微软安全博客 GCR Security Blogs

[转译] 安全通报 980088 发布

《本文转译自 Microsoft Security Response Center 博客文章“Security Advisory 980088 Released”》

大家好！

今天我们发布了 安全通报 980088 来解决 IE 中一个公开报告的漏洞问题。如果用户使用的是 Windows XP 或者禁用了 IE 保护模式，该漏洞就可能会导致信息泄露。目前，我们没有发现利用这个漏洞的任何攻击。

Windows Vista 及更高版本操作系统用户只要使用 IE7 或 IE8 的默认配置，就不会受此漏洞影响，因为 IE 保护模式能有效保护用户。Windows XP 用户或禁用了保护模式的用户，可以通过实现网络协议锁定来保护自己。为此，我们做了一个“Microsoft Fix It”来自动实现。这个“Fix It”可以在个人系统上运行，企业用户也可以使用自己的自动化系统来部署。

我们正在研发这个漏洞的补丁。完成之后，我们会采取适当行动来保护用户，比如可能会发布紧急安全补丁。像其它补丁一样，在正式发布之前，我们会综合权衡补丁质量，以确保应用程序兼容性。

我们正在与微软主动防御项目（MAPP：Microsoft Protection Program）合作伙伴共同努力，为用户提供广泛的保护措施。我们会与合作伙伴一起继续监控当前威胁形势，一旦发现任何 Web 站点被此漏洞利用，就会立即采取行动。

我们继续鼓励用户 升级到 IE8，这样就能从新版本提升的保护措施中受益。另外，请大家遵循我们提供的“保护你的计算机”指导：http://www.microsoft.com/protect 。

谢谢！

Jerry Bryant

Sr. Security Communications Manager – Lead

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

[技术分享 – ISA 篇] ISA 2006 验证委派弹性得不得了！

ISA 2006 有许多验证委派方式，在验证用户信息后，您可以为 ISA 发布规则配置使用下列到内部服务器的委派方法：

• No delegation, and client cannot authenticate directly
• No delegation, but client may authenticate directly
• Basic
• NTLM
• NTLM/Kerberos (Negotiate)
• RSA SecurID
• Kerberos constrained delegation

No Delegation, and Client Cannot Authenticate Directly

这个选项是防止委派外部客户端的验证信息，此选项是默认选项，如果希望委派外部客户端的验证信息，您必须改变此选项。

No Delegation, but Client May Authenticate Directly

用户的验证信息直接提交给内部客户端，客户端和内部服务器协商用户验证。

Basic 委派

用户验证信息以明文的方式提交给服务器，如果验证失败，ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式，ISA 服务器会有报警信息。

NTLM 委派

ISA 委派使用 NTLM (NT LAN Manager) 验证协议，如果验证失败，ISA 服务器会用 Web 侦听器中启用的验证方式委派。如果内部服务器请求另外一种验证方式，ISA 服务器会有报警信息。

NTLM/Kerberos (Negotiate) 委派

ISA 首先会从域控制器中拿 Kerberos 客户验证 ticket，如果 ISA 拿不到 Kerberos 客户验证 ticket，将会使用 NTLM 验证方式，如果 ISA 成功拿到 Kerberos 客户验证 ticket，将会使用 Kerberos 验证。如果验证失败，ISA 会发送内部服务器的报错信息给客户端。如果内部服务器请求另外一种验证方式，ISA 服务器会有报警信息。

RSA SecurID 委派

当客户端能够提供 SecurID 用户验证信息，您可以使用 SecurID 验证委派。ISA 服务器把客户端的 SecurID 专有 cookie 传递给内部服务器。当使用 ISA 服务器 SecurID 委派时，内部服务器也必须配置为能够接受 SecurID 的用户验证。

Kerberos Constrained 委派

ISA 2006 引入了 Kerberos Constrained 委派验证.。没有 Kerberos Constrained 委派验证，ISA 只能委派来自客户端的基本验证或表单验证。有了 Kerberos Constrained 委派验证，ISA 服务器能够委派客户端的数字证书验证。在域中，ISA 服务器必须已经启用了 Kerberos Constrained 委派 (在域的 ISA 计算机委派选项中选”Trust this computer for delegation to specified services only”, 选择”Use any authentication protocol”, 并添加相应的 SPN，例如 http/InternalServerName)。

