[专家们公认的20个最危险的安全漏洞.doc

1、专家们公认的20个最危险的安全漏洞 大概在一年前，SANS研究所和国家基础设施保护中心（NIPC）发布了一份文档，总结了10个最严重的网络安全漏洞。数以千计的组织利用这份文档来安排他们工作的先后次序，以便能够首先关掉最危险的漏洞。2001年10月1日发布的这份新的列表更新并扩展了以前的TOP10列表，增加为20个最危险的安全漏洞，并将其分为三大类，通用漏洞，Windows漏洞，UNIX漏洞。这份SANS/FBI最危险的20个漏洞列表是非常有价值的，因为大多数通过Internet对计算机系统的入侵均可以追溯到这20个安全漏洞，例如对五角大楼Solar Sunrise系统的攻击，Code Red和

2、Nimda蠕虫的快速传播，均可以归结为没有对这20个漏洞打补丁。就是这少数几个软件漏洞成就了大多数的成功攻击，是因为攻击者是机会主义者，他们使用最简单和常用的方法。他们使用最有效和广泛传播的攻击工具，去攻击众所周知的漏洞。他们寄希望于有关组织不解决这些漏洞。他们扫描网络上有任何漏洞的系统，不做区分地加以攻击。过去，系统管理员报告说他们没有弥补很多漏洞，是因为他们不知道哪些漏洞是最危险的，他们太忙了，没有时间修补全部漏洞。一些扫描工具可以扫描300或500，甚至800个漏洞，这就分散了系统管理员的注意力。系统管理员应该保障所有系统免于最常见的攻击。这份列表集合了大多数联邦安全机构，安全软件开发商

3、，咨询公司，大学中的安全组织，CERT/CC和SANS研究所的首席安全专家的知识，以简化以上问题。这份文件末尾可以找到参与成员列表。影响所有系统的漏洞(G)G1操作系统和应用软件的缺省安装G1.1描述：大多数软件，包括操作系统和应用程序，都包括安装脚本或安装程序。这些安装程序的目的是尽快安装系统，在尽量减少管理员工作的情况下，激活尽可能多的功能。为实现这个目的，脚本通常安装了大多数用户所不需要的组件。软件开发商的逻辑是最好先激活还不需要的功能，而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便，但却产生了很多危险的安全漏洞，因为用户不会主动的给他们不使用的软件组件打补丁。而且很多

4、用户根本不知道实际安装了什么，很多系统中留有安全漏洞就是因为用户根本不知道安装了这些程序。那些没有打补丁的服务为攻击者接管计算机铺平了道路。对操作系统来说，缺省安装几乎总是包括了额外的服务和相应的开放端口。攻击者通过这些端口侵入计算机系统。一般说来，你打开的端口越少，攻击者用来侵入你计算机的途径就越少。对于应用软件来说，缺省安装包括了不必要的脚本范例，尤其对于 Web服务器来说更是如此，攻击者利用这些脚本侵入系统，并获取他们感兴趣的信息。绝大多数情况下，被侵入系统的管理员根本不知道他们安装了这些脚本范例。这些脚本范例的安全问题是由于他们没有经历其他软件所必须的质量控制过程。事实上，这些脚本的编

5、写水平极为低劣，经常忘记出错检查，给缓冲区溢出类型的攻击提供了肥沃的土壤。 G1.2 受影响的系统大多数操作系统和应用程序。请注意几乎所有的第三方web服务器扩展都存在这样的样本文件，它们中间的大多数是极度危险的。G1.3 CVE 表项（注意：以下列表并不完整，只是部分样本）CVE-1999-0415, CVE-1999-0678, CVE-1999-0707, CVE-1999-0722, CVE-1999-0746, CVE-1999-0954, CVE-2000-0112, CVE-2000-0192, CVE-2000-0193, CVE-2000-0217, CVE-2000-023

