子任务2-2-1 Windows 系统的安全漏洞防护

了解漏洞、后门、权限等本概念及工作原理掌握不同权限的获取、方法掌握漏洞、后门的防护方法学习目标：知识目标技能目标态度目标会给用户提升权限能防范安全漏洞能根据实际问题搭建实验环境，学会工作技巧培养认真细致的工作态度和工作作风养成独立思考和细心检查的学习习惯具有分析问题、解决问题能力和创新的能力培养强烈的安全意识，养成安全防护习惯2.1任务概述任务2-2Windows远程安全攻防子任务2-2-1Windows系统的安全漏洞防护漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。攻击者能够利用漏洞在未授权的情况下访问或破坏系统。系统漏洞是Windows操作系统中存在的一些不安全的组件或应用程序。黑客们通常会利用这些系统漏洞，绕过防火墙、杀毒软件等安全保护软件，对安装Windows操作系统的服务器或者计算机进行攻击，从而控制被攻击的计算机。一些病毒或流氓软件也会利用这些系统漏洞，对用户的计算机进行感染，以达到广泛传播的目的。这些被控制的计算机轻则导致系统运行缓慢，无法正常使用计算机，重则导致计算机上用户的关键信息被窃取。在计算机使用过程中，除了病毒、非法程序会破坏计算机外，还会有很多新的安全问题，如系统漏洞和后门等，这应该引起足够的重视。任务2-2Windows远程安全攻防子任务2-2-1Windows系统的安全漏洞防护扫描操作系统漏洞的工具有很多，常见的有CIS-CAT、SRay、Nessus、MBSA等，具体如表2-2-1所示。MBSA(（MicrosoftBaselineSecurityAnalyzer）)是专为IT专业人员设计的一个简单易用的工具，可帮助中小型企业根据微软安全建议确定其安全状态，并根据检测结果提供具体的修正指南。以使用该工具扫描一台计算机为例介绍该工具的使用方法和过程。1.利用MBSA检查常见的漏洞表2-2-1常用操作系统漏洞扫描工具

扫描工具名称功能适用对象条件实例扫描结果CIS-CAT根据不同的操作系统，选择不同的基准进行系统漏洞扫描Unix/Linux，MSWindows系统上装了java5或以上＃./CIS-CAT.sh./benchmarks/suse-10-benchmark.xml//根据具体扫描系统，确定后面的基准参数存放在当前用户根目录下的CIS-CAT_Results文件夹里SRay系统漏洞扫描Unix/Linux

选择默认设置，自动测试存放在当前执行目录下的Result文件夹Nessus检查系统存在有待加强的弱点，电信运营商、IT公司、各类安全机构也普遍认可该工具的权威性，通常都会使用它作为安全基线扫描工具Unix/Linux，MSWindows客户端连接服务端时，服务端的ip只能设成127.0.0.1才能连接成功必须设置ssh用户名密码，其它默认设置需在REPORT标签项将结果导出至指定目录下MBSA微软免费提供的安全检测工具，允许用户扫描一台或多台基于Windows的计算机，检查操作系统和已安装的其他组件（如IIS和SQLServer），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补MSWindows将MBSA安装在要扫描的windows机器上扫描时不要选中Checkforsecurityupdates。扫描的结果默认存在C:\DocumentsandSettings\Administrator\SecurityScans目录下子任务2-2-1Windows系统的安全漏洞防护图2-2-1MBSA主界面图步骤1：打开MBSA工具主界面安装完成后，依次单击“开始”→“程序”→“MicrosoftBaselineSecurityAnalyzer2.1”（或双击桌面上的MicrosoftBaselineSecurityAnalyzer2.1图标），就可弹出MBSA的主界面，如图2-2-1所示。步骤2：参数设置。单击如图2-2-1所示的MBSA主界面中的Scanacomputer菜单→子任务2-2-1Windows系统的安全漏洞防护图2-2-2“Whichcomputerdoyouwanttoscan”对话框子任务2-2-1Windows系统的安全漏洞防护弹出如图2-2-2所示的“Whichcomputerdoyouwanttoscan”对话框。