让黑客无处下手 未知漏洞的预防技巧

古色古香米花糖

还记得“震荡波”病毒的危害吗？“震荡波”病毒的起因在于LSA服务的漏洞，它是Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。利用上述漏洞，“震荡波”病毒在系统上取得控制权后，打开端口并绑定cmd.exe，然后连接上来，通过ftp方式将蠕虫自身传输到系统目录下，传输完毕后，蠕虫文件就会被执行，系统就开始出现一些中毒的异常现象。可见，漏洞正成为病毒攻击的一个重要缺口。正所谓“无风不起浪”，我们必须对Windows操作系统的漏洞以及补丁有一定的了解。如果我们能预知系统的一些缺陷，让黑客无处下手，岂非妙哉？下面我们来看看一些预防未知漏洞的技巧。

　　一、漏洞与补丁

　　1、漏洞基础知识


　　微软公司的产品补丁分为2类，即SP（ServicePack）和HotFixes。SP集合一段时间发布的HotFixes的大补丁，一般称为SP补丁程序，命名规则为SP1、SP2等，一段时间就会发布一次。HotFixes是小补丁，一般称为热修复补丁程序，它位于当前SP和下一个SP之间，是为解决微软网站上最新安全告示（Securitybulletin）中的系统漏洞而发布的，命名规则为“MS年份-序号”，比如MS04-011表示2004年的第11个HotFixes。了解这些基本的命名规则后，我们就可以有的放矢的进行操作了。


　　2、漏洞检测方法


　　系统都已经安装了哪些补丁，我们需要心中有数，如何能够获得这些信息呢？微软公司有一套免费的系统检测工具“微软基线安全分析仪（MBSA）”，软件下载地址为：http://www.microsoft.com/technet/security/tools/mbsahome.mspx。它可以确定企业的服务器和工作站已经安装了哪些软件更新，MBSA 将报告系统未安装的安全更新和 Service Pack，并为已经安装的WindowsServer 2003、Windows XP、Windows 2000 和 WindowsNT等操作系统标识漏洞。安装此软件，对系统扫描后将生成一份检测报告，该报告将列举系统中存在的所有漏洞和弱点。安装该软件后，在打开的界面中，单击“Start”即可开始扫描。扫描完毕，如图1所示。

图1

　　单击“View a secutity report”，可以给出一份安全报告，包括本机安装了哪些补丁，并可以提示用户安装哪些补丁。在“Viewsecurity report”窗口中，单击“What was scanned”、“Resultdetails”等链接，可以得到详细的报告。如果需要修复这些漏洞，可以单击“How to correctthis”链接，软件将提示详细操作步骤和安装补丁的详细地址。


　　3、部署局域网内部的漏洞防范服务

　　对于局域网的网管员来说，除了要争取在第一时间为自己管辖的所有服务器升级外，还要为客户端下载适用于多种平台、多种语言环境的补丁包，之后还要检验这些补丁包是否都升级到位。往往一个补丁还未处理完毕，另一补丁又来了，麻烦程度可想而知，如果要防范漏洞，必须首先从局域网内部开始。微软推出的SUS（Software Update Services）服务可以帮助我们解决这个问题。

　　SUS下载地址：http://go.microsoft.com/fwlink/?LinkId=22337
　　客户端：http://www.microsoft.com/windowsserversystem/sus/default.mspx

　　软件下载后，选择典型安装，但要注意分区，因为下载中英文版的补丁就要占用1GB的硬盘空间。需要说明的是，SUS服务只提供关键性更新，如果版本较高，则不在此服务范围内。不过，微软公司将在今年推出SUS2.0，其强大的功能也值得我们期待。
二、停止不必要的服务


　　在进行系统的设置时，我们只要记住一个原则，那就是：最小的权限+最少的服务=最大的安全。虽然开很多服务可以给管理带来方便，但如果对当前的服务不了解，最好关掉，免得给系统带来灾难。进入控制面板的“管理工具”，运行“服务”，进入服务界面，双击右侧列表中需要禁用的服务，在打开的服务属性的常规标签页“启动类型”一栏，选择“已禁用”，单击“确定”按钮即可。如图2所示。

图2

　　把这些服务停止之后，不仅能保证Windows 2000的安全性，还可以提高其运行速度呢，可谓一举两得。通过以上的操作，我们就可以堵住黑客入侵时的必经之路，从而保障主机的安全性。现列出一些常用的服务供参考：


