系統(tǒng)安全與漏洞分析

1、.【創(chuàng)業(yè)學校】系統(tǒng)安全與漏洞分析【摘 要】：安全加固是針對主機的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統(tǒng)抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)?！娟P(guān)鍵詞】：系統(tǒng)加固 網(wǎng)絡(luò)安全 WINDOWS系統(tǒng)【引 言】：安全加固是針對主機的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統(tǒng)抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)。通常對系統(tǒng)和應(yīng)用服務(wù)的安全加固包括如下方面：1）安裝最新補丁2）賬號、口令策略調(diào)整3）網(wǎng)絡(luò)與服務(wù)加固4）文件系統(tǒng)權(quán)限增強5）日志審核功能增強6）安全性增強1、安全加固風險分析通過前期對系統(tǒng)的資產(chǎn)調(diào)查、掃描、人工檢查和分

2、析，提出系統(tǒng)的安全加固的方案，在加固過程中可能產(chǎn)生對系統(tǒng)的不同程度、不同方面的影響（具體影響因素和大小詳見安全加固方案中的實施風險的描述）。針對不同的風險可選擇的策略如下：對于實施風險極高的加固項目，因為其極有可能對系統(tǒng)運行造成破壞，或中斷正常業(yè)務(wù)，所以經(jīng)主機管理員確認后，不在本次加固中實施。對于實施風險不高，即使造成影響，也可以盡快恢復，不會影響正常業(yè)務(wù)的加固項目，建議選擇業(yè)務(wù)空閑時段，由主機管理員作好系統(tǒng)備份，加固過程中監(jiān)控主機的運行狀況。對于實時性要求高的業(yè)務(wù)主機，建議先作好系統(tǒng)備份，如有可能加固項目預(yù)先在測試環(huán)境進行測試通過后，再正式執(zhí)行加固。2、高風險漏洞分析2.1通過SMB會話可以

3、訪問Windows系統(tǒng)磁盤下的任意文件通過SMB會話訪問Windows系統(tǒng)磁盤下的任意文件。惡意攻擊者可以對您系統(tǒng)上的文件進行復制、篡改、刪除等操作，從而可造成XX文件泄漏、破壞系統(tǒng)運行、獲取目標系統(tǒng)的控制權(quán)限等.解決方案：1）使用足夠強壯的密碼或者禁止共享。2）設(shè)置嚴格的權(quán)限控制：在防火墻上設(shè)置為拒絕非授權(quán)用戶訪問。2.2檢測到目標主機上管理員組XX存在簡單口令掃描檢測出部分具有管理員權(quán)限的XX存在簡單口令，這允許攻擊者遠程以該用戶身份登錄系統(tǒng)，獲取目標系統(tǒng)的控制權(quán)限。解決方案：1）修改用戶口令，設(shè)置足夠強度的口令。2）利用防火墻設(shè)置訪問規(guī)則，阻止非授權(quán)的訪問2.3目標主機沒有安裝MS06-

4、042/KB918899等相關(guān)補丁未安裝最新補丁會使服務(wù)器存在許多已知安全漏洞，從而可能被惡意攻擊者利用而遭到攻擊。解決方案：相關(guān)補丁下載。安裝補丁需要重起服務(wù)器，由此可能導致無法預(yù)知的問題2.4遠程注冊表可通過SMB會話完全訪問遠程Windows主機允許通過SMB會話完全訪問注冊表。攻擊者可以變相遠程執(zhí)行命令，最終徹底控制遠程Windows主機。 解決方案：有兩種可能導致該漏洞。一是遠程注冊表權(quán)限設(shè)置有誤，參照解決方案以及微軟知識庫處理。二是管理員口令薄弱，已為攻擊者猜測得到，此時只能修改管理員口令，重新設(shè)置一個高強度的口令。如果不需要提供對外的遠程注冊表訪問，可以關(guān)閉此服務(wù)。2.5 Sun

5、 Java Runtime Environment遠程代碼執(zhí)行漏洞Sun Java Web Start ActiveX control緩沖區(qū)溢出漏洞SDK 和JRE 1.3及1.4版本，JDK和JRE5.0升級12和6.0升級2的Sun Java運行時環(huán)境里的Java虛擬機（JVM）允許遠程攻擊者通過授予自身權(quán)限的applet執(zhí)行任意程序，或者讀取修改任意文件。解決方案：下載并安裝JRE的最新版本。2.6 Microsoft SQL Server 2000未安裝SP4補丁多個安全漏洞掃描根據(jù)版本進行，可能存在誤報，需要檢查確認。Microsoft SQL Server是微軟公司開發(fā)和維護的大型