注意：

• Kerberos Constrained 委派需要您在域控内配置来启用 ISA 服务器信任委派。
• ISA 默认获得票据的 SPN 是 http/internalsitename。如果是内部服务器是 server farm，SPN 是 farm 的名字，ISA Kerberos Constrained 委派的 SPN 是可以修改的。
• 您的域级别必须是 Windows 2003 域功能级别，才能支持 Kerberos Constrained 委派。
• Kerberos 验证是依赖于 UDP 数据包的，UDP 数据包一般都会分组，所以我们推荐 ISA 服务器中不要勾选”Block IP fragments”

• SharePoint Portal Server 2003 默认是禁用 Kerberos 验证的，NTLM/Kerberos (Negotiate) 和 Kerberos Constrained 委派是不工作的，怎样启用 kerberos 验证，请参考：http://support.microsoft.com/?id=832769

以下是客户端验证和 ISA 委派的组合表：

参考：

Authentication in ISA Server 2006

http://technet.microsoft.com/en-us/library/bb794722.aspx

James Yi
微软安全支持专家

[技术分享 – RMS 篇] Office 2003 七年之痒？虚惊一场！

Office 2003 IRM (Information Rights Management，信息权限管理) 功能不可用了吗？

2009年12月11日，可能令全世界所有使用 RMS 服务的用户感到头痛，特别是其中使用 office 2003 的用户。因为这一天，所有的 office 2003 用户不能打开曾经创建的 IRM 文档，或者无法创建新的 IRM 文档。在用户端，当 office 2003 使用 IRM 功能时，可能会报出下列错误：

"Unexpected error occurred. Please try again later or contact your system administrator" (“发生意外错误，请重试或联系系统管理员”)

这个问题会影响到所有使用 office 2003 IRM 功能的产品，包括 Word 2003, Excel 2003, PowerPoint 2003, Outlook 2003，但不会影响 office 2007。

这个问题是由于所有 office 2003 的产品的 IRM 功能的证书过期时间为格林威治时间2009年12月10日，但微软 office 产品组事先没有出补丁来更新此证书。

好在微软 office 产品组响应非常及时，在问题出现的第二天就出了解决方案。现在如果您遇到类此的问题，请您及时打更新补丁 (http://www.microsoft.com/downloads/details.aspx?FamilyId=A027462D-3399-48C0-9F20-4E296703D89E&displaylang=en)，在打此补丁之前，如果 office 2003 不是 SP3 的话，您需要先打 office 2003 SP3 (http://www.microsoft.com/downloads/details.aspx?FamilyId=E25B7049-3E13-433B-B9D2-5E3C1132F206&displaylang=en)

打完补丁后，您可以在目录 C:\Program Files\Microsoft Office\OFFICE11 确认下 IRM 证书文件的替换时间

另外如果您使用的是 Word Viewer 2003，或是 Excel Viewer 2003，您同样需要打上相应的补丁。

Word Viewer 2003: http://www.microsoft.com/downloads/details.aspx?FamilyId=FAC7D84E-4448-4DFD-8200-147E15C7EB56&displaylang=en

Excel Viewer 2003: http://www.microsoft.com/downloads/details.aspx?FamilyId=3EF74903-CAEE-40FB-B89E-A46434593856&displaylang=en

参考：

Description of the Office 2003 documents protected with AD RMS/RMS update package: December 11, 2009

http://support.microsoft.com/kb/978551/en-us

Description of the Word Viewer documents protected with AD RMS/RMS update package: December 11, 2009

http://support.microsoft.com/kb/978558/en-us

Description of the Excel Viewer documents protected with AD RMS/RMS update package: December 11, 2009

http://support.microsoft.com/kb/978557/en-us

James Yi
微软安全支持专家

微软二月份安全补丁提前通知

大家好，我是 Richard Chen。提前祝大家春节快乐！

在此提前通知各位微软计划于二月十日清晨发布十三个安全补丁来修正所发现的漏洞。其中五个最高级别为严重等级，七个为重要等级，还有一个为中度等级。

按照受影响的操作系统分类如下：

*Server Core 2008 安装受影响

**Server Core 2008 安装不受影响 

关于 Office 补丁相关信息：

以下为提前通知的文章全文，请各位先行评估了解受影响的系统。

Microsoft Security Bulletin Advance Notification for February 2010

http://www.microsoft.com/technet/security/bulletin/ms10-feb.mspx

谢谢。

Richard Chen
大中华区软件安全项目经理

微软在一月二十二日发行一个紧急安全补丁 (MS10-002)

