《安全月刊》第十四期

　出刊：2005年8月25日 

南京优创科技有限公司
客户服务中心

服务电话：025-84808848

服务邮箱：service@ultratech.com.cn

※※※※※※※※-----我司正式加盟“蓝代斯克专业解决方案提供商（ESP）计划”------※※※※※※※

作为计算机和设备管理软件领域的领导厂商，LANDesk的软件产品屡屡引领技术创新，并在业界得了到许多公认的奖项。LANDesk不但在北美、西欧、和日本拥有广阔的市场，而且也正在积级拓展拉丁美洲，澳大利亚，中国和东欧的市场。其客户从小公司到大企业，遍及公共部门和私营公司的各个领域。
    LANDesk选择ESP是很严格的，记者从LANDesk得知，现在已经成为LANDesk的ESP全国不到10家，而现在LANDesk已经签下的大客户全是这些ESP的功劳。像中石化、中国青年报、中央电视台等单位，已经通过ESP选择了LANDesk的产品，成为LANDesk忠实的用户。可以这么说，ESP是保证LANDesk在中国稳定发展的基础。
    我司能成为LANDesk的ESP，不仅是LANDesk公司对我司在渠道经营方面能力的肯定，也是众多用户对我司的肯定。没有用户对我们的支持，我们也不会有今天的成长。我们会一如既往地服务客户，帮助客户真正地解决问题。客户的需求永远是我们努力的方向！

LANDesk管理套件8.5

  IT管理人员可以通过LANDesk管理套件8.5管理包括Unix、Linux、Windo ws以及 MAC平台在内的所有设备

LANDesk管理套件8.5是一个完全集成的、跨平台的模块化桌面管理解决方案，可以管理包括Unix、Linux、Windows以及MAC平台在内的所有设备。它拥有资产管理、软件分发及修复、操作系统分发及配置迁移、软件许可监控、远处帮助、补丁管理器、安全管理套件、服务器管理器等多个模块和插件。这些模块能实现企业IT设备全生命周期管理并且能在企业信息资源管理系统发生意外损失时，将损失减少到最低点，同时提高IT的投资汇报。
    LANDesk管理套件8.5可以收集所有的计算机软硬件资源，并以日志和警报的方式及时通知管理人员，同时还支持以邮件、SNMP陷阱等多种方式提供报警，也支持调用运用程序进行自我修复；通过采用特有的有目标多址广播技术，使得在向多用户部署任务时能够最小化带宽占用最小化；PXE代理技术实现了向裸机部署操作系统而无需子网专用服务器；基于脚本的安装后配置实现完成无人职守任务。
    上述功能都可以在单一集中的控制台中实现，这样，IT管理人员就可以高效率完成系统管理任务。

今日病毒预警

一、病毒名称：I-Worm/Zobot.b，中文名：“极速波”变种b，病毒长度：27648字节，病毒类型：网络蠕虫，危害等级：★★，影响平台：Win 2000/XP
    I-Worm/Zobot.b“极速波”变种b是一个利用微软最新漏洞（MS05-039）进行传播的网络蠕虫。“极速波”变种b运行后，自我复制到系统目录下，文件名是csm.exe。修改注册表，实现开机自启，致使Windows 2000/XP的共享访问无法正常运行。开启TCP 8080端口，连接指定站点，允许黑客未经授权远程访问被感染的用户计算机。修改hosts文件，阻止用户对一些安全网站的访问。开启TCP 8888端口，从被感染计算机上随机产生的IP地址选取下一个感染的目标计算机，利用微软MS05-039漏洞进行传播。

二、病毒名称：TrojanProxy.Mitglieder.aj ，中文名：“梅格里德”变种aj，病毒长度：14336字节，病毒类型：木马，危害等级：★，影响平台：Win 9x/2000/XP/NT/Me/2003
    TrojanProxy.Mitglieder.aj“梅格里德”变种aj是一个木马程序，将被感染的计算机变为黑客的邮件代理服务器，发送大量广告邮件。“梅格里德”变种aj运行后，自我复制到系统目录下，创建多个病毒文件。修改注册表，实现开机自启。监控计算机系统，一旦终止“梅格里德”变种aj的进程，重启计算机。开启默认端口20742，连接指定站点，侦听黑客指令，下载病毒附加程序或command命令，实现病毒程序的升级。另外，该木马可以终止某些杀毒软件的进程。

三、飞客蠕虫变种C（Worm.Fixion.c）病毒：警惕程度★★★，蠕虫病毒，通过局域网共享目录传播，依赖系统：WIN 9X/NT/2000/XP。
    病毒运行后，复制自身到系统目录中，修改注册表，实现开机之后自启动。将自己复制到硬盘所有分区的根目录下，构造“AUTORUN.INF”文件，致使用户打开硬盘分区时就会自动运行该病毒，严重耗费系统资源，并且很难彻底清除。病毒会将自身复制到中毒电脑的共享目录下，其他用户运行这些文件后就会被病毒感染。

