局域网组建与维护教程维护篇
第11章局域网安全维护
学习目的
掌握局域网安全基础知识
学会更新操作系统和安装系统补丁
掌握局域网的数据安全
本章要点
网络安全知识
黑客
防火墙概述
系统更新与补丁
课堂讲解
通过前面章节的叙述与讲解,终于可以自如的架设各种各样的局域网,并能轻松地接入Internet,享受无尽的网络资源了。但病毒和黑客,使得我们的局域网出现安全危机,稍一疏忽,就会让我们辛苦架设的局域网毁于一旦。
下面,我们就来从局域网维护角度入手,讲解常见的网络病毒及防治措施、防火墙的相关知识和运用,最好介绍有关IE高级设置的问题。
214 全能培训——局域网组建与维护教程
局域网安全维护
215
11.1 网络安全知识
大多数人都知道在Internet 上冲浪的时候要注意安全,一方面防止网上病毒的蔓延,另一方面又要防止黑客的攻击,然而对局域网内部的安全隐患却很少看见。事实上,Internet 只不过是局域网的一个延伸,在Internet 上可能遇到的安全问题在局域网上同样可能遇到。对局域网的安全掉以轻心使非法侵入局域网的病毒得以肆意蔓延,这个问题在对等网中尤为严重,而一些不怀好意的来自局域网内部的攻击更是防不胜防。
11.1.1 病毒的由来
1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris )将其编写的蠕虫程序输入计算机网络。几小时后因特网连接严重堵塞。这个网络连接着大学、研究机关的155000台计算机,整个网络全部瘫痪。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。
从此,“病毒”成为计算机界一个令人恐怖的词语,而病毒“队伍”也不断“发展壮大”。以后的CIH 病毒和梅莉莎病毒和前段时间新出现的冲击波、振荡波病毒等部对整个社会带来了重大的损失。
11.1.2 病毒的分类
计算机病毒也是一种应用程序。但它与其他计算机应用程序不同的是,它本身具有破坏性,更重要的是,计算机病毒可以通过自身进行复制,而且这些计算机病毒一般都有很好的隐蔽性,来躲避计算机使用者的注意。而在特定的触发条件下,比如时间或者具体的操作事件等都会导致计算机病毒的发作。
病毒的破坏性主要是软件方面的,按照计算机病毒的属性,病毒可以按照如下分类。
1、根据病毒的传播介质分类
根据病毒的传播媒体,病毒可以划分为网络病毒、文件病毒和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件。文件病毒感染计算机中的文件(如:COM ,BAT ,EXE ,DOC 等文件),并通过这些文件的使用不断地复制自身,以摧毁整个系统。引导型病毒感染启动扇区(Boot )和硬盘的系统引导扇区(MBR )。
事实上,随着“病毒技术”的不断进步,现在的病毒大多数是这三种情况的综合型。例如,著名的CIH 病毒就是一个典型,这个病毒初期通过Internet 传播到世界上每一个角落.而
本身又寄生在文件中,在内存调用文件时感染下一个文件,然后损坏引导区,继续向下感染和传播,最终使全球无数的计算机难逃劫难。
2、根据病毒的破坏能力分类
基本无害型
除了传染时减少磁盘的可用空间外,对系统没有其他影响。但对于这样的病毒也不可以掉以轻心,它们的变种往往会大量吞噬掉硬盘空间。
基本无危险型
这类病毒仅仅是减少内存、显示图像、发出声音。这样的病毒事实上是一个恶作剧的计算机程序,编写者自称这样的程序是跟计算机的使用者开一个玩笑或者以此来证明自己的计算机水平,但它终究是一个病毒,没有人愿意在工作的时候听到或者看到一些令人厌恶的声音或者图像。
危险型
这类病毒在计算机系统操作中造成严重的错误。无数次的“蓝屏”和“非法操作”最终使计算机系统崩溃。
极端危险型
这类病毒属于恶性病毒,它们不仅删除程序,破坏数据,清除系统内存区和操作系统中重要的信息,甚至损坏计算机硬件设备,重写BIOS,修改硬盘引导区信息,让你的电脑不停地重新启动等等都是它们的拿手好戏,典型的就是CIH病毒和振荡波病毒。
3、根据病毒特有的算法分类
伴随型病毒
这一类病毒并不改变文件本身,它们根据算法产生exe文件的伴随体,具有同样的名字和不同的扩展名(COM),例如,XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当Dos加载文件时,优先执行伴随体,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒
