假期中 IIS 问题的调查结果 [转译]

《本文转译自Microsoft Security Response Center 博客文章“Results of Investigation into Holiday IIS Claim”》 针对假期里报道的 IIS 中可能存在的漏洞问题,我们已经完成了全面的调查研究,最终发现,IIS 中没有漏洞。 我们所看到的是:IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性,就声称这会导致黑客绕过内容过滤软件,然后向 IIS 服务器上传和执行代码。 事实上最关键的问题是:攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置,而且有悖于我们发布的任何最佳实践指导。简言之,做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。 因此,用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导,就无须对这个问题有任何担忧。不过,如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限,就像上述攻击前提中描述的那样,我们建议你仔细阅读我们的最佳实践,马上修改配置,从而更好地保护系统免受不当配置会导致的威胁。重申一次,下面是我们的最佳实践资源列表: IIS 6.0 安全最佳实践 用 Web 站点权限保护站点安全 IIS 6.0 操作指导 改进 Web 应用安全:威胁与对策 IIS 部门的同事正在评估一项改善措施,以便让 IIS 6.0 的操作行为与其它版本一致。同时,他们也已经把更多相关信息放到了他们的 weblog 上。 希望上述内容可以打消大家的疑虑。…

0

[技术分享 – RMS 篇] Oh…“搬家”!何须兴师动众?!

迁移 RMS 的 SQL 数据库其实很简单。 在很多情况下,我们可能需要做数据库的迁移,我们可以用以下方法测试一下,一般都能成功,如果按照以下方法迁移未成功,您需要立即恢复原先设置,然后联系技术支持服务。 1. 导出 RMS 所用的三个数据库,并导入到新的 SQL 数据库。 DRMS_Config_XXXX DRMS_DirectoryServices_XXXX DRMS_Logging_XXXX 2. 在 RMS 服务器上增加一条 host 记录,把老的 SQL 服务器名解析到新的服务器 IP 地址。 3. 为了避免 permission 问题,需要把 RMS 服务账号加到新 SQL 服务器的本地管理员组中。 4. 重启新 SQL 服务器。 5. 重启 RMS 服务器或重启 IIS 服务(iisreset /noforce)。   James Yi Microsoft Support Expert

0

[技术分享 – ISA 篇] ISA 与交换机的红娘配对游戏

难道 ISA 网络负载均衡 NLB 还要挑交换机? 没错,ISA 网络负载均衡 NLB 确实对交换机有要求,NLB 只能工作在二层模式下! 许多企业都购买了 ISA 服务器企业版,企业版区别于标准版的一个显著的特征,就是支持 ISA 网络负载均衡,在 ISA 2004 和 ISA 2006 中,ISA 内置默认启用的是单播模式网络负载均衡,ISA 2006 企业版可以把单播 NLB 改为多播 NLB。详见参考。 企业中应用最多的是在 ISA 服务器内网卡启用负载均衡,客户端通过 ISA 内网卡的虚拟 IP 实现网络负载上网。 如果您的几台 ISA 内网卡连接的是三层交换机,这时您就要小心了,您可能发现只有一半客户端能通过 ISA 访问外网,或者 ISA 根本没有响应, 这是因为 ISA 网络负载均衡并不支持三层交换机(三层交换机会分隔广播域,而二层不会),更精确地说,应该是 Windows 操作系统的负载均衡机制并不支持三层交换机。解决方法其实很简单,您只需要让 ISA 的网卡连接在同一台纯二层的交换机上,当然您也可以让三层交换机的端口工作在纯二层的模式下, 并为这些端口分配同一个 VLAN,但据我所知,能支持这种配置的交换机非常少,关于怎么配置交换机,使其工作在纯二层模式下,您需要咨询交换机供销商。 所以说,一般我们是不推荐使用三层交换机的,但如果您一定要让 ISA 与三层交换机相连, 我们也可以做一些尝试,但多数情况下并不能成功。 如果您使用的是…

0

[技术分享 – ISA 篇] 给我用户验证,安全免谈?!

