SANS(SysAdmin audit Network Security,系统管理和网络安全审计委员会,这是一个由政府,企业和学术专家组成的安全研究和教育机构)和FBI(Federal Bureau of Investigation,美国联邦调查局)第四次联合发布他们提供的年度20个最大的因特网安全漏洞,列表分为两个部分:Windows威胁和Linux/UNIX威胁。。这个列表显得尤其重要的原因是因为这些安全漏洞现在正在被他人所利用,而不只是理论上或者是潜在的威胁。
在大多数情况下,这些安全漏洞之所以成为被攻击的目标,是因为管理员没有恰当的锁定他们的系统或者安装了到处可见的各种可用的补丁。通过使用各种补丁和/或加固防火墙的配置来阻止SANS/FBI列出的最大的20个安全漏洞的方法,可能可以让管理员远离扑灭不断出现的各种安全隐患的烦琐工作,而让他们可以专注于解决新发现的各种安全威胁。下面给出的就是Windows威胁的列表摘要。
Windows十大安全威胁
1、因特网信息服务(IIS)
通过使用URL Scan软件过滤潜在的恶意HTTP请求和使用IIS功能锁定向导(IIS Lockdown Wizard)来帮助你加强安装设置,就可以很容易实现加固IIS安全。在目前版本的IIS功能锁定向导种已经包含了URLScan软件,但也可以从老版本的系统中下载该软件。如果你的系统上运行的是缺省安装的IIS 4.0或者5.0的话,你可能已经处于烦恼之中并且可能已经看到系统已经被人利用。
2、微软的SQL服务器(MSSQL)
请密切注意MSSQL的新补丁,一旦补丁程序出现,尽快应用这些补丁程序。互联网暴风中心(Internet Storm Center)一直在证明MSSQL的缺省端口1433和1434是因特网上攻击者必定主动探测的端口之一。这里的任何缺点都将很快被人利用。
3、Windows的认证
好的口令管理是有效认证的关键。SANS提供了一个口令设置指南,在这个指南中说明了如何确保口令的复杂性而不至于被人简单的攻击。根据这个SANS指南,口令中不能包含用户帐户名字中的任何部分,而且应该不少于六个字符。另外,口令中“应该包含以下四种字符类型中的三种类型:英文大写字符(A到Z),英文小写字符(a到z),10个基本数字(0到9),非文字及非数字字符(例如:!, $, #, %)”。从Win2K开始,Windows操作系统就已经包含了如何方便的创建一个好的口令以及维护口令策略方面的工具。差的口令策略不仅是Windows认证中的弱点,而且他们也是最容易被攻击者攻击的。SANS的报告中还提供了很多其他的认证建议。
4、因特网浏览器(IE)
每个版本的IE都存在关键性的威胁,新的版本也总是能够不断发现其新的缺陷。任何没有定期更新这个关键性工具的管理员都将犯大错误。SANS 建议使用在线的浏览器测试,例如the one from Qualys测试,以维护IE的安全性。这一点之所以非常有用是因为这种测试不需要技术人员就可以执行。
5、Windows远程控制服务
为了使那些从其他系统移植过来或者与其他系统进行连接的过程变得更加简单,Windows平台几乎支持所有其他的网络协议。如果你不使用这些协议,最好立刻让这些协议失效。Klez,Sircam,和Nimda之所以能够在全世界范围内快速传播,就是因为许多系统没有正确配置网络共享,这使得其他主机能够远程访问文件造成的。
6、微软的数据访问组件(MDAC)
许多MDAC版本的远程数据访问组件有严重的安全漏洞。要想快速回顾这个问题,可以查看Wiretap.net的“关于加强RDS的报告(report on hardening RDS)”,另外,还可以去阅读微软的建议,例如:关于这个主题的“Knowledge Base article”。
7、Windows脚本主机服务
可能你不能简单的让WSH失效,因为它用在许多管理和桌面自动控制功能中,所以你应该只是将带有这些扩展名字如:.vbs, .vbe, .js, jse, 和.wsf 的脚本文件的缺省处理方式进行改变。
