1、漏洞基础知识
微软公司的产品补丁分为2类,即SP(Service Pack)和HotFixes。SP集合一段时间发布的HotFixes的大补丁,一般称为SP补丁程序,命名规则为SP1、SP2等,一段时间就会发布一次。HotFixes是小补丁,一般称为热修复补丁程序,它位于当前SP和下一个SP之间,是为解决微软网站上最新安全告示(Security bulletin)中的系统漏洞而发布的,命名规则为“MS年份-序号”,比如MS04-011表示2004年的第11个HotFixes。了解这些基本的命名规则后,我们就可以有的放矢的进行操作了。
2、漏洞检测方法 系统都已经安装了哪些补丁,我们需要心中有数,如何能够获得这些信息呢?微软公司有一套免费的系统检测工具“微软基线安全分析仪(MBSA)”,软件下载地址为:http://www.microsoft.com/technet/security/tools/mbsahome.mspx。它可以确定企业的服务器和工作站已经安装了哪些软件更新,MBSA 将报告系统未安装的安全更新和 Service Pack,并为已经安装的Windows Server 2003、Windows XP、Windows 2000 和 Windows NT等操作系统标识漏洞。安装此软件,对系统扫描后将生成一份检测报告,该报告将列举系统中存在的所有漏洞和弱点。安装该软件后,在打开的界面中,单击“Start”即可开始扫描。扫描完毕,如图1所示。
图1
单击“View a secutity report”,可以给出一份安全报告,包括本机安装了哪些补丁,并可以提示用户安装哪些补丁。在“View security report”窗口中,单击“What was scanned”、“Result details”等链接,可以得到详细的报告。如果需要修复这些漏洞,可以单击“How to correct this”链接,软件将提示详细操作步骤和安装补丁的详细地址。
3、部署局域网内部的漏洞防范服务
对于局域网的网管员来说,除了要争取在第一时间为自己管辖的所有服务器升级外,还要为客户端下载适用于多种平台、多种语言环境的补丁包,之后还要检验这些补丁包是否都升级到位。往往一个补丁还未处理完毕,另一补丁又来了,麻烦程度可想而知,如果要防范漏洞,必须首先从局域网内部开始。微软推出的SUS(Software Update Services)服务可以帮助我们解决这个问题。
SUS下载地址:http://go.microsoft.com/fwlink/?LinkId=22337
客户端:http://www.microsoft.com/windowsserversystem/sus/default.mspx
软件下载后,选择典型安装,但要注意分区,因为下载中英文版的补丁就要占用1GB的硬盘空间。需要说明的是,SUS服务只提供关键性更新,如果版本较高,则不在此服务范围内。不过,微软公司将在今年推出SUS2.0,其强大的功能也值得我们期待。
二、停止不必要的服务
在进行系统的设置时,我们只要记住一个原则,那就是:最小的权限+最少的服务=最大的安全。虽然开很多服务可以给管理带来方便,但如果对当前的服务不了解,最好关掉,免得给系统带来灾难。进入控制面板的“管理工具”,运行“服务”,进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页“启动类型”一栏,选择“已禁用”,单击“确定”按钮即可。如图2所示。
图2
把这些服务停止之后,不仅能保证Windows 2000的安全性,还可以提高其运行速度呢,可谓一举两得。通过以上的操作,我们就可以堵住黑客入侵时的必经之路,从而保障主机的安全性。现列出一些常用的服务供参考:
|
显示名称 |
描述 |
|
Alerter |
通知所选用户和计算机有关系统管理级警报。 |
|
Application Management |
提供软件安装服务,诸如分派、发行以及删除。 |
|
ClipBook |
支持“剪贴簿查看器”,以便从远程剪贴簿查阅剪贴页面。 |
|
COM+ Event System |
提供事件的自动发布到订阅 COM 组件。 |
|
Computer Browser |
维护网络上计算机的最新列表以及提供这个列表给请求的程序。 |
|
DHCP Client |
通过注册和更改IP地址以及 DNS 名称来管理网络配置。 |
|
Distributed Link Tracking Client |
文件在网络域的NTFS 卷中移动时发送通知。 |
|
Distributed Transaction Coordinator |
并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。 |
|
DNS Client |
解析和缓冲域名系统 (DNS) 名称。 |
|
Event Log |
记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息。您可以在“事件查看器”中查看报告。 |
|
Fax Service |
帮助您发送和接收传真 |
|
Indexing Service |
本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。 |
|
Internet Connection Sharing |
为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、定址以及名称解析服务。 |
|
IPSEC Policy Agent |
管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 |
|
Logical Disk Manager |
逻辑磁盘管理器监视狗服务 |
|
Logical Disk Manager Administrative Service |
磁盘管理请求的系统管理服务 |
|
Message Queuing |
为分布的、异步消息应用程序提供通讯基础结构。 |
|
Messenger |
发送和接收系统管理员或者“警报器”服务传递的消息。 |
|
Net Logon |