您在 ISA 2006 服务器中建了一条内网服务器 Web 发布规则,并在 Web 侦听器上启用了用户验证,相应的 Web 侦听器启用的是 HTTP 协议。当您用一台外网客户端进行测试时,您可能发现客户端收到以下报错: ISA is configured to block the HTTP requests that require authentication。 这个问题是由于 ISA 2006 与 ISA 2004 相比有一个安全性的改进,默认情况下,在 Web 侦听器中不允许基于 HTTP 协议的外部客户端验证。 当然您可以启用允许基于 HTTP 的外部客户端验证。具体做法参见下图: 但一般在生产环境下,我们不建议启用以上选项,因为这样做用户验证信息和数据信息得不到 SSL 加密,可能引起安全问题。   参考 Client requests to access a published Web site are blocked when you configure…

0

[新闻] 微软十二月九日发行六个安全补丁

大家好, 我是 Richard Chen. 微软在十二月九日清晨发行六个安全补丁。其中三个最高级别为严重等级,三个最高级别为重要等级。 特别强调,本次补丁中 MS09-072 是级别最高(严重)和利用指数最高(1)的,它修复的五个漏洞之一是 安全通报977981 提到的问题,该漏洞已出现过攻击代码,IE6 和 IE7 用户受影响,这个补丁非常重要,请各位马上要测试并且部署或是普通用户使用自动更新安装该补丁。 公告 ID 公告标题和摘要 最高严重等级和漏洞影响 重新启动要求 受影响的软件 MS09-069 本地安全机构子系统服务中的漏洞可能允许拒绝服务 (974392) 此安全更新解决了 Microsoft Windows 中一个秘密报告的漏洞。 如果一个经过身份验证的远程攻击者正在通过 Internet 协议安全性 (IPSec) 进行通信,向受影响的系统上的本地安全机构子系统服务 (LSASS) 发送特制的 ISAKMP 消息,此漏洞可能允许拒绝服务。 重要 拒绝服务 需要重启动 Microsoft Windows MS09-070 Active Directory Federation Services 中的漏洞可能允许远程执行代码 (971726) 此安全更新可解决 Microsoft Windows 中两个秘密报告的漏洞。 如果攻击者向启用 ADFS 的 Web…

0

微软十二月份安全补丁提前通知

大家好,我是 Richard Chen。 在此提前通知各位微软计划于十二月九日清晨发布六个安全补丁来修正所发现的漏洞。其中三个最高级别为严重等级,三个为重要等级。 按照受影响的操作系统分类如下: *Server Core 2008 安装不受影响 关于 Office 补丁相关消息: 以下为提前通知的文章全文,请各位先行评估了解受影响的系统及相关软件。 Microsoft Security Bulletin Advance Notification for December 2009 http://www.microsoft.com/technet/security/bulletin/ms09-dec.mspx 谢谢。 Richard Chen 大中华区软件安全项目经理

0

11月安全更新汇报的问题? [转译]