通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源。这种病毒的攻击对象主要是网络,其破坏结果往往是使整个网络瘫痪。216 全能培训——局域网组建与维护教程
局域网安全维护
217
寄生型病毒
除了伴随型和“蠕虫”型,其他病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。这种病毒往往并不是立即发作,还有一段潜伏期,在潜伏期内通过各种途径迅速地传染和蔓延,最后通过触发条件发作。
综上所述,病毒的分类是一个很模糊的概念。越是高级的病毒,其算法就越复杂,传播途径就越多,破坏力就越强。
11.1.3 病毒的攻击对象
如果计算机已经感染病毒,会出现什么症状呢?不同的症状是病毒攻击了计算机不同的部分造成的,病毒攻击对象以及表现特征有以下几种:
1、攻击系统数据区
攻击部位包括:硬盘主引导扇区、Boot 扇区、FAT 表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
2、攻击文件
病毒对文件的攻击方式很多,如删除,改名,替换内容,丢失部分程序代码,内容颠倒,写入时间空白,变碎片,假冒文件,丢失文件簇和丢失数据文件。
3、攻击内存
内存是计算机的重要资源,也是病毒的主要攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。如占用大量内存,禁止分配内存及蚕食内存。
4、干扰系统运行
病毒会干扰系统的正常运行,以此作为自己的破坏行为。此类行为也是花样繁多,如不执行命令,干扰内部指令的执行,虚假报警.打不开文件,占用特殊数据区,换现行盘,时钟倒转,重启动,死机,强制游戏和扰乱串并行口。
5、占用资源
病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6、扰乱屏幕显示
病毒扰乱屏幕显示的方式很多,如字符跌落、环绕、倒置、显示前一屏、光标下跃、滚
屏、抖动、乱写、颜色显示异常和无图标等等。
7、键盘
病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱等等。
8、攻击CMOS
在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型及内存容量等,有的病毒激活时,能够对CMOS区进行写人动作,破坏系统CMOS中的数据。
9、吞噬网络资源
最明显的就是“蠕虫”病毒,其明显持征是网络速度变慢,系统反应迟钝。
11.1.4 几种常见的病毒
1、“爱虫”病毒(love bug)
“爱虫”病毒是一种“蠕虫”病毒,前面说过“蠕虫”病毒主要就是通过占用内存和网络资源达到使网络瘫痪的目的。“爱虫”就是个典型的例子,它通过M icrosoft Outlook电子邮件系统传播,邮件的主题为“I Love You”,包含一个附件(“Love-Letter-for-you.txt.vbs”)。一旦在Microsoft Outlook中打开这个附件,系统就会自动复制并向通信簿中的所有电子邮件地址发送这个病毒。
用户感染了该病毒后,邮件系统会变慢,并可能导致整个网络系统崩溃,这个病毒对于电子邮件系统具有极大的危险性。这种病毒同时会感染并坏文件名为:*.VBS、*.VBE、*.JS、*.JSEE、*.CSS、*.WSH、*.SCT、*.HTA、*.JPG、*.JPEC、*.PM3和*.MP2等12种数据文件。
2、Funlove病毒
Win32.Funlove.4099文件型病毒主要针对局域网,如果局域网中的一台计算机感染该病毒,那么Win32.Funlove.4099将感染Windows 9X和Windows NT 4.0的Win32PE文件。如.exe、.scr和.ocx文件。当该病毒首次运行时,会在系统System目录下生成一个名为Flcss.Exe 的文件,然后感染所有的.exe、.scr和.ocx文件,而且Explorer.exe也会在NT系统重新启动后被感染。这个病毒还会修改Ntoskrnl.exe和Ntldr等NT系统文件,并通过这种方式实现在系统重启动后拥有NT系统的所有通道。
218 全能培训——局域网组建与维护教程
局域网安全维护
219
3、CIH 病毒
图11-1 CIH 病毒文件
臭名昭著的CIH 病毒相信很多人都知道,其破坏力之强令任何一个计算机使用者都为之咋舌。