8、微软的Outlook和Outlook Express
如果没有Outlook 和 Outlook Express 你就无法生活的话,那么一个好的反病毒的签名更新策略将提供一些必要的保护。
9、Windows 对等网络的文件共享(P2P)
如果P2P网络常常用于非法目的而造成违反版权保护法律或者其他法律的话,P2P的应用程序应该从商业网络中无情的删除。虽然不能阻塞所有P2P软件所使用的端口(毕竟KaZaa使用的端口是80),但是你可以在防火墙中削弱它的活跃性。
10、简单网络管理协议(SNMP)
这个问题是一个相当明显的问题。SNMP用于远程管理,其可以管理的组件从打印机到无线接入点,因此,如果没有对SNMP进行恰当的维护的话,这将是一个很大的威胁。如果你不需要或者不使用SNMP的话,解决的方法很简单,就是让其失效。我认为大量的SNMP被人利用是由于运行系统的人们在安装的时候就没有意识到SNMP的存在。
风险级别——危险
这里列出的安全漏洞是黑客们现在正在积极利用的Windows网络的漏洞。
解决方法
比较合适的方法是打补丁或者使用工作区。随着新的安全漏洞或者新的利用这些安全漏洞的方法不断出现,新的威胁也将不断出现,因此打补丁或者使用工作区的方法对于那些还没有被利用的系统来说,是避免系统被现存的安全漏洞利用的一种可用方法。
有些威胁,如连续不断出现问题的P2P文件共享,完全不应该在商业网络上运行。要阻止这种威胁,管理员应该进行周期性的扫描,看一看是否存在这类软件,并且要推动上层管理人员创建严格的强制政策,不允许用户在网络中安装这些软件。
最后寄语
我认为有些管理员在背地里非常高兴SANS/FBI的20个最大安全漏洞没有在公共媒体上广泛传播。因为如果上层管理人员询问IT部门他们的公司中是否存在类似的威胁,大多数人可能都无法得到一个满意的答复。
有很多好的理由来说明为什么这些安全漏洞(例如,流行的软件如IIS和SQL服务器)一直受到黑客们的青睐。但是其他的一些安全漏洞通过合适的管理操作是可以减少的。对于安装程序来说,这一点是尤其正确的:那些从不使用的服务就不应该安装。因为他们几乎从不使用,在正常维护的时候,它有可能被忽略,这样一来就会使它们具有双重的弱点和危险。
还可以参照
l OpenBSD本周更新了两个重要的新的最大威胁。第一个是“OpenBSD包过滤拒绝服务安全漏洞(OpenBSD Packet Filter Denial of Service Vulnerability)——Secunia Advisory SA9949”,这个漏洞Secunia将其定义为“中等危险”。这是一个可以被远程利用的拒绝服务威胁。另外一个威胁是“ARP请求拒绝服务安全漏洞(ARP Request Denial of Service Vulnerability)——Secunia Advisory SA9948”,这也是一个拒绝服务(DoS)威胁,这个漏洞Secunia将其定义为“较小的”危险。这个威胁来自于网络内部的用户,并且远程用户无法利用。目前有关的补丁和更新程序已经可以使用。
l 那些被证明使用计算机进行任何犯罪的人现在都会受到更强硬的处罚。华盛顿邮报(The Washington Post)上就有这样的一个故事。这个故事中的一个关键性的句子是:“新的指导方针通过增加存储数据的成本,修补安全漏洞,实施灾难评估以及损失的财产等方式来让受害者计算财务上的损失。”这使得任何黑客事件都有可能引发诉讼。
l 在加利福尼亚州,一位律师对微软已经提出诉讼,他现在正在对微软较差的安全实践而引起较大安全威胁的行为进行分类,从而可以得到合法的主张。可以想象,Redmond将竭尽全力来阻止这件事情。SANS在线张贴了一份抱怨书,如果你感兴趣的话,可以查看这篇有意思的文档。
--
※ 原文链接: http://zdnet.com.cn/techupdate/security_protect/analysis/story/0,3800081007,39200537,00.htm
|