6、4, CVE-2000-0283, CVE-2000-0611, CVE-2000-0639, CVE-2000-0672, CVE-2000-0762, CVE-2000-0868, CVE-2000-0869, CVE-2000-1059G1.4 怎样判断你是易受攻击的：如果你使用了安装程序去安装系统或服务软件，而且没有移走不需要的服务，或没有安装所有的安全补丁，那么你的系统是易于被黑客攻击的。即使你进行了附加的配置，你也仍然是易受攻击的。你应该对任何连到Internet上的系统进行端口扫描和漏洞扫描。在分析结果时，请记住以下原则：你的系统应该提供尽可能少的服务，并安装为提供这些服务所需的

7、最少的软件包。每一个额外的软件或服务都为攻击者提供了一个攻击手段，这主要是由于系统管理员不会为他们不经常使用的软件打补丁。G1.5 怎样防范：卸载不必要的软件，关掉不需要的服务和额外的端口。这会是一个枯燥而且耗费时间的工作。正是由于这个原因，许多大型组织都为他们使用的所有操作系统和应用软件开发了标准安装指南。这些指南包括了为使系统有效运作所需的最少的系统特性的安装。Internet安全中心(CIS) 根据多个国家的170个组织（http:/www.cisecurity.org/）的知识和经验，针对Solaris和Windows 2000开发了一套公认的最小安全配置基准，针对其他操作系统的配置基

8、准和测试工具还在开发中。CIS工具可以测试安全性能，分区比较系统安全状态。CIS指南可用来提高大多数操作系统的安全性能。G2 没有口令或使用弱口令的帐号G2.1 描述：大多数系统都把口令作为第一层和唯一的防御线。用户的ID是很容易获得的，而且大多数公司都使用拨号的方法绕过防火墙。因此，如果攻击者能够确定一个帐号名和密码，他（或她）就能够进入网络。易猜的口令或缺省口令是一个很严重的问题，但一个更严重的问题是有的帐号根本没有口令。实际上，所有使用弱口令，缺省口令和没有口令的帐号都应从你的系统中清除。另外，很多系统有内置的或缺省的帐号，这些帐号在软件的安装过程中通常口令是不变的。攻击者通常查找这些帐

9、号。因此，所有内置的或缺省的帐号都应从系统中移出。G2.2受影响的系统所有通过用户ID和口令进行认证的操作系统或应用程序。G2.3 CVE entries:（注意：以下列表并不完整，只是部分样本）CVE-1999-0291, CAN-1999-0501, CAN-1999-0502, CAN-1999-0503, CAN-1999-0505, CAN-1999-0506, CAN-1999-0507, CAN-1999-0508, CAN-1999-0516, CAN-1999-0517, CAN-1999-0518, CAN-1999-0519G2.4 怎样判断你是易受攻击的：为判断你是否易

10、受攻击，你需要了解你的系统上都有哪些帐号。应进行以下操作：1审计你系统上的帐号，建立一个使用者列表，别忘了检查例如路由，连接Internet的打印机、复印机和打印机控制器等系统的口令。2制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。3经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。4对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。（在你这么做之前，先确定你有权利这么做）a.LC3 Microsoft Windows NT and Microsoft Windows 2000, b.Microsoft Personal Security Advisor, Mic

11、rosoft Windows NT and Microsoft Windows 2000, c.John the Ripper Unix, d.Pandora Novell, http:/www.nmrc.org/pandora5.当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。G2.5 怎样防范：应采取两个步骤以消除口令漏洞。第一步，所有没有口令的帐号应被删除或加上一个帐号，所有弱口令应被加强。可悲的是，当用户被要求改变或加强他们的弱口令时，他们经常又选择一个容易猜测的。这就导致了第二步，用户的口令在被修改后，应加以确认。可以用程序来拒绝任何不符合你安全策略的口

12、令，可在如下地址获得常用的程序：1.For UNIX: Npasswd, http:/www.utexas.edu/cc/unix/software/npasswd 2 .For Windows NT: Passfilt, /articles/Q161/9/90.asp这些程序保证了修改口令时，口令的长度和组成使得破解非常困难。应指出，很多UNIX系统有保证口令强壮性的功能，另外还有很多其他软件包也可以达到这个目的。很多组织使用口令控制程序，以保证口令经常更改，而且旧口令不可重用。如果使用口令有效期，请确认用户在口令过期之前收到警告并有足够的时间改变口令。当面对以下信息时，your passw

