MSE网络检查系统引擎（NIS)：让Exchange漏洞无处可藏

飞霜流华

看到这篇文章，感觉不错，拿来分享一下:
NIS网络检查系统让Exchange漏洞无处可藏
众所周知，企业网络中的90%以上的攻击，都是针对服务器或者客户端现有的漏洞所展开的。也就是说，如果能够即使的发现漏洞并打上相关的补丁的话，就可能防止九成以上的攻击。这个原则用在Exchange应用中也有效。Exchange邮箱服务器以及客户端软件上也存在着很多漏洞。病毒或者垃圾邮件可以通过这些漏洞对企业的网络以及其他对象发起攻击。在邮件安全性性，发现漏洞并更新补丁是比较核心的一项工作。在这篇文章中，笔者给大家介绍一下，如何通过使用Forefront中的NIS网络检查系统来发现Exchange邮箱服务器的漏洞，以提高其安全性。

　　一、Exchange安全漏洞的两个层面分析。

　　一台最简单的Exchange服务器，也有两个部分组成，分别是Exchange服务器软件和Windows操作系统。众所周知，无论是Exchange服务器软件还是Windows操作系统都是攻击者比较中意的对象。隔一段时间就会被他们发现新的漏洞。即使是Exchange服务器没有漏洞，但是Windows操作系统出现安全漏洞的话，也会影响到Exchange服务本身的安全。为此在使用NIS网络检查系统来发现漏洞时，不仅仅关注的是Exchange服务本身，还应该涵盖操作系统的层面。这是我们在设计Exchange安全是必须要注意的内容。

　　NIS网络检查系统是Forefront提供的一个组件。通过这个组件，可以帮助邮箱管理员发现操作系统以及邮箱应用程序中已知的漏洞。如果结合Update服务的话，还可以自动打上相关的补丁，从而保护企业网络与应用服务器的安全。注意，这个NIS网络检查系统来发现并管理漏洞时，其也是从操作系统与应用程序两个层面展开的。从这里就可以看出，微软安全专家在考虑安全问题时是将底层的操作系统与上层的应用程序放在一起考虑的。他们是一个硬币的两面，缺一不可。

　　二、NIS只会发现已知的漏洞。

　　从本质上说，NIS网络检查系统是一个基于协议解码的通信检查系统。简而言之，这个NIS网络检查系统只能够发现操作系统与应用程序已知的漏洞。这主要是因为NIS只采用已知漏洞的签名检测并可能阻止对网络资源(如Exchange邮箱服务器)发起的攻击。从广义上来讲，漏洞可以分为已知的漏洞与未知的漏洞。Windows操作系统或者Exchange邮箱服务器，除了已经发现的漏洞之外，是否就不存在其他漏洞了呢?谁都不敢下这个保证。相反，我们可以确性的是，除了这些已知的漏洞之外，Windows操作系统与Exchange邮箱服务器系统肯定还存在着一些未知的漏洞，只是我们还没有发现而已。

　　从Exchange邮箱服务器安全角度而言，我们对于未知的安全漏洞基本上没有什么办法。我们现在可以做的就是，发现已知的所有漏洞，并将其堵上。以后如果发现新的漏洞了，再及时打补丁即可。新漏洞的研究与发现就让微软的安全专家与攻击者去努力好了。

　　NIS网络检查系统的核心就是已知漏洞的签名检测。简单的说，所有已知的漏洞都会有一个特征。NIS检查系统通过比对来发现操作系统或者Exchange应用程序是否存在这个漏洞(是否已经打上了补丁)。如果发现有的话，就会告诉管理员。现在的关键就是，这个NIS的后台数据库，即漏洞特征数据库，至关重要。如果这个数据不是最新的，或者有错误，那么就不能够及时的发现操作系统或者应用程序的漏洞。从而可能给攻击者有机可乘。

　　微软有一个MMPC机构(微软恶意软件防护中心)。这个机构会按时的提供相关的漏洞检测代码。NIS网络检查系统就是根据这些代码来判断操作系统或者应用程序是否存在着已知的漏洞。现在需要解决的问题是，NIS网络检查系统需要能够及时的从MMPC处更新这些相关的数据。从技术上来说，可以通过微软的Update机制来分发动态签名快照，以在第一时间更新漏洞检查代码，以帮助管理员了解最新的漏洞。Update的相关配置各位读者可以参考相关的技术文档，由于篇幅的限制，不再这里展开讨论。笔者只是强调一点，就是Update与NIS网络检查系统结合的必要性。

　　三、NIS网络检查系统的局限性。

　　NIS网络检查系统并不全能，其在使用时有一些局限性。在实际工作中，部署NIS系统时需要注意这方面的局限性，以免给Exchange安全留下隐患。具体的来说，主要存在如下几个局限性。

