专职的网络和系统安全管理人员在日复一日的进行着补丁更新、系统升级，每天都要重复安全警告、硬件

故障、漏洞扫描以及密码反破解等工作，但很有必要从这些烦杂的琐事中抽身出来，认真了解一下到底哪

些才是网络安全的最大敌人，只有这样你才能了解是否浪费资源或是忽略了关键问题。

SANS（System Administration， Networking， Security-系统管理、网络和安全学会）和NIPC（国家基

础保护中心）在最近联合发布了与互联网相关的SANS/FBI 20大系统安全威胁列表。（注一）

经验丰富的网络管理员可以参考这份安全威胁列表，针对以往工作中可能疏漏的地方，在各自管理的网络

和系统中进行一次快速、彻底的清查，同时这份列表对于刚接触网络管理工作的工作人员更有帮助，可以

按图索骥地查找各种可能存在的系统漏洞和危险，以便能够及时关掉最危险的漏洞。

这篇文章强集中讨论列表中涉及的Windows系统漏洞，还包括SANS建议关闭的防火墙管理端口以防止大多

数的攻击，帮助管理员有足够的时间来安装合适的补丁软件。

如果要得到更多的参考资料，请访问2002年5月2日发布的Top 20 List 以及2001年发布的Top 10 list。

Windows 漏洞

来自SANS/FBI联合发表的报告并非只是简单的列表。它提供了关于漏洞和如何解决的颇有价值的信息。用

户可以根据这份原创报告来找出更多的特定漏洞。

以下列出了以往找出的Windows系统存在重大漏洞的服务名单：

W1 IIS（互联网信息服务器）
W2 微软数据访问部件（MDAC）－远程数据服务
W3 微软SQL Server
W4 NETBIOS－不受保护的Windows网络共享
W5 匿名登入 -- Null Sessions（空会话，注二）
W6 LAN Manager 身份认证 －易被攻击的LAN Manager口令散列（注三）
W7 一般Windows身份认证－帐户密码太脆弱或干脆为空
W8 IE浏览器漏洞
W9 远程注册表访问
W10 WSH（Windows脚本主机服务）
 

