身為微軟Windows作業系統的用戶,可能都有這樣的經驗:每隔一段時間,電腦就會出現重大或安全性更新的畫面,要求您對所使用的Windows作業系統版本進行更新。以Window XP為例,作業系統安裝完成後,還需要安裝三十多項的更新。或許您已經記不得從您安裝到現在到底更新過幾次了,不過一般使用者,在看到這樣的訊息時,都會乖乖地進行更新程序,但更新後的系統也不表示安全無虞。或許有人會建議改用另一套感覺比較安全的作業系統,但是這樣的建議,通常對使用者來說是一種折磨。老實說,這和您去吃一家餐館,吃完後覺得很難吃,之後就換另一家餐館是不一樣的,因為要改變原本您對電腦的認知,再去花時間學習一套新的作業系統,這樣的成本,遠高於換一家餐館!更何況,外面一大堆有意或無意的人,無時無刻在網路上掃瞄您的電腦,他們不只攻擊您的作業系統,他們更進一步看準人性的弱點對您的系統進行破壞或是資料竊取。我們必須進一步學會如何保護系統,進一步使用一些工具來幫助我們對抗網路世界一些不友善的舉動。
測試安全性的工具
一般而言,要進行對自己電腦的保護,最基本的就是按照微軟建議的步驟對您的系統進行定期修補,以免那些對您電腦資料有意思的人只要取得針對該漏洞的程式,就可不費吹灰之力對您的電腦為所欲為,此外還要知道一些可以讓您進一步瞭解系統狀況和保護系統的工具。以下將介紹三個Windows常用的網路安全測試軟體。
● Retina Network Security Scanner
Retina Network Security Scanner獲得國外PC Magazine 編輯推薦最佳選擇的獎項,因為它採取非入侵性的掃瞄,所以會在掃瞄時降低您系統的負擔,不會讓您的系統有當機的危險。它是一套功能完整的軟體,可針對Linux、Unix、Windows等作業系統及網路裝置進行安全性檢測。而且它有即時更新的安全資料庫和掃瞄技術,當您開始掃瞄時,就會自動下載,可以正確的分辦出您電腦潛在的威脅。此外,它也可以根據您自訂的安全規劃,做定期掃瞄。以節省機器的負擔。掃瞄結束後,可以產生客制化的圖形報表,很快地看出整個電腦目前遭遇到的問題。
安裝系統要求:
* Windows NT 4.0 SP3 以上
* Internet Explorer 4.01 以上
* 32 MB 的記憶體空間
* 16 MB 的硬碟空間
安裝方式是,必須先去該公司網站之下載頁面(http://www.eeye.com/html/products/retina/donload/index.html)進行註冊,然後該公司就會把下載的網址寄到您的信箱。下載之軟體為15天試用版,下載後依照一般軟體安裝程序,可簡單完成安裝。
使用與特色:
一開始【Discover】畫面,您可以輸入一段IP位址的範圍,搜尋在網段中有多少台電腦,然後就可以針對你想要掃瞄的電腦IP位址,進行掃瞄。在【Scheduled】功能中,您可以自訂定期的掃瞄工作。在Retina掃瞄主要畫面的【Audit】中,您可以輸入您想要掃瞄的電腦IP位址,或是一段IP位址(試用版不能掃瞄一段IP位址),來進行掃瞄,在本次的測試中,我們輸入受測試的主機IP位址,按下Scan即可,當然我們可以利用在【Scan Jobs】裡的【Scheduled】檢視定期掃瞄排程。接下來當我們掃描完後,看到目標電腦可能有部分弱點,我們就可以進入下一個畫面【Remediate】中,您可對目標電腦的弱點作進一步瞭解,當您選好報表的產生方式,再按下【Generate】就會產生對弱點說明的報表,以及解決的辦法,這可說是非常貼心的設計,因為使用者就不用再費一番工夫,在得知電腦的弱點後,還要去查弱點是指什麼及其解決辦法。Retina並將您的漏洞標示等級,使用者可以根據危險等級,更新排程設定。Retina不只報告安全漏洞,更可以偵測出Windows平台一些設定的安全問題。接下來進入【Report】畫面,在此部分Retina頗用心,它根據各種不同的網際網路服務,將電腦上的弱點進行分類,並列出前20項弱點。它可以產生客制化的報表,若不仔細設定會產生一堆讓人眼花撩亂的圖表,根據您的選項,它會排列弱點,根據危險程度作排列。
