SANS(System Administration, Networking, Security-系统管理、网络和安全学会)和NIPC(国家基础保护中心)在最近联合发布了与互联网相关的SANS/FBI 20大系统安全威胁列表。(注一)
经验丰富的网络管理员可以参考这份安全威胁列表,针对以往工作中可能疏漏的地方,在各自管理的网络和系统中进行一次快速、彻底的清查,同时这份列表对于刚接触网络管理工作的工作人员更有帮助,可以按图索骥地查找各种可能存在的系统漏洞和危险,以便能够及时关掉最危险的漏洞。
这篇文章强集中讨论列表中涉及的Windows系统漏洞,还包括SANS建议关闭的防火墙管理端口以防止大多数的攻击,帮助管理员有足够的时间来安装合适的补丁软件。
如果要得到更多的参考资料,请访问2002年5月2日发布的Top 20 List 以及2001年发布的Top 10 list。
Windows 漏洞
来自SANS/FBI联合发表的报告并非只是简单的列表。它提供了关于漏洞和如何解决的颇有价值的信息。用户可以根据这份原创报告来找出更多的特定漏洞。
以下列出了以往找出的Windows系统存在重大漏洞的服务名单:
W1 IIS(互联网信息服务器) W2 微软数据访问部件(MDAC)-远程数据服务 W3 微软SQL Server W4 NETBIOS-不受保护的Windows网络共享 W5 匿名登入 -- Null Sessions(空会话,注二) W6 LAN Manager 身份认证 -易被攻击的LAN Manager口令散列(注三) W7 一般Windows身份认证-帐户密码太脆弱或干脆为空 W8 IE浏览器漏洞 W9 远程注册表访问 W10 WSH(Windows脚本主机服务) |
让我们进一步了解上述漏洞。
1.IIS服务器
微软的IIS服务器存在缓存溢出漏洞,它难以合适地过滤客户端请求,执行应用脚本的能力较差。部分问题可以通过已发布的补丁解决,但每次IIS的新版本发布都带来新的漏洞,因此IIS出现安全漏洞并不能完全归罪于网管的疏漏。建议管理人员运行HFNetChk来检查目前可更新的补丁。
适用性说明——Windows NT 4运行 IIS 4, Windows 2000 运行IIS 5,Windows XP Pro运行 IIS 5.1。
修复方法——安装补丁文件。为你的系统安装最新的IIS补丁,并在IIS中排除恶意用户的访问IP地址(相关解释见:http://www.microsoft.com/technet/security/tools/urlscan.asp)。删除IIS中缺省支持的ISAPI扩展名,诸如:.htr、.idq、.ism以及.printer,这些可执行脚本的扩展名在IIS安装时缺省支持,但用户很少会需要它们。删除\inetput\wwwroot\scripts目录中的脚本样本文件。同样,在进行IIS安装时不要安装远程管理工具。