WINDOWS最危险的十个漏洞

InternetStormCenter InternetStormCenter 始终在警告用户微软 SQL数据库的1433端口是攻击者必定扫描WINDOWS 最危险的十个漏洞2006-11-24专职的网络和系统安全管理人员在日复一日的进行着补丁更新、系统升级，每天都要重复安全警告、硬件故障、漏洞扫描以及密码反破解等工作，但很有必要从这些烦杂的琐事中抽身出来，认真了解一下到底哪些才是网络安全的最大敌人，只有这样你才能了解是否浪费资源或是忽略了关键问题。SANS（SystemAdministration ,Networking，Security-系统管理、网络和安全学会）和NIPC（国家基础保护中心）在最近联合发布了与互联网相关的 SANS/FBI20大系统安全威胁列表。（注一）经验丰富的网络管理员可以参考这份安全威胁列表，针对以往工作中可能疏漏的地方，在各自管理的网络和系统中进行一次快速、彻底的清查，同时这份列表对于刚接触网络管理工作的工作人员更有帮助，可以按图索骥地查找各种可能存在的系统漏洞和危险，以便能够及时关掉最危险的漏洞。这篇文章强集中讨论列表中涉及的 Windows系统漏洞，还包括SANS建议关闭的防火墙管理端口以防止大多数的攻击，帮助管理员有足够的时间来安装合适的补丁软件。如果要得到更多的参考资料，请访问 2002年5月2日发布的Top20List以及2001年发布的Top10list。Windows漏洞来自SANS/FBI联合发表的报告并非只是简单的列表。它提供了关于漏洞和如何解决的颇有价值的信息。用户可以根据这份原创报告来找出更多的特定漏洞。以下列出了以往找出的Windows系统存在重大漏洞的服务名单：W1IIS（互联网信息服务器） W2微软数据访问部件（MDAC—远程数据服务W3微软SQLServerW4NETBIOS—不受保护的Windows网络共享W5匿名登入--NullSessions（空会话，注二）W6LANManager身份认证—易被攻击的LANManager口令散列（注三）W7一般Windows身份认证-帐户密码太脆弱或干脆为空 W8IE浏览器漏洞W9远程注册表访问W10WS（Windows脚本主机服务）让我们进一步了解上述漏洞。1.IIS服务器微软的IIS服务器存在缓存溢出漏洞，它难以合适地过滤客户端请求，执行应用脚本的能力较差。部分问题可以通过已发布的补丁解决，但每次 IIS的新版本发布都带来新的漏洞，因此IIS出现安全漏洞并不能完全归罪于网管的疏漏。建议管理人员运行HFNetChk来检查目前可更新的补丁。TOC\o"1-5"\h\z适用性说明——WindowsNT4运行IIS4，Windows2000运行IIS5，WindowsXPPro运行IIS5.1 。修复方法一一安装补丁文件。为你的系统安装最新的 IIS补丁，并在IIS中排除恶意用户的访问IP地址（相关解释见：/technet/security/tools/urlscan.asp ）。删除IIS中缺省支持的ISAPI扩展名，诸如：.htr、.idq、.ism以及.printer，这些可执行脚本的扩展名在IIS安装时缺省支持，但用户很少会需要它们。删除 \inetput\wwwroot\scripts 目录中的脚本样本文件。同样，在进行 IIS安装时不要安装远程管理工具。MDAC微软数据访问部件的远程数据服务单元有一个编码错误，远程访问用户有可能通过这一漏洞获得远程管理的权限，并有可能使数据库遭到外部匿名攻击。适用性说明一一NT4.0系统运行IIS3.0和4.0,RDS1.5或是VS6.0。修复方法一一升级MDAC到2.1或更新的版本，或者基于以下发布的方法进行系统配置：Q184375MS98-004MS99-025从上述公告发布的时间可以看出，这些漏洞是所谓的 well-know（著名的）漏洞。实际上上述漏洞常被用来攻击 Windows网络，尤其是那些较早的系统。微软SQL数据库的十大现存漏洞端口之一。适用性说明一一SQL服务器7.0,SQL服务器2000以及SQL桌面安装版本。修复方法一一根据各自的系统安装下面的其中一个补丁：SQLServer7.0服务包4SQLServer2000服务包2NETBIOS/Windows网络共享由于使用了服务器信息块（SMB）协议或通用互联网文件系统（CIFS），将使远程用户可以访问本地文件，但也向攻击者开放了系统。适用性说明 所有的 windows系统。