD>NetMeeting Remote Desktop Sharing</TD>
<TD>允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。</TD></TR>
<TR>
<TD>Network Connections</TD>
<TD>管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。</TD></TR>
<TR>
<TD>Network DDE</TD>
<TD>提供动态数据交换 (DDE) 的网络传输和安全特性。</TD></TR>
<TR>
<TD>Network DDE DSDM</TD>
<TD>管理网络 DDE 的共享动态数据交换</TD></TR>
<TR>
<TD>NT LM Security Support Provider</TD>
<TD>为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。</TD></TR>
<TR>
<TD>Performance Logs and Alerts</TD>
<TD>配置性能日志和警报。</TD></TR>
<TR>
<TD>Plug and Play</TD>
<TD>管理设备安装以及配置,并且通知程序关于设备更改的情况。</TD></TR>
<TR>
<TD>Print Spooler</TD>
<TD>将文件加载到内存中以便迟后打印。</TD></TR>
<TR>
<TD>Protected Storage</TD>
<TD>提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非法访问。</TD></TR>
<TR>
<TD>QoS RSVP</TD>
<TD>为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。</TD></TR>
<TR>
<TD>Remote Access Connection Manager</TD>
<TD>创建网络连接。</TD></TR>
<TR>
<TD>RPC</TD>
<TD>提供终结点映射程序 (endpoint mapper) 以及其它服务。</TD></TR>
<TR>
<TD>PRCSs Locator</TD>
<TD>管理 RPC 名称服务数据库。</TD></TR>
<TR>
<TD>Remote Registry Service</TD>
<TD>允许远程注册表操作。</TD></TR>
<TR>
<TD>Removable Storage</TD>
<TD>管理可移动媒体、驱动程序和库。</TD></TR>
<TR>
<TD>Routing and Remote Access</TD>
<TD>在局域网以及广域网环境中为企业提供路由服务。</TD></TR>
<TR>
<TD>RunAs Service</TD>
<TD>在不同凭据下启用启动过程</TD></TR>
<TR>
<TD>Security Accounts Manager</TD>
<TD>存储本地用户账户的安全信息。</TD></TR>
<TR>
<TD>Server</TD>
<TD>提供 RPC 支持、文件、打印以及命名管道共享。</TD></TR>
<TR>
<TD>Simple TCP/IP Services</TD>
<TD>支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。</TD></TR>
<TR>
<TD>Smart Card</TD>
<TD>对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。</TD></TR>
<TR>
<TD>Smart Card Helper</TD>
<TD>提供对连接到计算机上旧式智能卡的支持。</TD></TR>
<TR>
<TD>System Event Notification</TD>
<TD>跟踪系统事件,如登录 Windows,网络以及电源事件等。将这些事件通知给 COM+ 事件系统 “订阅者(subscriber)”。</TD></TR>
<TR>
<TD>Task Scheduler</TD>
<TD>允许程序在指定时间运行。</TD></TR>
<TR>
<TD>TCP/IP NetBIOS Helper Service</TD>
<TD>允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。</TD></TR>
<TR>
<TD>Telephony</TD>
<TD>提供 TAPI 的支持,以便程序控制本地计算机、服务器以及 LAN 上的电话设备和基于 IP 的语音连接。</TD></TR>
<TR>
<TD>Telnet</TD>
<TD>允许远程用户登录到系统并且使用命令行运行控制台程序。</TD></TR>
<TR>
<TD>Uninterruptible Power Supply</TD>
<TD>管理连接到计算机的不间断电源(UPS)。</TD></TR>
<TR>
<TD>Utility Manager</TD>
<TD>从一个窗口中启动和配置辅助工具</TD></TR>
<TR>
<TD>Windows Installer</TD>
<TD>依据.MSI 文件中包含的命令来安装、修复以及删除软件。</TD></TR>
<TR>
<TD>Windows Time</TD>
<TD>设置计算机时钟。</TD></TR></TBODY></TABLE></P> <STRONG>三、卸载不必要的协议</STRONG>
<P> 对于服务器和主机来说,在配置系统协议时,一般只安装TCP/IP协议就够了。右键单击“网络邻居”,选择“属性”,双击“本地连接”,选择“属性”,卸载不必要的协议。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS给关闭,避免针对NETBIOS的攻击。选择[TCP/IP协议]→[属性]→[高级],进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。</P>
<P><IMG src="http://searchwindowssecurity.techtarget.com.cn/imagelist/06/03/p0h1t3g2di1i.jpg" border=0></P>
<P> 图3</P>
<P> <STRONG>四、关闭不必要的端口</STRONG></P>
<P> 端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,所以端口配置正确与否直接影响到主机的安全。对于那些我们根本用不着的功能,就没必要将端口打开了。如可以关闭137、138、139和445端口。</P>
<P> 对于Windows 2000来说,只能规定打开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦,而且由于端口过滤有时会阻塞合法的连接,占用的资源太多,对主机性能有些影响。所以一般只在网络边界的网关上进行端口过滤,在一般的Windows主机上可以不做。</P>
<P> 另外,如果需要同时对协议和端口进行限制,也可采用以下方法。打开“网上邻居”上的“属性”,再双击“本地连接”,单击“属性”按钮,在弹出的对话框中打开“Internet协议(TCP/IP)”选项,在弹出的属性面板中单击“高级”按钮,进入“高级TCP/IP设置”,打开“选项”卡,选中“TCP/IP筛选”并单击“属性”按钮,勾选“启用TCP/IP筛选”,对相关的TCP、UDP端口和协议统一进行设置即可。如图4所示。</P>
<P><IMG src="http://searchwindowssecurity.techtarget.com.cn/imagelist/06/03/5qlk4ll0782f.jpg" border=0></P>
<P> 图4</P>
<P> 从以上分析可以看出,防范的方法主要在于切断病毒和黑客的攻击路径,从而打造一个相对安全的环境。实际使用过程中,我们还可以通过防火墙等方式进行端口和其他攻击方面的设置,从而彻底保证系统的安全。</P>
页:
[1]