13、ord has expired and must be changed, 用户往往会选择一个坏口令。Microsoft Windows 2000在Group Policy中包括口令限制选项。系统管理员可以配置网络，使口令有最小长度，最小和最大有效期等限制。限制口令的最小有效期是很重要的，如果没有它，用户在被要求修改口令后会很快又把口令改回去。限制口令的最小有效期使得用户不得不记住现在的口令，而不太会把口令改回去。另外一个很重要的手段是使用户了解，为什么以及怎样去选择强壮的口令。选择口令最常见的建议是选取一首歌中的一个短语或一句话，将这些短语的非数字单词的第一或第二个字母，加上一些数字来组成口令

14、，在口令中加入一些标点符号将使口令更难破解。另一个避免没有口令或弱口令的方法是采用其他认证手段，例如口令产生令牌（password-generating tokens）或生物尺度（biometrics）。如果你没有办法解决弱口令的问题，尝试一下其它认证手段。G3 没有备份或者备份不完整G3.1 描述：当事故发生时（这在每一个组织均有可能发生），从事故中恢复要求及时的备份和可靠的数据存储方式。一些组织的确每天做备份，但是不去确认备份是否有效。其他一些组织建立了备份的策略和步骤，但却没有建立存储的策略和步骤。这些错误往往在黑客进入系统并已经破坏数据后才被发现。第二个问题是对备份介质的物理保护不够。

15、备份保存了和服务器上同样敏感的信息，它们应以相同的方式加以对待。G3.2受影响的系统任何运行紧要任务的系统G3.3 CVE entries: N/AG3.4怎样判断你是易受攻击的：应列出一份紧要系统的列表。然后对每一个系统可能遇到的风险和威胁进行分析。应根据这些重要的服务器制定备份方式和策略。一旦确认了这些重要系统，应明确以下重要问题：1系统是否有备份？2备份间隔是可接受的吗？3系统是按规定进行备份的吗？4是否确认备份介质正确的保存了数据？5备份介质是否在室内得到了正确的保护？6是否在另一处还有操作系统和存储设施的备份？（包括必要的license key）7存储过程是否被测试及确认？G3.5怎

16、样防范：应当每天做备份。在大多数组织中，最低的要求是一周做一次完整的备份，之后每天再做增量备份。至少一个月要对备份介质做一次测试，以保证数据确实被正确的保存了下来。这是最低要求。很多公司每天都做完整的备份，并且一天就要做多次备份。备份的终极目的是一个完全冗余的网络，并且具备自动防故障能力-实时金融和电子商务系统，重要设施的控制系统和一些国防部门的系统都需要这样一个备份方案。G4 大量打开的端口G4.1 描述合法的用户和攻击者都通过开放端口连接系统。端口开得越多，进入系统的途径就越多。因此，为使系统正常运作，保持尽量少的端口是十分必要的。所有无用的端口都应被关闭。G4.2受影响的系统：大多数操作

17、系统。G4.3 CVE entries:（注意：以下列表并不完整，只是部分样本）CVE-1999-0189, CVE-1999-0288, CVE-1999-0351, CVE-1999-0416, CVE-1999-0675, CVE-1999-0772, CVE-1999-0903, CVE-2000-0070, CVE-2000-0179, CVE-2000-0339, CVE-2000-0453, CVE-2000-0532, CVE-2000-0558, CVE-2000-0783, CVE-2000-0983,G4.4怎样判断你是易受攻击的：netstat命令可以在本地运行以判断哪

18、些端口是打开的,但更保险的方法是对你的系统进行外部的端口扫描.这会给你列出所有实际在侦听的端口号.如果二者结果不同,你应该研究一下是什么原因.如果两个列表一致,检查一下为什么这些端口是打开的,每一个端口都在运行什么.任何无法确认的端口都应被关闭.应记录最终端口列表,以确定没有额外的端口出现。在众多的端口扫描器中，最流行的是nmap。在http:/www.insecure.org/nmap/ 可以找到UNIX下的nmap。这个版本在NT下也可以编译。在 nmapnt.html可以找到NT版的nmap。无论你使用那种扫描器，都应扫描从1-65,535的所有TCP和UDP端口。在进行扫描之前，你应对

