شناسایی 10حفره بزرگ ویندوز و نحوه بستن آنها (قسمت دوم) (شماره 57)

حال به طور عملی به سرور خود مراجعه کنید و بسته به نوع سیستم عاملی که دارید شاخه های مورد نظر را در رجیستری چک نمایید: در ویندوز NT نسخه 4:
HKEY -LOCAL-MACHIE\ software\Microsoft\windows NT\ currentversion\ Hotfix\Q319733

در ویندوز ان تی نسخه ترمینال سرور به همان آدرس بالا ; ولی در زیرشاخه Q317636 بعد از زیرشاخه Hotfix مراجعه کنید. در ویندوز 2000 به آدرس زیر مراجعه نمایید:
HLM\software\Microsoft\updates\windows2000\sp3\Q319733

و در ویندوز xp نیز به آدرس زیر مراجعه کنید:
HLM\software\Microsoft\updates\windows xp\sp1\Q319733
به عنوان راه بدیل برای چک کردن IIS از نظر وجود حفره می توانید از برنامه HFNetchy استفاده کنید و با آن به طور خودکار حفره ها را بیابید. (برنامه را می توانید از سایت مایکروسافت دانلود کنید)
www.microsoft.com/technet/security/tools/hfnetchk.asp

در این شاخه ها اگر هر کدام از فایلهای زیر در شاخه wwwroot%/scripts % یا روی D:\web\scripts روی دایرکتوری ها وجود داشت ، بدانید از این برنامه ها برای exploit سوء استفاده می شود:
code.asp
codebrws.asp
ism.dll
newdsn.exe
viewcode.asp
minmsdp.exe

راه چاره : برای نابودی این حفره می توانید از روشهای زیر استفاده کنید:
1- نصب تمام پس دستورهای لازم : برای رفع حفره روی IIS 4 روی ویندوز NT4 باید سرویس پک 6 را نصب کنید و به آدرس زیر مراجعه نمایید:
microsoft.com/ntserver/nts/downloads/security/q321599

برای نسخه ترمینال سرور نیز به مانند بالا عمل کنید.
برای ویندوز 2000 نیز باید سرویس پک 3 را در آدرس زیر بگیرید و آن را فیکس کنید:
microsoft.com/windows2000/downloads/servicepacks/sp3

در ویندوز xp نیز به آدرس زیر مراجعه کنید:
microsoft.com/windowsXP/Pro/downloads/servicepacks/spl

2- استفاده از نرم افزار hfnetchk در کنار نصب پس دستورهاست که آخرین حفره های کشف شده و بدون پس دستور را برای شما گزارش می کند.
3- حذف کردن کامل اپلیکیشن های ساده شامل ابزارهای موسوم به iisadmin که ممکن است از آن سوءاستفاده شود و بنابراین معمول آن این است که حذف شود. این ابزار در دایرکتوری wwwroot%/scripts یافت می شود. ایده آل این است که راهبر این ابزار ساده را روی سرور خود RUN نکند تا میزان ریسک کاهش یابد.
4 - عدم گزینش الحاقی های ISAPI. بیشتر IISها الحاقی های ISAPI که مورد نیاز نیست را به صورت Default روی سرور MAP می کنند، به وسیله الحاقی هایی مانند:
printer. ، ism. ، idq. و... به طور اکید توصیه می شود که این گونه الحاقی ها اگر مورد نیاز نیست ، بلافاصله unmap شود.
این کار را به طور دستی می توان انجام داد ; اما نرم افزار IIS Lockdown wizard متعلق به خود مایکروسافت بهتر می تواند آن را انجام دهد. برای دانلود کردن آن به آدرس زیر مراجعه کنید و با نصب آن تمام الحاقی های غیرضروری را unmap کنید:
http://www.microsoft.com/technet/security/tools/Locktool.asp