四、网络天空变种QE（Worm.Netsky.qe）病毒：警惕程度★★★，蠕虫病毒，通过邮件传播，依赖系统：WIN 9X/NT/2000/XP。
    该病毒主要利用电子邮件进行传播，传播速度极快。在中毒电脑的硬盘上搜索多种常用格式的文件，从中提取电子邮件地址，并用自带的SMTP引擎向这些地址大量发送带毒邮件。这会严重消耗网络资源，甚至会造成企业局域网堵塞。同时，它还会在中毒电脑上开设后门，方便黑客对其进行远程控制。

五、QQ大盗变种m(Troj.QQRob.m) 威胁级别：★★
    病毒特征：这是一个偷盗QQ用户帐号和密码等信息的木马病毒。
    发作症状：病毒在系统中释放下列文件:
    C:\WINNT\System32\NTdhcp.exe、C:\WINNT\Deleteme.bat，增加注册表项，达到自启动的目的。通过安装消息钩子自动搜索带有下列字样的QQ窗口：
    注册新号码、QQ号码、用户号码、登录QQ等，并搜集密码，帐号，IP地址，物理地址等信息，通过网络将搜集到的信息发送到指定站点。病毒还将关闭大量安全软件，直接降低系统安全性能，给用户的个人隐私留下隐患。

六、小木马变种az(Troj.Small.az) 威胁级别：★★
    病毒特征：这是一个用VC编写、盗取用户最近打开的一些WORD文档信息的木马病毒。
    发作症状：病毒先将自己拷贝到%system32%\scApp.exe、%system32%\mgrShell.exe，添加启动项使开机自运行。通过检测windowsupdate.microsoft.com来判断当前网络是否可以访问，如果用户机器有U盘接入，病毒将自拷贝到该U盘来传播自己，大大降低用户系统安全性能。

网络安全知识：关于增强活动目录安全性的五个步骤

让AD更安全！是的，每个管理员都希望如此，但是要尽可能高地实现这个目标，您还是需要花上一点力气的，本文通过5个步骤，帮您理解如何来切实增强AD基础设施的安全。
    活动目录（AD）中保存着能够对AD进行访问的重要密钥，如果不能恰当的增强AD的安全性，那么它很容易受到攻击。坦率地讲，增强AD的安全性并不简单，但是通过一些基本的步骤，您确实可以提高它的安全性。请注意我这里所说的是“基本”步骤。安全无止境，您总是可以找到提高安全性的方法，但是这些方法往往需要付出相应的代价。这些代价可表现为实际的花费，或者灵活性或功能性方面的损失。让我在这里向您展示5个步骤，实施这些步骤的代价并不算高，单它们却可以帮助您切实增强AD基础设施的安全性。

步骤1.遵循管理员方面的最佳做法

您可以通过将手工操作（例如，安装域控制器）自动化的方法来增强AD的安全性，但是目前还没有出现能够将人类行为自动化的程序设计语言。因此，这就是您需要为管理员如何管理AD建立指南的原因。您需要确信您的管理员遵循了如下的最佳做法：
    区分管理帐号（administrative accounts）的使用。区分管理帐号的使用已经成为许多组织的一个标准做法，但它仍然值得一提。如果管理员的机器不小心感染了病毒，那么潜在的威胁将会非常大，因为获得管理权限（right）后，病毒可运行程序或脚本。因此，对于日常操作，管理员应使用非特权帐号（例如，用户帐号）；对于和AD有关的操作，管理员应使用一个独立的管理帐号。当您通过一个非管理帐号登陆后，您可以使用Runas命令这类工具以管理员的身份打开程序。如需了解有关如何使用Runas命令的信息，请参阅Windows的帮助文件。
    确保管理员机器的安全性。虽然要求您的管理员以非管理帐号登陆和使用Runas命令打开AD管理程序能够带来很多益处，但是如果运行这些工具的硬件系统不安全的话，您仍然处于危险之中。如果您不能确保管理员机器的安全性，那么您需要建立一个独立并且安全的管理员机器，并让管理员使用终端服务来访问它。为了确保该机器的安全，您可以将它放在一个特定的组织单元中，并在组织单元上使用严格的组策略设置。您还需要注意机器的物理安全性。如果管理员的机器被盗，那么机器上的所有东西都将受到威胁。
    定期检查管理组（administrative group）的成员。攻击者获得更高特权（privilege）的手段之一就是将它们的帐号添加到AD的管理组当中，例如Domain Admins、Administrators或Enterprise Admins。因此，您需要密切关注AD管理员中的成员。遗憾的是AD不具备当某个组的成员发生改变时发送提示信息的内建机制，但是编写一个遍历组成员的脚本并使用并使脚本每天至少运行一次并不复杂。在这些组上面启用审核（Enabling Auditing）也是一个很好的主意，因为每次改变都会在事件日志中有一条对应的记录。
    限制可以访问管理员帐号（administrative account）密码的人员。如果某个攻击者获得了管理员帐号的密码，他将获得森林中的巨大特权，并且很难对他的操作进行跟踪。因此，您通常不应使用管理员帐号来执行管理AD的任务。相反，您应该创建可替代的管理帐号（alternative administrative accounts），将这些帐号添加到Domain Admins或Enterprise Admins组中，然后再使用这些帐号来分别执行每个管理功能。管理员帐号仅应作为最后一个可选择得手段。因为它的使用应该受到严格的限制，同时知道管理员密码的用户数量也应受到限制。另外，由于任何管理员均可修改管理员帐号的密码，您或许还需要对该帐号的所有登记请求进行监视。
    准备一个快速修改管理员帐号密码的方法。即使当您限制了可以访问管理员帐号的人数，您仍然需要准备一个快速修改该帐号密码的方法。每月对密码进行一次修改是一个很好的方法，但是如果某个知道密码（或具有修改密码权限）的管理员离开了组织，您需要迅速对密码进行修改。该指南同样适用域当您在升级域控制器时设置的目录服务恢复模式（Directory Service Restore Mode，以下简称DSRM）密码和任何具有管理权力的服务帐号。DSRM密码是以恢复模式启动时用来进行登录的密码。您可以使用Windows Server 2003中的Ntdsutil命令行工具来修改这个密码。      当修改密码时，您应该使用尽量长的（超过20个字符）随机密码。对于管理员而言这种密码很难记忆。设置完密码后，您可将它交给某个管理人员，并由他来决定谁可以使用该密码。
    准备一个快速禁用管理员帐号的方法。对于绝大多数使用AD的组织，最大的安全威胁来自于管理员，尤其是哪些对雇主怀恨在心的前管理员。即使您和那些自愿或不自愿离开公司的管理员是好朋友，您仍然需要迅速禁用帐号上的管理访问权限。
                                                                                 （未完待续）