19、系统拥有写入权限。一些操作系统，特别是一些有内置的TCP/IP协议栈的器件，在被扫描时，会出现难以预计的后果。扫描同时会触发入侵检测系统和防火墙，而被认为是一种入侵。G4.5怎样防范：一旦你确定了哪些端口是打开的，接下来的任务是确定所必须打开的端口的最小集合关闭其他端口，找到这些端口对应的服务，并关闭/移走它们。在UNIX系统下，很多服务是由inted和它的配置文件inetd.conf控制的。inetd.conf列出了侦听端口的服务，可用来关闭端口：将一种服务从inetd.conf中移出，重启inted，以避免端口被再次打开。其他一些服务是通过启动时的一些脚本来运行的（例如/etc/rc, /

20、etc/rc.local,或在/etc/rc*目录下的。由于在不同UNIX系统下关闭这些脚本的方式不同，请查询你的系统文档。在Windows NT 和 Windows 2000下，可使用一种fport（序来确定在某个特定端口上侦听的服务或程序。在Windows XP下，你可以netstat命令加-o来完成相同的功能。G5 没有过滤地址不正确的包G5.1描述IP地址欺诈是黑客经常用来隐藏自己踪迹的一种手段。例如常见的smurf攻击就利用了路由的特性向数以千记的机器发出了一串数据包。每一个数据包都假冒了一个受害主机的IP地址作为源地址，于是上千台主机会同时向这个受害的主机返回数据包，导致该主机或网

21、络崩溃。对流进和流出你网络的数据进行过滤可以提供一种高层的保护。过滤规则如下：1任何进入你网络的数据包不能把你网络内部的地址作为源地址。2任何进入你网络的数据包必须把你网络内部的地址作为目的地址。3任何离开你网络的数据包必须把你网络内部的地址作为源地址。4任何离开你网络的数据包不能把你网络内部的地址作为目的地址。5任何进入或离开你网络的数据包不能把一个私有地址（private address）或在RFC1918中列出的属于保留空间（包括10.x.x.x/8, 172.16.x.x/12 或192.168.x.x/16 和网络回送地址127.0.0.0/8.）的地址作为源或目的地址。6阻塞任意源

22、路由包或任何设置了IP选项的包。G5.2受影响的系统：大多数操作系统和网络设备。G5.3 CVE entries:（注意：以下列表并不完整，只是部分样本）CAN-1999-0528, CAN-1999-0529, CAN-1999-0240, CAN-1999-0588G5.4怎样判断你是易受攻击的：试图发送一个假冒IP地址的包，看你的防火墙或路由器是否阻隔了它。你的设备不仅应该阻隔它的传输，而且应该在日志文件中记录下假冒IP包已被丢弃。注意，这又为一种新的攻击敞开了大门：日志文件泛滥。应确认你的日志系统可以处理很强的负载，否则就易受DOS攻击。nmap程序可以发出假冒IP包以测试这类过滤。一

23、旦设置了过滤规则，不要认为它总能正常工作，经常测试。G5.5怎样防范：应在你的外部路由或防火墙上设置过滤规则。以下是CISCO路由器的简单规则：1进入过滤：interface Serial 0ip address 10.80.71.1 255.255.255.0ip access-group 11 inaccess-list 11 deny 192.168.0.0 0.0.255.255access-list 11 deny 172.16.0.0 0.15.255.255access-list 11 deny 10.0.0.0 0.255.255.255access-list 11 deny

24、access-list 11 permit any2. 离开过滤：interface Ethernet 0ip address 10.80.71.1 255.255.255.0ip access-group 11 inaccess-list 11 permit G6 不存在或不完整的日志：G6.1 描述：安全领域的一句名言是：“预防是理想的，但检测是必须的”。只要你允许你的网络与Internet相连，黑客入侵的危险就是存在的。每周都会发现新的漏洞，而保护你不被黑客攻击的方法很少。一旦被攻击，没有日志，你会很难发现攻击者都作了什么。不了解这一点的话，你只能在两者之间做出选择：要么从原始状态重装系

