|
由“沖擊波”聯(lián)想到的Windows系統(tǒng)網(wǎng)絡(luò)安全防護(hù)若干問(wèn)題及對(duì)策
這一陣子的MSBlaster蠕蟲(chóng)(即“沖擊波”病毒)著實(shí)讓全球網(wǎng)絡(luò)管理員和用戶(hù)忙了一陣子����,大量的使用Windows 2000 Professional/Server/Advanced Server、Windows XP Home Edition/Professional的個(gè)人計(jì)算機(jī)或者網(wǎng)絡(luò)服務(wù)器因此而出現(xiàn)循環(huán)的關(guān)機(jī)過(guò)程���、擴(kuò)展命令菜單的異常等問(wèn)題。MSBlaster的破壞原理就是利用了基于Windows NT內(nèi)核的操作系統(tǒng)的RPC DCOM漏洞��,通過(guò)向漏洞計(jì)算機(jī)的TCP 135端口發(fā)送異常的數(shù)據(jù)包而達(dá)到讓目標(biāo)計(jì)算機(jī)RPC服務(wù)出錯(cuò)的目的�。
這次蠕蟲(chóng)爆發(fā)來(lái)勢(shì)如此兇猛,以致于讓很多使用Windows平臺(tái)服務(wù)器的管理員和NT架構(gòu)操作系統(tǒng)的個(gè)人用戶(hù)大亂陣腳���,一時(shí)間各大論壇關(guān)于此蠕蟲(chóng)帶來(lái)的操作系統(tǒng)故障的帖子紛至沓來(lái)�����,國(guó)內(nèi)幾個(gè)安全軟件生產(chǎn)商的論壇人氣更是急速上升����。伴隨這股浪潮而來(lái)的,就是反病毒軟件和個(gè)人防火墻產(chǎn)品的銷(xiāo)量大增����,國(guó)內(nèi)幾大個(gè)人安全產(chǎn)品生產(chǎn)商均是以能夠殺除或者抵御Worm_MSBlaster作為產(chǎn)品宣傳的重點(diǎn)。那么�����,究竟是不是非得要因?yàn)槿绱艘粋(gè)蠕蟲(chóng)而去花一兩百塊錢(qián)采購(gòu)新的安全產(chǎn)品����?我的回答是NO!我們完全可以通過(guò)Windows系統(tǒng)自帶的功能實(shí)現(xiàn)對(duì)此蠕蟲(chóng)的防御��。下面我將具體敘述(注意:下文中假定讀者的機(jī)器并未感染W(wǎng)orm_MSBlaster��,如果業(yè)已感染��,應(yīng)該下載一個(gè)安全廠(chǎng)商提供的免費(fèi)清除工具�,斷開(kāi)網(wǎng)絡(luò)連接并重新啟動(dòng)到安全模式對(duì)此病毒進(jìn)行查殺后�,再參照下文進(jìn)行操作)
首先��,我將針對(duì)Windows XP系列的防護(hù)進(jìn)行敘述�。Windows XP相比前幾代的版本,除了操作界面的極大提升以外���,安全性有了很大的提升�����,特別是提供了一個(gè)應(yīng)用層防火墻ICF(Internet Connection Firewall)���,這就讓擔(dān)心網(wǎng)絡(luò)攻擊的用戶(hù)擁有了一個(gè)無(wú)需付費(fèi)的安全防護(hù)(當(dāng)然,操作系統(tǒng)要錢(qián))��。這樣一來(lái)����,Worm_MSBlaster就容易防護(hù)了,只需要:1��、到“控制面板”中打開(kāi)“網(wǎng)絡(luò)連接”����;2、找到你所使用的那個(gè)連接����,并用右鍵單擊那個(gè)連接;3���、選擇“屬性”���,在彈出來(lái)的窗口中轉(zhuǎn)到“高級(jí)”選項(xiàng)卡,將“通過(guò)限制或阻止來(lái)自Internet的對(duì)此計(jì)算機(jī)的訪(fǎng)問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”前面的多選框選中��;4��、確定退出����。