整體而言,Retina提供了簡便的方法,讓使用者知道自己電腦的缺點。在眾多掃瞄軟體中,的確令人印象深刻。不過在此仍要告知使用者,水能載舟,亦可覆舟,我們可以用來掃瞄電腦,攻擊者亦有可能會用它來掃瞄我們的主機,所以當您電腦發現安全弱點時,需要盡快進行修復,以免遭到惡意攻擊。
● Microsoft Baseline Security Analyzer (MBSA)
接下來我們來介紹Microsoft所提供的工具:Microsoft Baseline Security Analyzer (MBSA),這也是用來做安全漏洞掃瞄的工具軟體,可針對各種微軟的應用程式進行掃瞄。
一開始安裝MBSAV1.2.1可以到下列網址下載:( http://download.microsoft.com/download/9/0/7/90769f0c-c025-48bf-a9c7-60072d0cb717/MBSASetup-EN.msi )。MBSA是用來稽核Windows NT 4,Windows 2000,Windows XP還有Windows Server 2003系統的安全性。它可以偵察出一些微軟的應用程式的弱點,例如IIS、SQL Server、Exchange、Microsoft Office、Microsoft Data Access Components、Microsoft Virtual Machine、MSXML等。MBSA可以幫您檢查您的電腦有哪些更新還沒有完成,只要掃瞄出來,您只要順著它的連結,就可以進行更新,可說是非常方便。
特色:
1.微軟視窗平台:
* 管理者群組的帳號數目(最好只有一個帳號)。
* 稽核的功能是否開啟。
* 自動登入:因為自動登入的密碼可能是以明文方式存在電腦之中,所以最好把這個功能關閉。
* 檢查不需要的服務:MSBA對檢查下列的服務:MSFTPSVC (FTP) 、TlntSvr (Telnet) 、W3SVC (WWW) 、SMTPSVC (SMTP)這些服務的安裝情況。
* 網域控制:檢查此電腦是否為網域控制站台。
* 檔案系統:最好是NTFS格式。
* 來賓帳號:最好不要啟動,不過假如您是使用Windows XP用來做簡單檔案分享的話,就不會被當作是弱點。
* 網路防火牆:確認您的網路防火牆(ICF)是否已經開啟。
* 本地帳號密碼:檢查是否有簡單或者空白的密碼。最好密碼的要有英文和數字和符號等,這樣比較能抵抗密碼猜測的攻擊。有以下情況是非常不好的:空白的密碼、帳號和密碼相同、密碼和本機名字相同、密碼是”password”、帳號是”admin”或”administrator”。
2.IIS:針對IIS 4.0、5.0、6.0
* MSADC和SCRIPT的虛擬目錄:檢查這兩個目錄是否有安裝,一般而言是不需要的。
* IISADMPWD虛擬目錄:檢查電腦是否安裝。此目錄可以讓使用者修改密碼。
* 網域控制站台上的IIS:通常建議在網域控制站台上不要安裝IIS。
* 檢查Lockdown tool是否執行。
* 登入:檢查IIS使用者登入的紀錄功能是否被開啟。
3.Microsoft SQL Server:SQL Server 7.0還有SQL Server 2000的驗證模式,像
是帳號密碼檢查等。
4.安全更新:它會檢查您電腦上的漏洞是否已經更新。
5.桌面應用確認:
* IE安全區域(zone):在【網際網路選項】->【安全性】中使用者可對每個網頁內容的【區域】指定個別安全性,它包含【網際網路】、【近端內部網路】、【信任的網站】、【限制的網站】。您可以為每個選項進行高、中、低和客制化的安全性設定。
* 管理者IE的強化安全性設定:當IE的強化安全性設定被安裝,就會自動檢查該選項是否開啟,以及確認被那個管理者所關閉,在Windows Server 2003中為預設啟動。