6、數(shù)據(jù)庫系統(tǒng)。Microsoft SQL Server 2000中存在多個安全漏洞。遠程攻擊者可能利用這些漏洞導致拒絕服務(wù)、繞過數(shù)據(jù)庫策略、泄漏敏感信息或執(zhí)行任意代碼。 解決方案：目前廠商已經(jīng)發(fā)布了升級補丁以修復這個安全問題，請到廠商的主頁下載Microsoft SQL Server 2000 SP4。 2.7系統(tǒng)存在多個弱口令或空口令存在系統(tǒng)弱口令會讓非授權(quán)用戶很容易獲得權(quán)限從而進行非法操作。檢測出常見弱口令形式如下：用戶名密碼NCGuest(空口令)NC0095888888NC0059123456NC$EK1000-P9LAASN51VOA(空口令)NC$DK1000-VUHOD4611S5

7、K123456表1 弱口令形式解決方案：設(shè)置或更改足夠復雜的密碼.3. Windows系統(tǒng)加固方案3.1補丁安裝使用Windows Update安裝最新補丁，可以使系統(tǒng)版本為最新版本。但安裝補丁可能導致主機啟動失敗，或其他未知情況發(fā)生。3.2XX、口令策略修改保障XX以及口令的安全。設(shè)置XX策略后可能導致不符合XX策略的XX無法登錄，需修改不符合XX策略的密碼（注：管理員不受XX策略限制，但管理員密碼應(yīng)復雜以避免被暴力猜測導致安全風險）。3.3優(yōu)化系統(tǒng)XX刪除非法XX或多余XX，更改默認管理員XX，防止黑客利用非法XX或多余XX，暴力猜測默認管理員XX。可能部分使用該XX的業(yè)務(wù)有影響。3.4限

8、制特定執(zhí)行文件的權(quán)限C:windwssystem32net.exe,net1.exe,tft及C:windowssystem32cmd.exe只保留admin和system權(quán)限，防止通用緩沖區(qū)溢出攻擊，除admin 、system，其他XX無法執(zhí)行以上程序。3.5將暫時不需要開放的服務(wù)停止將不必要的服務(wù)：Messenger、Print Spooler、Remote Registry啟動類型設(shè)置為手動并停止。避免未知漏洞給主機帶來的風險可能由于管理員對主機所開放服務(wù)不了解，導致該服務(wù)被卸載。由于某服務(wù)被禁止使得依賴于此服務(wù)的其他服務(wù)不能正常啟動。3.6日志審核增強修改安全策略為下述值：審核策略更

9、改成功審核登錄事件無審核審核對象訪問成功, 失敗審核過程追蹤無審核審核目錄服務(wù)訪問無審核審核特權(quán)使用無審核審核系統(tǒng)事件成功, 失敗審核XX登錄事件成功, 失敗審核XX管理成功, 失敗表2 審核策略3.7調(diào)整事件日志的大小、覆蓋策略日志類型大 小覆蓋方式應(yīng)用日志16384K覆蓋早于30天的事件安全日志16384K覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件表3 日志策略增大日志量大小，避免由于日志文件容量過小導致日志記錄不全。3.8禁止匿名用戶連接（空連接）注冊表如下鍵值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymou

10、s”的值修改為“1”，類型為REG_DWORD，可以禁止匿名用戶列舉主機上所有用戶、組、共享資源?？赡茉斐赡承┻h程服務(wù)業(yè)務(wù)應(yīng)用不可用。3.9刪除主機默認共享刪除主機因為管理而開放的共享，可能某些應(yīng)用服務(wù)無法連接該共享，如Veritas Netbackup，建議不操作。增加注冊表鍵值如下：“HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersAutoshareserver”項，并設(shè)置該值為“1”。4.結(jié)論安全加固服務(wù)是指是根據(jù)專業(yè)安全評估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對不同目標系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。但安全是一個系統(tǒng)工程，也沒有絕對的安全，在采用相關(guān)技術(shù)強化系統(tǒng)安全同時，也應(yīng)加強安全意識教育及相關(guān)安全管理措施的制定與實施。參考文獻：1 閔銳，楊楚華，防火墻協(xié)同防御技術(shù)研究，計算機安全，2008.22 袁禮，李平，計算機網(wǎng)絡(luò)原理與應(yīng)用，清華大學，2011.