Windows主機主要威脅與解決對策

摘 要：主機威脅主要針對構建應用程序的系統軟件，這包括Windows操作系統、Internet 信息服務 （IIS）、.NET Framework 和 SQL Server，是哪一種取決于特定的服務器角色。主要的主機級威脅包括： 病毒、特洛伊木馬和蠕蟲；足跡；破解密碼；拒絕服務；任意執行代碼；未授權訪問。本文主要針對Windows主機面臨的典型威脅分別提出相應的解決對策。

關鍵詞：Windows主機；威脅與解決對策

1.病毒、特洛伊木馬和蠕蟲

病毒就是一種設計的程序，它進行惡意的行為，并破壞操作系統或者應用程序。除了將惡意的代碼包含在表面上是無害的數據文件或者可執行程序中外，特洛伊木馬很像一種病毒。除了可以從一個服務器自我復制到另一個服務器，蠕蟲類似于特洛伊木馬。蠕蟲很難檢測到，因為它們不是定期創建可以看見的文件。通常只有當它們開始消耗系統資源時，才能注意到它們，因為這時系統運行緩慢或者其他執行的程序停止運行。紅色代碼蠕蟲就是最臭名遠揚、攻擊 IIS 的蠕蟲，它的存在依靠的是某特定ISAPI篩選器中的緩沖區溢出缺陷。

雖然這三種威脅是實實在在的攻擊手段，同時它們會對 Web 應用程序、這些應用程序所在的主機以及用來傳遞這些應用程序的網絡造成重大的威脅。通過許多缺陷，例如默認設置的脆弱性、軟件錯誤、用戶錯誤和 Internet 協議固有的缺陷，這些攻擊在任何系統上都有可能取得成功。

用來對付病毒、特洛伊木馬和蠕蟲的對策包括：

● 保持當前采用最新的操作系統服務包和軟件補丁。

● 封鎖防火墻和主機的所有多余端口。

● 禁用不使用的功能，包括協議和服務。

● 強化脆弱的默認配置設置。

2.足跡

足跡的示例有端口掃描、ping 掃描以及 NetBIOS 枚舉，它可以被攻擊者用來收集系統級的有價值信息，有助于準備更嚴重的攻擊。足跡揭示的潛在信息類型包括帳戶詳細信息、操作系統和其他軟件的版本、服務器的名稱和數據庫架構的詳細信息。

幫助防止足跡的對策包括：

● 禁用多余的協議。

● 用適當的防火墻配置鎖定端口。

● 利用 TCP/IP 與 IPSec篩選器來進行更深一步的防護。

● 配置 IIS，防止通過標題抓取泄漏信息。

● 配置 IDS，利用它獲取足跡模式并拒絕可疑的信息流。

3.破解密碼

如果攻擊者不能夠與服務器建立匿名連接，他或者她將嘗試建立驗證連接。為此，攻擊者必須知道一個有效的用戶名和密碼組合。如果您使用默認的帳戶名稱，您就給攻擊者提供了一個順利的開端。然后，攻擊者只需要破解帳戶的密碼即可。使用空白或者脆弱的密碼可以使攻擊者的工作更為輕松。

幫助防止破解密碼的對策包括：

● 所有的帳戶類型都使用強密碼。

● 對最終用戶帳戶采用鎖定策略，限制猜測密碼而重試的次數。

● 不要使用默認的帳戶名稱，重新命名標準帳戶，例如管理員的帳戶和許多 Web 應用程序使用的匿名Internet用戶帳戶。

● 審核失敗的登錄，獲取密碼劫持嘗試的模式。

4.拒絕服務

可以通過多種方法實現拒絕服務，針對的是基礎結構中的幾個目標。在主機上，攻擊者可以通過強力攻擊應用程序而破壞服務，或者攻擊者可以知道應用程序在其上寄宿的服務中或者運行服務器的操作系統中存在的缺陷。

幫助防止拒絕服務的對策包括：

● 配置應用程序、服務和操作系統時要考慮拒絕服務問題。

● 保持采用最新的補丁和安全更新。

● 強化 TCP/IP 堆棧，防止拒絕服務。

● 確保帳戶鎖定策略無法被用來鎖定公認的服務帳戶。

● 確信應用程序可以處理大流量的信息，并且該閥值適于處理異常高的負荷。

● 檢查應用程序的故障轉移功能。

● 利用 IDS 檢測潛在的拒絕服務攻擊。

5.任意執行代碼

如果攻擊者可以在您的服務器上執行惡意的代碼，攻擊者要么就會損害服務器資源，要么就會更進一步攻擊下游系統。如果攻擊者的代碼所運行的服務器進程被越權執行，任意執行代碼所造成的危險將會增加。常見的缺陷包括脆弱的 IID 配置以及允許遍歷路徑和緩沖區溢出攻擊的未打補丁的服務器，這兩種情況都可以導致任意執行代碼。

幫助防止任意執行代碼的對策包括：

● 配置 IIS，拒絕帶有“../”的 URL，防止遍歷路徑的發生。

● 利用嚴格的 ACL，鎖定系統命令和實用工具。

● 保持使用最新的補丁和更新，確保新近發現的緩沖區溢出盡快打上補丁。

6.未授權訪問

不足的訪問控制可能允許未授權的用戶訪問受限制信息或者執行受限制操作。常見的缺陷包括，脆弱的 IIS Web 訪問控制，這又包括 Web 權限和脆弱的 NTFS 權限。

幫助防止未授權訪問的對策包括：

● 配置安全的 Web 權限。

● 利用受限制的 NTFS 權限鎖定文件和文件夾。

● 使用 ASP.NET 應用程序中的 .NET Framework 訪問控制機制，包括 URL 授權和主要權限聲明。

作者簡介：王強（1982.5-），男，漢，重慶墊江人，碩士，實驗師，現就職于重慶電子工程職業學院，研究方向：計算機應用。