這樣就可以使用ICF來(lái)阻止Worm_Blaster或者其他大部分來(lái)自外界的攻擊了。這里需要注意一點(diǎn):使用QQ的用戶(hù)可能會(huì)因?yàn)镮CF而無(wú)法聯(lián)機(jī)聊天了��,因?yàn)镮CF丟棄掉了來(lái)自服務(wù)器或者對(duì)方QQ向己方UDP 8000端口的數(shù)據(jù)包��,這就需要特別配置一條ICF規(guī)則來(lái)使用QQ�,具體方法是:在前述步驟的第3步中,選中那個(gè)復(fù)選框以后�����,單擊窗口下部隨后立即由不可用變?yōu)榭捎玫摹霸O(shè)置”按鈕,隨后將彈出“高級(jí)設(shè)置”窗口�����,在“服務(wù)”選項(xiàng)卡的下部單擊“添加”按鈕���,將會(huì)彈出如圖窗口
此時(shí)����,在“服務(wù)描述”輸入欄中填入你喜歡的任意文字描述���,然后在“在您的網(wǎng)絡(luò)上主持此服務(wù)的計(jì)算機(jī)名稱(chēng)或IP地址”輸入框中填入你自己的IP地址或者計(jì)算機(jī)名稱(chēng)�,如果你都不知道�,就填入127.0.0.1就行了;接下來(lái)在“此服務(wù)的外部端口號(hào)”和“此服務(wù)的內(nèi)部端口號(hào)”兩個(gè)輸入框中都填入8000(雖然QQ在操作系統(tǒng)中使用的外部端口是4000��,但是都設(shè)定為8000并沒(méi)有問(wèn)題)將旁邊的協(xié)議單選框選擇為UDP��,然后單擊確定退出“高級(jí)設(shè)置”窗口�����。然后就是前面所述的第4步了����。
這里需要特別注意一點(diǎn):如果你的機(jī)器是作為ICS(Internet Connection Share)網(wǎng)關(guān)使用,那么就不能使用ICF����,在作為ICS gateway的機(jī)器上啟用ICF將會(huì)導(dǎo)致所有連接到此計(jì)算機(jī)上的客戶(hù)機(jī)無(wú)法上網(wǎng)。這樣就需要另尋途徑解決問(wèn)題�����,同樣���,從Windows 系統(tǒng)自帶的解決方案入手��,不求助第三方廠(chǎng)商���,這個(gè)方法就是我第二步要敘述的Windows 2000和Windows XP通用的方法:利用Windows 2000/XP中的IP安全策略(IPSec)提供對(duì)端口的通訊控制,下面將詳細(xì)敘述���。(注意��!如果沒(méi)有使用ICS����,還是要首選ICF)
先進(jìn)行前期工作說(shuō)明。調(diào)用方法:在Windows 2000 Professional/Server/Advanced Server和Windows XP Professional中�����,進(jìn)入控制面板���,選擇管理工具����,然后雙擊“本地安全策略”�����,進(jìn)入本地安全策略窗口后����,選擇“IP安全策略”目錄樹(shù);需要特別分開(kāi)說(shuō)明的是�����,Windows XP Home Edition這個(gè)版本的管理工具中沒(méi)有“本地安全策略”一項(xiàng),這并不意味著Windows XP Home Edition用戶(hù)無(wú)法使用IPSec保護(hù)計(jì)算機(jī)��,要調(diào)用IPSec控制臺(tái)需要繞一些彎子:打開(kāi)位于開(kāi)始菜單的運(yùn)行����,輸入“mmc”�,并回車(chē)確定,將會(huì)打開(kāi)一個(gè)全新的控制臺(tái)����。選擇頂部的“文件”菜單,在彈出的下拉菜單中選擇“添加/刪除管理單元”菜單項(xiàng)��,會(huì)彈出如圖窗口