大家好，我是 Richard Chen。

在此通知各位微软已于北京时间一月二十二日清晨发布一个紧急安全补丁来修正所发现的 IE 漏洞。其最高级别为严重等级。

更多资源：

• Microsoft 安全公告 MS10-002 (英文)：
  http://www.microsoft.com/technet/security/bulletin/MS10-002.mspx
• Microsoft 安全公告 MS10-002 (简体中文)：(紧急翻译中)
  http://www.microsoft.com/china/technet/security/bulletin/MS10-002.mspx
• Microsoft 安全公告 MS10-002 (繁体中文)：(紧急翻译中)
  http://www.microsoft.com/taiwan/technet/security/bulletin/MS10-002.mspx
• 微软安全响应中心博客 (英文)：
  http://blogs.technet.com/msrc/

谢谢。

Richard Chen
大中华区软件安全项目经理

[特别关注] 微软发布 IE 紧急安全补丁 (Out-of-Band) 提前通知

大家好, 我是 Richard Chen。

在此提前通知各位微软计划将于北京时间一月二十二日清晨紧急发布大家关注许久的 IE 安全补丁来修正所发现的零日漏洞。最高级别为严重等级。

以下为提前通知的文章全文，请各位先行评估了解受影响的系统及相关软件。
http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx

普通使用者可利用 Windows 自动更新、Microsoft Update、或是 Windows Update 来接收并安装补丁保护您的计算机。

谢谢。

Richard Chen
大中华区软件安全项目经理

[转译] 安全通报 979352 —— 紧急补丁即将发布

《本文转译自 Microsoft Security Response Center 博客文章 “Security Advisory 979352 – Going out of Band”》

我们要告诉大家 IE 零日漏洞威胁形势的最新情况，同时宣布：微软即将发布一个紧急安全补丁来帮助用户修正此漏洞。

通过对威胁形势的全面监测，我们发现仍然仅仅有非常有限的及个别的针对性攻击。到目前为止，我们所看到的成功攻击都仅仅是针对 IE6 的。我们继续推荐用户 升级到 IE8，其中改进的安全保护措施能有效保护大家。我们还推荐用户部署 安全通报 979352 中提供的变通方案和缓解措施。

考虑到这个问题的受关注程度，加上用户对保护自己的信息容易混淆，以及逐步提升的威胁形势，微软决定为这个漏洞发布紧急安全补丁。

考虑到对用户的影响，我们是非常慎重地决定要发布紧急补丁的。不过，我们相信，目前情况下，发布紧急补丁是明智决定。明天我们就会告知大家补丁的发布时间。

一如既往，我们会持续监测威胁形势，请大家关注微软安全响应中心（MSRC：Microsoft Security Response Center）博客来获取最新消息。

谢谢！

George Stathakopoulos
General Manager
可信计算安全

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

[转译] IE 0Day 漏洞风险评估

《本文转译自Microsoft Security Research & Defense 博客文章“Assessing risk of IE 0day vulnerability”》

昨天，MSRC 发布了 微软安全通报 979352 来提醒用户警惕针对 IE6 用户的有限的复杂攻击。今天，攻击样本已经公布。

在谈到细节之前，我们要澄清一个问题。我们目前看到的攻击，包括公开的漏洞利用方法，都仅仅影响使用 IE6 的用户。正如在安全通报中提到的那样，尽管新版本的 IE 会受该漏洞影响，但现有的缓解措施会使漏洞利用难度大大提高。我们想与大家分享关于漏洞和已知的漏洞利用情况的更多信息，以便帮助大家更好地评估所在组织的风险。

不同平台的风险

据我们所知，较新版本的 IE 和在其后发布的 Windows 被漏洞利用的风险大大减弱，因为其中有如下表所示的平台缓解性（注意：本表中不包括服务器平台，因为在服务器上浏览网路的情况较少发生）：

如你所见，目前有风险的客户端配置是运行 IE6 的 Windows XP。我们推荐 Windows XP 平台的 IE6 用户升级到新版本的 Internet Explorer，同时/或启用 DEP。其它平台用户的风险大大减弱。我们还推荐 Windows XP 用户升级到新版本的 Windows 系统。