风险 肆虐一时的 Sircam和Nimda蠕虫病毒都利用这一漏洞进行攻击和传播，因此用户对此绝对不能掉以轻心。修复方法一一限制文件的访问共享，并指定特定 IP的访问限制以避免域名指向欺骗。关闭不必要的文件服务，取消这一特性并关闭相应端口。注一：SANS（SystemAdministration ，Networking，andSecurity-系统管理、网络和安全学会）SANS和FBI已经陆续联合发表多个网络安全危险名单，这似乎已经成了一个惯例。注二：NullSession被认为是WIN2K自带的一个后门。当建立一个空会话之后，对于一台配置不到位的WIN2K服务器来说，那么将能够得到非常多的信息，比如枚举帐号等等。更详细的解释请参照：http://www.20cn.net/ns/hk/hacker/data/20020819051358.htm注三：微软在WindowsNT和2000系统里缺省安装了LANManager口令散列。由于LANManager使用的加密机制比微软现在的方法脆弱， LANManager的口令能在很短的时间内被破解。匿名登录Window操作系统的帐户服务至关重要，但一旦用户通过匿名登录进程 （空对话）后就可以匿名访问其它系统中的文件。不幸的是，这意味着攻击者也可以匿名进入系统。适用性说明——WindowsNT,2000以及XP系统。修复方法一一用户唯一可以补救的就是修改注册表限制这一潜在的威胁。在 SANS的列表中提出了若干建议可供参考执行。LANManager身份认证（易被攻击的LANManager口令散列）尽管Windows的大多数用户不再需要 LANManager的支持，微软还是在WindowsNT和2000系统里缺省安装了 LANManager口令散列。由于LANManager使用的早期加密机制比微软现在的方法脆弱，即使相当强健的 LANManager的口令也能在很短的时间内被破解。适用性说明 所有的 Windows操作系统：缺省安装的WindowsNT，Windows2000，WindowsXP都存在这一漏洞。修复方法一一只要用户用不到它，就尽快取消 LM认证支持， 具体详情还可以参照以下内容："如何取消NT系统的LM审核功能"[Q147706]"LM兼容级别和影响"[Q175641]"如何在Windows95/98/2000及NT系统中支持NTLM2审核"[Q239869]"在活动目录和安全帐户管理的注册表键值中取消LMHash审核"[Q299656]Window密码脆弱的密码是管理人员的心腹大患。尽管各种系统设置都要求用户使用足够强壮的密码并进行定期更换，但用户往往抱怨系统管理员做出的各种限制，这就引发了访问控制的脆弱性。既然这一漏洞名列第七大系统漏洞，系统管理员就可以理直气壮地要求用户遵守足够强壮的密码策略。适用性说明一一所有使用密码保护的系统和应用软件。修复方法一一笔者不想再赘述其他的密码建立和保护途径，这属于用户和管理方面的问题。谁都不会忽略强壮密码的重要性，但关键是如何把这一原则贯彻始终。8.IE浏览器对于IE浏览器的用户有以下几个方面的威胁：ActiveX控件脚本漏洞MIME类型和内容的误用缓存区溢出风险——Cookies和其它本地文件有可能被利用来威胁系统安全，恶意代码有可能趁虚而入安装并运行，甚至恶意代码可以执行删除和格式化硬盘的命令。修复方法一一升级并安装补丁文件。微软不再支持版本早于 5.01的IE浏览器，因此用户必须升级到5.01或更高版本。完成浏览器升级到 IE5.01或5.5后，安装IE5.01服务包2或IE5.5服务包2。然后安装安全补丁的最新累积版本 Q32375注册表访问在任何Windows系统中，注册表都是最重要的文件，而允许远程访问注册表将带来很大危害。适用性说明 所有的 Windows版本：在NTResourceKit（资源套件）中有一个软件regdump.exe，可以用来测试系统是否开放了远程注册表访问权限。修复方法 限制访问：这并非是软件的 bug，而是Windows系统所具备的一个特性，因此用户必须通过限制访问权限来避免潜在的威胁。微软知识库的文章Q153183说明了如何限制远程访问 NT系统注册表，而SANS/FBI报告中也提到了几种方法来限制授权和非授权的远程注册表访问。WSH（Windows脚本主机服务）用VB来编辑宏非常方便，但类似爱虫和其它 VB脚本蠕虫病毒却可以给用户系统带来难以预见的灾难，用户无意间下载的该类恶意脚本文件，很可能通过 WSH服务自动在系统中执行。适用性说明 任何Windows系统。修复方法 取消WSH按赛门铁克公司S