25、统，寄希望于数据备份是正确的，要么冒险使用一个黑客可能仍然控制的系统。如果你不知道在你的系统上都发生了什么，你是不可能发现入侵的。日志提供了当前系统的细节，哪些系统被攻击了，那些系统被攻破了。在所有重要的系统上应定期做日志，而且日志应被定期保存和备份，因为你不知何时会需要它。许多专家建议定期向一个中央日志服务器上发送所有日志，而这个服务器使用一次性写入的介质来保存数据，这样就避免了黑客篡改日志。G6.2受影响的系统：所有的操作系统和网络设备。G6.3 CVE entries:CAN-1999-0575, CAN-1999-0576, CAN-1999-0578G6.4怎样判断你是易受攻击的：查

26、看每一个主要系统的日志，如果你没有日志或它们不能确定被保存了下来，你是易被攻击的。G6.5怎样防范：所有系统都应在本地记录日志，并把日志发到一个远端系统保存。这提供了冗余和一个额外的安全保护层。现在两个日志可以互相比较。任何的不同显示了系统的异常。另外，这提供了日志文件的交叉检测。一个服务器中的一行日志可能并不可疑，但如果在一分钟内出现在一个组织的50个服务器的同一出口，可能标志着一个严重问题。不论何时，用一次性写入的媒质记录日志。G7 易被攻击的CGI程序大多数的web服务器，包括Microsoft的IIS和Apache，都支持CGI程序，以实现一些页面的交互功能，例如数据采集和确认。事实上

27、，大多数web服务器都安装了简单的CGI程序。不幸的是，大多数CGI程序员没有认识到他们的程序为Internet上的任一个人提供了一个连向web服务器操作系统的直接的链接。易被攻击的CGI程序格外吸引攻击者，是因为他们很容易确定和使用web服务器上软件的权限。攻击者们可以利用CGI程序来修改web页面，窃取信用卡帐号，为未来的攻击设置后门。当司法部的页面被篡改后，深入调查得出的结论是可能性最大的攻击手段是CGI程序中的漏洞。由没有受过良好教育或很粗心的程序员编写的web服务器应用程序也很容易受到攻击。作为一个基本的规则，所有系统都应删除示范（sample）程序。G7.2受影响的系统：所有的we

28、b服务器。G7.3 CVE entries:（注意：以下列表并不完整，只是部分样本）CVE-1999-0067, CVE-1999-0346, CVE-2000-0207, CVE-1999-0467, CAN-1999-0509, CVE-1999-0021, CVE-1999-0039, CVE-1999-0058, CVE-2000-0012, CVE-2000-0039, CVE-2000-0208, CAN-1999-0455, CAN-1999-0477G7.4 怎样判断你是易受攻击的：如果你的web服务器上有任何示范程序，你是易被攻击的。如果你有合法的CGI程序，请保证你是在运行

29、最新版，然后对你的站点运行漏洞扫描工具。通过模仿攻击者的行为，你可以保护你的系统。你可以使用一个叫whisker（序的漏洞。G7.5怎样防范：以下是为保护易受攻击的CGI程序所需做的首要工作：1从你的web服务器上移走所有CGI示范程序。2审核剩余的CGI脚本，移走不安全的部分。3保证所有的CGI程序员在编写程序时，都进行输入缓冲区长度检查。4为所有不能除去的漏洞打上补丁。5保证你的CGI bin目录下不包括任何的编译器或解释器。6从CGI bin目录下删除view-source脚本。7不要以administrator或root权限运行你的web服务器。大多数的web服务器可以配置成较低的权限