* 無管理者的IE強化安全性設定:假如沒有管理者,且該選項被開啟,它也會檢查是誰讓該選項關閉的。
* ?Office巨集防護:檢查並確認Microsoft Office的安全等級。
跟Retina一樣,您可以選擇針對單一電腦或多個電腦,然而您在掃瞄多個電腦時必須要有管理者的權限,在開始運作時,它會從微軟網站下載檢查時所需要的檔案,接下來就可以進行掃瞄,像是IDS規避或者DOS攻擊等攻擊的測試。
● N-Stealth
N-Stealth是一套弱點偵測工具,可以掃瞄網站的服務,找出可能的安全問題和弱點。這套軟體的資料庫包含30,000弱點和安全漏洞的資料。N-Stealth適合系統管理員、安全顧問、IT人員從事主機方面的安全工作,藉由它的掃瞄技術以及外掛的安全漏洞資料庫,可使相關人員鎖定特定電腦,進行安全維護。N-Stealth可以稽核本地或遠端的網站服務,只要輸入IP位址讓它執行幾分鐘,就可得知該服務主機可能的漏洞。整體來說,它比較偏重在網際網路所提供服務的主機,進行安全檢查。到 http://www.nstalker.com/eng/products/nstealth/ 進行註冊,它就會把試用版軟體的下載連結到您所註冊的信箱,試用版和正式版的功能有所差別,詳細差別可至以下網址進行比較。
http://www.nstalker.com/eng/products/nstealth/freeversion/freexcommercial.php
特色:
1.弱點掃瞄:弱點資料庫有超過30,000個弱點的資訊,“Vulnerabilities Checks”讓您可以針對你想要的弱點進行偵測:
* 迴避IDS偵測:假如開啟,N-Stealth就會試著讓該目的主機的入侵偵測系統以為丟棄封包,但其實卻讓目的主機接收該封包。
* 阻斷服務攻擊檢查:檢查目的主機是否承受的住阻斷服務攻擊。
* 試著以有效率的方式安全檢查:假如開啟,N-Steath會先對網站伺服器的版本和平台進行檢查。
* 支援一般HTTP的安全檢查。
2.可以掃瞄所有SANS/FBI 前20/10漏洞。
3.支援HTTP以及SSL(HTTPS):N-Stealth支援HTTP以及HTTPS協定,可選擇就您要掃瞄主機所提供的協定,進行掃瞄。
4.作業系統偵測。
5.新的快速追蹤方法:提供特殊方法”Fast Track”,它會先檢查HTML內容,假如該HTML沒有內容,它就會以HTTP的表頭內容為主。
6.支援全雙工proxy伺服器。
N-Stealth的使用方式,和一般的掃瞄軟體十分相似,一開始先選擇你要掃瞄的電腦IP位址或者主機名稱以及要掃瞄的埠,之後再選要掃瞄的方法,有標準、完整、前10或前20大漏洞的掃瞄。當它掃瞄完後就會產生相關檔案,此時至Report功能裡點選檔案就會產生相關報告。
結論
上面所介紹的軟體,前兩套都可以用來針對微軟作業系統進行安全弱點掃瞄,第一套所介紹的,可以掃瞄的平台較多,但是它並不是免費的軟體,它的功能也十分強大,設計也十分友善。第二套就是微軟行開發完全針對微軟的應用程式和作業平台的弱點掃瞄,可以免費下載,身為網路管理人員,可以藉由一台電腦,對其它同一網域的電腦進行掃瞄,這兩個軟體都提供了非常方便且好用的功能,第二套軟體還提供微軟產品可能的漏洞或尚未修補的漏洞,進行修補,可以說是非常方便,可以讓網管有效率的管理自己網域的電腦。第三套,雖然說不是為了微軟系統量身訂做,但是它可以稽核以微軟為平台的網路伺服器,提供更進階的檢查。
參考資料:
* http://www.microsoft.com/technet/security/tools/mbsawp.mspx
* http://www.nstalker.com/eng/products/nstealth/
* http://www.eeye.com/html/products/retina/donload/index.html