首先,CIH 病毒将感染Windows 9X 及在Windows 9X 下运行的后缀名为*.exe ,*.com 、*.vxd ,*.vxe 的应用程序,自解压文件、压缩文件和压缩包中的这4种后缀名的程序也会受到感染,拷贝到硬盘上压缩名为CAB 中的压缩文件中的Windows 98以及备份包中的Windows 98文件均会受到感染,也就是说,CIH 病毒会毁坏掉磁盘上的所有系统文件;其次,CIH 病毒会感染硬盘上的所有逻辑驱动器.以硬盘中2048个扇区为单位,从硬盘主引导区开始依次向硬盘中写入垃圾数据,直到硬盘中数据被全部破坏为之,最坏的情况是硬盘所有数据(含全部逻辑盘数据)均被破杯;然而.这都没有什么,更为可怕的是CIH 病毒还会破坏主板上的BIOS ,使CMOS 的参数回到出厂时的设置,假如用户的CMOS 是Flash Rom 型的,那么主板将会报废。
对于硬盘数据的恢复用一些查毒工具基本就可以做到,而破坏的BIOS 则比较难恢复,一般来说都要先下载主板BIOS ,然后重刷BIOS 。具体的刷BIOS 步骤这里就不详细叙述了,请参考《全能培训——电脑组装与维护教程》一书相关章节。
4、YAI 病毒
YAI (You And I )是第一个国内编写的大规模流行的“黑客”病毒,它是由重庆的一位叫杜江的大学生编写的,YAI (backdoor )属于文件型病毒,通过各种存储介质和因特网传播,主要以右键附件的形式传递。在YAI (backdoor )病毒感染Windows 系统的可执行文件并执行了染毒文件后,系统没有任何特殊现象,即在毫无征兆的情况下能够将病毒激活,使之侵入系统。当染毒文件*.exe 被运行后,会在当前目录下生成*.TMP 和*.TMP.YAI 两个文件,同时此病毒自动搜索系统内的可执行文件,并将这些可执行文件感染。
5、“圣诞节”病毒
“圣诞节”病毒也是一种极度恶性病毒,它不但能删除计算机上的文件,而且通过破坏计算机的FLASH BIOS,使其完全瘫痪。在破坏FLASH BIOS时,该病毒的作者使用了与CIH病毒一样的手法——这种病毒能感染Windows 95,Windows 98及Windows NT,这种病毒在12月25日发作。目前的杀毒软件基本上都可以查杀这种病毒。
11.1.5 防毒措施
在前面已经介绍了计算机中病毒的各种特征表现,如果计算机出现了这些表现就不得不怀疑系统已经中毒,这时候需要用专业的查毒工具检查系统,通过检查,如果计算机已经感染了病毒,则要尽快进行杀毒。因此,在平时就要准备一个专业的杀毒软件,例如Symantec Antivirus等。
检查文件时,不要以为只有*.exe、*.com等可执行文件会感染病毒,就忽略了其他文件,事实上一些宏病毒就潜伏在*.doc文件中,而且通过一些特别技术,*.txt文件也可以感染病毒.因此必须对硬盘上的所有文件进行检查。
检查完硬盘上的所有文件还必须对硬盘的引导扇区进行检查,一些隐藏在硬盘引导扇区的病毒是最容易被人遗忘的。要使计算机时刻保持正常状态,对病毒的预防是首要的。
不要用盗版光盘,在这些光盘中经常带有大量的病毒,已经成为传播计算机病毒的—个重要途径。
在因持网上下载软件时,应该到一些知名的网站去下载,一些来历不明的软件很可能就携带了病毒。下载后也不要忘了用查毒软件查毒。
对重要的数据和硬盘引导区等进行备份,以防不测。
图11-2 杀毒软件Symantec AntiVirus
220 全能培训——局域网组建与维护教程
局域网安全维护
221
11.2 黑 客
本节介绍的网络入侵不仅在Internet 上应当注意,在局域网中的计算机同样可能受到来自网络内部的攻击。
11.2.1 黑客与骇客
黑客一词的英文为Hacker ,即凭借自己掌握的计算机技术知识,采用非法手段逃过计算机网络系统的存取控制而获得进入计算机网络,进行未经授权的或非法访问的人。
黑客队伍日渐壮大,一些后来在IT 技术史中占有重要地位的人物开始崭露头角,其中包括苹果机创始人之一的沃兹尼亚克。越来越多的黑客们在共享着技术所带来的喜悦的时候,发现惟一美中不足的是欠缺互相交流心得的地方。因此,在1978年,来自芝加哥的兰边·索萨及沃招·克里斯琴森便制作了第一个供黑客交流的网上公告版,此BBS 至今仍在运行之中。
11.2.2 黑客攻击的常用几种手段
黑客常用的攻击手段有:
1、密码入侵
所谓密码入侵就是指用一些软件解开加密文档,但是,许多忠于此术的黑客并不采用这种方法而是用一种可以绕开或屏蔽密码保护的程序。对于那些可以解开或屏蔽密码保护的程序通常校称为Crack 。
2、特洛伊木马
说到特洛伊木马只要知道这个故事的人就不难理解,它最为广泛的方法就是把某一特定程序依附在某一合法用户程序中,这时,合法用户的程序代码已被改变,而一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客早已指定的任务。由于这种入侵法需要黑客有很好的编程经验,且要更改代码,要一定的权限,所以较难掌握。但是正因为它的复杂性,一般的管理员很难发现,对于黑客来说就要有一点耐心了。
