专家解读Windows平台所面临的安全隐患
微软在设计Windows操作系统时是本着简单易用的原则,因而忽略了安全方面的考虑,留下了很多安全隐患。这些隐患在单机时代并没有显现出来,后来随着网络的出现和普及,越来越多地使用Windows操作系统的个人电脑接入网络,windows平台的安全隐患逐渐浮出水面。从windows平台的诞生起,各种相应的安全威胁也产生。针对windows平台存在安全漏洞问题,各种基于windows平台的病毒制作、网络安全事件也频频发生。在一段时间内Windows操作系统漏洞频繁出现,安全安全事故时有发生,尤以Windows 98/Me等Windows早期版本更为严重。
为了改变这一情况,微软在Windows 2000以后的版本中采用了Windows NT的核心,极大地提高了Windows操作系统的安全性。虽然不能完全避免出现漏洞,但与Windows 98/Me等早期版本相比已经有了一个质的飞跃。但是这仍然没有给广大的Windows用户一个满意的答复,安全技术的不断发展使得人们防不胜防。攻与防的技术也在不断地变化。微软在Vista系统中集成了最新的安全技术,以最大限度地保护系统安全。这些技术包括用户账户控制、IE7保护模式、地址空间分配随机化、内核补丁保护、驱动签名等等。相比较Windows XP及Windows其他系统而言,Vista系统的确具有更高的安全性。但是,Vista系统就真的那么安全吗?其实未必。尽管,微软通过每个月更新的“恶意软件清理工具”清理潜在感染系统的恶意软件,但是当Vista系统大行其道,越来越多的软件适应Vista系统而开发的时候,威胁则会集中在第三方软件的漏洞上。第三方软件给用户带来方便的同时,也给各种威胁带来了方便之门。
为了应付日益复杂的网络环境,用户必须了解Windows操作系统的各种漏洞和安全隐患。什么是Windows操作系统漏洞?系统漏洞也称安全缺陷,这些安全缺陷会被技术高低不等的安全者所利用,从而达到控制目标主机或造成一些更具破坏性的目的。为什么会存在漏洞?漏洞的产生应该大致可分为两类:
人为的在程序编写过程,编程人员为了达到不可告人的目的,有意在程序的制作过程中隐蔽留下各种各样的后门,供日后使用,随着法律的完善,这类漏洞将越来越少(别有用心的除外)。
由于编程人员的水平问题,经验和当时安全技术的发展所现,在程序中总会或多或少的有些不足之处,这些地方有的影响程序的效率,有的会导致存在安全隐患,最终被安全者利用的技术缺陷。
面对如此庞大纷繁的windows操作系统,在了解各种漏洞及安全隐患后,还需要了解各种漏洞相应的安全行为,才能保护好系统的安全。Windows平台的安全漏洞带来相应的病毒、安全、间谍软件、僵尸网络、网络钓鱼、ARP安全、DDoS安全等安全事件。只有在了解各种操作系统存在的安全漏洞后,才能更好在保护其免受安全。
让大家初步了解Windows平台的漏洞所带来的危害,其中著名的红色代码(code red)病毒和尼姆达(Nimda)病毒的传播为危害最大之一的漏洞安全。Codered(红色代码)病毒是通过Windows平台上的IIS应用系统漏洞进行感染,利用.ida/idq扩展文件溢出,安全运行IIS5的WEB服务器,造成IIS服务将不能正常工作,并可以留下安全后门。蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:/notworm,如果该文件存在,蠕虫将停止感染其他主机。Codered病毒利用微软IIS远程缓冲区溢出漏洞获取系统权限实施安全,并在这个被感染的Web服务器上安装一个后门程序,使得安全者对被感染系统具有完全的访问权限,因此,一旦遭受感染,网络安全就会受到严重威胁。Codered病毒所造成的经济损失达上亿美元。
Nimda是一个蠕虫病毒,该蠕虫病毒影响Windows 95/98/ME/NT/2000 所有客户端和服务器系统。它通过以下方式传播:Email邮件、网络共享、扫描并安全未打补丁的IIS服务器(利用漏洞Microsoft IIS 4.0 / 5.0 directory traversal)、通过扫描 “Code Red”和 “sadmind/IIS”留下的后门从客户端感染Web 服务器、客户端浏览被篡改网页。Nimda蠕虫的传播途径之一利用了以下一个漏洞:微软IE异常处理MIME头漏洞(CA-2001-06)。通过一个IE的MIME漏洞,在被感染的网页上加入一段结合MIME漏洞的JS代码,使用户在访问网页时自动下载并运行"尼姆达"蠕虫程序。该蠕虫由JavaScript脚本语言编写,病毒体长度57344字节,它修改在本地驱动器上的.htm, .html.和.asp文件。通过这个病毒,IE和Outlook Express加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含,因此,不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件,这样给防范带来困难,病毒也更具隐蔽性。这个病毒降低系统资源,可能最后导致系统运行变慢最后宕机;它改变安全设置,在网络中共享被感染机器的硬盘,导致泄密;它还不断的发送带毒邮件。2005年,Nimda电脑病毒在全球各地侵袭了830万部电脑,总共造成5亿9000万美元的损失。
综上所述,Windows平台面临着各种各样的安全威胁,安全问题造成的经济损失很大。为了解决Windows平台的安全问题,减少因安全问题导致的经济损失,各大安全公司提供了各种各样的安全产品来解决安全问题,微软也提供了Forefront的安全解决方案,详见51CTO的微软Forefront企业安全解决方案专题栏目。