ancaman keamanan Windows

kadang-kadang, ini berguna untuk mundur dari putaran sehari-hari peringatan, update, kegagalan hardware, scan kerentanan, laporan penetrasi, dan perjuangan abadi untuk password kuat untuk mendapatkan gambaran menyeluruh dari apa yang ancaman terburuk untuk jaringan Anda benar-benar adalah-jika hanya untuk melihat apakah Anda membuang-buang sumber daya dan kehilangan gambaran besar.

Institut SANS dan NIPC (Pusat Perlindungan Infrastruktur Nasional) telah merilis laporan terbaru mereka di internet terkait ancaman atas keamanan, SANS / FBI Top 20 Daftar .

Administrator berpengalaman dapat melihat daftar ini sebagai kesempatan untuk menjalankan pemeriksaan cepat untuk melihat apakah mereka telah melewatkan sesuatu yang jelas, tetapi yang paling berguna untuk administrator baru mencoba untuk memutuskan mana dari banyak ancaman dan kerentanan mereka harus memperbaiki terlebih dahulu.

Artikel ini akan berfokus pada kerentanan Windows di daftar itu. Artikel berikutnya saya akan mencakup Linux / UNIX kerentanan dan akan mencakup daftar port yang SANS merekomendasikan blok administrator di firewall untuk menghentikan serangan yang paling sampai Anda punya waktu untuk menginstal patch yang tepat.

Dengan cara perbandingan, Anda mungkin ingin memeriksa 2 Mei 2002, Top 20 Daftar dan yang asli Daftar Top 10 dari 25 Juni 2001 .

Jendela kerentanan

SANS / FBI laporan adalah lebih dari sekedar daftar sederhana. Ini menawarkan rincian yang berharga tentang masalah dan bagaimana menangani mereka. Anda dapat memeriksa laporan asli untuk informasi lebih lanjut mengenai kerentanan individu.

Berikut adalah Windows yang paling dieksploitasi kerentanan rinci dalam daftar:

    W1 Internet Information Services (IIS)
    W2 Microsoft Data Access Components (MDAC)-Remote Data Layanan
    W3 Microsoft SQL Server
    W4 NetBIOS-Unprotected Windows Jaringan Saham
    W5 Anonymous Logon-Null Sesi
    W6 LAN Manager Authentication-Lemah Hashing LM
    W7 Umum Windows Authentication-Account dengan Tidak Sandi atau Password yang lemah
    W8 Internet Explorer
    W9 Remote Registry Access
    W10 Windows Scripting Host

Mari kita lihat lebih dekat kelemahan ini.

Internet Information Services

IIS terganggu dengan buffer overflows, ketidakmampuan untuk benar menyaring permintaan, dan contoh aplikasi yang diimplementasikan dengan buruk. Beberapa masalah lama yang seharusnya sudah ditambal tahun lalu. Tapi kerentanan IIS terus bermunculan dengan setiap versi baru, sehingga sulit untuk menempatkan banyak menyalahkan administrator ceroboh. Jalankan HFNetChk untuk memeriksa keberadaan patch saat ini.

Berlakunya-Windows NT 4 menjalankan IIS 4, Windows 2000 menjalankan IIS 5, dan XP Pro menjalankan IIS 5.1

Fix-Terapkan patch. Tinggal saat ini pada setiap patch untuk versi tertentu IIS karena masalah baru hampir pasti ke permukaan. Anda harus mengkonfigurasi filter UrlScan untuk menolak permintaan HTTP jahat terbentuk seperti yang dijelaskan di sini . Ubah ekstensi ISAPI, seperti HTR,.. Idq,. Isme, dan printer,. Yang dipetakan secara default dalam instalasi IIS paling tetapi yang paling pengguna tidak perlu. Singkirkan sampel. Carilah ini di%% wwwroot \ script direktori. Juga, jangan menginstal sampel atau remote administrasi alat pada instalasi baru.

