专家解读Windows平台所面临的安全隐患

【51CTO.com 专家特稿】自从微软公司开发出Windows视窗平台软件以来，其友好的用户界面、简单的操作方式给计算机的使用者带来了诸多的方便之处。Windows平台是应用范围最广的系统之一。其版本也从最初的windows 3.1发展到如今的windows 2008。微软公司先后研发出windows 95、windows 98、windows ME、windows NT、windows 2000、windows XP、windows 2003、Vista、windows 2008等操作系统平台。Windows平台的应用之广，其系统的安全性也受到广大使用者的关注。由于微软公司对windows平台的研发是个很复杂的产品研制过程，因此系统平台存在很多未被人发现的安全隐患。Windows平台每年都会被安全研究人员发现几十多个的安全漏洞，并被攻击者广范应用，其带来的经济损失每年高达几十亿，甚至更多的损失。

微软在设计Windows操作系统时是本着简单易用的原则，因而忽略了安全方面的考虑，留下了很多安全隐患。这些隐患在单机时代并没有显现出来，后来随着网络的出现和普及，越来越多地使用Windows操作系统的个人电脑接入网络，windows平台的安全隐患逐渐浮出水面。从windows平台的诞生起，各种相应的安全威胁也产生。针对windows平台存在安全漏洞问题，各种基于windows平台的病毒制作、网络攻击事件也频频发生。在一段时间内Windows操作系统漏洞频繁出现，安全攻击事故时有发生，尤以Windows 98/Me等Windows早期版本更为严重。

为了改变这一情况，微软在Windows 2000以后的版本中采用了Windows NT的核心，极大地提高了Windows操作系统的安全性。虽然不能完全避免出现漏洞，但与Windows 98/Me等早期版本相比已经有了一个质的飞跃。但是这仍然没有给广大的Windows用户一个满意的答复，黑客技术的不断发展使得人们防不胜防。攻与防的技术也在不断地变化。微软在Vista系统中集成了最新的安全技术，以最大限度地保护系统安全。这些技术包括用户账户控制、IE7保护模式、地址空间分配随机化、内核补丁保护、驱动签名等等。相比较Windows XP及Windows其他系统而言，Vista系统的确具有更高的安全性。但是，Vista系统就真的那么安全吗？其实未必。尽管，微软通过每个月更新的“恶意软件清理工具”清理潜在感染系统的恶意软件，但是当Vista系统大行其道，越来越多的软件适应Vista系统而开发的时候，威胁则会集中在第三方软件的漏洞上。第三方软件给用户带来方便的同时，也给各种威胁带来了方便之门。

为了应付日益复杂的网络环境，用户必须了解Windows操作系统的各种漏洞和安全隐患。什么是Windows操作系统漏洞？系统漏洞也称安全缺陷，这些安全缺陷会被技术高低不等的入侵者所利用，从而达到控制目标主机或造成一些更具破坏性的目的。为什么会存在漏洞？漏洞的产生应该大致可分为两类：

人为的在程序编写过程，编程人员为了达到不可告人的目的，有意在程序的制作过程中隐蔽留下各种各样的后门，供日后使用，随着法律的完善，这类漏洞将越来越少（别有用心的除外）。

由于编程人员的水平问题，经验和当时安全技术的发展所现，在程序中总会或多或少的有些不足之处，这些地方有的影响程序的效率，有的会导致存在安全隐患，最终被攻击者利用的技术缺陷。

面对如此庞大纷繁的windows操作系统，在了解各种漏洞及安全隐患后，还需要了解各种漏洞相应的攻击行为，才能保护好系统的安全。Windows平台的安全漏洞带来相应的病毒、木马、间谍软件、僵尸网络、网络钓鱼、ARP攻击、DDoS攻击等攻击事件。只有在了解各种操作系统存在的安全漏洞后，才能更好在保护其免受攻击。

让大家初步了解Windows平台的漏洞所带来的危害，其中著名的红色代码（code red）病毒和尼姆达（Nimda）病毒的传播为危害最大之一的漏洞攻击。Codered(红色代码)病毒是通过Windows平台上的IIS应用系统漏洞进行感染，利用.ida/idq扩展文件溢出，攻击运行IIS5的WEB服务器，造成IIS服务将不能正常工作，并可以留下入侵后门。蠕虫的传播是通过TCP/IP协议和端口80，利用上述漏洞蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区，蠕虫依次扫描WEB，以便能够感染其他的系统。一旦感染了当前的系统，蠕虫会检测硬盘中是否存在c:\notworm，如果该文件存在，蠕虫将停止感染其他主机。Codered病毒利用微软IIS远程缓冲区溢出漏洞获取系统权限实施攻击，并在这个被感染的Web服务器上安装一个后门程序，使得攻击者对被感染系统具有完全的访问权限，因此，一旦遭受感染，网络安全就会受到严重威胁。Codered病毒所造成的经济损失达上亿美元。

Nimda是一个蠕虫病毒，该蠕虫病毒影响Windows 95/98/ME/NT/2000 所有客户端和服务器系统。它通过以下方式传播：Email邮件、网络共享、扫描并攻击未打补丁的IIS服务器（利用漏洞Microsoft IIS 4.0 / 5.0 directory traversal）、通过扫描 “Code Red”和 “sadmind/IIS”留下的后门从客户端感染Web 服务器、客户端浏览被篡改网页。Nimda蠕虫的传播途径之一利用了以下一个漏洞：微软IE异常处理MIME头漏洞(CA-2001-06)。通过一个IE的MIME漏洞,在被感染的网页上加入一段结合MIME漏洞的JS代码,使用户在访问网页时自动下载并运行"尼姆达"蠕虫程序。该蠕虫由JavaScript脚本语言编写，病毒体长度57344字节，它修改在本地驱动器上的.htm, .html.和.asp文件。通过这个病毒，IE和Outlook Express加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含，因此，不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件，这样给防范带来困难，病毒也更具隐蔽性。这个病毒降低系统资源，可能最后导致系统运行变慢最后宕机；它改变安全设置，在网络中共享被感染机器的硬盘，导致泄密；它还不断的发送带毒邮件。2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。

综上所述，Windows平台面临着各种各样的安全威胁，安全问题造成的经济损失很大。为了解决Windows平台的安全问题，减少因安全问题导致的经济损失，各大安全公司提供了各种各样的安全产品来解决安全问题，微软也提供了Forefront的安全解决方案，详见51CTO的微软Forefront企业安全解决方案专题栏目。

【51CTO.COM 独家特稿，转载请注明出处及作者！】