Windows主機主要威脅與解決對策

摘 要：主機威脅主要針對構(gòu)建應(yīng)用程序的系統(tǒng)軟件，這包括Windows操作系統(tǒng)、Internet 信息服務(wù) （IIS）、.NET Framework 和 SQL Server，是哪一種取決于特定的服務(wù)器角色。主要的主機級威脅包括： 病毒、特洛伊木馬和蠕蟲；足跡；破解密碼；拒絕服務(wù)；任意執(zhí)行代碼；未授權(quán)訪問。本文主要針對Windows主機面臨的典型威脅分別提出相應(yīng)的解決對策。

關(guān)鍵詞：Windows主機；威脅與解決對策

1.病毒、特洛伊木馬和蠕蟲

病毒就是一種設(shè)計的程序，它進行惡意的行為，并破壞操作系統(tǒng)或者應(yīng)用程序。除了將惡意的代碼包含在表面上是無害的數(shù)據(jù)文件或者可執(zhí)行程序中外，特洛伊木馬很像一種病毒。除了可以從一個服務(wù)器自我復(fù)制到另一個服務(wù)器，蠕蟲類似于特洛伊木馬。蠕蟲很難檢測到，因為它們不是定期創(chuàng)建可以看見的文件。通常只有當它們開始消耗系統(tǒng)資源時，才能注意到它們，因為這時系統(tǒng)運行緩慢或者其他執(zhí)行的程序停止運行。紅色代碼蠕蟲就是最臭名遠揚、攻擊 IIS 的蠕蟲，它的存在依靠的是某特定ISAPI篩選器中的緩沖區(qū)溢出缺陷。

雖然這三種威脅是實實在在的攻擊手段，同時它們會對 Web 應(yīng)用程序、這些應(yīng)用程序所在的主機以及用來傳遞這些應(yīng)用程序的網(wǎng)絡(luò)造成重大的威脅。通過許多缺陷，例如默認設(shè)置的脆弱性、軟件錯誤、用戶錯誤和 Internet 協(xié)議固有的缺陷，這些攻擊在任何系統(tǒng)上都有可能取得成功。

用來對付病毒、特洛伊木馬和蠕蟲的對策包括：

● 保持當前采用最新的操作系統(tǒng)服務(wù)包和軟件補丁。

● 封鎖防火墻和主機的所有多余端口。

● 禁用不使用的功能，包括協(xié)議和服務(wù)。

● 強化脆弱的默認配置設(shè)置。

2.足跡

足跡的示例有端口掃描、ping 掃描以及 NetBIOS 枚舉，它可以被攻擊者用來收集系統(tǒng)級的有價值信息，有助于準備更嚴重的攻擊。足跡揭示的潛在信息類型包括帳戶詳細信息、操作系統(tǒng)和其他軟件的版本、服務(wù)器的名稱和數(shù)據(jù)庫架構(gòu)的詳細信息。

幫助防止足跡的對策包括：

● 禁用多余的協(xié)議。

● 用適當?shù)姆阑饓ε渲面i定端口。

● 利用 TCP/IP 與 IPSec篩選器來進行更深一步的防護。

● 配置 IIS，防止通過標題抓取泄漏信息。

● 配置 IDS，利用它獲取足跡模式并拒絕可疑的信息流。

3.破解密碼

如果攻擊者不能夠與服務(wù)器建立匿名連接，他或者她將嘗試建立驗證連接。為此，攻擊者必須知道一個有效的用戶名和密碼組合。如果您使用默認的帳戶名稱，您就給攻擊者提供了一個順利的開端。然后，攻擊者只需要破解帳戶的密碼即可。使用空白或者脆弱的密碼可以使攻擊者的工作更為輕松。

幫助防止破解密碼的對策包括：

● 所有的帳戶類型都使用強密碼。

● 對最終用戶帳戶采用鎖定策略，限制猜測密碼而重試的次數(shù)。

● 不要使用默認的帳戶名稱，重新命名標準帳戶，例如管理員的帳戶和許多 Web 應(yīng)用程序使用的匿名Internet用戶帳戶。

● 審核失敗的登錄，獲取密碼劫持嘗試的模式。

4.拒絕服務(wù)

可以通過多種方法實現(xiàn)拒絕服務(wù)，針對的是基礎(chǔ)結(jié)構(gòu)中的幾個目標。在主機上，攻擊者可以通過強力攻擊應(yīng)用程序而破壞服務(wù)，或者攻擊者可以知道應(yīng)用程序在其上寄宿的服務(wù)中或者運行服務(wù)器的操作系統(tǒng)中存在的缺陷。

幫助防止拒絕服務(wù)的對策包括：

● 配置應(yīng)用程序、服務(wù)和操作系統(tǒng)時要考慮拒絕服務(wù)問題。

● 保持采用最新的補丁和安全更新。

● 強化 TCP/IP 堆棧，防止拒絕服務(wù)。

● 確保帳戶鎖定策略無法被用來鎖定公認的服務(wù)帳戶。

● 確信應(yīng)用程序可以處理大流量的信息，并且該閥值適于處理異常高的負荷。

● 檢查應(yīng)用程序的故障轉(zhuǎn)移功能。

● 利用 IDS 檢測潛在的拒絕服務(wù)攻擊。

5.任意執(zhí)行代碼

如果攻擊者可以在您的服務(wù)器上執(zhí)行惡意的代碼，攻擊者要么就會損害服務(wù)器資源，要么就會更進一步攻擊下游系統(tǒng)。如果攻擊者的代碼所運行的服務(wù)器進程被越權(quán)執(zhí)行，任意執(zhí)行代碼所造成的危險將會增加。常見的缺陷包括脆弱的 IID 配置以及允許遍歷路徑和緩沖區(qū)溢出攻擊的未打補丁的服務(wù)器，這兩種情況都可以導(dǎo)致任意執(zhí)行代碼。

幫助防止任意執(zhí)行代碼的對策包括：

● 配置 IIS，拒絕帶有“../”的 URL，防止遍歷路徑的發(fā)生。

● 利用嚴格的 ACL，鎖定系統(tǒng)命令和實用工具。

● 保持使用最新的補丁和更新，確保新近發(fā)現(xiàn)的緩沖區(qū)溢出盡快打上補丁。

6.未授權(quán)訪問

不足的訪問控制可能允許未授權(quán)的用戶訪問受限制信息或者執(zhí)行受限制操作。常見的缺陷包括，脆弱的 IIS Web 訪問控制，這又包括 Web 權(quán)限和脆弱的 NTFS 權(quán)限。

幫助防止未授權(quán)訪問的對策包括：

● 配置安全的 Web 權(quán)限。

● 利用受限制的 NTFS 權(quán)限鎖定文件和文件夾。

● 使用 ASP.NET 應(yīng)用程序中的 .NET Framework 訪問控制機制，包括 URL 授權(quán)和主要權(quán)限聲明。

作者簡介：王強（1982.5-），男，漢，重慶墊江人，碩士，實驗師，現(xiàn)就職于重慶電子工程職業(yè)學院，研究方向：計算機應(yīng)用。