3、监听法
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取,因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网卡
的所有数据包,对其进行解包分析,从而窃取关键信息,达就是以太网所固有的安全隐患。
有一种软件Sniffer网络嗅探器就是通过这种途径来监听网络中的数据流向,它可以截获密码,可以截获秘密的信息,可以用来攻击相邻的网络。
11.3 防火墙概述
图11-3 Sygate个人防火墙
开放的计算机和服务器/工作站体系结构较以前的各种网络结构确实具有许多好处,但安全问题却变得十分严重,特别是在连接到互联网的时候。在这种条件下,防火墙产品应运而生。防火墙是网络安全工具中最早成熟,最早产品化的,网络防火墙一般定义为在两个网络间执行访问控制策略的一个或一组系统。
防火墙可以分为两大类,即边界式防火墙和分布式防火墙,下面我们详细的介绍一下:11.3.1 边界式防火墙
根据边界式防火墙的特点和原理可将其分成不同的几类。
1、按边界式防火墙的特点分类
边界式防火墙按其特点可分为:屏蔽路由器、应用网关、屏蔽主机网关、被屏蔽子网等几种。
屏蔽路由器
最简单和最流行的防火墙形式是“屏蔽路由器”。一般说来,屏蔽路由器类型的防火墙具有以下优点:
通常其性能要优于其他类型的防火墙
规则设置简单
222 全能培训——局域网组建与维护教程
局域网安全维护
223
不需对客户端计算机进行专门的配置
通过NAT (网络地址转换),可以对外部用户屏蔽内部IP 地址
但它本身也具有一定的缺点:
无法识别到应用层协议,也无法对协议子集进行约束
通常不能提供其他附加功能,如HTTP 的目标缓存,URL 过滤以及认证等
只能控制信息进出,但细心的人可以看到,入侵者可能访问到防火墙主机的服务,
换句话说,入侵者可以攻击到防火墙主机,从而带来安全隐患
没有或缺乏审计追踪,从而也就缺乏报警机制
由于对众多网络服务的“广泛”支持所造成的复杂性,很难对规则有效性进行测试 应用网关
它通常被配置为“双宿主网关”,具有两个网络接口卡,同时接入内部和外部网。由于网关可以与两个网络通信,它是安装传递数据软件的理想位置。这种软件就称为“代理”,通常是为其所提供的服务定制的。
代理级防火墙和屏蔽路由器一样具有一些共同的特点,例如:
可以识别并实施高层的协议,如HTTP 和FTP 等
包含通过防火墙服务器的通信信息,可以提供源于部分传输层、全部应用层和部分
会话层的信息
可以用于禁止访问特定的网络服务,而允许其他服务的使用,能够处理数据包 可以屏蔽掉内部网的IP 地址,这是因为代理服务不允许外部和内部主机间直接通
信,因此内部主机名对外部是不可知的
屏蔽主机网关
屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器.那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器,网关的基本校制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与应用网关受攻击时的情形差不多。
被屏蔽子网
被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,并且通过两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多案例的实现中,两台分组过滤路由器均放在子网的两端。
2、边界式防火墙的原理分类
防火墙根据其工作原理分为3种:包过滤防火墙、代理服务器和状态监视器。
包过滤防火墙(IP Filting Firewall)
包过滤(Packet Filter)是在网络层中对数据包实施有选择地放行,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址以及包所使用端口确定是否允许该类数据包通过。
配置繁琐是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉何人进入系统,或者何人从内部进入网际网路。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址被盗用。
包过滤型防火墙是某种意义上的绝对安全的系统。