关于漏洞的更多信息

这个漏洞是由攻击者触发的 Internet Explorer 内存破坏问题，攻击者需使用 JavaScript 来拷贝、发布、随后引用一个特制的文件对象模型（DOM：Document Object Model）元素。如果攻击者能够把攻击代码植入内存，对已释放内存的一个随机地址的引用会导致攻击代码执行。

阻止代码执行的多种方法

漏洞在 Internet Explorer 6、Internet Explorer 7 和 Internet Explorer 8 中都存在。所有版本 IE 在打开攻击代码后都可能会崩溃。不过，我们有一些措施来把攻击仅限于 IE 崩溃，以阻止攻击代码执行：

• 禁用 JavScript。微软安全通报 979352 中包含了这个变通方案。不过，我们也知道这个方案会显著影响许多 Web 站点的使用。
• 禁用已释放内存随机地址的代码执行。数据执行保护（DEP：Data Execution Prevention）会阻止没有被显式标注为可执行的内存页的代码执行。DEP是以下版本 Windows 系统上的特性：Windows XP Service Pack 2 及更高版本，Windows Server 2003 Service Pack 2 及更高版本，所有版本的 Windows Vista、Windows Server 2008 和 Windows 7。部分平台默认启用了 DEP（具体平台见下）。要了解 DEP 的更多信息，请查看博客的这两篇文章：文章1，文章2。（DEP 在运行于 Windows XP Service Pack 3、Windows Vista Service Pack 1 及更高版本、Windows 7 的 IE8 上默认启用，所以这些平台上的用户不必使用“Microsoft Fix It”来重新配置。）

Windows Vista 启用 DEP 的注意事项

安全通报列出了在 IE7 上开启 DEP的步骤。要在 Windows Vista 上启用 DEP，一定要以 Administrator 账户运行Internet Explorer（右击 IE，选择“Run as Administrator”）。启用 DEP 后，关闭 Internet Explorer，然后重启 Internet Explorer 就会以启用 DEP 的方式浏览了。如果不以 Administrator 账户运行 Internet Explorer，这个选项就是灰色不可编辑的。

如果在 Windows Vista 上用“Microsoft Fix It”来启用 DEP，不会看到 Internet Explorer 的用户界面改变。不过，在重启 Internet Explorer 后，可以使用如 Process Explorer 一类的工具来验证 DEP 已经打开。“Microsoft Fix It”使用应用程序兼容性补偿（appcompat shim）来开启 DEP 时， Internet Explorer 用户界面会显示一个注册表键值。

致谢

非常感谢 Chengyun Chu提供的漏洞利用分析和风险评估帮助；同时感谢 Rob Hensing 提供的 DEP 研究和 FixIt4Me MSI 帮助；感谢 Fermin J.Serna 的漏洞分析。微软许多员工都在为之而努力，感谢大家！

- Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

[转译] 安全通报 979352 及威胁形势透析

《本文转译自 Microsoft Security Response Center 博客文章 “Further Insight into Security Advisory 979352 and the Threat Landscape”》

大家好！

我们想针对 微软安全通报 979352 中报告的漏洞问题向大家做一些深入解析，与之有关的是，我们正在进行的对近日公布的针对 Google 和其它大型企业网络攻击的调查。我们知道，目前关于这个问题的说法很多，而且用户从各种渠道获悉了关于当前形势的很多信息，不过我们想提供一些额外的深入解析。

首先，我们会对威胁形势提供最新信息：外界的猜测很多，所以我们会跟大家分享一下微软通过所有监测系统看到的攻击情况的详细信息；其次，我们会指出和强调用户应该采取的保护措施；最后，我们会告知大家微软为应对当前形势和保护用户所做的不懈努力。

就威胁形势来看，我们仅仅获悉了非常有限的攻击，这些攻击都是针对企业的小型子网的。到目前为止，我们所看到的攻击，包括公开的概念型的攻击代码，都仅仅对 IE6有效。基于对多种攻击源的严格分析，我们到现在都没有看到任何针对 IE7 和 IE8 的成功攻击 (译者补充说明：此漏洞虽影响 IE6/7/8, 但是目前公开的概念型的攻击代码，都仅仅对 IE6有效，详细情况请参考 微软安全通报 979352 )。这很可能与在新版本的 IE 和 Windows 系统中改进的安全保护措施有关，大家可以在 Security Research and Defense 博客 中看到相关详细描述。总而言之，我们并没有看到使用任何手段的任何大规模攻击，当然目前也没有针对用户的攻击。