显示名称
描述
Alerter
通知所选用户和计算机有关系统管理级警报。
Application Management
提供软件安装服务，诸如分派、发行以及删除。
ClipBook
支持“剪贴簿查看器”，以便从远程剪贴簿查阅剪贴页面。
COM+ Event System
提供事件的自动发布到订阅 COM 组件。
Computer Browser
维护网络上计算机的最新列表以及提供这个列表给请求的程序。
DHCP Client
通过注册和更改IP地址以及 DNS 名称来管理网络配置。
Distributed Link Tracking Client
文件在网络域的NTFS 卷中移动时发送通知。
Distributed Transaction Coordinator
并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。
DNS Client
解析和缓冲域名系统 (DNS) 名称。
Event Log
记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息。您可以在“事件查看器”中查看报告。
Fax Service
帮助您发送和接收传真
Indexing Service
本地和远程计算机上文件的索引内容和属性；通过灵活查询语言提供文件快速访问。
Internet Connection Sharing
为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、定址以及名称解析服务。
IPSEC Policy Agent
管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
Logical Disk Manager
逻辑磁盘管理器监视狗服务
Logical Disk Manager Administrative Service
磁盘管理请求的系统管理服务
Message Queuing
为分布的、异步消息应用程序提供通讯基础结构。
Messenger
发送和接收系统管理员或者“警报器”服务传递的消息。
Net Logon
支持网络上计算机 pass-through 账户登录身份验证事件。
NetMeeting Remote Desktop Sharing
允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
Network Connections
管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。
Network DDE
提供动态数据交换 (DDE) 的网络传输和安全特性。
Network DDE DSDM
管理网络 DDE 的共享动态数据交换
NT LM Security Support Provider
为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。
Performance Logs and Alerts
配置性能日志和警报。
Plug and Play
管理设备安装以及配置，并且通知程序关于设备更改的情况。
Print Spooler
将文件加载到内存中以便迟后打印。
Protected Storage
提供对敏感数据(如私钥)的保护性存储，以便防止未授权的服务，过程或用户对其的非法访问。
QoS RSVP
为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。
Remote Access Connection Manager
创建网络连接。
RPC
提供终结点映射程序 (endpoint mapper) 以及其它服务。
PRCSs Locator
管理 RPC 名称服务数据库。
Remote Registry Service
允许远程注册表操作。
Removable Storage
管理可移动媒体、驱动程序和库。
Routing and Remote Access
在局域网以及广域网环境中为企业提供路由服务。
RunAs Service
在不同凭据下启用启动过程
Security Accounts Manager
存储本地用户账户的安全信息。
Server
提供 RPC 支持、文件、打印以及命名管道共享。
Simple TCP/IP Services
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
Smart Card
对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
Smart Card Helper
提供对连接到计算机上旧式智能卡的支持。
System Event Notification
跟踪系统事件，如登录 Windows，网络以及电源事件等。将这些事件通知给 COM+ 事件系统 “订阅者(subscriber)”。
Task Scheduler
允许程序在指定时间运行。
TCP/IP NetBIOS Helper Service
允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。
Telephony
提供 TAPI 的支持，以便程序控制本地计算机、服务器以及 LAN 上的电话设备和基于 IP 的语音连接。
Telnet
允许远程用户登录到系统并且使用命令行运行控制台程序。
Uninterruptible Power Supply
管理连接到计算机的不间断电源(UPS)。
Utility Manager
从一个窗口中启动和配置辅助工具
Windows Installer
依据.MSI 文件中包含的命令来安装、修复以及删除软件。
Windows Time
设置计算机时钟
三、卸载不必要的协议


　　对于服务器和主机来说，在配置系统协议时，一般只安装TCP/IP协议就够了。右键单击“网络邻居”，选择“属性”，双击“本地连接”，选择“属性”，卸载不必要的协议。NETBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS给关闭，避免针对NETBIOS的攻击。选择[TCP/IP协议]→[属性]→[高级]，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

图3

　　四、关闭不必要的端口


　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，所以端口配置正确与否直接影响到主机的安全。对于那些我们根本用不着的功能，就没必要将端口打开了。如可以关闭137、138、139和445端口。


　　对于Windows2000来说，只能规定打开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦，而且由于端口过滤有时会阻塞合法的连接，占用的资源太多，对主机性能有些影响。所以一般只在网络边界的网关上进行端口过滤，在一般的Windows主机上可以不做。

　　另外，如果需要同时对协议和端口进行限制，也可采用以下方法。打开“网上邻居”上的“属性”，再双击“本地连接”，单击“属性”按钮，在弹出的对话框中打开“Internet协议(TCP/IP)”选项，在弹出的属性面板中单击“高级”按钮，进入“高级TCP/IP设置”，打开“选项”卡，选中“TCP/IP筛选”并单击“属性”按钮，勾选“启用TCP/IP筛选”，对相关的TCP、UDP端口和协议统一进行设置即可。如图4所示。

图4

　　从以上分析可以看出，防范的方法主要在于切断病毒和黑客的攻击路径，从而打造一个相对安全的环境。实际使用过程中，我们还可以通过防火墙等方式进行端口和其他攻击方面的设置，从而彻底保证系统的安全。