Windows系统紧急安全配置指南（第II版第5次更新

1Windows系统紧急安全配置指南（第II版第5次更新）安天实验室安全研究与应急处理中心（AntiyCERT）导言本配置手册不是全面的windows系统安全配置手册，只是指导windows用户，通过简易的、且不需要付任何费用的方法来避免受到主流攻击影响。本手册在每次出现重大漏洞时将做出修订。目前手册中的内容包括可有效对抗在2008年10月24出现的RPC漏洞（MS08-067）影响。最新漏洞情况通报本报告的修订针对2008年10月24出现的RPC漏洞（MS08-067）作出，这是一个针对139、445端口的RPC服务进行攻击的漏洞。可以直接获取系统控制权。根据MS的消息该攻击无法穿透DEP保护，因此对正版用户，该漏洞对XPSP2以上版本（含SP2）和Server2003SP1（含SP1）系统无效。因此主要受到威胁的用户应该是，windows2000和windowsxpsp2以前版本用户。但由于一些盗版传播中，被人为降低了安全级别或者修改过安全机制，因此上述信息只能供参考。基本处置建议在重大远程漏洞发生时，对于不需要实时连接的系统，可以考虑先断网检测安全配置，然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全再打补丁。2单机防火墙配置相关介绍：单机防火墙是一个重要的安全环节，有很多免费的和付费的防火墙品牌，主流反病毒产品往往也自带防火墙，从windowsXP版本开始windows也自带了一个防火墙。桌面用户、工作站用户桌面系统是指以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式，其多数网络操作为用户主动对外发起连接，而不是凭借本地监听端口为外部用户提供服务。利用这一特性我们可以作出如下配置。配置为禁止外部发起连接模式桌面系统如果不提供共享打印，不需要在局域网游戏（如CS、FIFA等）中作为主机使用，可以通过设置为禁止发布发起连接模式，来阻断所有向本主机发起的连接的。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。效果：本节操作可以不依赖其他补丁和配置，独立防范MS08-067攻击。优点：不仅可以阻断MS08-067攻击，而且可以阻断所有相同的针对主机固定端口的攻击。缺点：如果主机提供打印共享、网络共享目录等服务则会失效，在CS、Fifa等游戏中无法作为host使用。可能与蓝波宽带拨号程序冲突。WindowsVista、WindowsServer2003自带防火墙支持配置为禁止外部发起连接模式。用户可按照下列图示步骤，配置windows自带防火墙。3Step1：在控制面板中找到防火墙。Step2：选择更改设置，此时vista系统的安全机制可能需要灰屏确认，请选择是。4Step3：启动防火墙并选择阻止所有传入连接。WindowsXP系统的防火墙不支持本项设置，可通过其他防火墙实现，以安天盾防火墙（免费）为例。Step1:通过单击windows开始菜单中安天安全中心项目，或者单击托盘中的安天安全中心图标。启动有关配置。5Step2:在安天安全中心界面上点击设置。Step3:将策略选择为系统初装。WindowsXP系统的防火墙不支持本项设置，可通过其他防火墙端口设置实现，以安天盾防火墙（免费）为例。67使用防火墙端口规则禁用139、445端口的所有访问。网络服务器网络服务器用户以来固定端口对外进行服务，因此不能采用阻断所有传入连接的方式进行配置，否则会失效。但在本地管理服务器的情况下，采用阻止所有主动连接模式在线打补丁，打全补丁重新启动后，在去掉本模式投入应用。是很好的技巧。不需要开放RPC服务的服务器从最古老的WindowNTServer到Server2008，不需要开放RPC服务器的用户可以不依赖任何安全工具，仅凭借windowsServer自身安全机制既可实现屏蔽，我们不同意直接关闭RPC服务的方法，这会给本机管理带来一些麻烦。8Step1:选择网络连接的属性。Step2：单点Internet协议（TCP/IP）点击属性9Step3:在弹出的Internet协议（TCP/IP）属性对话框中点击高级。STEP4：对TCP/IP筛选中点击属性。10Step5:在TCP/IP筛选中配置允许访问的端口。只要不包含TCP139和445则MS08-067RPC攻击失效。需要开放RPC服务的服务器需要开放RPC服务的服务器，如网络打印、网络共享和一些RPC通讯调用的节点，不能够通过上述关闭端口的方式，否则会造成无效。可以转而采用打补丁、打开DEP策略，或安装主机IPS的方法。数据执行保护配置数据执行保护机制是微软自XPSP1开始发布的重要遏制溢出攻击的机制，本次RPC攻击并不能穿透DEP攻击的保护。采用下列步骤可以查看和配置当前系统DEP保护。STEP1:我的电脑右键点击属性。11Step2：点击高级tab的设置按钮。Step3：设定数据执行保护的策略。修改后需要重新启动。选择不同的DEP策略会达到不同的效果。选择仅为基本windows程序和服务启用DEP效果：可以挡住本次RPC攻击，也可以挡住目前主流的针对windows开放端口的攻击。优点：在获得一定的安全性的情况下，保证系统的兼容性。缺点：不能保护类似IE浏览器，Outlook等比较脆弱的互联网应用程序。不能防范类似挂马注入的攻击。12选择为除下列选定程序之外的所有程序和服务启用。效果：在上述效果的基础上，对web挂马、各种应用软件插件注入都有很好的效果。优点：更强的系统安全性。缺点：与部分应用程序冲突，但可以设置为例外。补丁下载与安装根据自己系统的情况，寻找地址安装单一补丁，是一个有效的修补漏洞并规避微软黑屏策略影响的方法。微软的补丁都可以离线安装，可以选择将有漏洞的系统断网，从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下本次MS08-067严重漏洞各系统补丁地址如下：中文操作系统KB958644补丁下载地址：WindowsVista安全更新程序(KB958644)安全更新程序(KB958644)安全更新程序(KB958644)安全更新程序(KB958644)安全更新程序(KB958644)安全更新程序(KB958644)用于基于x64的系统的WindowsVista安全更新程序(KB958644)13安全更新程序(KB958644)英文操作系统KB958644补丁下载地址：SecurityUpdateforWindows2000(KB958644)(KB958644)(KB958644)(KB958644)(KB958644)(KB958644)(KB958644)(KB958644)