《6 Windows 操作系统安全评测》由会员分享,可在线阅读,更多相关《6 Windows 操作系统安全评测(48页珍藏版)》请在金锄头文库上搜索。
1、第6章 Windows操作系统安全评测,第一部分 教学组织,一、目的要求1.掌握Windows操作系统的漏洞扫描方法。2.了解评测操作系统安全的标准和方法。二、工具器材1未打补丁的Windows2000操作系统。2X-Scan3.3漏洞扫描工具。三、学习方式建议1上课仔细理解教师授课中的要点,理解漏洞扫描的目的2课后分别对Window2000和Windows2003进行漏洞扫描,了解二者之间的系统特点。,第二部分 教学内容,操作系统是用来管理计算机资源的,各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统
2、软件的安全性。任何想象中的、脱离操作系统的应用软件的高安全性,就如同幻想在沙滩上建立坚不可摧的堡垒一样,毫无根基。 本章主要介绍Windows操作系统的漏洞扫描方法和评测操作系统安全的标准和方法。,6.1 Windows操作系统安全漏洞扫描,漏洞:英文名为Vulnerability,其字面含义是漏洞或者缺乏足够的防护。漏洞扫描:在黑客之前,对发现系统的常见漏洞,找出其薄弱之处并进行相关修复和防范就显得尤为重要,这项工作称之为漏洞扫描。,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能目的:自动评估操作系统配置方式不当所导致的安全漏洞。操作系统漏洞扫描主要检查以下四个方面:
3、 系统设置是否符合安全策略是否有可疑文件是否存在木马程序关键系统文件是否完整,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能漏洞扫描通常采用两种策略:被动式策略 概念:被动式策略就是基于主机之上,对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查 主动式策略 概念:主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。利用被动式策略的扫描称为系统安全扫描,利用主动式的策略扫描称为网络安全扫描,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能主要功能:集中式地找出安全漏洞降低风险
4、指数入侵/反入侵,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能漏洞扫描检测技术:基于应用的检测技术。基于主机的检测技术。基于目标的漏洞检测技术。基于网络的检测技术。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 对于维护一个如Windows般复杂的多层结构的操作系统,漏洞扫描是一项不可缺少的组成部分。它能够模拟黑客的行为,对操作系统及网络进行攻击测试,以帮助管理员在黑客攻击之前,找出系统中存在的漏洞。 漏洞扫描一般采用专用工具来实现,这些专用工具称为漏洞扫描系统,是用来自动检测远程或本地主机安全漏洞的程序(安全漏洞通常指硬件、软件、协议
5、的具体实现或系统安全策略方面存在的安全缺陷)。使用漏洞扫描系统可以评估操作系统及网络的安全级别,并生成评估报告,提供相应的整改措施。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 根据检测对象的不同,漏洞扫描系统可分为:网络漏洞扫描系统操作系统漏洞扫描系统数据库漏洞扫描系统,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类网络漏洞扫描系统 网络型漏洞扫描系统是指通过网络远程检测目标网络和主机系统漏洞的程序,对网络系统和设备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞。漏洞扫描器多数采用基于特征的匹配技术,与基于误用检测技
6、术的入侵检测系统相类似。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类网络漏洞扫描系统 网络型的漏洞扫描系统主要模仿黑客经由网络端发出封包,以主机接收到封包时的响应作为判断标准,进而了解主机的操作系统、服务、及各种应用程序的漏洞,其运作的架构如图6.1所示。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类网络漏洞扫描系统,图6.1 网络型漏洞扫描系统整体架构,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类网络漏洞扫描系统 网络型漏洞扫描系统的主要功能如下: 服务扫描侦测。提供well-known por
7、t service的扫描侦测及well-known port以外的ports扫描侦测。后门程序扫描侦测。提供PC Anywhere、NetBus、Back Orifice、Back Orifice2000(BackdoorBo2k)等远程控制程序(后门程序)的扫描侦测。密码破解扫描侦测。提供密码破解的扫描功能,包括操作系统及程序密码破解扫描,如FTP、POP3、Telnet.等。应用程序扫描侦测。提供已知的破解程序执行扫描侦测,包括CGI-BIN、Web Server漏洞、FTP Server等的扫描侦测。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类网络漏洞扫
8、描系统 网络型漏洞扫描系统的主要功能如下: 阻断服务扫描测试。提供阻断服务(Denial Of Service)的扫描攻击测试。系统安全扫描侦测。如NT的 Registry、NT Groups、NT Networking、NT User、NT Passwords、DCOM(Distributed Component Object Model)、安全扫描侦测。分析报表。产生分析报表,并告诉管理者如何去修补漏洞。安全知识库的更新。所谓安全知识库就是黑客入侵手法的知识库,必须时常更新,才能落实扫描。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类主机型安全漏洞扫描系统
