用黑客眼光來看Windows文件服務(wù)器安全

Windows文件服務(wù)器在網(wǎng)絡(luò)中的作用至關(guān)重要。它們承載了敏感文件、數(shù)據(jù)庫和密碼等等。當文件服務(wù)器宕機的時候，網(wǎng)絡(luò)很可能因此癱瘓，如果它們被破壞，等于打開了潘多拉魔盒�！　∠旅媸亲髡哂龅竭^的文件服務(wù)器被黑客攻擊的真實案例。和大家分享所遇到的情形以及這些漏洞是如何被利用來破壞系統(tǒng)的——這些都是從一個黑客的角度來看的。這將幫助你進一步了解在新聞中看到的關(guān)于系統(tǒng)漏洞如何被利用以及結(jié)合具體的情況來了解安全問題——幫助你從一個全新的角度來開始檢測你的服務(wù)器安全，你將會認識并非所有安全問題都是深不可測的�！　�

第一步：發(fā)現(xiàn)一個沒有安裝的補丁　　

將所有你知道的微軟重要安全更新都安裝上，然后用我最喜歡的幾個漏洞探測工具進行掃描。你會發(fā)現(xiàn)一定還有可能被攻擊的漏洞存在。你會常常發(fā)現(xiàn)，大多數(shù)Windows文件服務(wù)器安全漏洞問題都是因為忘了安裝補丁導致的，這種情況常常在網(wǎng)絡(luò)內(nèi)部就會導致攻擊。這很大程度上要歸咎于許多網(wǎng)絡(luò)在內(nèi)部沒有部署入侵保護系統(tǒng)——所有內(nèi)部連接都是被信任的。如果你公司里面有不法分子試圖控制你的Windows服務(wù)器，那就麻煩了。讓我們從一個內(nèi)部攻擊者的角度來看看一個忘了打windows補丁的漏洞是怎樣被發(fā)現(xiàn)的。他所需要的只是一個內(nèi)部網(wǎng)絡(luò)的連接和幾個可以免費下載的安全工具：NeXpose Community edition 和 Metasploit。以下就是具體步驟：　　

有不良企圖的用戶通過安裝NeXpose來掃描網(wǎng)絡(luò)——或者他所知道的一系列重要服務(wù)器——掃描漏洞。接著他發(fā)現(xiàn)了一個文件服務(wù)器的MS08-067漏洞允許‘任意代碼’執(zhí)行，這看起來實在有點可笑。然后這個用戶進入Metasploit的檢測清單頁面可以看到該漏洞。接著他下載并安裝Metasploit,添加一些參數(shù)，然后創(chuàng)建可以完全訪問你的服務(wù)器的命令

這在有漏洞的Windows系統(tǒng)和相關(guān)應用上可以被一再重復操作，哪怕你一點都不了解。想想這可能造成的破壞有多可怕吧：刪除文件，復制備份SAM數(shù)據(jù)庫和敏感文件，添加/刪除用戶，等等。如果你有放在公網(wǎng)上供公共訪問的服務(wù)器卻沒有防火墻保護，相同類型的攻擊也可能通過INTERNET發(fā)生�！　�

另外很重要的是要記住上面提到的網(wǎng)絡(luò)連接可以通過一個不安全的無線網(wǎng)絡(luò)取得。一個常見的例子是可以通過原本提供給倉庫中的掃描設(shè)備使用的無線熱點直接連接到你的網(wǎng)絡(luò)中。不管它們是使用WEP、WPA或者其它的加密方式來保證這些掃描設(shè)備的安全性，任何在一定距離范圍內(nèi)(常常是在你的停車場里或者旁邊的大樓)的設(shè)備都能輕易的接入你的網(wǎng)絡(luò)從而展開攻擊�！　�

第二步：說到不安全的無線網(wǎng)絡(luò)，有惡意的外來攻擊者潛入你的網(wǎng)絡(luò)取得敏感信息一般是利用一些無線網(wǎng)絡(luò)分析工具，另外，如果攻擊者可以獲得一個你網(wǎng)絡(luò)的物理連接(或者是一個被信任的用戶)，他就能用工具來進行ARP攻擊，這可以讓他穿透你的以太網(wǎng)‘安全’控制并從你的網(wǎng)絡(luò)中拿到任何他想要的東西。為什么要攻擊一個文件服務(wù)器就必需做這個呢?很簡單，攻擊者可以很容易地通過SMB、POP3、WEB、FTP和windows認證對話來取得密碼然后用它做為一個非法的直接鏈接來訪問你的文件服務(wù)器�！　�

第三步：取得敏感文件　　

我一再重復這個話題因為問題看起來越來越糟糕。問題在于這些存儲在沒有保護的共享服務(wù)器上的敏感信息可以被網(wǎng)絡(luò)中的任何人隨意訪問——典型的是那些公共文件夾。為什么?我的看法是網(wǎng)絡(luò)管理員常常有太多的信息需要管理，而且用戶也常常對他們的文件做一些草率的操作。當然，對于企業(yè)管理層來說，毫無疑問個人身份信息的安全管理是非常重要的。