导言
本配置手册不是全面的windows系统安全配置手册,只是指导windows用户,通过简易的、且不需要付任何费用的方法来避免受到主流攻击影响。本手册在每次出现重大漏洞时将做出修订。目前手册中的内容包括可有效对抗在2008年来最新的RPC漏洞(MS08-067)、SMB中的漏洞(MS09-001、MS09-050)、Microsoft DirectShow 漏洞(MS09-028、MS09-011)、极光漏洞(MS10-002)等高危漏洞。
基本处置建议
在重大远程漏洞发生时,对于不需要实时连接的系统,可以考虑先断网检测安全配置,然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全再打补丁。
单机防火墙配置
相关介绍:
单机防火墙是一个重要的安全环节,有很多免费的和付费的防火墙品牌,主流反病毒产品往往也自带防火墙,从windows XP版本开始windows也自带了一个防火墙。
桌面用户、工作站用户
桌面系统是指以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式,其多数网络操作为用户主动对外发起连接,而不是凭借本地监听端口为外部用户提供服务。利用这一特性我们可以作出如下配置。
配置为禁止外部发起连接模式
桌面系统如果不提供共享打印,不需要在局域网游戏(如CS、FIFA等)中作为主机使用,可以通过设置为禁止发布发起连接模式,来阻断所有向本主机发起的连接的。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。
效果:本节操作可以不依赖其他补丁和配置。
优点:可以阻断所有相同的针对主机固定端口的攻击。
缺点:如果主机提供打印共享、网络共享目录等服务则会失效,在CS、Fifa等游戏中无法作为host使用。可能与蓝波宽带拨号程序冲突。
Windows Vista、Windows Server2003自带防火墙支持配置为禁止外部发起连接模式。
用户可按照下列图示步骤,配置windows自带防火墙。
Step 1:在控制面板中找到防火墙。
Step2:选择更改设置,此时vista系统的安全机制可能需要灰屏确认,请选择是。
Step 3:启动防火墙并选择阻止所有传入连接。
Windows XP系统的防火墙不支持本项设置,可通过其他防火墙实现,以安天盾防火墙(免费)为例。
Step1:通过单击windows开始菜单中安天安全中心项目,或者单击托盘中的安天安全中心图标。启动有关配置。
Step2:在安天安全中心界面上点击设置。
Step 3:将策略选择为系统初装。
网络服务器
网络服务器用户以来固定端口对外进行服务,因此不能采用阻断所有传入连接的方式进行配置,否则会失效。但在本地管理服务器的情况下,采用阻止所有主动连接模式在线打补丁,打全补丁重新启动后,在去掉本模式投入应用。是很好的技巧。
不需要开放RPC服务的服务器
从最古老的WindowNT Server到Server 2008,不需要开放RPC服务器的用户可以不依赖任何安全工具,仅凭借windows Server自身安全机制既可实现屏蔽,我们不同意直接关闭RPC服务的方法,这会给本机管理带来一些麻烦。
Step1:选择网络连接的属性。
Step 2:单点Internet 协议(TCP/IP)点击属性
Step3:在弹出的Internet协议(TCP/IP)属性对话框中点击高级。
STEP4:对TCP/IP筛选中点击属性。
Step5:在TCP/IP筛选中配置允许访问的端口。
需要开放RPC服务的服务器
需要开放RPC服务的服务器,如网络打印、网络共享和一些RPC通讯调用的节点,不能够通过上述关闭端口的方式,否则会造成无效。
可以转而采用打补丁、打开DEP策略,或安装主机IPS的方法。
数据执行保护配置
数据执行保护机制是微软自XP SP1开始发布的重要遏制溢出攻击的机制,本次RPC攻击并不能穿透DEP攻击的保护。
采用下列步骤可以查看和配置当前系统DEP保护。
STEP1:我的电脑右键点击属性。
Step2:点击高级tab的设置按钮。
Step 3:设定数据执行保护的策略。修改后需要重新启动。
a 选择不同的DEP策略会达到不同的效果。
选择仅为基本windows程序和服务启用DEP
效果:可以挡住本次RPC攻击,也可以挡住目前主流的针对windows开放端口的攻击。
优点:在获得一定的安全性的情况下,保证系统的兼容性。
缺点:不能保护类似IE浏览器,Outlook等比较脆弱的互联网应用程序。不能防范类似挂马注入的攻击。
b 选择为除下列选定程序之外的所有程序和服务启用。
效果:在上述效果的基础上,对web挂马、各种应用软件插件注入都有很好的效果。
优点:更强的系统安全性。
缺点:与部分应用程序冲突,但可以设置为例外。
通用补丁策略
微软等厂商为了确保产品的稳定可靠,采用每月定时打补丁的整体策略。但面临庞大的用户基数带来的运维压力,导致必须在补丁升级中考虑负载均衡策略,但这也让用户从补丁出现到打完补丁的时间间隔变得更长,这使基于补丁文件的差异点分析溢出点,然后对尚未打补丁的用户进行攻击的1Day攻击可以大行其道。但相对承载能力来说,如果让所有用户同时升级,则一方面可能面临带宽饱和、服务阻塞,结果所有用户都打不上补丁的情况出现;同时一旦补丁中有新的问题,则要承担更大的压力。而对于重大漏洞微软也会偶尔打破模式,采用紧急单独发布补丁的应变策略。所以说第一时间手动打补丁才是最关键的。同时根据自己系统的情况,寻找地址安装单一补丁,是一个有效的修补漏洞并规避微软黑屏策略影响的方法。微软的补丁都可以离线安装,可以选择将有漏洞的系统断网,从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下。
1. 第一时间手动打补打策略(推荐):
a. 微软发布补丁的规律: 每月8到15日之间
b. 在微软发布补丁的时间段内用户可到下面补丁信息网站进行查询;通过查看发行日期,如果有新的补丁便可下载更新:
http://www.microsoft.com/downloads/Browse.aspx?DisplayLang=zh-cn&nr=20&categoryid=7&sortCriteria=date
2. 传统自动打补丁的设置方法:
控制面板->自动更新->在单选中选择“自动(建议)”
附录一:相关产品和工具:
安天盾防火墙:安天盾防火墙是安天防线中内置的一个免费的防火墙程序,主要支持系统为windows XP,没有使用期限的限制,也不会提示注册。
附录二:防火墙的系统初装模式
系统初装模式是安天在阻断所有传入连接机理上构造的主机防火墙工作模式,这种模式可以让普通的互联网用户在不安装补丁的情况下不会遭到远程溢出、远程口令破解等攻击,也可以为服务器赢得打补丁的时间。
下面两个图演示了,该机制如何阻断攻击和如何不影响上网应用。
图:禁止外部发起连接阻止了攻击者发起的针对桌面用户固定端口的远程攻击。
图:禁止外部发起连接不会影响用户的正常上网行为。 |