支持网络上计算机 pass-through 账户登录身份验证事件。 |
|
NetMeeting Remote Desktop Sharing |
允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。 |
|
Network Connections |
管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。 |
|
Network DDE |
提供动态数据交换 (DDE) 的网络传输和安全特性。 |
|
Network DDE DSDM |
管理网络 DDE 的共享动态数据交换 |
|
NT LM Security Support Provider |
为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。 |
|
Performance Logs and Alerts |
配置性能日志和警报。 |
|
Plug and Play |
管理设备安装以及配置,并且通知程序关于设备更改的情况。 |
|
Print Spooler |
将文件加载到内存中以便迟后打印。 |
|
Protected Storage |
提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非法访问。 |
|
QoS RSVP |
为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 |
|
Remote Access Connection Manager |
创建网络连接。 |
|
RPC |
提供终结点映射程序 (endpoint mapper) 以及其它服务。 |
|
PRCSs Locator |
管理 RPC 名称服务数据库。 |
|
Remote Registry Service |
允许远程注册表操作。 |
|
Removable Storage |
管理可移动媒体、驱动程序和库。 |
|
Routing and Remote Access |
在局域网以及广域网环境中为企业提供路由服务。 |
|
RunAs Service |
在不同凭据下启用启动过程 |
|
Security Accounts Manager |
存储本地用户账户的安全信息。 |
|
Server |
提供 RPC 支持、文件、打印以及命名管道共享。 |
|
Simple TCP/IP Services |
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 |
|
Smart Card |
对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 |
|
Smart Card Helper |
提供对连接到计算机上旧式智能卡的支持。 |
|
System Event Notification |
跟踪系统事件,如登录 Windows,网络以及电源事件等。将这些事件通知给 COM+ 事件系统 “订阅者(subscriber)”。 |
|
Task Scheduler |
允许程序在指定时间运行。 |
|
TCP/IP NetBIOS Helper Service |
允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。 |
|
Telephony |
提供 TAPI 的支持,以便程序控制本地计算机、服务器以及 LAN 上的电话设备和基于 IP 的语音连接。 |
|
Telnet |
允许远程用户登录到系统并且使用命令行运行控制台程序。 |
|
Uninterruptible Power Supply |
管理连接到计算机的不间断电源(UPS)。 |
|
Utility Manager |
从一个窗口中启动和配置辅助工具 |
|
Windows Installer |
依据.MSI 文件中包含的命令来安装、修复以及删除软件。 |
|
Windows Time |
设置计算机时钟。 |
三、卸载不必要的协议
四、关闭不必要的端口
对于服务器和主机来说,在配置系统协议时,一般只安装TCP/IP协议就够了。右键单击“网络邻居”,选择“属性”,双击“本地连接”,选择“属性”,卸载不必要的协议。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS给关闭,避免针对NETBIOS的攻击。选择[TCP/IP协议]→[属性]→[高级],进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
图3
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,所以端口配置正确与否直接影响到主机的安全。对于那些我们根本用不着的功能,就没必要将端口打开了。如可以关闭137、138、139和445端口。
对于Windows 2000来说,只能规定打开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦,而且由于端口过滤有时会阻塞合法的连接,占用的资源太多,对主机性能有些影响。所以一般只在网络边界的网关上进行端口过滤,在一般的Windows主机上可以不做。
另外,如果需要同时对协议和端口进行限制,也可采用以下方法。打开“网上邻居”上的“属性”,再双击“本地连接”,单击“属性”按钮,在弹出的对话框中打开“Internet协议(TCP/IP)”选项,在弹出的属性面板中单击“高级”按钮,进入“高级TCP/IP设置”,打开“选项”卡,选中“TCP/IP筛选”并单击“属性”按钮,勾选“启用TCP/IP筛选”,对相关的TCP、UDP端口和协议统一进行设置即可。如图4所示。
图4
从以上分析可以看出,防范的方法主要在于切断病毒和黑客的攻击路径,从而打造一个相对安全的环境。实际使用过程中,我们还可以通过防火墙等方式进行端口和其他攻击方面的设置,从而彻底保证系统的安全。http://netadmin.77169.com/HTML/20060307003159.html