《本文转译自 Microsoft Security Response Center 博客文章 “Reports of Issues with November Security Updates”》 近日我们收到报道称用户在安装完微软 11月安全更新 后会出现系统问题(比如“黑屏” 事件)。我们对此进行了深入调查,结果发现 11月安全更新 并不会修改报道中所描述的改动,所以并非此原因导致上述汇报的系统问题。 由于这些报道不是直接报告给我们的,我们通过对其内容的仔细研究发现,原文大意应该是指责安全更新会改变如下注册表键值的许可权限: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell 我们对 11月安全更新、恶意软件移除工具(MSRT)以及其它非安全性更新做了全面综合的审查,结果发现,上述任何更新都没有对该注册表许可权限进行更改。因此,我们并不认为这次更新是导致报道中所述“黑屏”的原因。 同时,我们还和微软全球客户服务和支持部门进行了核实,他们并未汇报“黑屏”事件大量发生。因为这个问题并不是直接报告给我们的,所以最终很难从用户发现的几个有限的事件中获悉“黑屏”的真正原因。不过,据我们所知如果计算机感染特定恶意软件(如 Daonol),有可能也会导致“黑屏”现象。 我们想强调,用户如果认为系统被恶意软件感染,或者遇到安全更新相关的问题,随时欢迎联系客户服务和支持部门。这可以帮助我们确定当前问题的实质,然后我们可以采取措施帮助用户,比如在 MMPC malware encyclopedia 上记录新的恶意软件家族,或者在安全公告和知识库文章中记录已知问题。 希望上述内容能够澄清事实。 Christopher *帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*

0

[技术分享 – ISA 篇] ISA 服务器性能不好?小心 ISA 防火墙规则“生病”了

我们有时会发现 web 代理客户端虽然加入域,但在上网时,却仍然弹框要求输入用户名和密码。 这时,您往往会在 ISA 服务器的事件日志中看到 Net logon 5719 的报错。 我们首先需要排除 ISA 服务器和 DC 服务器之间的连接性,因为 ISA 每次做用户验证时都必须和 DC 通讯。 如果您排除了和 DC 通讯的问题,那问题很有可能出在 ISA 防火墙规则上。 当您发现 ISA 的规则中有一些特定的防火墙规则,并且包含”所有出站通讯”+”URL集/域名集”,您需要注意了。 ”所有出站通讯”+”URL集/域名集”规则会严重影响 ISA 服务器的性能,如果网络流量匹配到这条规则,ISA 会尝试对所有匹配这条规则的流量做名字反解,来判断 IP 地址是否匹配 URL集/域名集。这时 DNS 解析就会非常多,DNS 解析会变得异常缓慢,而 ISA 服务器又必须等待 DNS 回应,从而造成没有资源去处理新的网络流量,这些规则不但影响客户端认证,客户端上网,还会影响 VPN 拨入,ISA 服务器与 DC 之间的通信等等。 问题日志详情请参考:http://blogs.technet.com/b/isablog/archive/2009/01/12/isa-server-2006-stops-answering-requests.aspx 解决方法也很简单,可以通过限定通讯协议,限定到 http、https 后,问题一般都能解决。 James Yi Microsoft Support Expert

2

[技术分享 – ISA 篇] 登录 FTP 会“迷路”?给 ISA 服务器一点协助

当您使用 IE web 代理通过 ISA 服务器连接 FTP 站点时(在没有勾选 IE 的高级设置”Enable folder view for FTP sites”, 并且在 IE 中使用格式 ftp://username:password@host), 您会发现 IE 中显示的并非是您目前账号所对应的 FTP 用户相对目录,而是 FTP 根目录。 这是由 ISA 服务器的默认行为所决定的,ISA 在成功登录FTP 站点后,会发送命令 CWD / ,表示请求连接 FTP 站点的根目录,但这个并不符合 RFC 1738 标准。 解决方法 1. 如果您的账号是 username,您需要连到 username 账号所对应的 username 目录下,您需要在 IE 浏览器中使用以下格式的命令: ftp://username:password@host/username/sub-dir/ 2. 把 ISA 服务器的补丁打到最新,修改注册表键值,使 ISA…

0

[技术分享 – ISA 篇] FTP 有“证策”,ISA Web 代理有对策

当您使用 IE 打开 FTP 站点,并使用 ISA 作为 web 代理(并且没有勾选 IE 高级选项”Enable folder view for FTP sites”),访问需要认证的 FTP 站点时, ISA 服务器可能会返回以下报错: Error Code: 502 Proxy Error. The login request was denied. The logon account might have been disabled or logon information might have changed. Log on again to verify that the information was typed correctly. If…

0