30、，例如nobody.8不要在不需要CGI的web服务器上配置CGI支持。最危险的Windows系统漏洞(W)W1 - Unicode漏洞W1.1描述：不论何种平台，何种程序，何种语言，Unicode为每一个字符提供了一个独一无二的序号。Unicode标准被包括Microsoft在内的很多软件开发商所采用。通过向IIS服务器发出一个包括非法Unicode UTF-8序列的URL,攻击者可以迫使服务器逐字“进入或退出”目录并执行任意(程序)(script脚本)，这种攻击被称为目录转换攻击。Unicode用%2f和%5c分别代表/和。但你也可以用所谓的“超长”序列来代表这些字符。“超长”序列是非法的

31、Unicode表示符，它们比实际代表这些字符的序列要长。/和均可以用一个字节来表示。超长的表示法，例如用%c0%af代表/用了两个字节。IIS不对超长序列进行检查。这样在URL中加入一个超长的Unicode序列，就可以绕过Microsoft的安全检查。如果是在一个标记为可执行的文件夹中发出的请求，攻击者可以在服务器上运行可执行文件。更多的有关Unicode的威胁信息可在这里找到：W1.2受影响的系统：安装了IIS 4.0的Microsoft Windows NT 4.0和安装了IIS 5.0，而没有安装Service Pack 2的Windows 2000 server。W1.3 CVE en

32、tries: CVE-2000-0884W1.4怎样判断你是易受攻击的：如果你在运行一个未打补丁的IIS，那么你是易受到攻击的。最好的判断方法是运行hfnetchk。Hfnetchk是用来帮助管理员来判断系统所打补丁情况的工具。Unicode目录转换漏洞可通过打以下补丁进行修补：?Q269862 - MS00-057 ?Q269862 - MS00-078 ?Q277873 - MS00-086 ?Q293826 - MS01-026 ?Q301625 - MS01-044 ?Windows 2000 Service Pack 2如果一个补丁都没有安装，那么系统是易受到攻击的：为进行进一步确认

33、，你可以键入以下命令：http:/victim/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:这个地址需要被修改以准确测试每一个特定系统。如果你已移走了scripts目录（建议这么做），这个命令就失效了。你可以暂时建立一个有执行权限的目录，或使用一个已有的有执行权限的目录，来替代scripts目录。例如，你可能已经删除了scripts目录，但另外有一个cgi-bin目录，使用cgi-bin目录替代scripts目录测试你的系统。如果你是易受攻击的，这个URL会送回一个目录，列出驱动器C下的所有内容。你只是运行DIR命令，如果是一个攻击者的话，

34、他就有可能大肆破坏或在你的系统上安装一个后门。W1.5 怎样防范：为避免这一类攻击，你应下载Microsoft的最新补丁，在Microsoft Security Bulletin： 你可以找到这些补丁的信息。IIS Lockdown和URL Scan均可以避免这类攻击。IIS Lockdown可以帮助管理员锁住IIS server，可在以下地址获得：URLScan是一个可以过滤很多HTTP请求的过滤器。例如，它可以过滤包含UTF8编码字符的请求。URLScan可在以下地址获得：W2 ISAPI 缓冲区扩展溢出W2.1描述：Microsofts Internet Information Serv

35、er (IIS)是在大多数Microsoft Windows NT和 Windows 2000服务器上使用的服务器软件。安装IIS后，就自动安装了多个ISAPI extensions。ISAPI，代表Internet Services Application Programming Interface，允许开发人员使用DLL扩展IIS服务器的性能。一些动态连接库，例如idq.dll，有编程错误，使得他们做不正确的边界检查。特别是，它们不阻塞超长字符串。攻击者可以利用这一点向DLL发送数据，造成缓冲区溢出，进而控制IIS服务器。W2.2受影响的系统：idq.dll缓冲区溢出影响Microsoft

36、 Index Server 2.0和Windows 2000中的Indexing Service。打印机缓冲区溢出影响Windows 2000 Server, Advanced Server, 和安装了IIS 5.0的Server Data Center Edition. Windows 2000 Professional也装载了idq.dll，但不是缺省安装。如果可能，你应使用Group Policy，禁止基于web的打印（在Computer Configuration:Administrative Templates:Printers下）。W2.3 CVE entries:CVE-1999