让我们进一步了解上述漏洞。

1.IIS服务器

微软的IIS服务器存在缓存溢出漏洞，它难以合适地过滤客户端请求，执行应用脚本的能力较差。部分问

题可以通过已发布的补丁解决，但每次IIS的新版本发布都带来新的漏洞，因此IIS出现安全漏洞并不能完

全归罪于网管的疏漏。建议管理人员运行HFNetChk来检查目前可更新的补丁。

适用性说明——Windows NT 4运行 IIS 4， Windows 2000 运行IIS 5，Windows XP Pro运行 IIS 5.1。

修复方法——安装补丁文件。为你的系统安装最新的IIS补丁，并在IIS中排除恶意用户的访问IP地址（相

关解释见：http://www.microsoft.com/technet/security/tools/urlscan.asp）。删除IIS中缺省支持的

ISAPI扩展名，诸如：.htr、.idq、.ism以及.printer，这些可执行脚本的扩展名在IIS安装时缺省支持，

但用户很少会需要它们。删除\inetput\wwwroot\scripts目录中的脚本样本文件。同样，在进行IIS安装

时不要安装远程管理工具。

2.MDAC

微软数据访问部件的远程数据服务单元有一个编码错误，远程访问用户有可能通过这一漏洞获得远程管理

的权限，并有可能使数据库遭到外部匿名攻击。

适用性说明——NT 4.0系统运行IIS 3.0和4.0，RDS 1.5或是 VS 6.0。

修复方法——升级MDAC到2.1或更新的版本，或者基于以下发布的方法进行系统配置：

Q184375
MS98-004
MS99-025
 

从上述公告发布的时间可以看出，这些漏洞是所谓的well-know (著名的) 漏洞。实际上上述漏洞常被用

来攻击Windows网络 ，尤其是那些较早的系统。

3.微软SQL数据库

Internet Storm Center始终在警告用户微软SQL数据库的1433端口是攻击者必定扫描的十大现存漏洞端口

之一。

适用性说明——SQL服务器7.0，SQL服务器2000以及SQL桌面安装版本。

修复方法——根据各自的系统安装下面的其中一个补丁：

SQL Server 7.0 服务包 4
SQL Server 2000 服务包 2
 

4.NETBIOS/Windows网络共享

由于使用了服务器信息块(SMB) 协议或通用互联网文件系统(CIFS)，将使远程用户可以访问本地文件，但

也向攻击者开放了系统。

适用性说明——所有的windows系统。

风险——肆虐一时的Sircam和Nimda蠕虫病毒都利用这一漏洞进行攻击和传播，因此用户对此绝对不能掉

以轻心。

修复方法——限制文件的访问共享，并指定特定IP的访问限制以避免域名指向欺骗。关闭不必要的文件服

务，取消这一特性并关闭相应端口。

注一：SANS（System Administration， Networking， and Security-系统管理、网络和安全学会）SANS

和FBI已经陆续联合发表多个网络安全危险名单，这似乎已经成了一个惯例。

注二：Null Session被认为是WIN2K自带的一个后门。当建立一个空会话之后，对于一台配置不到位的

WIN2K服务器来说，那么将能够得到非常多的信息，比如枚举帐号等等。更详细的解释请参照：

http://www.20cn.net/ns/hk/hacker/data/20020819051358.htm

注三：微软在Windows NT 和 2000系统里缺省安装了LAN Manager口令散列。由于LAN Manager使用的加密

机制比微软现在的方法脆弱，LAN Manager的口令能在很短的时间内被破解。

5.匿名登录

Window操作系统的帐户服务至关重要，但一旦用户通过匿名登录进程(空对话)后就可以匿名访问其它系统

中的文件。不幸的是，这意味着攻击者也可以匿名进入系统。

适用性说明——Windows NT，2000以及XP系统。

修复方法——用户唯一可以补救的就是修改注册表限制这一潜在的威胁。在SANS的列表中提出了若干建议

可供参考执行。

6.LAN Manager身份认证(易被攻击的LAN Manager口令散列)

尽管Windows的大多数用户不再需要LAN Manager的支持，微软还是在Windows NT 和 2000系统里缺省安装

了LAN Manager口令散列。由于LAN Manager使用的早期加密机制比微软现在的方法脆弱，即使相当强健的

LAN Manager的口令也能在很短的时间内被破解。

适用性说明——所有的Windows操作系统: 缺省安装的Windows NT，Windows 2000，Windows XP都存在这

一漏洞。

修复方法——只要用户用不到它，就尽快取消LM认证支持， 具体详情还可以参照以下内容:

"如何取消NT系统的LM审核功能" [Q147706]
"LM兼容级别和影响" [Q175641]
"如何在Windows 95/98/2000及NT系统中支持NTLM 2审核" [Q239869]
"在活动目录和安全帐户管理的注册表键值中取消LM Hash审核" [Q299656]
 

7.Window 密码

脆弱的密码是管理人员的心腹大患。尽管各种系统设置都要求用户使用足够强壮的密码并进行定期更换，

但用户往往抱怨系统管理员做出的各种限制，这就引发了访问控制的脆弱性。

既然这一漏洞名列第七大系统漏洞，系统管理员就可以理直气壮地要求用户遵守足够强壮的密码策略。

适用性说明——所有使用密码保护的系统和应用软件。

修复方法——笔者不想再赘述其他的密码建立和保护途径，这属于用户和管理方面的问题。谁都不会忽略

强壮密码的重要性，但关键是如何把这一原则贯彻始终。

8.IE浏览器

对于IE浏览器的用户有以下几个方面的威胁：

ActiveX控件
脚本漏洞
MIME 类型和内容的误用
缓存区溢出
 

风险——Cookies 和其它本地文件有可能被利用来威胁系统安全，恶意代码有可能趁虚而入安装并运行，

甚至恶意代码可以执行删除和格式化硬盘的命令。

修复方法——升级并安装补丁文件。微软不再支持版本早于5.01的IE浏览器，因此用户必须升级到5.01或

更高版本。完成浏览器升级到IE5.01或5.5后，安装IE 5.01服务包2或IE 5.5服务包2 。然后安装安全补

丁的最新累积版本Q32375。

9.注册表访问

在任何Windows系统中，注册表都是最重要的文件，而允许远程访问注册表将带来很大危害。

适用性说明——所有的Windows版本：在NT Resource Kit（资源套件）中有一个软件 regdump.exe ，可

以用来测试系统是否开放了远程注册表访问权限。

修复方法——限制访问：这并非是软件的bug，而是Windows系统所具备的一个特性，因此用户必须通过限

制访问权限来避免潜在的威胁。

微软知识库的文章Q153183说明了如何限制远程访问NT系统注册表，而SANS/FBI报告中也提到了几种方法

来限制授权和非授权的远程注册表访问。

10.WSH（Windows脚本主机服务）

用VB来编辑宏非常方便，但类似爱虫和其它VB脚本蠕虫病毒却可以给用户系统带来难以预见的灾难，用户

无意间下载的该类恶意脚本文件，很可能通过WSH服务自动在系统中执行。

适用性说明——任何Windows系统。

修复方法——取消WSH：按赛门铁克公司Symantec或Sophos）提供的方法取消系统中WSH服务，这样恶意VB

脚本就无法自动执行了。然后运行反病毒软件并保证病毒定义库的同步更新，以降低此类安全问题的风险

。

结语:

用户要时刻谨记，上面提到的内容很可能就是那些黑客尤其是Script Kiddies(指那些只会用别人编写的

程序和代码进行漏洞扫描和攻击的人)所知道的漏洞和入口。恶意攻击者会最先对上述漏洞下手，因此建

议你参照上述内容及时对系统进行升级和修复。