課程 微軟安全工具簡介 高市資教中心網路組 汪家麒 Wangwang@mail.kh.edu.tw

簡介 強化安全工具 Service Pack ?及Hotfix? Service Pack 及 Hotfix 檢測工具 HFNetchk QChain URLscan Port scanner

Hotfix Hotfix 主要功能 修正作業系統或特定應用程式設計上的弱點 Q#####_XXX_YYY_ZZZ_LL.exe - hotfix 組成架構 Q319733_W2K_SP3_X86_TW.exe Q##### = Microsoft 知識庫文章號碼 (Q319733) XXX = 作業系統平台 (W2K) YYY = Service Pack 版本 (SP3) ZZZ = 硬體平台 (x86) LL = 語系版本 (TW) HKLY_LOCAL_Machine – 登錄資料庫(Registry Database) \Software\MicrosoftWindowsNT\CurrentVersion\Hotfix

Service Pack Service Pack Server Pack是windows更新程式的集合 -目前版本:SP2 - 說明: http://www.microsoft.com/taiwan/Windows2000/downloads/servicepacks/sp2/default.htm#4 - 取得sp2: http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp

安裝sp2注意事項 關閉所有的偵錯程式 關閉所有掃毒程式 更新系統的「緊急修復磁片」 硬碟空間:550MB提供 Cluster 功能主機安裝注意事項 詳細資料 KB Q174799 Cluster 主機上安裝有SQL Server 7.0 的注意事項 詳細資訊 KB Q239473、Q219264

Security Roll-up package Windows 2000 安全彙總套件 (Win2K SRP) 所提供的是 Windows 2000 Service Pack 2 (SP2) 之後, 所公佈安全修正程式的累積程式 雙月安全積存程式 作業系統– NT4、Windows 2000 網路服務– IIS4、IIS5 取得http://www.microsoft.com/taiwan/windows2000/q311401.htm

基本安全更新 Sp2 Srp1 IIS 積存程式 IE 積存程式 下載 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-018.asp http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-015.asp

HFNetchk 功能 HFNetChk工具為command-line，主要幫助使用者檢查windows NT4.0或Windows2000作業系統Patch檔更新狀況，除此之外也Check hotfixes for IIS 4.0, IIS 5.0, SQL Server 7.0, and SQL Server 2000 (including MSDE), and Internet Explorer 等等 下載網址 http://www.microsoft.com/downloads/release.asp?releaseid=31154

HFNetChk安裝 選擇安裝路徑 (如右圖) 安裝完畢 題示使用Command-line方式執行程式

HFNetchk 注意事項 操作時注意事項如下 Windows 95、98、98SE、Windows ME 不能執行 執行時必須擁有被掃描主機系統管理員權限 在非英語系(no-English language) Windows 系統下執 行時務必加上 -nosum 參數 HFNetChk FAQ 文件、詳細資訊 KB Q305385 指令 hfnetchk –nosum 執行完畢後上 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp

* WINDOWS 2000 SERVER SP2 Note MS01-022 Q296441 Patch NOT Found MS02-006 Q314147 Patch NOT Found MS02-013 Q300845 Patch NOT Found MS02-014 Q313829 Patch NOT Found MS02-016 Q318593 Patch NOT Found MS02-017 Q311967 * INTERNET INFORMATION SERVICES 5.0 Patch NOT Found MS02-012 Q313450 Patch NOT Found MS02-018 Q319733 * INTERNET EXPLORER 5.01 SP2 Patch NOT Found MS02-009 Q318089 Patch NOT Found MS02-015 Q319182

Qchain.exe 功能: - 安裝多個 hotfix 只需開機一次 支援作業系統 - 避免修正檔版本衝突 - windows 2000 windows xp windows NT4.0 使用參數 -z no restart -m slient 取得: http://download.microsoft.com/download/win2000platform/Utility/Q296861/NT45/EN-US/q296861_W2k_spl_x86_en.exe 批次檔內容: @echo off setlocal set PATHTOFIXS=g:\fix %PATHTOFIXS%\Q318593.exe -z –m %PATHTOFIXS%\Q311967.exe -z –m %PATHTOFIXS%\qchain.exe [logfile_name]

URLscan 功能 下載網址及KB(Knowledge Base) 使用檔案 攔截及過濾所有送給IIS web server的服務請求並依照規則給與適當回應及記錄,可用來降低iis server 受攻擊的機會 下載網址及KB(Knowledge Base) http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32571 KB: Q307608 使用檔案 URLScan.log:活動紀錄檔,初始化與管機,還有被拒絕要求的資訊 URlScan.ini:設定檔

Knowledge Base Search網址 http://search.support.microsoft.com/kb/c.asp

URLScan安裝 安裝URL Scan步驟 1.點選如右圖UrlScan.exe開始安裝程序 2.接受Microsoft EULA. (END-USER LICENSE AGREEMENT)

URLScan安裝 3. 安裝完後會問你要不要restart iis 4. 安裝路徑%windir%\system32\inetsrv\urlscan which is normally c:\winnt\system32\inetsrv\urlscan.

URLScan安裝 檢視安裝結果(1). ISAPI filter安裝在master web site properties ISAPI filters如下圖

URLScan安裝 檢視安裝結果(2). %windir%\system32\inetsrv\urlscan folder.如

Configuring UrlScan UrlScan.ini (UrlScan設定檔) IIS啟動使才讀取(效能考量) 三種啟動方式: 1.使用IISReset 2.NET STOP W3SVC and then NET START W3SVC 3. Internet 服務管理員

參考網站 訂閱安全Maillist MICROSOFT_SECURITY@ANNOUNCE.MICROSOFT.COM 台灣微軟安全網站 http://www.microsoft.com/Taiwan/security/default.htm 台灣微軟TechNet 資訊安全網站 http://www.microsoft.com/taiwan/technet/topics/Security.htm 國家資通安全技術中心 http://www.ncert.nat.gov.tw/infosec/techservice/index.asp 台灣電腦網路處理危機中心 http://www.cert.org.tw/cindex.htm