9、主机型漏洞扫描系统主要是针对操作系统内部问题作更深入的扫描,如Windows、Unix等,它可弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。主机型漏洞扫描系统一般采用Client/Server的架构,如图6.2所示,6.1 Windows操作系统安全漏洞扫描,图6.2 主机型漏洞扫描系统整体架构,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类主机型安全漏洞扫描系统 主机型安全漏洞扫描器主要的功能如下:1)重要资料锁定。利用安全的Checksum(SHA1)来监控重要资料或程序的完整及真实性,如Index.html档。2)密码检测。采用结合系统信息、字
10、典和词汇组合的规则来检测易猜的密码。3)系统日志文件和文字文件分析。能够针对系统日志文件,如Unix的syslogs及NT的事件检视(event log),及其它文字文件(Text files)的内容做分析。4)动态式的警讯。当遇到违反扫描政策或安全弱点时提供实时警讯并利用email、SNMP traps、呼叫应用程序等方式回报给管理者。5)分析报表。产生分析报表,并告诉管理者如何去修补漏洞。6)加密。提供Console 和Agent 之间的TCP/IP连接认证、确认和加密等功能。7)安全知识库的更新。主机型扫描器由中央控管并更新各主机的Agents 的安全知识库,6.1 Windows操作系
11、统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类数据库型漏洞扫描系统 除了网络型和主机型漏洞扫描系统外,还有一种专门针对数据库作安全漏洞检查的扫描系统,像是ISS公司的 Database Scanner。其架构和网络型扫描类似,主要功能为找出不良的密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的帐户,而且能追踪登入期间的限制活动等。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 不论是网络型或主机型的漏洞扫描系统,或者是数据库漏洞扫描系统,其最重要的就是安全资料库的更新,这样才能完全地扫描出系统的漏洞。同时在做完更新后,一定还要再作一次新的扫描,因为操作
12、系统的漏洞随时都在发布,新的黑客入侵手法也一直翻新。入侵手法就如同病毒,而安全知识库就如同病毒码,如果一个扫描器背后的安全资料库不健全的话,就无法对企业信息安全作完善的稽核了。因此,在选择一个漏洞扫描系统时,必须考虑到之后知识库更新的内容及能力。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA 微软基准安全分析器(Microsoft Baseline Security Analyzer,MBSA)是微软公司开发的针对Windows操作系统的漏洞扫描系统软件。MBSA 是面向 Windows NT 4、Windows 2000、Windows XP
13、 和 Windows Server 2003 系统的安全评估工具,可扫描操作系统、IIS、SQL 和桌面应用程序,以发现常见的配置错误,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSAMBSA的运行需要以下软件的支持:1)带 Service Pack 4 的 Microsoft Windows NT® 4.0 或更高版本的操作系统、Windows 2000 或 Windows XP(本地扫描只能对使用简单文件共享的 Windows XP 计算机执行);2)Internet 信息服务 (IIS) 4.0、5.0(进行 IIS 漏洞检查时需要)
14、;3)SQL Server 7.0、2000(进行 SQL 漏洞检查时需要);4)Microsoft Office 2000、XP(进行 Office 漏洞检查时需要);5)必须启用/安装下列服务:Server 服务、Remote Registry 服务、File & Print Sharing(文件和打印共享)。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA在网络环境下,MBSA使用端口 138 和 139 执行扫描。检查的结果以安全报告的形式提供给用户,在报告中还带有关于修复所发现的任何问题的操作说明,其主要内容包括: 检查将确定并列出属于
15、Local Administrators 组的用户账户。 检查将确定在被扫描的计算机上是否启用了审核。 检查将确定在被扫描的计算机上是否启用了“自动登录”功能。 检查是否有不必要的服务。 检查将确定正在接受扫描的计算机是否为一个域控制器。 检查将确定在每一个硬盘上使用的是哪一种文件系统,以确保它是NTFS文件系统。 检查将确定在被扫描的计算机上是否启用了内置的来宾账户。 检查将找出使用了空白密码或简单密码的所有本地用户账户。 检查将列出被扫描计算机上的每一个本地用户当前采用的和建议的IE区域安全设置。 检查将确定在被扫描的计算机上运行的是哪一个操作系统。 检查将确定是否有本地用户账户设置了永不
16、过期的密码。检查将确定被扫描的计算机上是否使用了Restrict Anonymous注册表项来限制匿名连接Service Pack和即时修复程序。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSAMBSA V2.0.1的主要功能1)检查系统配置:a)Windows操作系统。通常,MBSA扫描Windows操作系统(Windows NT 4、Windows 2000、Windows XP、Windows Server 2003)中存在的安全问题,如:Guest(来宾)账户的状态、文件系统类型、可用的文件共享和管理员组的成员。每次OS检查的说明都会显示
17、在安全报告中,并附带有关修复任何已发现问题的说明。b)Internet Information Server。该组检查将扫描IIS 4.0和5.0中存在的安全问题,如计算机上存在的示范应用程序和某些虚拟目录。该工具还将检查IIS Lockdown工具是否在计算机上运行,从而帮助管理员配置和保护他们的IIS服务器。每次IIS检查的描述都会显示在安全报告中,并附带有关修复任何已发现问题的说明。c)Microsoft SQL Server。该组检查将扫描SQL Server 7.0和SQL Server 2000中存在的安全问题,如身份验证模式的类型、SM账户密码状态和SQL Server账户的成员资格。每一次SQL Server检查的描述都显示在安全报告中,并附带有关修复任何已发现问题的说明。 d)检查桌面应用程序。该组检查扫描每个用户账户的Internet Explorer 5.01+区域设置以及Office 2000、Office XP和Office System 2003的宏设置。,