我们时刻关注威胁形势的变化，要确保用户能采取合适的措施来保护自己。正因如此，我们一直推荐使用 IE6 和 IE7 的用户尽快 升级到 IE8，IE8 中改进的安全保护措施会让大家颇为受益。使用 Windows XP SP2 的用户一定要马上升级到 IE8，同时启用数据执行保护（DEP：Data Execution Protection），或者升级到默认启用 DEP 的 Windows XP SP3。除此之外，用户应该考虑部署安全通报中提供的变通方案和缓解措施。

另外，尽管目前只看到了有限的针对性攻击，我们也意识到形势可能随时改变。因此，我们通过软件安全事件响应计划（SSIRP：Software Security Incident Response Plan）经由多个系统时刻监控威胁形势，包括微软恶意软件防护中心（MMPC：Microsoft Malware Protection Center）、客户服务与支持部门、以及微软主动防御项目（MAPP：Microsoft Protection Program）和微软安全响应联盟（MSRA：Microsoft Security Response Alliance）的合作方。

我们向大家保证，我们全球范围都有部门在马不停蹄地调查研究，以便能为这个漏洞提供高质量的安全补丁，从而进行广泛发布。

我们会持续监测威胁形势，一旦发现任何改变，都会马上告知大家，或者在 MSRC 博客 提供每日的更新信息。

谢谢！

George Stathakopoulos
General Manager
可信计算安全

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

[新闻] 微软一月十三日发行一个安全补丁

大家好, 我是 Richard Chen. 微软在一月十三日清晨发行一个安全补丁。最高级别为严重等级 (在 W2K 上为严重等级)。

相关信息请参考一月份安全补丁公告摘要：
http://www.microsoft.com/china/technet/security/bulletin/ms10-jan.mspx

此外我们也面向 XP 上使用 Adobe Flash Player 6 的使用者发布安全公告，详情请参考:
http://www.microsoft.com/technet/security/advisory/979267.mspx

谢谢！

Richard Chen
大中华区软件安全项目经理

从百度被攻击事件浅谈 DNS 攻击

昨天上午百度(Baidu.com)受到攻击的事情在网上闹得沸沸扬扬，Baidu.com 域名被 DNS 解析到了一个错误 IP，导致访问者实际打开了另一个网站。一般来说，黑客是如何做到通过 DNS 来攻击一个网站呢？

首先我们简单了解一下互联网上顶级域名（如 .com）的 DNS 工作方式：

对于每一台客户端而言，我们都知道网卡上需要设置“DNS 服务器（DNS Server）”，这个 “DNS 服务器”通常是指定 ISP（Internet Service Provider，因特网服务提供商）的 DNS 服务器。ISP 的 DNS 服务器上肯定不会有全球所有域名的DNS条目，当它接收到客户端的查询不在它的本地缓存中，无法作解析时，它会向它的 “权威 DNS 服务器（Authoritative Name Server）” 查询。通过这种由下向上的递归式查询，全球所有的请求最终将由13台 “根 DNS 服务器（Root Name Server）” 作出解答。

这13台根服务器由 VeriSign、ICANN（Internet Corporation for Assigned Names and Numbers）等组织维护。它们授权给全球各国的域名服务提供商，让他们出售域名。任何单位或个人网站运营者向域名服务商购买域名之后，会得到一个账号，通过这个账号就有权修改 DNS 服务器中的自己域名的条目，指定其解析到特定的 IP 地址。

通过以上的描述，我们不难发现，只要能够想办法篡改 DNS 服务器中的资料或是冒充 DNS 服务器，都会导致网站域名被导向到错误的IP。而这两种状况正好对应了两类 DNS 的攻击方式：DNS 篡改和 DNS 欺骗。

下面我们就谈谈这两种方式，请注意:

1. 我们只针对发生在网络和DNS服务器端的篡改和欺骗进行介绍，至于客户端DNS错误解析（如被恶意软件感染）等攻击性问题，不再进行说明；

2. 欺骗(Spoofing)、重定向(Redirection)、劫持(Hijacking)等术语少数情况下会被用来表达同一含义，在这里我们按照被攻击对象、位置和特点进行区分描述；