如何确认网络中是否有垃圾包，从而造成网络阻塞?

有时候,加上防火墙后，导致客户网络环境时通时断丢包。这种情况客户往往认为时防火墙的原因。实际上防火墙也是网络设备，不应该仅仅从防火墙的角度考虑问题，而应从整体上考虑网络状况。
    此时可以用sniffer连到网络的主交换机上,使用默认的default规则进行抓包。根据情况可以抓几千个包，然后使用sniffer的分析系统和expert系统,进行分析。比如可以用Matrix来看到底是哪些机器在向其他的机器，发送什么样的包,是广播包还是组播包。可以点击protocol dist，来看各种协议包在网络上的分布，使用expert来看看sniffer对网络状况的分析，及其建议的改良措施。
    举个例子:抓包后分析，客户网络环境有大量的ospf和rip的hello包，而实际上，客户即配置了静态路由也配置了动态路由协议，但并没有使用动态路由协议。但动态路由协议还是工作的。所以建议用户取消动态路由配置。去掉后，网络正常。

   　　　　　工程师信箱：service@ultratech.com.cn   欢迎大家与我一起交流技术方面的问题。

Google搜索工具存在严重隐患 成为黑客帮凶

　　计世网8月2日消息 不论你在何处上网，Electric Bong就是处于危险之中。一种精心策划的Google查询可能会允许黑客获取Google的大量数据，黑客可以依此发动攻击活动。
    Electric Bong，是指大量的家用电子产品。安全研究人员Johnny Long发明，家庭电子网络中存在一种不受保护的Web界面。在每个产品中，有两个按钮，一个是打开，一个是关闭。Johnny Long是CA公司的研究人员，也是“Google Hacking for Penetration Testers”一书的作者。上周，在拉斯维加斯举行的黑帽大会上，他指出用户没有意识到，强大的Google搜索工具存在着惊人的漏洞。
    此外，他和其它研究人员还发现，没有安全保护的Web界面可以使黑客控制这种产品，包括家庭网络、PBX企业电话系统、路由器、Web摄相机以及网站等。上述所有的产品都可以通过Google进行渗透。当然，Google成为黑客工具，还远不只这些。同时，Google还可以当做黑客攻击的代理服务器。
    他表示，尽管安全软件可以辨别攻击者对公司网络的侦察行为，黑客仍能通过Google获得企业网络的拓扑信息。因此，网络管理人员就很难对此行为进行防范。“受到攻击的对象根本不知道黑客在侦察网络，收集有用的信息。”Long指出，这种信息通常以无意义信息的方式收集，Long称之为“Google Turds”,因为没有一个网站有诸如site:nasa之类的搜索信息，它会出现一个服务器列表，显示NASA内部网络的结构情况。
    通过整合Google查询信息和文本处理工具，黑客可以获得SQL口令，甚至是SQL的错误信息。黑客然后就可以发动所谓的SQL注入式攻击，这种攻击活动可以在SQL数据库上运行未授权的命令。“这就是Google攻击，你可以进行SQL注入，或者进行Google查询找到相同的信息。”尽管Google没有意识到自己在数据存储方向的存在的问题，实事是，Google已不知不觉地参与到了一些蠕虫攻击活动中，其以安全理由拒绝一些搜索查询，“最近，Google开始着手解决这个问题。”

谭博士信箱：txy@ultratech.com.cn    欢迎大家与我共同探讨安全问题