系統(tǒng)安全與漏洞分析

1、.【創(chuàng)業(yè)學(xué)?！肯到y(tǒng)安全與漏洞分析【摘 要】：安全加固是針對(duì)主機(jī)的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統(tǒng)抵御外來(lái)的入侵和蠕蟲(chóng)病毒的襲擊，使系統(tǒng)可以長(zhǎng)期保持在高度可信的狀態(tài)?！娟P(guān)鍵詞】：系統(tǒng)加固 網(wǎng)絡(luò)安全 WINDOWS系統(tǒng)【引 言】：安全加固是針對(duì)主機(jī)的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統(tǒng)抵御外來(lái)的入侵和蠕蟲(chóng)病毒的襲擊，使系統(tǒng)可以長(zhǎng)期保持在高度可信的狀態(tài)。通常對(duì)系統(tǒng)和應(yīng)用服務(wù)的安全加固包括如下方面：1）安裝最新補(bǔ)丁2）賬號(hào)、口令策略調(diào)整3）網(wǎng)絡(luò)與服務(wù)加固4）文件系統(tǒng)權(quán)限增強(qiáng)5）日志審核功能增強(qiáng)6）安全性增強(qiáng)1、安全加固風(fēng)險(xiǎn)分析通過(guò)前期對(duì)系統(tǒng)的資產(chǎn)調(diào)查、掃描、人工檢查和分

2、析，提出系統(tǒng)的安全加固的方案，在加固過(guò)程中可能產(chǎn)生對(duì)系統(tǒng)的不同程度、不同方面的影響（具體影響因素和大小詳見(jiàn)安全加固方案中的實(shí)施風(fēng)險(xiǎn)的描述）。針對(duì)不同的風(fēng)險(xiǎn)可選擇的策略如下：對(duì)于實(shí)施風(fēng)險(xiǎn)極高的加固項(xiàng)目，因?yàn)槠錁O有可能對(duì)系統(tǒng)運(yùn)行造成破壞，或中斷正常業(yè)務(wù)，所以經(jīng)主機(jī)管理員確認(rèn)后，不在本次加固中實(shí)施。對(duì)于實(shí)施風(fēng)險(xiǎn)不高，即使造成影響，也可以盡快恢復(fù)，不會(huì)影響正常業(yè)務(wù)的加固項(xiàng)目，建議選擇業(yè)務(wù)空閑時(shí)段，由主機(jī)管理員作好系統(tǒng)備份，加固過(guò)程中監(jiān)控主機(jī)的運(yùn)行狀況。對(duì)于實(shí)時(shí)性要求高的業(yè)務(wù)主機(jī)，建議先作好系統(tǒng)備份，如有可能加固項(xiàng)目預(yù)先在測(cè)試環(huán)境進(jìn)行測(cè)試通過(guò)后，再正式執(zhí)行加固。2、高風(fēng)險(xiǎn)漏洞分析2.1通過(guò)SMB會(huì)話可以

3、訪問(wèn)Windows系統(tǒng)磁盤(pán)下的任意文件通過(guò)SMB會(huì)話訪問(wèn)Windows系統(tǒng)磁盤(pán)下的任意文件。惡意攻擊者可以對(duì)您系統(tǒng)上的文件進(jìn)行復(fù)制、篡改、刪除等操作，從而可造成XX文件泄漏、破壞系統(tǒng)運(yùn)行、獲取目標(biāo)系統(tǒng)的控制權(quán)限等.解決方案：1）使用足夠強(qiáng)壯的密碼或者禁止共享。2）設(shè)置嚴(yán)格的權(quán)限控制：在防火墻上設(shè)置為拒絕非授權(quán)用戶(hù)訪問(wèn)。2.2檢測(cè)到目標(biāo)主機(jī)上管理員組XX存在簡(jiǎn)單口令掃描檢測(cè)出部分具有管理員權(quán)限的XX存在簡(jiǎn)單口令，這允許攻擊者遠(yuǎn)程以該用戶(hù)身份登錄系統(tǒng)，獲取目標(biāo)系統(tǒng)的控制權(quán)限。解決方案：1）修改用戶(hù)口令，設(shè)置足夠強(qiáng)度的口令。2）利用防火墻設(shè)置訪問(wèn)規(guī)則，阻止非授權(quán)的訪問(wèn)2.3目標(biāo)主機(jī)沒(méi)有安裝MS06-