37、-0412, CVE-2001-0241, CAN-2000-1147, CAN-2001-0500W2.4怎样判断你是易受攻击的：如果你的web服务器没有安装Service Pack 2，你是易受攻击的。如果你不确定安装了哪一个补丁，从以下地址下载hfnetchk并运行它：k.asp以下补丁可以修正打印机缓冲区溢出：?Q296576 - MS01-023 ?Q300972 - MS01-033 ?Q301625 - MS01-044 ?Windows 2000 SP2 ?Q299444 The Windows NT 4.0 Security Roll-up Package以下补丁可以修正id

38、q.dll缓冲区溢出：?Q300972 - MS01-033 ?Q301625 - MS01-044 ?The Windows NT 4.0 Security Roll-up PackageW2.5 怎样防范：安装最新的Microsoft的补丁。?Windows NT 4.0: ?Windows 2000 Professional, Server and Advanced Server: ?Windows 2000 Datacenter Server: Windows 2000 Datacenter Server是基于硬件的，可以从设备生产商处获得。?Windows XP: 该漏洞不影响Win

39、dows XP.同时，管理员应检查并取消所有不需要的ISAPI扩展。经常检查这些扩展没有被恢复。请记住最小权限规则，你的系统应运行系统正常工作所需的最少服务。IIS Lockdown和URL Scan均可以避免这类攻击。IIS Lockdown可以帮助管理员锁住IIS server，可在以下地址获得：URLScan是一个可以过滤很多HTTP请求的过滤器。例如，它可以过滤包含UTF8编码字符的请求。URLScan可在以下地址获得：W3 - IIS RDS的使用(Microsoft Remote Data Services)W3.1 描述：Microsofts Internet Informati

40、on Server (IIS)是在大多数Microsoft Windows NT和 Windows 2000服务器上使用的服务器软件。黑客可以利用IISs Remote Data Services (RDS)中的漏洞以administrator权限在远端运行命令。W3.2受影响的系统：运行IIS，有/msadc虚拟路径的Microsoft Windows NT 4.0系统是最易受攻击的。W3.3 CVE entries: CVE-1999-1011W3.4 怎样判断你是易受攻击的：如果你在运行一个未打补丁的系统，你是易被攻击的。可以在以下地址找到有关RDS漏洞和怎样清除它的指南：W3.5怎样防

41、范：这不是仅打一个补丁就能修复的。为进行防范，请遵循以下安全公告（security bulletins）的指南：? ? ? 另外，你也可以通过升级到2.1版的MDAC来解决这个问题。最新版的MDAC可在以下地址获得：W4 NETBIOS 未保护的Windows网络共享W4.1 描述：Server Message Block (SMB)协议，也称为Common Internet File System (CIFS), 允许网络间的文件共享。不正确的配置可能会导致系统文件的暴露，或给予黑客完全的系统访问权。许多计算机所有者不知道他们在为了外来的研究人员或工作人员方便，而把文件设置为可读，可写后，就

42、为黑客们敞开了大门。用于开发任务规划软件的政府网站的管理员们把他们的文件设为世界范围可读的，于是来自不同政府机构的人员可以轻易进入。在两天之内，黑客们就发现了这个开放文件共享，并偷走了这个软件。在Windows的主机上允许文件共享使得它们容易受到信息窃贼和某种快速移动的病毒的攻击。在Macintosh和UNIX的主机上允许文件共享也存在相同的问题。允许进行Windows文件共享的Windows机制可被攻击者利用获取系统的敏感信息。用户和组信息（用户名，上次登录时间，口令策略，RAS信息），系统信息和某种注册密钥都可通过与NetBIOS对话服务连接的一个“空对话”过程获得。这些信息对黑客很有帮助，因为这些信息可以帮助他们进行口令猜测和破解。W4.2 受影响的系统：Microsoft Windows NT and Windows 2000 systemsW4.3 CVE entries:CVE-1999-0366, CVE-2000-0222, CVE-2000-0979, CAN-1999-0518, CAN-1999-0519, CAN-1999-0520, CAN-1999-0621, CAN-