專(zhuān)職的網(wǎng)絡(luò)和系統(tǒng)安全管理人員在日復(fù)一日的進(jìn)行著補(bǔ)丁更新、系統(tǒng)升級(jí)，每天都要重復(fù)安全警告、硬件故障、漏洞掃描以及密碼反破解等工作，但很有必要從這些煩雜的瑣事中抽身出來(lái)，認(rèn)真了解一下到底哪些才是網(wǎng)絡(luò)安全的最大敵人，只有這樣你才能了解是否浪費(fèi)資源或是忽略了關(guān)鍵問(wèn)題。

SANS（System Administration， Networking， Security-系統(tǒng)管理、網(wǎng)絡(luò)和安全學(xué)會(huì)）和NIPC（國(guó)家基礎(chǔ)保護(hù)中心）在最近聯(lián)合發(fā)布了與互聯(lián)網(wǎng)相關(guān)的SANS/FBI 20大系統(tǒng)安全威脅列表。（注一）

經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)管理員可以參考這份安全威脅列表，針對(duì)以往工作中可能疏漏的地方，在各自管理的網(wǎng)絡(luò)和系統(tǒng)中進(jìn)行一次快速、徹底的清查，同時(shí)這份列表對(duì)于剛接觸網(wǎng)絡(luò)管理工作的工作人員更有幫助，可以按圖索驥地查找各種可能存在的系統(tǒng)漏洞和危險(xiǎn)，以便能夠及時(shí)關(guān)掉最危險(xiǎn)的漏洞。

這篇文章強(qiáng)集中討論列表中涉及的Windows系統(tǒng)漏洞，還包括SANS建議關(guān)閉的防火墻管理端口以防止大多數(shù)的攻擊，幫助管理員有足夠的時(shí)間來(lái)安裝合適的補(bǔ)丁軟件。

如果要得到更多的參考資料，請(qǐng)?jiān)L問(wèn)2002年5月2日發(fā)布的Top 20 List 以及2001年發(fā)布的Top 10 list。

Windows 漏洞

來(lái)自SANS/FBI聯(lián)合發(fā)表的報(bào)告并非只是簡(jiǎn)單的列表。它提供了關(guān)于漏洞和如何解決的頗有價(jià)值的信息。用戶可以根據(jù)這份原創(chuàng)報(bào)告來(lái)找出更多的特定漏洞。

以下列出了以往找出的Windows系統(tǒng)存在重大漏洞的服務(wù)名單：

W1 IIS（互聯(lián)網(wǎng)信息服務(wù)器）
W2 微軟數(shù)據(jù)訪問(wèn)部件（MDAC）－遠(yuǎn)程數(shù)據(jù)服務(wù)
W3 微軟SQL Server
W4 NETBIOS－不受保護(hù)的Windows網(wǎng)絡(luò)共享
W5 匿名登入 -- Null Sessions（空會(huì)話，注二）
W6 LAN Manager 身份認(rèn)證 －易被攻擊的LAN Manager口令散列（注三）
W7 一般Windows身份認(rèn)證－帳戶密碼太脆弱或干脆為空
W8 IE瀏覽器漏洞
W9 遠(yuǎn)程注冊(cè)表訪問(wèn)
W10 WSH（Windows腳本主機(jī)服務(wù)）

讓我們進(jìn)一步了解上述漏洞。

1.IIS服務(wù)器

微軟的IIS服務(wù)器存在緩存溢出漏洞，它難以合適地過(guò)濾客戶端請(qǐng)求，執(zhí)行應(yīng)用腳本的能力較差。部分問(wèn)題可以通過(guò)已發(fā)布的補(bǔ)丁解決，但每次IIS的新版本發(fā)布都帶來(lái)新的漏洞，因此IIS出現(xiàn)安全漏洞并不能完全歸罪于網(wǎng)管的疏漏。建議管理人員運(yùn)行HFNetChk來(lái)檢查目前可更新的補(bǔ)丁。

適用性說(shuō)明——Windows NT 4運(yùn)行 IIS 4， Windows 2000 運(yùn)行IIS 5，Windows XP Pro運(yùn)行 IIS 5.1。