單擊“添加”按鈕����,然后在隨后彈出窗口的列表框中選擇第二項(xiàng)“IP安全策略管理”,并且單擊添加(只需要單擊一次)�����,然后按“關(guān)閉”返回“添加/刪除管理單元”窗口��,并單擊確定關(guān)閉此窗口返回控制臺(tái)�����,這樣就可以在左邊看到了剛剛添加的IP安全策略管理單元了。
好了��,準(zhǔn)備工作做完����,開(kāi)始具體操作。在控制臺(tái)窗口的右邊窗格中單擊鼠標(biāo)右鍵��,選中“管理IP篩選器表和IP篩選器操作”�����,在隨后彈出的對(duì)話(huà)框中選擇“管理篩選器操作”選項(xiàng)卡����,如圖,單擊“添加”按鈕
隨后將會(huì)彈出篩選器操作向?qū)����,單擊下一步。在“名稱(chēng)”輸入框中輸入“拒絕”或者其他你覺(jué)得方便的文字���,單擊下一步����。然后進(jìn)行如圖操作
接著就可以單擊“完成”退出篩選器操作向?qū)АL砑右粭l篩選器以后會(huì)回到“管理IP篩選器表和IP篩選器操作”對(duì)話(huà)框�����,這時(shí)選擇“管理IP篩選器列表”選項(xiàng)卡����,單擊下部的“添加”按鈕�����,將會(huì)彈出如圖對(duì)話(huà)框����,請(qǐng)按照?qǐng)D上所示操作
之后彈出“IP篩選器向?qū)А保瑔螕粝乱徊�����。在“源地址”下拉列表中選擇“任何IP地址”����,然后單擊下一步����,在“目標(biāo)地址”下拉列表中選擇“我的IP地址”���,單擊下一步��。在隨后的IP協(xié)議類(lèi)型選擇中�����,在“選擇協(xié)議類(lèi)型”下拉列表內(nèi)選擇TCP�,然后單擊下一步���,在接下來(lái)的對(duì)話(huà)框中��,請(qǐng)按圖操作
隨后���,單擊完成。
這樣�,一條針對(duì)TCP135端口的數(shù)據(jù)包的IP過(guò)濾規(guī)則就定義下來(lái)的了,完成以后會(huì)回到“管理IP篩選器列表”選項(xiàng)卡�����,此時(shí)請(qǐng)單擊下部的“關(guān)閉”。
雙擊“客戶(hù)端(僅響應(yīng))”圖標(biāo)�����,將會(huì)彈出如圖窗口���。
請(qǐng)單擊下部的“添加”按鈕����,將會(huì)彈出“安全規(guī)則向?qū)А�,單擊下一步,隨后選擇“此規(guī)則不指定隧道”����;再單擊下一步�,在“網(wǎng)絡(luò)類(lèi)型”選擇窗口中,選擇“所有網(wǎng)絡(luò)連接”單選鈕��,單擊下一步���;隨后的操作請(qǐng)注意操作�,如圖指示
注意:如果你的計(jì)算機(jī)不是一個(gè)域成員��,就要按照?qǐng)D上所示操作(當(dāng)然,如果你有CA頒發(fā)的證書(shū)的話(huà)��,可以選擇第二項(xiàng)�,按照提示操作,這里不作敘述)����,如果你的計(jì)算機(jī)是域成員計(jì)算機(jī),請(qǐng)選擇第一項(xiàng)“Active Directory默認(rèn)值”���,再單擊下一步���。
然后在“IP篩選器列表”中選擇剛才創(chuàng)建的IP篩選器(這里前文定義的名稱(chēng)是135),如圖
出處:藍(lán)色理想
責(zé)任編輯:藍(lán)色
上一頁(yè) 下一頁(yè) 由沖擊波聯(lián)想視窗網(wǎng)絡(luò)安全對(duì)策 [2]
|
第 1 頁(yè) 由沖擊波聯(lián)想視窗網(wǎng)絡(luò)安全對(duì)策 [1]
第 2 頁(yè) 