子任务2-2-1Windows系统的安全漏洞防护要想让MBSA成功扫描计算机，需在此对话框中进行正确的参数设置。①设定要扫描的对象。MBSA提供两种方法，如下所示。方法1：在Computername文本框中输入计算机名称，格式为“工作组名\计算机名”。默认情况下，MBSA会显示运行MBSA的计算机的名称。方法2：在IPaddress文本框中输入计算机的IP地址。在此文本框中允许输入在同一个网段中的任意IP地址，但不能输入跨网段的IP，否则会提示“Computernotfound.”（计算机没有找到）的信息。子任务2-2-1Windows系统的安全漏洞防护②设定安全报告的名称格式。每次扫描成功后，MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA允许用户自行定义安全报告的文件名格式，只要在Securityreportname文本框中输入文件格式即可。MBSA提供两种默认的名称格式：“%D%-%C%（%T%）”（域名-计算机名（日期戳））和“%D%-%IP%（%T%）”（域名-IP地址（日期戳））。子任务2-2-1Windows系统的安全漏洞防护③设定扫描中要检测的项目。MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下，无论计算机是否安装了以上软件，MBSA都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间，而且影响扫描速度。用户可以根据自身情况选择是否扫描。例如，若没有安装SQLServer，则可不选中CheckforSQLadministrativevulnerabilities复选项，这样能缩短扫描时间，提高扫描速度。基于这点考虑，MBSA提供了让用户自主选择检测的项目的功能。只要用户选中（或取消）Options中某个复选项，就可让MBSA检测（或忽略）该项目。子任务2-2-1Windows系统的安全漏洞防护允许用户自主选择的项目如下所示。●“CheckforWindowsadministrativevulnerabilities”（检查Windows的漏洞）●“Checkforweakadministrativepasswords”（检查密码的安全性）●“CheckforIISadministrativevulnerabilities”（检查IIS系统的漏洞）●“CheckforSQLadministrativevulnerabilities”检查SQLServer的漏洞至于其他项目（如Office软件的漏洞等），MBSA会强制扫描。子任务2-2-1Windows系统的安全漏洞防护④设定安全漏洞清单的下载途径。MBSA的工作原理是：以一份包含了所有已发现漏洞的详细信息（如什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等）的清单为蓝本，全面扫描计算机，将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞，MBSA就会将其写入到安全报告中。因此，要想让MBSA准确地检测出计算机上是否存在漏洞，安全漏洞清单的内容是否是最新的就至关重要了。图2-2-3单台计算机扫描报告单子任务2-2-1Windows系统的安全漏洞防护步骤3：查询报告。单击StartScan按钮，对该台计算机进行漏洞扫描，然后得出扫描报告，如图2-2-3所示，根据报告单中报告的漏洞进行漏洞修复。任务2-2Windows远程安全攻防子任务2-2-1Windows系统的安全漏洞防护根据QQ软件安全组对流行盗号木马病毒的分析数据显示，部分盗号木马病毒能够利用某些操作系统漏洞侵入用户计算机，伺机盗取QQ密码。因此需要定期检查并修复操作系统的漏洞。1）操作系统自动更新一般情况下，比较著名的系统软件都会不定期地发布补丁。对于Windows操作系统，由于它们具备自动更新功能，因此只要微软发布补丁程序，而且操作系统的自动更新设置为开启状态并连接上了Internet，则操作系统会及时下载补丁程序，修补漏洞。