MDAC

Remote Microsoft Data Access Components 'Layanan Data komponen memiliki kesalahan coding yang mengangkat pengguna jauh untuk hak akses administratif dan dapat membuat database diakses serangan eksternal anonim.

Berlakunya-NT 4.0 sistem yang menjalankan IIS 3.0 dan 4.0, RDS 1,5, atau 6,0 VS

Perbaiki - upgrade ke versi MDAC 2.1 atau nanti jika ini tidak menghasilkan masalah kompatibilitas atau membuat perubahan pada konfigurasi sistem anda berdasarkan buletin:

    Q184375
    MS98-004
    MS99-025

Seperti yang dapat Anda lihat dari tanggal-tanggal tersebut Buletin Keamanan, ini terkenal kerentanan. Fakta bahwa ini adalah yang paling sering dimanfaatkan kedua vektor digunakan serangan terhadap Windows jaringan adalah sebuah tuduhan dari tingkat keamanan dipertahankan pada sejumlah besar sistem yang lebih tua.

Microsoft SQL Server

Pusat Badai internet konsisten laporan SQL Server Port 1433 sebagai salah satu dari 10 port atas scan untuk kerentanan oleh penyerang, sehingga setiap kelemahan dalam Microsoft SQL kemungkinan untuk dieksploitasi.

Berlakunya-SQL Server 7.0, SQL Server 2000, atau SQL Server 2000 Desktop Engine instalasi

Fix-Terapkan salah satu dari patch ini:

    SQL Server 7.0 Service Pack 4
    SQL Server 2000 Service Pack 2
NetBIOS / Windows jaringan saham

Menggunakan Server Message Block (SMB) protokol atau Sistem Common Internet File (CIFS) untuk memungkinkan akses remote user untuk file juga membuka sistem untuk menyerang.

Berlakunya-Semua sistem Windows

Risiko-Virus Sircam dan worm Nimda baik mengeksploitasi kelemahan ini, jadi bahaya terbukti.

Fix-Membatasi file mana yang bisa diakses dan membatasi akses ke alamat IP tertentu bukan nama DNS dengan mudah palsu. Jika melayani file tidak penting pada sebuah sistem, menonaktifkan fitur ini dan blok port.

Anonim logon

Akun SYSTEM Windows menyediakan layanan kritis, tetapi juga memungkinkan akses ke file pada komputer lain melalui prosedur logon anonim (sesi nol). Sayangnya, ini berarti bahwa penyerang juga dapat log on secara anonim.

Berlakunya-Windows NT, 2000, dan XP

Fix-Tentang semua yang dapat Anda lakukan adalah memodifikasi registri untuk membatasi potensi kerusakan. Ada beberapa saran dalam daftar SANS.

LAN Manager hash LM

LAN Manager adalah sebuah alat warisan. Password dan enkripsi yang digunakan selama masa kejayaannya cukup kuat, tetapi mereka dengan cepat dapat dikompromikan dengan sistem saat ini jauh lebih cepat.

Berlakunya-Semua sistem operasi Windows: Default instalasi NT, 2000, dan semua toko XP hash LAN Manager secara default.

Perbaiki-Jika Anda tidak membutuhkannya, nonaktifkan Otentikasi LM. Rincian bagaimana melakukan hal ini adalah termasuk dalam SANS / laporan FBI. Juga lihat:

    " Bagaimana Nonaktifkan Otentikasi LM pada Windows NT "[Q147706]
    "LMCompatibilityLevel dan Efek Its" [Q175641]
    "Cara Aktifkan Otentikasi NTLM 2 untuk Windows 95/98/2000 dan NT" [Q239869]
    "Registry Key Baru untuk Hapus Hashes LM dari Active Directory dan Security Manager Account" [Q299656]

Jendela password

Password yang lemah adalah kutukan keberadaan admin '. Berbagai skema telah dikembangkan untuk memaksa pengguna untuk mengadopsi password yang kuat dan perubahan secara berkala, namun pengguna biasanya mengeluh begitu keras bahwa administrator sering dipaksa untuk kompromi dalam satu atau lain cara, sehingga melemahkan kontrol akses.

