Windows主機(jī)主要威脅與解決對(duì)策

摘 要：主機(jī)威脅主要針對(duì)構(gòu)建應(yīng)用程序的系統(tǒng)軟件，這包括Windows操作系統(tǒng)、Internet 信息服務(wù) （IIS）、.NET Framework 和 SQL Server，是哪一種取決于特定的服務(wù)器角色。主要的主機(jī)級(jí)威脅包括： 病毒、特洛伊木馬和蠕蟲(chóng)；足跡；破解密碼；拒絕服務(wù)；任意執(zhí)行代碼；未授權(quán)訪問(wèn)。本文主要針對(duì)Windows主機(jī)面臨的典型威脅分別提出相應(yīng)的解決對(duì)策。

關(guān)鍵詞：Windows主機(jī)；威脅與解決對(duì)策

1.病毒、特洛伊木馬和蠕蟲(chóng)

病毒就是一種設(shè)計(jì)的程序，它進(jìn)行惡意的行為，并破壞操作系統(tǒng)或者應(yīng)用程序。除了將惡意的代碼包含在表面上是無(wú)害的數(shù)據(jù)文件或者可執(zhí)行程序中外，特洛伊木馬很像一種病毒。除了可以從一個(gè)服務(wù)器自我復(fù)制到另一個(gè)服務(wù)器，蠕蟲(chóng)類似于特洛伊木馬。蠕蟲(chóng)很難檢測(cè)到，因?yàn)樗鼈儾皇嵌ㄆ趧?chuàng)建可以看見(jiàn)的文件。通常只有當(dāng)它們開(kāi)始消耗系統(tǒng)資源時(shí)，才能注意到它們，因?yàn)檫@時(shí)系統(tǒng)運(yùn)行緩慢或者其他執(zhí)行的程序停止運(yùn)行。紅色代碼蠕蟲(chóng)就是最臭名遠(yuǎn)揚(yáng)、攻擊 IIS 的蠕蟲(chóng)，它的存在依靠的是某特定ISAPI篩選器中的緩沖區(qū)溢出缺陷。

雖然這三種威脅是實(shí)實(shí)在在的攻擊手段，同時(shí)它們會(huì)對(duì) Web 應(yīng)用程序、這些應(yīng)用程序所在的主機(jī)以及用來(lái)傳遞這些應(yīng)用程序的網(wǎng)絡(luò)造成重大的威脅。通過(guò)許多缺陷，例如默認(rèn)設(shè)置的脆弱性、軟件錯(cuò)誤、用戶錯(cuò)誤和 Internet 協(xié)議固有的缺陷，這些攻擊在任何系統(tǒng)上都有可能取得成功。

用來(lái)對(duì)付病毒、特洛伊木馬和蠕蟲(chóng)的對(duì)策包括：

● 保持當(dāng)前采用最新的操作系統(tǒng)服務(wù)包和軟件補(bǔ)丁。

● 封鎖防火墻和主機(jī)的所有多余端口。

● 禁用不使用的功能，包括協(xié)議和服務(wù)。

● 強(qiáng)化脆弱的默認(rèn)配置設(shè)置。

2.足跡

足跡的示例有端口掃描、ping 掃描以及 NetBIOS 枚舉，它可以被攻擊者用來(lái)收集系統(tǒng)級(jí)的有價(jià)值信息，有助于準(zhǔn)備更嚴(yán)重的攻擊。足跡揭示的潛在信息類型包括帳戶詳細(xì)信息、操作系統(tǒng)和其他軟件的版本、服務(wù)器的名稱和數(shù)據(jù)庫(kù)架構(gòu)的詳細(xì)信息。

幫助防止足跡的對(duì)策包括：

● 禁用多余的協(xié)議。

● 用適當(dāng)?shù)姆阑饓ε渲面i定端口。

● 利用 TCP/IP 與 IPSec篩選器來(lái)進(jìn)行更深一步的防護(hù)。

● 配置 IIS，防止通過(guò)標(biāo)題抓取泄漏信息。

● 配置 IDS，利用它獲取足跡模式并拒絕可疑的信息流。

3.破解密碼

如果攻擊者不能夠與服務(wù)器建立匿名連接，他或者她將嘗試建立驗(yàn)證連接。為此，攻擊者必須知道一個(gè)有效的用戶名和密碼組合。如果您使用默認(rèn)的帳戶名稱，您就給攻擊者提供了一個(gè)順利的開(kāi)端。然后，攻擊者只需要破解帳戶的密碼即可。使用空白或者脆弱的密碼可以使攻擊者的工作更為輕松。