2.防护系统漏洞图2-2-4“自动更新”对话框子任务2-2-1Windows系统的安全漏洞防护以WindowsXP操作系统为例，进行自动更新设置，具体操作步骤如下。打开“开始”菜单，选中“设置”选项，单击“控制面板”，在新开启的窗口中单击“自动更新”，如图2-2-4所示，查看当前计算机的自动更新设置。图2-2-5QQ安全中心系统漏洞警告子任务2-2-1Windows系统的安全漏洞防护2）QQ软件自动检测系统漏洞登录QQ后，如果发现操作系统存在漏洞，QQ安全中心将根据用户的个人设置情况发出通知，如图2-2-5所示。子任务2-2-1Windows系统的安全漏洞防护单击“全部修复”按钮，则QQ将帮助用户自动下载操作系统官方提供的补丁程序，自动修复发现的操作系统漏洞。QQ提示用户修复的操作系统漏洞通常是被较多盗号木马利用的“紧急”漏洞，如果不需要QQ自动检测操作系统漏洞，则可以在QQ软件设置中心修改默认的设置项，如图2-2-6所示。当选择“不需要提示，我不想修复系统漏洞”选项时，QQ将自动屏蔽漏洞修复功能。图2-2-6参数设置对话框子任务2-2-1Windows系统的安全漏洞防护子任务2-2-1Windows系统的安全漏洞防护3）操作系统漏洞防护实例防护实例1：Windows输入法漏洞。（1）漏洞描述。Windows2000操作系统的安装过程中，默认安装了各种简体中文输入法。为了便于用户能使用中文字符的用户标识符和密码登录系统，操作系统允许这些输入法可以在系统登录界面上使用，这样给一些别有用心的人通过直接操作该系统的登录界面获取当前系统权限，执行非法操作提供了方便。子任务2-2-1Windows系统的安全漏洞防护（2）漏洞攻击实现。步骤1：在登录界面将光标移至“用户名”文本框，如图2-2-7所示。步骤2：按键盘上的Ctrl+Shift组合键，在默认的安装状态下出现输入法状态条，将鼠标移至输入法状态条左侧的Windows标记上，单击鼠标右键，在出现的对话框中选择“帮助”级联菜单的“操作指南”或“输入法入门”（微软拼音输入法和智能ABC没有这个选项），如图2-2-8所示。子任务2-2-1Windows系统的安全漏洞防护图2-2-7“登录到Windows”对话框图2-2-8输入法状态条图2-2-9“输入法操作指南”对话框子任务2-2-1Windows系统的安全漏洞防护步骤3：单击“操作指南”选项，打开“输入法操作指南”对话框，如图2-2-9所示。在出现的对话框中展开“基本操作”项，任意选择“基本操作”项的一个内容，鼠标右键对其单击，选择“跳至URL…”项。图2-2-10“跳至URL”对话框子任务2-2-1Windows系统的安全漏洞防护步骤4：选择“跳至URL…”项后，将打开“跳至URL”对话框，如图2-2-10所示。在“跳至该URL”文本框中输入某一个盘符或某一个文件夹。子任务2-2-1Windows系统的安全漏洞防护步骤5：单击“确定”按钮，显示如图2-2-11所示的界面。从图中可发现，“操作指南”的右边窗格中本来应该显示“输入中文标点”基本操作的帮助内容，而现在却成为了C：\c文件夹中的内容，而且该文件夹中的文件可以任意拖动和处理，就像在自己计算机中操作一样。这时用户具有的是系统管理员权限，可以对看到的数据做任何操作，包括共享、删除、重命名等，这样就绕过了Windows的登录验证机制。图2-2-11“输入法操作指南”界面子任务2-2-1Windows系统的安全漏洞防护此漏洞存在于一切具有多种输入法的Windows操作系统中，而且经过这样不正常的操作后，正常登录以后还会随机出现各种程序运行错误。图2-2-12“快捷方式readme属性”对话框子任务2-2-1Windows系统的安全漏洞防护步骤6：在图2-2-11所示“输入法操作指南”的右边窗格中，任选一个文件（如readme），鼠标右键单击该文件，选择“属性”选项，打开“快捷方式readme属性”对话框，如图2-2-12所示。子任务2-2-1Windows系统的安全漏洞防护在图2-2-12所示的“目标”文本框中，输入“C：\Winnt\system32\net.exeuserguest/active:yes”，单击“确定”按钮（注意命令中ne