代理服务器〔Proxy Server〕
代理服务器通常也称为应用级防火墙。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络、对于这样的企业来说,应用级防火墙是更好的选择。所谓代理服务.即防火墙内外的计算机系统应用层的连接是在两个终止于代理服务的连接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。
代理服务器像真的墙一样挡在内部用户和外界之间,特别是从外面来的访问者只能看到代理服务器而看不到任何内部资源,诸如用户的IP地址等。而内部客户根本感觉不到它的存在,可以自由访问外部站点。但代理服务器同时也存在一些不足,特别是它会使网络的访问速度变慢,因为它不允许用户直接访问网络,而代理又要处理入和出的通信量,因此每增加一种新的媒体应用.则必须对代理进行设置。
状态监视器(Stateful Inspection)
状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。
3、边界防火墙的缺点
结构性受限制
边界防火墙的工作机理依赖于网络的物理拓扑结构。例如家庭移动办公和服务器托管越来越普遍,所谓内联网已经变成一个逻辑上的概念,实际的内部物理网络已经很模糊;另一224 全能培训——局域网组建与维护教程
局域网安全维护
225
方面,电子商务的应用要求商务伙伴之间在一定权限下可以进入到彼此的内部网络,所以说,内联网的边界已经是一个逻辑的边界.物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构件限制。
内部不够安全
边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中,80%的攻击和越权访问来自于内部,也就是说.边界防火墙在对付网络安全的主要威胁时束手允策。
基于上述缺陷诞生了一种新兴的防火墙技术“分布式防火墙”(Distributed Firewalls ),它能够有效地防止来自内部网络的攻击。
11.3.2 分布式防火墙
从狭义来讲,分布式防火墙产品是指那些驻留在网络中主机(如服务器或桌面机)并对主机系统自身提供安全防护的软件产品;从广义来讲,“分市式防火墙”是一种新的防火墙体系结构。
1、分布式防火墙结构组成
分布式防火墙由网络防火墙、主机防火墙和中心管理三个部分组成。边界防火墙只是网络中的单一设备,管理是局部的。对分布式防火墙来说,每个防火墙作为安全监测机制,可以根据安全性的不同要求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的,安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。
2、分布式防火墙的优点
分布式防火墙,在局域网尤其是大型局域网中的典型应用优点如下:
系统购安全性
增加了针对主机的入侵监测和防护功能
加强了对来自内部攻击的防范
可以实施全方位的安全策略
提供了多层次立体的防范体系
系统性能的保证
消除了结构性瓶颈问题,提高/系统性能
系统的扩展性
随系统扩充提供了安全防护无限扩充的能力
代表性的主机防火墙
11.4 系统更新与补丁
我们所使用的微软操作系统,同样也是一种软件——针对硬件应用的软件。既然是软件,那么它就有BUG,即平常我们所说的系统漏洞。接下来,我们就从网络安全的角度讲解微软Windows操作系统的漏洞。
11.4.1 Windows 9X安全漏洞
Microsoft 9X登录漏洞
Windows 9X/Me系统在用户登录计算机时可以通过不输入密码,单按“取消”按钮就能登录到系统。在网络登录时输入正确的用户名并按确定,这时将会出现Windows登录窗口,按“取消”按钮将会以该用户的身份成功登录进入系统。
Microsoft Windows 9X客户端驱动器类漏洞
TCP/IP协议中Net BIOS密码验证方案中存在安全漏洞,攻击者可以修改它的文件共亨服务,并执行DOS命令,攻击访问共享服务的Windows 9X客户端。
处理方法:禁用基于TCP/IP的Net BIOS,如图11-4所示。
图11-4网络协议中的Net BIOS
从上面这些漏洞中可以看出, NetBIOS服务给Windows 9X带来了巨大的危险,本章226 全能培训——局域网组建与维护教程
局域网安全维护
227
在前面的内容中也已经提到其危害性,并详细叙述了解除NetBIOS 服务绑定的方法,用户可以参考。
11.4.2 Windows 2000非法登录漏洞
