本配置手册不是全面的windows系统安全配置手册,只是指导windows用户,通过简易的、且不需要付任何费用的方法来避免受到主流攻击影响。本手册在每次出现重大漏洞时将做出修订。目前手册中的内容包括可有效对抗在2008年10月24出现的RPC漏洞(MS08-067)影响。
最新漏洞情况通报
本报告的修订针对2008年10月24出现的RPC漏洞(MS08-067)作出,这是一个针对139、445端口的RPC服务进行攻击的漏洞。可以直接获取系统控制权。
根据MS的消息该攻击无法穿透DEP保护,因此对正版用户,该漏洞对XP SP2以上版本(含SP2)和Server 2003 SP1(含SP1)系统无效。因此主要受到威胁的用户应该是, windows 2000和windows xp sp2以前版本用户。
但由于一些盗版传播中,被人为降低了安全级别或者修改过安全机制,因此上述信息只能供参考。
基本处置建议
在重大远程漏洞发生时,对于不需要实时连接的系统,可以考虑先断网检测安全配置,然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全再打补丁。
单机防火墙配置
相关介绍:
单机防火墙是一个重要的安全环节,有很多免费的和付费的防火墙品牌,主流反病毒产品往往也自带防火墙,从windows XP版本开始windows也自带了一个防火墙。
桌面用户、工作站用户
桌面系统是指以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式,其多数网络操作为用户主动对外发起连接,而不是凭借本地监听端口为外部用户提供服务。利用这一特性我们可以作出如下配置。
配置为禁止外部发起连接模式
桌面系统如果不提供共享打印,不需要在局域网游戏(如CS、FIFA等)中作为主机使用,可以通过设置为禁止发布发起连接模式,来阻断所有向本主机发起的连接的。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。
效果:本节操作可以不依赖其他补丁和配置,独立防范MS08-067攻击。
优点:不仅可以阻断MS08-067攻击,而且可以阻断所有相同的针对主机固定端口的攻击。
缺点:如果主机提供打印共享、网络共享目录等服务则会失效,在CS、Fifa等游戏中无法作为host使用。可能与蓝波宽带拨号程序冲突。
Windows Vista、Windows Server2003自带防火墙支持配置为禁止外部发起连接模式。
${PageNumber}用户可按照下列图示步骤,配置windows自带防火墙。
Step 1:在控制面板中找到防火墙。
Step2:选择更改设置,此时vista系统的安全机制可能需要灰屏确认,请选择是。
Step 3:启动防火墙并选择阻止所有传入连接。
Windows XP系统的防火墙不支持本项设置,可通过其他防火墙实现,以安天盾防火墙(免费)为例。
${PageNumber}Step1:通过单击windows开始菜单中安天安全中心项目,或者单击托盘中的安天安全中心图标。启动有关配置。
Step 2:在安天安全中心界面上点击设置。
Step 3:将策略选择为系统初装。
网络服务器
网络服务器用户以来固定端口对外进行服务,因此不能采用阻断所有传入连接的方式进行配置,否则会失效。但在本地管理服务器的情况下,采用阻止所有主动连接模式在线打补丁,打全补丁重新启动后,在去掉本模式投入应用。是很好的技巧。
${PageNumber}不需要开放RPC服务的服务器
从最古老的WindowNT Server到Server 2008,不需要开放RPC服务器的用户可以不依赖任何安全工具,仅凭借windows Server自身安全机制既可实现屏蔽,我们不同意直接关闭RPC服务的方法,这会给本机管理带来一些麻烦。
Step 1:择网络连接的属性。
Step 2:单点Internet 协议(TCP/IP)点击属性
Step3:在弹出的Internet协议(TCP/IP)属性对话框中点击高级。
STEP4:对TCP/IP筛选中点击属性。
Step 5:在TCP/IP筛选中配置允许访问的端口。只要不包含TCP139和445则MS08-067 RPC攻击失效。
需要开放RPC服务的服务器
需要开放RPC服务的服务器,如网络打印、网络共享和一些RPC通讯调用的节点,不能够通过上述关闭端口的方式,否则会造成无效。
可以转而采用打补丁、打开DEP策略,或安装主机IPS的方法。
数据执行保护配置
数据执行保护机制是微软自XP SP1开始发布的重要遏制溢出攻击的机制,本次RPC攻击并不能穿透DEP攻击的保护。
采用下列步骤可以查看和配置当前系统DEP保护。
STEP 1:我的电脑右键点击属性。
Step 2:点击高级标签的设置按钮。
Step 3:设定数据执行保护的策略。修改后需要重新启动。
选择不同的DEP策略会达到不同的效果。
选择仅为基本windows程序和服务启用DEP
效果:可以挡住本次RPC攻击,也可以挡住目前主流的针对windows开放端口的攻击。
优点:在获得一定的安全性的情况下,保证系统的兼容性。
缺点:不能保护类似IE浏览器,Outlook等比较脆弱的互联网应用程序。不能防范类似挂马注入的攻击。
选择为除下列选定程序之外的所有程序和服务启用。
效果:在上述效果的基础上,对web挂马、各种应用软件插件注入都有很好的效果。
优点:更强的系统安全性。
缺点:与部分应用程序冲突,但可以设置为例外。
${PageNumber}补丁下载与安装
根据自己系统的情况,寻找地址安装单一补丁,是一个有效的修补漏洞并规避微软黑屏策略影响的方法。
微软的补丁都可以离线安装,可以选择将有漏洞的系统断网,从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下本次MS08-067严重漏洞各系统补丁地址如下:
|
中文操作系统KB958644补丁下载地址: |
|
Windows Vista 安全更新程序 (KB958644) http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu |
|
Windows Server 2008 x64 Edition 安全更新程序 (KB958644) http://download.microsoft.com/download/0/f/4/0f425c69-4a1f-4654-b4f8-476a5b1bae1d/Windows6.0-KB958644-x64.msu |
|
Windows Server 2003 x64 Edition 安全更新程序 (KB958644) http://download.microsoft.com/download/9/8/e/98eff1c8-f2e2-43a4-abf7-7fb0315a09f7/WindowsServer2003.WindowsXP-KB958644-x64-CHS.exe |
|
Windows Server 2003 安全更新程序 (KB958644) http://download.microsoft.com/download/8/4/4/84403755-aa0a-41ba-bded-7cbbc8dc218c/WindowsServer2003-KB958644-x86-CHS.exe |
|
Windows Server 2008 安全更新程序 (KB958644) http://download.microsoft.com/download/4/9/8/498e39f6-9f49-4ca5-99dd-761456da0012/Windows6.0-KB958644-x86.msu |