　　一是需要注意，NIS网络检查系统可以发现操作系统或者应用程序级别的漏洞，也就是说网络漏洞。但是并不能够发现文件漏洞。简单的说，如果某个邮件的附件其实是一个间谍软件，其伪装中一个普通的文件。在这种情况下，即使Exchange不存在任何的漏洞，这个文件也会被传输。因为NIS并不能够发现文件级别的漏洞。如要要预防垃圾邮件或者带病毒的附件，还是需要借助恶意软件检查功能来完成。光靠NIS网路检查机制并不能够识别文件级别的漏洞。

　　二是NIS仅仅支持MMPC创作和验证的签名。现在操作系统与Exchange的漏洞签名，不仅仅MMPC会提供。一些安全厂商，如瑞星、金山毒霸等等也会定期的推出最新的安全漏洞代码。不过可惜的是，NIS网络检查系统到目前为止仅仅支持MMPC提供的签名。其他安全厂商的签名机制NIS并不支持。所以有时候这里就会有冲突。如防火墙发现服务器有漏洞，但是NIS系统却没有发现。这中间就可能会有一个时间差。为此在实际工作中，我们要以NIS的检查结果为主，其他安全软件的检查结果为辅。这里特别需要注意的是，一些安全厂商之间可能会存在着不正当的竞争。即A安全厂商的产品认为B提供的安全软件存在漏洞，从而影响系统正常运行等等。在这种情况下，我们也只能够以MMPC提供的数据作为最终评判的标准。当发现MMPC没有说明的漏洞、而其他安全厂商却认为是漏洞的情况，我们需要慎重对待。

　　四、其他需要注意的细节问题。

　　在使用NIS网络检查系他来识别操作系统和Exchange应用程序级别的漏洞时，还需要明确如下一些细节问题。

　　一是需要注意NIS可以使用在本地主机上，也可以应用在整个网络上。而如果在本地主机上使用的话，其检查的内容会有所限制。如通常情况下只见查HTTP、HTTPS和电子邮件协议。对于其他的协议，如Telnet(远程管理Exchange服务器时可能需要用到)协议是否存在漏洞，就不会检查。为此为了安全起见，笔者并不建议将NIS使用在本地主机上。

　　二是需要注意新签名的有效性。即NIS服务器从MMPC微软安全中心下载最新的漏洞签名信息时，对已经存在的连接是否有效呢?这里需要抱歉的告诉各位，从MMPC下载新的签名集时，这些签名集仅仅适用于新连接。对已有的连接不起作用。这也就意味着如果要让新的签名集生效的话，必须中断原有的连接，然后重新连接。一般情况下这不会出问题。但是有时间某些连接需要长期存在，如不同办事处之间的虚拟专用网络连接。如果此时考虑到中断网络的话，可能需要履行一定的告知义务。重新连接时所需要的工作量也会增加不少。

　　总之使用NIS网络检查系统可以帮助油箱管理员及时的发现操作系统层面与Exchange应用程序层面的安全漏洞。能够为管理员制定安全规划提供很好的数据支持。笔者在这里是力挺NIS网络检查系统。

星风烈日

还以为是诺顿

卡尔不死机

这个反漏洞思路很不错

驭龙

在Forefront服务器版本里的网络检查系统，拥有自定义URL的功能，以及入侵保护系统，如果这两个功能加入MSE客户端就太爽了Forefront网管版的防火墙和防URL网页病毒的特征库，也加入的话，MSE就无敌啦

wakin

希望3.0的时候MSE能加入，哈哈，那就是一个字“强”

yeow5243

zdshsls 发表于 2011-6-12 10:46
在Forefront服务器版本里的网络检查系统，拥有自定义URL的功能，以及入侵保护系统，如果这两个功能加入MSE客 ...

复制的东西，一般用户都不会设置，也不想设置

hj5abc

zdshsls 发表于 2011-6-12 10:46
在Forefront服务器版本里的网络检查系统，拥有自定义URL的功能，以及入侵保护系统，如果这两个功能加入MSE客 ...

"防URL..."，黑名单？如果是MMPC捕获到的那么SS也会有吧？

驭龙

hj5abc 发表于 2011-6-12 12:40
"防URL..."，黑名单？如果是MMPC捕获到的那么SS也会有吧？

那是完全不同的，MMPC不会把我说的防URL，真正名称好像是http antimalware什么的，MMPC不会把这个库加进MSE的特征库。

有时间我再去查一查，我现在很忙的

驭龙

hj5abc 发表于 2011-6-12 12:40
"防URL..."，黑名单？如果是MMPC捕获到的那么SS也会有吧？

我刚才重新查了一下，我的http antimalware全称是：HTTP Malware Definition Update for Microsoft Forefront Threat Management Gateway

这是简单的介绍
Forefront TMG HTTP malware protection helps guard against emerging threats such as spyware and viruses. For best security practice malware protection definitions should be kept up to date.

あ掵㊣峫淰℡

感谢分享~~