4、042/KB918899等相關(guān)補(bǔ)丁未安裝最新補(bǔ)丁會(huì)使服務(wù)器存在許多已知安全漏洞，從而可能被惡意攻擊者利用而遭到攻擊。解決方案：相關(guān)補(bǔ)丁下載。安裝補(bǔ)丁需要重起服務(wù)器，由此可能導(dǎo)致無(wú)法預(yù)知的問(wèn)題2.4遠(yuǎn)程注冊(cè)表可通過(guò)SMB會(huì)話完全訪問(wèn)遠(yuǎn)程Windows主機(jī)允許通過(guò)SMB會(huì)話完全訪問(wèn)注冊(cè)表。攻擊者可以變相遠(yuǎn)程執(zhí)行命令，最終徹底控制遠(yuǎn)程Windows主機(jī)。 解決方案：有兩種可能導(dǎo)致該漏洞。一是遠(yuǎn)程注冊(cè)表權(quán)限設(shè)置有誤，參照解決方案以及微軟知識(shí)庫(kù)處理。二是管理員口令薄弱，已為攻擊者猜測(cè)得到，此時(shí)只能修改管理員口令，重新設(shè)置一個(gè)高強(qiáng)度的口令。如果不需要提供對(duì)外的遠(yuǎn)程注冊(cè)表訪問(wèn)，可以關(guān)閉此服務(wù)。2.5 Sun

5、 Java Runtime Environment遠(yuǎn)程代碼執(zhí)行漏洞Sun Java Web Start ActiveX control緩沖區(qū)溢出漏洞SDK 和JRE 1.3及1.4版本，JDK和JRE5.0升級(jí)12和6.0升級(jí)2的Sun Java運(yùn)行時(shí)環(huán)境里的Java虛擬機(jī)（JVM）允許遠(yuǎn)程攻擊者通過(guò)授予自身權(quán)限的applet執(zhí)行任意程序，或者讀取修改任意文件。解決方案：下載并安裝JRE的最新版本。2.6 Microsoft SQL Server 2000未安裝SP4補(bǔ)丁多個(gè)安全漏洞掃描根據(jù)版本進(jìn)行，可能存在誤報(bào)，需要檢查確認(rèn)。Microsoft SQL Server是微軟公司開(kāi)發(fā)和維護(hù)的大型

6、數(shù)據(jù)庫(kù)系統(tǒng)。Microsoft SQL Server 2000中存在多個(gè)安全漏洞。遠(yuǎn)程攻擊者可能利用這些漏洞導(dǎo)致拒絕服務(wù)、繞過(guò)數(shù)據(jù)庫(kù)策略、泄漏敏感信息或執(zhí)行任意代碼。 解決方案：目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)到廠商的主頁(yè)下載Microsoft SQL Server 2000 SP4。 2.7系統(tǒng)存在多個(gè)弱口令或空口令存在系統(tǒng)弱口令會(huì)讓非授權(quán)用戶(hù)很容易獲得權(quán)限從而進(jìn)行非法操作。檢測(cè)出常見(jiàn)弱口令形式如下：用戶(hù)名密碼NCGuest(空口令)NC0095888888NC0059123456NC$EK1000-P9LAASN51VOA(空口令)NC$DK1000-VUHOD4611S5