|
Windows 2000 安全更新程序 (KB958644) http://download.microsoft.com/download/4/9/7/49751d3a-e93b-48fb-95de-2a229e602004/Windows2000-KB958644-x86-CHS.EXE |
|
用于基于 x64 的系统的 Windows Vista 安全更新程序(KB958644) http://download.microsoft.com/download/1/5/0/15089485-0e8b-41f9-8617-58e8cdda8c7e/Windows6.0-KB958644-x64.msu |
|
Windows XP 安全更新程序 (KB958644) http://download.microsoft.com/download/a/5/f/a5fcaabe-ff81-4d4f-972e-865bdc60dcbf/WindowsXP-KB958644-x86-CHS.exe |
|
英文操作系统KB958644补丁下载地址: |
|
Security Update for Windows 2000 (KB958644) http://download.microsoft.com/download/4/a/3/4a36c1ea-7555-4a88-98ac-b0909cc83c18/Windows2000-KB958644-x86-ENU.EXE |
|
Security Update for Windows Server 2003 x64 Edition (KB958644) http://download.microsoft.com/download/f/7/6/f761e8ee-caad-4528-aa47-ed5d744be523/WindowsServer2003.WindowsXP-KB958644-x64-ENU.exe |
|
Security Update for Windows 7 Pre-Beta for Itanium-based Systems (KB958644) http://download.microsoft.com/download/f/6/3/f639c726-86bb-4f3a-a783-5e03fc665af4/Windows6.1-KB958644-ia64.msu |
|
Security Update for Windows XP x64 Edition (KB958644) http://download.microsoft.com/download/5/8/1/5811b6cc-5884-4486-b05d-de69f0e94f67/WindowsServer2003.WindowsXP-KB958644-x64-ENU.exe |
|
Security Update for Windows http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu |
|
Security Update for Windows Server 2003 for Itanium-based Systems (KB958644) http://download.microsoft.com/download/1/8/e/18efd717-b406-4a19-98d5-5ee80351bedf/WindowsServer2003-KB958644-ia64-ENU.exe |
|
Security Update for Windows 7 Pre-Beta (KB958644) http://download.microsoft.com/download/c/0/7/c07fca67-b0e2-4c9c-9c1f-9cde37131747/Windows6.1-KB958644-x86.msu |
|
Security Update for Windows Server 2008 x64 Edition (KB958644) http://download.microsoft.com/download/0/f/4/0f425c69-4a1f-4654-b4f8-476a5b1bae1d/Windows6.0-KB958644-x64.msu |
|
Security Update for Windows 7 Pre-Beta x64 Edition (KB958644) http://download.microsoft.com/download/d/4/6/d467b363-8825-4fa9-87fb-7cb4a9cedb56/Windows6.1-KB958644-x64.msu |
|
Security Update for Windows XP (KB958644) http://download.microsoft.com/download/4/f/a/4fabe08e-5358-418b-81dd-d5038730b324/WindowsXP-KB958644-x86-ENU.exe |
|
Security Update for Windows Server 2008 for Itanium-based Systems (KB958644) http://download.microsoft.com/download/8/b/c/8bc5a4e6-ba02-4bb9-947f-f253caeaa271/Windows6.0-KB958644-ia64.msu |
|
Security Update for Windows Server 2003 (KB958644) http://download.microsoft.com/download/e/e/3/ee322649-7f38-4553-a26b-a2ac40a0b205/WindowsServer2003-KB958644-x86-ENU.exe |
|
Security Update for Windows Server 2008 (KB958644) http://download.microsoft.com/download/4/9/8/498e39f6-9f49-4ca5-99dd-761456da0012/Windows6.0-KB958644-x86.msu |
|
Security Update for Windows Vista for x64-based Systems (KB958644) http://download.microsoft.com/download/1/5/0/15089485-0e8b-41f9-8617-58e8cdda8c7e/Windows6.0-KB958644-x64.msu |
附录一:相关产品和工具
安天盾防火墙:安天盾防火墙是安天防线中内置的一个免费的防火墙程序,主要支持系统为windows XP,没有使用期限的限制,也不会提示注册。
附录二:防火墙的系统初装模式
系统初装模式是安天在阻断所有传入连接机理上构造的主机防火墙工作模式,这种模式可以让普通的互联网用户在不安装补丁的情况下不会遭到远程溢出、远程口令破解等攻击,也可以为服务器赢得打补丁的时间。
下面两个图演示了,该机制如何阻断攻击和如何不影响上网应用。
图:禁止外部发起连接阻止了攻击者发起的针对桌面用户固定端口的远程攻击
图:禁止外部发起连接不会影响用户的正常上网行为