输入法漏洞
漏洞描述:通过该漏洞用户可浏览计算机上的所有文件,且可执行net.exe 命令添加Administrator 级别的管理员用户,从而完全控制计算机。
解释:在Windows 2000的登陆窗口中,按【Ctrl+Shift 】键,切换至全拼输入法。在输入法状态条上按鼠标右键,选择“帮助”的“输入指南”,然后选择“选项”,按右键选择“跳转到URL ”命令,随后即可输入各类命令。如使用系统的“net ”命令,即可添加系统管理员用户,随后即可通过该帐户登录。
图11-5 卸载输入法
对策:(1)卸载不用的输入法,并删除输入法的帮助文件;(2)安装Windows 2000的Service Pack 1以上的版本。
Unicode 漏洞
漏洞描述:攻击者可通过IE 浏览器远程运行被攻击计算机的cmd.exe 文件,从而使该计算机的文件暴露,且可随意执行和更改文件。
解释:Unicode 标准被很多软件开发者所采用,无论何种平台、程序或开发语言,Unicode 均为每个字符提供独一无二的序号,如向IIS 服务器发出包括非法Unicode UTF-8序列的
URL,攻击者可使服务器逐字“进入或退出”目录并执行任意程序,该攻击即称为目录转换攻击。
Unicode用“%2f”和“%5c”分别代表“/”和“\”字符,但也可用“超长”序列来代替这些字符。“超长”序列是非法的Unicode表示符,如用“%c0%af”代表“/”字符。由于IIS不对超长序列进行检查,因此在URL中添加超长的Unicode序列后,可绕过微软的安全检查,如在一个标记为可执行的文件夹发出该请求,攻击者即可在服务器上运行可执行文件。
图11-6 微软更新主页
对策:
(1)为避免该类攻击,建议下载最新补丁,网址如下所述:
https://www.doczj.com/doc/1e10528566.html,/technet/security/bulletin/MS00-078.asp
(2)安装IIS Lockdown和URL Scan来加固系统,从而避免该类攻击。
IIS Lockdown的下载地址如下所述:
https://www.doczj.com/doc/1e10528566.html,/technet/security/tools/locktool.asp
URLScan的下载地址如下所述:
https://www.doczj.com/doc/1e10528566.html,/technet/security/URLScan.asp
(3)安装Windows 2000的Service Pack 2或Service Pack 2以上的版本。如下图所示
图11-7 Win dows 2000 SP2的系统
MS SQL Server的SA空密码漏洞
漏洞描述:攻击者可在安装MS SQL Server的Windows 2000服务器上新建Administrators
228 全能培训——局域网组建与维护教程
局域网安全维护
229
组用户。
解释:在Windows 2000中,企业级用户一般均使用微软的数据库管理软件 M S SQL Server ,在安装M S SQL Server 后,会将产生默认的SA 用户,且初始密码在管理员未设置的情况下为空,但SA 为SQL Server 中非常重要的安全模块成员,因此入侵者即可通过SQL Server 客户端进行数据库远程连接,然后通过SQL 的远程数据库管理命令进行命令操作,从而在MS SQL Server 服务器上新建管理员级别的Administrators 组用户。
对策:(1)安装SQL Server 后应立即修改SA 的空密码;(2)安装Windows 2000的Service Pack 3以上版本补丁。
图11-8安装了Windows 2000 SP4的系统
系统管理权限漏洞
漏洞描述:操作系统权限有可能被登录至Windows 2000的普通用户所窃取。
解释:该漏洞发现于网络连接管理器(Network Connection Manager ,即NCM )中,网络连接管理器是管理并设置系统网络连接的组件。在建立网络连接时,连接管理器将调用某个处理程序,由于连接管理器中的安全漏洞,因此经过某些复杂的操作步骤,被调用的处理程序将在局部系统权限下运行,且有可能调用其他处理程序。
如作为处理程序而指定任意程序后,该程序将在局部系统权限下运行,而该权限即Windows 系统自身的执行权限,且基本未受任何限制,因此在该权限下任何程序均可运行,普通用户即可控制整个系统。
对策:安装Windows 2000的Service Pack 3以上版本补丁。