Fakta bahwa masalah ini adalah terdaftar sebagai kerentanan yang paling sering dieksploitasi ketujuh dapat memberi Anda beberapa amunisi waktu berikutnya Anda mencoba untuk menegakkan kebijakan password yang baik.

Berlakunya-Semua yang dilindungi sandi sistem atau aplikasi

Perbaiki-aku tidak akan masuk ke berbagai cara untuk menciptakan dan melindungi password yang kuat di sini. (Lihat artikel ini untuk beberapa tips berguna.) Ini adalah pengguna dan isu manajemen. Masalahnya biasanya tidak ketidaktahuan tentang bagaimana untuk membuat password yang kuat. Ini masalah manajemen meyakinkan untuk memungkinkan Anda untuk mengambil garis keras ini.

Internet Explorer

Ancaman utama bagi pengguna Internet Explorer terletak di beberapa daerah:

    Kontrol ActiveX
    Scripting kerentanan
    Tipe MIME dan salah tafsir isi
    Buffer overflows
Risiko-Cookie dan file lokal lainnya dapat dikompromikan, sistem rentan dapat diambil alih, dan kode berbahaya yang dapat diinstal dan dijalankan, seperti dapat setiap program lokal, termasuk yang kritis seperti del (menghapus) atau format.

Fix-Upgrade dan kemudian patch. Microsoft tidak mendukung IE versi awal dari 5,01, sehingga Anda tidak dapat mengamankan sampai Anda update ke versi yang relatif baru. Setelah Anda meng-upgrade ke IE 5.01 atau 5.5, menginstal Service Pack 2 untuk 5,01 atau Service Pack 2 untuk 5,5 dan kemudian menerapkan patch keamanan kumulatif (Q323759) . Jika Anda pindah ke IE6, hanya menginstal Service Pack 1 .

Registry akses

Registri adalah file yang paling penting pada setiap sistem Windows dan akses remote dapat melakukan kerusakan tak terbatas ke sistem.

Berlakunya-Semua versi Windows: The NT Resource Kit berisi regdump.exe, yang akan menguji hak akses remote registry dan menunjukkan apakah sistem anda rentan.

Fix-Membatasi akses: perangkat lunak ini bukan bug tetapi fitur dari Windows, sehingga semua dapat Anda lakukan adalah membatasi akses dan mencoba untuk menghindari potensi kerusakan.

Pasal Basis Pengetahuan Microsoft Q153183 menunjukkan bagaimana untuk membatasi akses remote ke registri NT, dan SANS / rincian laporan FBI beberapa cara untuk membatasi akses remote baik resmi dan tidak sah menggunakan kunci registri.

Windows Scripting Host

Visual Basic sangat bagus untuk macro pemrograman, tapi The Love Bug dan VB Script cacing telah menyebabkan kerusakan tak terhitung ketika pengguna sedang men-download tertipu vbs file. Teks yang kemudian secara otomatis dieksekusi oleh Windows Scripting Host (WSH).

Setiap penerapan sistem Windows-

Fix-Nonaktifkan WSH: Ikuti Symantec atau Sophos petunjuk untuk menghapus Windows Scripting Host sehingga vbs file tidak akan berjalan secara otomatis.. Menjalankan perangkat lunak antivirus dan menjaga database definisi saat ini juga dapat membantu mengurangi masalah ini.

Akhir kata

Sangatlah penting untuk diingat bahwa hacker, terutama naskah kiddies yang dapat menggunakan kerentanan hanya dikenal, juga tahu tentang ancaman ini. Dan mereka tahu bahwa ancaman tidak sedang ditambal sesering yang seharusnya. Anda dapat mengharapkan bahwa ketika hacker mengalihkan perhatian mereka ke sistem Anda, ini akan menjadi orang yang pertama mereka akan berusaha untuk mengeksploitasi.