7、K123456表1 弱口令形式解決方案：設(shè)置或更改足夠復(fù)雜的密碼.3. Windows系統(tǒng)加固方案3.1補(bǔ)丁安裝使用Windows Update安裝最新補(bǔ)丁，可以使系統(tǒng)版本為最新版本。但安裝補(bǔ)丁可能導(dǎo)致主機(jī)啟動(dòng)失敗，或其他未知情況發(fā)生。3.2XX、口令策略修改保障XX以及口令的安全。設(shè)置XX策略后可能導(dǎo)致不符合XX策略的XX無(wú)法登錄，需修改不符合XX策略的密碼（注：管理員不受XX策略限制，但管理員密碼應(yīng)復(fù)雜以避免被暴力猜測(cè)導(dǎo)致安全風(fēng)險(xiǎn)）。3.3優(yōu)化系統(tǒng)XX刪除非法XX或多余XX，更改默認(rèn)管理員XX，防止黑客利用非法XX或多余XX，暴力猜測(cè)默認(rèn)管理員XX。可能部分使用該XX的業(yè)務(wù)有影響。3.4限

8、制特定執(zhí)行文件的權(quán)限C:windwssystem32net.exe,net1.exe,tft及C:windowssystem32cmd.exe只保留admin和system權(quán)限，防止通用緩沖區(qū)溢出攻擊，除admin 、system，其他XX無(wú)法執(zhí)行以上程序。3.5將暫時(shí)不需要開(kāi)放的服務(wù)停止將不必要的服務(wù)：Messenger、Print Spooler、Remote Registry啟動(dòng)類(lèi)型設(shè)置為手動(dòng)并停止。避免未知漏洞給主機(jī)帶來(lái)的風(fēng)險(xiǎn)可能由于管理員對(duì)主機(jī)所開(kāi)放服務(wù)不了解，導(dǎo)致該服務(wù)被卸載。由于某服務(wù)被禁止使得依賴(lài)于此服務(wù)的其他服務(wù)不能正常啟動(dòng)。3.6日志審核增強(qiáng)修改安全策略為下述值：審核策略更

9、改成功審核登錄事件無(wú)審核審核對(duì)象訪問(wèn)成功, 失敗審核過(guò)程追蹤無(wú)審核審核目錄服務(wù)訪問(wèn)無(wú)審核審核特權(quán)使用無(wú)審核審核系統(tǒng)事件成功, 失敗審核XX登錄事件成功, 失敗審核XX管理成功, 失敗表2 審核策略3.7調(diào)整事件日志的大小、覆蓋策略日志類(lèi)型大 小覆蓋方式應(yīng)用日志16384K覆蓋早于30天的事件安全日志16384K覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件表3 日志策略增大日志量大小，避免由于日志文件容量過(guò)小導(dǎo)致日志記錄不全。3.8禁止匿名用戶(hù)連接（空連接）注冊(cè)表如下鍵值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymou

10、s”的值修改為“1”，類(lèi)型為REG_DWORD，可以禁止匿名用戶(hù)列舉主機(jī)上所有用戶(hù)、組、共享資源。可能造成某些遠(yuǎn)程服務(wù)業(yè)務(wù)應(yīng)用不可用。3.9刪除主機(jī)默認(rèn)共享刪除主機(jī)因?yàn)楣芾矶_(kāi)放的共享，可能某些應(yīng)用服務(wù)無(wú)法連接該共享，如Veritas Netbackup，建議不操作。增加注冊(cè)表鍵值如下：“HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersAutoshareserver”項(xiàng)，并設(shè)置該值為“1”。4.結(jié)論安全加固服務(wù)是指是根據(jù)專(zhuān)業(yè)安全評(píng)估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對(duì)不同目標(biāo)系統(tǒng)，通過(guò)打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。但安全是一個(gè)系統(tǒng)工程，也沒(méi)有絕對(duì)的安全，在采用相關(guān)技術(shù)強(qiáng)化系統(tǒng)安全同時(shí)，也應(yīng)加強(qiáng)安全意識(shí)教育及相關(guān)安全管理措施的制定與實(shí)施。參考文獻(xiàn)：1 閔銳，楊楚華，防火墻協(xié)同防御技術(shù)研究，計(jì)算機(jī)安全，2008.22 袁禮，李平，計(jì)算機(jī)網(wǎng)絡(luò)原理與應(yīng)用，清華大學(xué)，2011.