微软操作系统的漏洞并非仅仅只有以上介绍的这些,但是由于用户的反馈以及微软系统测试员的不断努力,其操作系统的漏洞不断的在减少。自从微软的Windows 系列操作系统开发以来,微软就推出了操作系统的更新,这也是解决系统漏洞的一个很好途径。 11.5 如何更新与升级操作系统
本节将以Windows 2000为例,将介绍一下如何将 Windows 2000 SP1升级到Windows 2000 SP4版本的详细过程。首先我们了解一下Windows 2000 SP4与原版本有些什么改进。
SP4是 Windows 2000 更新的集合。SP4 包含对 Windows 2000 功能中下列方面的更新:安全、操作系统可靠性、应用程序兼容性、Windows 2000 安装程序。SP4 还包括:Windows 2000的Service Pack 1、Service Pack 2 和Service Pack 3中包含的更新;M icrosoft Internet Explorer 6.0 Service Pack 1 ;带有Service Pack 2 的Microsoft Outlook Express 5.5 。SP4 包含具备通用串行总线2.0增强主控制器接口(EHCI)外围组件互连(PCI)控制器的计算机的驱动程序,同时SP4还支持 IEEE 802.1x 身份验证协议。
更新与升级操作系统主要有两种方法,一种是先下载安装包文件,再在本地硬盘上安装;另外一种是直接登陆微软的官方网址,网络下载和安装。
11.5.1 本地安装
先看看系统现在的版本吧。在桌面上右击“我的电脑”属性,就可以查看你的电脑操作系统的版本。
图11-9 Win dows 2000 SP2
我们可以看到,现在的系统版本是Windows 2000 SP2,我们要将它升级到Windows 2000 SP4。操作步骤如下:
步骤1我们先要到微软的官方网站或是其它网站下载,下载一个Windows 2000 SP4安装包,内含Windows 2000 SP4的可执行文件(图11-10)。
图11-10 Windows 2000 SP4安装文件
步骤2双击执行它,出现正在提取文件的对话框,状态是正在验证文件(图11-11)。
步骤3验证完之后,开始提取文件,其实就是解压缩到一个文件夹(图11-12)。230 全能培训——局域网组建与维护教程
局域网安全维护
231
图11-11正在提取文件的对话框 图11-12提取文件 步骤4 提取文件完毕后,就会弹出Windows 2000 SP4的安装向导了(图11-13)。 步骤5 在这里,安装向导给了我们一些建议,比如关闭其它打开的程序等等,因为它们有可能会导致升级的失败,然后单击下一步,就会弹出许可协议(图11-14)。
图11-13 Win dows 2000 SP4的安装向导 图11-14 许可协议 步骤6 选择“我同意”,然后,单击“下一步”按钮。接着出现了选择选项的对话框(图11-15)。
步骤7 其中有两个选项,一个是文件存档,一个是文件不存档,这里,建议选择“文件存档”,这样,如果装完SP4后出现了问题,可以卸载Windows 2000 SP4。单击“下一步”按钮,就开始更新了Windows (图11-16)。
图11-15选择选项 图11-16更新版本 步骤8 这里大约将进行5分钟左右,就更新完毕了,然后重新启动。让我们再看看,系统属性里的版本吧(图11-17)。
图11-17 更新后的属性
上面已经显示为“Service Pack 4”了,表明我们已经把Windows 2000 SP2成功升级为Windows 2000 SP4了。
11.5.2 网络安装
对于互联网用户,还可以使用Windows自动更新方法登陆微软网站,直接升级操作系统,这种方法也可以用于安装系统补丁(关于安装系统补丁,我们将在下节做介绍)。以下是通过网络更新的方法来升级操作系统:
步骤1首先,打开Internet Explorer,在IE的菜单栏的【工具】子菜单选择“Windows Update”选项,如图11-18所示。
步骤2单击“Windows Updater”后,IE连接到微软的网站,并出现一个安全设置警告,如图11-19所示。
图11-18打开IE 图11-19 安全设置警告
步骤3我们选择“是”,IE就继续连接到微软的Windows升级网页,如图11-20。
步骤4在图11-20中,我们可以看到一个选项“查看以寻找更新”,单击它,系统会自动帮你查看你的系统需要更新的地方,如图11-21所示。
232 全能培训——局域网组建与维护教程