一、DNS 篡改（DNS Hijacking or DNS Redirection）

DNS 篡改通常是指直接修改根服务器中的 DNS 条目，当然这种篡改更有可能发生在域名注册商的存放客户注册配置信息的服务器中, 从而导致相应的域名在全球范围内都解析错误。（有些情况下，也有可能只是在中层的 DNS 服务器作篡改，这样仅仅劫持某部份的域名解析，只会影响部分地区 。）

这种攻击方式的特点如下：

• 全球性。因为根服务器条目被更改，在下游 DNS 缓存时间过后，被篡改条目必然会更新到所有下游服务器，从而影响到所有用户。
• 通常所说的“技术性”并非必需。在多数情况下，这种攻击方式在DNS攻击阶段甚至不需要涉及技术性，可以借助社会工程学等手段，攻击者通常已经拥有了足够的修改DNS条目的权限。虽然不排除黑客能够通过技术手段入侵根DNS服务器或者域名服务商，在这种情况下，黑客就可以指哪儿打哪儿无法无天了。但相信这种天下大乱的情况我们不一定能有幸见到。更可能的情况是，某个网站运营商的域名的账号密码被窃取了，黑客拿到账号密码之后，就能像网站管理员一样冠冕堂皇地登陆域名提供商网站，修改相应的IP地址。

二、DNS 欺骗 （DNS Spoofing）

一种 DNS 欺骗方式是利用漏洞，去年上半年，DNS 协议被发现存在严重漏洞，攻击者可以欺骗下游服务器，使其相信一台假冒的服务器是它的权威服务器。这样攻击者就可以通过在假冒服务器上添加虚假的 DNS 信息来欺骗下游服务器，最终欺骗客户端。在 Windows 系统中，这个漏洞已经在稍早的安全布丁发布获得中解决：http://www.microsoft.com/china/technet/security/bulletin/ms08-037.mspx

其他操作系统中也可以查询到相应的漏洞。还有一种 DNS欺骗思路，借助其他欺骗达到DNS欺骗的目的，例如先在目标客户端或DNS服务器的同一局域网网段作ARP欺骗，使受攻击的计算机向ARP攻击的发起者作DNS查询。但是这种攻击方式必须先攻破与目标主机同网段的另一台计算机，而互联网中的DNS服务器通常在ISP的控制之下，渗透进ISP网络的难度不小。攻击根服务器的难度就更别提了。

DNS 欺骗攻击方式的特点如下：

• 区域性。因为这种攻击只能攻击下游服务器，因此攻击的有效范围必然有限，只会影响到此台服务器下层的服务器和客户端。
• 漏洞利用。要实现 MS08-037 攻击必然需要利用 DNS 协议的漏洞（MS08-037 或者其他可能存在的漏洞）。如果 DNS 服务器上的漏洞已经修复，那么这种攻击就无法成功。
• 技巧性。不论利用漏洞还是利用 ARP 的设计缺陷，这类攻击方式在 DNS 攻击阶段都需要一定的技术手段。

希望以上对 DNS 攻击的简单介绍能够让大家了解个大概。

Dennis Song

微软安全支持专家

微软一月份安全补丁提前通知

大家好，我是 Richard Chen。新年快乐!

在此提前通知各位微软计划于一月十三日清晨发布一个安全补丁 (对的！就一个！) 来修正所发现的漏洞。其最高级别为严重等级。

按照受影响的操作系统：

以下为提前通知的文章全文，请各位先行评估了解受影响的系统。

Microsoft Security Bulletin Advance Notification for January 2010
http://www.microsoft.com/technet/security/Bulletin/MS10-jan.mspx

谢谢。

Richard Chen
大中华区软件安全项目经理

假期中 IIS 问题的调查结果 [转译]

《本文转译自Microsoft Security Response Center 博客文章“Results of Investigation into Holiday IIS Claim”》

针对假期里报道的 IIS 中可能存在的漏洞问题，我们已经完成了全面的调查研究，最终发现，IIS 中没有漏洞。

我们所看到的是：IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性，就声称这会导致黑客绕过内容过滤软件，然后向 IIS 服务器上传和执行代码。