幫助防止破解密碼的對(duì)策包括：

● 所有的帳戶類型都使用強(qiáng)密碼。

● 對(duì)最終用戶帳戶采用鎖定策略，限制猜測(cè)密碼而重試的次數(shù)。

● 不要使用默認(rèn)的帳戶名稱，重新命名標(biāo)準(zhǔn)帳戶，例如管理員的帳戶和許多 Web 應(yīng)用程序使用的匿名Internet用戶帳戶。

● 審核失敗的登錄，獲取密碼劫持嘗試的模式。

4.拒絕服務(wù)

可以通過(guò)多種方法實(shí)現(xiàn)拒絕服務(wù)，針對(duì)的是基礎(chǔ)結(jié)構(gòu)中的幾個(gè)目標(biāo)。在主機(jī)上，攻擊者可以通過(guò)強(qiáng)力攻擊應(yīng)用程序而破壞服務(wù)，或者攻擊者可以知道應(yīng)用程序在其上寄宿的服務(wù)中或者運(yùn)行服務(wù)器的操作系統(tǒng)中存在的缺陷。

幫助防止拒絕服務(wù)的對(duì)策包括：

● 配置應(yīng)用程序、服務(wù)和操作系統(tǒng)時(shí)要考慮拒絕服務(wù)問(wèn)題。

● 保持采用最新的補(bǔ)丁和安全更新。

● 強(qiáng)化 TCP/IP 堆棧，防止拒絕服務(wù)。

● 確保帳戶鎖定策略無(wú)法被用來(lái)鎖定公認(rèn)的服務(wù)帳戶。

● 確信應(yīng)用程序可以處理大流量的信息，并且該閥值適于處理異常高的負(fù)荷。

● 檢查應(yīng)用程序的故障轉(zhuǎn)移功能。

● 利用 IDS 檢測(cè)潛在的拒絕服務(wù)攻擊。

5.任意執(zhí)行代碼

如果攻擊者可以在您的服務(wù)器上執(zhí)行惡意的代碼，攻擊者要么就會(huì)損害服務(wù)器資源，要么就會(huì)更進(jìn)一步攻擊下游系統(tǒng)。如果攻擊者的代碼所運(yùn)行的服務(wù)器進(jìn)程被越權(quán)執(zhí)行，任意執(zhí)行代碼所造成的危險(xiǎn)將會(huì)增加。常見(jiàn)的缺陷包括脆弱的 IID 配置以及允許遍歷路徑和緩沖區(qū)溢出攻擊的未打補(bǔ)丁的服務(wù)器，這兩種情況都可以導(dǎo)致任意執(zhí)行代碼。

幫助防止任意執(zhí)行代碼的對(duì)策包括：

● 配置 IIS，拒絕帶有“../”的 URL，防止遍歷路徑的發(fā)生。

● 利用嚴(yán)格的 ACL，鎖定系統(tǒng)命令和實(shí)用工具。

● 保持使用最新的補(bǔ)丁和更新，確保新近發(fā)現(xiàn)的緩沖區(qū)溢出盡快打上補(bǔ)丁。

6.未授權(quán)訪問(wèn)

不足的訪問(wèn)控制可能允許未授權(quán)的用戶訪問(wèn)受限制信息或者執(zhí)行受限制操作。常見(jiàn)的缺陷包括，脆弱的 IIS Web 訪問(wèn)控制，這又包括 Web 權(quán)限和脆弱的 NTFS 權(quán)限。

幫助防止未授權(quán)訪問(wèn)的對(duì)策包括：

● 配置安全的 Web 權(quán)限。

● 利用受限制的 NTFS 權(quán)限鎖定文件和文件夾。

● 使用 ASP.NET 應(yīng)用程序中的 .NET Framework 訪問(wèn)控制機(jī)制，包括 URL 授權(quán)和主要權(quán)限聲明。

作者簡(jiǎn)介：王強(qiáng)（1982.5-），男，漢，重慶墊江人，碩士，實(shí)驗(yàn)師，現(xiàn)就職于重慶電子工程職業(yè)學(xué)院，研究方向：計(jì)算機(jī)應(yīng)用。