修復(fù)方法——安裝補(bǔ)丁文件。為你的系統(tǒng)安裝最新的IIS補(bǔ)丁，并在IIS中排除惡意用戶的訪問(wèn)IP地址（相關(guān)解釋見(jiàn)：http://www.microsoft.com/technet/security/tools/urlscan.asp）。刪除IIS中缺省支持的ISAPI擴(kuò)展名，諸如：.htr、.idq、.ism以及.printer，這些可執(zhí)行腳本的擴(kuò)展名在IIS安裝時(shí)缺省支持，但用戶很少會(huì)需要它們。刪除\inetput\wwwroot\scripts目錄中的腳本樣本文件。同樣，在進(jìn)行IIS安裝時(shí)不要安裝遠(yuǎn)程管理工具。

2.MDAC

微軟數(shù)據(jù)訪問(wèn)部件的遠(yuǎn)程數(shù)據(jù)服務(wù)單元有一個(gè)編碼錯(cuò)誤，遠(yuǎn)程訪問(wèn)用戶有可能通過(guò)這一漏洞獲得遠(yuǎn)程管理的權(quán)限，并有可能使數(shù)據(jù)庫(kù)遭到外部匿名攻擊。

適用性說(shuō)明——NT 4.0系統(tǒng)運(yùn)行IIS 3.0和4.0，RDS 1.5或是 VS 6.0。

修復(fù)方法——升級(jí)MDAC到2.1或更新的版本，或者基于以下發(fā)布的方法進(jìn)行系統(tǒng)配置：

Q184375
MS98-004
MS99-025

從上述公告發(fā)布的時(shí)間可以看出，這些漏洞是所謂的well-know (著名的) 漏洞。實(shí)際上上述漏洞常被用來(lái)攻擊Windows網(wǎng)絡(luò) ，尤其是那些較早的系統(tǒng)。

3.微軟SQL數(shù)據(jù)庫(kù)

Internet Storm Center始終在警告用戶微軟SQL數(shù)據(jù)庫(kù)的1433端口是攻擊者必定掃描的十大現(xiàn)存漏洞端口之一。

適用性說(shuō)明——SQL服務(wù)器7.0，SQL服務(wù)器2000以及SQL桌面安裝版本。

修復(fù)方法——根據(jù)各自的系統(tǒng)安裝下面的其中一個(gè)補(bǔ)丁：

SQL Server 7.0 服務(wù)包 4
SQL Server 2000 服務(wù)包 2

4.NETBIOS/Windows網(wǎng)絡(luò)共享

由于使用了服務(wù)器信息塊(SMB) 協(xié)議或通用互聯(lián)網(wǎng)文件系統(tǒng)(CIFS)，將使遠(yuǎn)程用戶可以訪問(wèn)本地文件，但也向攻擊者開(kāi)放了系統(tǒng)。

適用性說(shuō)明——所有的windows系統(tǒng)。

風(fēng)險(xiǎn)——肆虐一時(shí)的Sircam和Nimda蠕蟲(chóng)病毒都利用這一漏洞進(jìn)行攻擊和傳播，因此用戶對(duì)此絕對(duì)不能掉以輕心。

修復(fù)方法——限制文件的訪問(wèn)共享，并指定特定IP的訪問(wèn)限制以避免域名指向欺騙。關(guān)閉不必要的文件服務(wù)，取消這一特性并關(guān)閉相應(yīng)端口。

注一：SANS（System Administration， Networking， and Security-系統(tǒng)管理、網(wǎng)絡(luò)和安全學(xué)會(huì)）SANS和FBI已經(jīng)陸續(xù)聯(lián)合發(fā)表多個(gè)網(wǎng)絡(luò)安全危險(xiǎn)名單，這似乎已經(jīng)成了一個(gè)慣例。

注二：Null Session被認(rèn)為是WIN2K自帶的一個(gè)后門(mén)。當(dāng)建立一個(gè)空會(huì)話之后，對(duì)于一臺(tái)配置不到位的WIN2K服務(wù)器來(lái)說(shuō)，那么將能夠得到非常多的信息，比如枚舉帳號(hào)等等。更詳細(xì)的解釋請(qǐng)參照：

http://www.20cn.net/ns/hk/hacker/data/20020819051358.htm

注三：微軟在Windows NT 和 2000系統(tǒng)里缺省安裝了LAN Manager口令散列。由于LAN Manager使用的加密機(jī)制比微軟現(xiàn)在的方法脆弱，LAN Manager的口令能在很短的時(shí)間內(nèi)被破解。