事实上最关键的问题是：攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置，而且有悖于我们发布的任何最佳实践指导。简言之，做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。

因此，用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导，就无须对这个问题有任何担忧。不过，如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限，就像上述攻击前提中描述的那样，我们建议你仔细阅读我们的最佳实践，马上修改配置，从而更好地保护系统免受不当配置会导致的威胁。重申一次，下面是我们的最佳实践资源列表：

• IIS 6.0 安全最佳实践
• 用 Web 站点权限保护站点安全
• IIS 6.0 操作指导
• 改进 Web 应用安全：威胁与对策

IIS 部门的同事正在评估一项改善措施，以便让 IIS 6.0 的操作行为与其它版本一致。同时，他们也已经把更多相关信息放到了他们的 weblog 上。

希望上述内容可以打消大家的疑虑。

祝大家假期愉快，新年快乐！

Christopher

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*

[技术分享 – RMS 篇] Oh…“搬家”！何须兴师动众？！

迁移 RMS 的 SQL 数据库其实很简单。

在很多情况下，我们可能需要做数据库的迁移，我们可以用以下方法测试一下，一般都能成功，如果按照以下方法迁移未成功，您需要立即恢复原先设置，然后联系技术支持服务。

1. 导出 RMS 所用的三个数据库，并导入到新的 SQL 数据库。

DRMS_Config_XXXX

DRMS_DirectoryServices_XXXX

DRMS_Logging_XXXX

2. 在 RMS 服务器上增加一条 host 记录，把老的 SQL 服务器名解析到新的服务器 IP 地址。

3. 为了避免 permission 问题，需要把 RMS 服务账号加到新 SQL 服务器的本地管理员组中。

4. 重启新 SQL 服务器。

5. 重启 RMS 服务器或重启 IIS 服务（iisreset /noforce）。

James Yi
Microsoft Support Expert

[技术分享 - ISA 篇] ISA 与交换机的红娘配对游戏

难道 ISA 网络负载均衡 NLB 还要挑交换机？

没错，ISA 网络负载均衡 NLB 确实对交换机有要求，NLB 只能工作在二层模式下！

许多企业都购买了 ISA 服务器企业版，企业版区别于标准版的一个显著的特征，就是支持 ISA 网络负载均衡，在 ISA 2004 和 ISA 2006 中，ISA 内置默认启用的是单播模式网络负载均衡，ISA 2006 企业版可以把单播 NLB 改为多播 NLB。详见参考。

企业中应用最多的是在 ISA 服务器内网卡启用负载均衡，客户端通过 ISA 内网卡的虚拟 IP 实现网络负载上网。 如果您的几台 ISA 内网卡连接的是三层交换机，这时您就要小心了，您可能发现只有一半客户端能通过 ISA 访问外网，或者 ISA 根本没有响应， 这是因为 ISA 网络负载均衡并不支持三层交换机（三层交换机会分隔广播域，而二层不会），更精确地说，应该是 Windows 操作系统的负载均衡机制并不支持三层交换机。解决方法其实很简单，您只需要让 ISA 的网卡连接在同一台纯二层的交换机上，当然您也可以让三层交换机的端口工作在纯二层的模式下， 并为这些端口分配同一个 VLAN，但据我所知，能支持这种配置的交换机非常少，关于怎么配置交换机，使其工作在纯二层模式下，您需要咨询交换机供销商。

所以说，一般我们是不推荐使用三层交换机的，但如果您一定要让 ISA 与三层交换机相连， 我们也可以做一些尝试，但多数情况下并不能成功。

• 如果您使用的是 Cisco 的三层交换机，可以参考这篇文章来配置使其支持 ISA NLB：

Catalyst Switches for Microsoft Network Load Balancing Configuration Example

• 如果您使用其它交换机，请咨询交换机供销商来获取配置方法。

参考

Network Load Balancing: Frequently Asked Questions for Windows 2000 and Windows Server 2003

http://technet.microsoft.com/en-us/library/cc758834(WS.10).aspx

An update enables multicast operations for ISA Server integrated NLB

http://support.microsoft.com/kb/938550/en-us

Deployment Issues

http://technet.microsoft.com/en-us/library/cc783135(WS.10).aspx

Configuration options for WLBS hosts connected to layer 2 switches

http://support.microsoft.com/kb/193602/en-us

James Yi
Microsoft Support Expert