安全專家們創(chuàng)造了“攻擊平面”這個(gè)詞來形容指定電腦可能受到惡意實(shí)體攻擊的方法數(shù)量。攻擊實(shí)體既可能是惡意軟件，也可能是一個(gè)惡意用戶。你可以這樣理解它：攻擊平面越大，電腦受攻擊的可能就越大；攻擊平面越小，攻擊者能夠獲得的立足點(diǎn)也就越少。

微軟在上幾個(gè)版本的產(chǎn)品中一直在強(qiáng)調(diào)，要減少Windows Server的攻擊平面。它們的想法是通過默認(rèn)就能減小攻擊平面，從而讓新安裝的Windows Server也能輕松地避免攻擊。但是，減少攻擊平面的概念適用于所有版本的Windows產(chǎn)品，包括桌面和服務(wù)器等版本。

微軟關(guān)于減少攻擊平面的工作主要集中于改進(jìn)應(yīng)用在Windows上的工程設(shè)計(jì)，如操作系統(tǒng)的默認(rèn)設(shè)置等。但是第三方的應(yīng)用程序（從不會(huì)造成損害的獨(dú)立程序到相對(duì)復(fù)雜的、添加了設(shè)備驅(qū)動(dòng)的程序）也可能會(huì)增加Windows的攻擊平面。有時(shí)用戶或者程序員并沒有意識(shí)到這一點(diǎn)，尤其是在應(yīng)用程序改變了系統(tǒng)功能的底層元素時(shí)，如防火墻或殺毒軟件。

直到最近，程序員們也仍然沒有一個(gè)真正實(shí)用的方法可以檢查他們的程序是否會(huì)增加系統(tǒng)的攻擊平面，往往只有等到被攻擊后問題才會(huì)暴露。然而，在今年早些時(shí)候的Black Hat技術(shù)安全會(huì)議上，微軟發(fā)布了一款beta版工具。該工具讓IT人士（不僅只是程序員）可以確定某一指定應(yīng)用程序是否會(huì)顯著增加Windows Server的整體攻擊平面。這個(gè)工具就是攻擊平面分析器（Attack Surface Analyzer），有32位和64位版可以使用，目前還處于測(cè)試階段，正在征求用戶的反饋意見。

攻擊平面分析器的工作方式是在Windows系統(tǒng)中進(jìn)行兩次掃描。第一次是基線掃描，即在未安裝問題程序的系統(tǒng)上進(jìn)行掃描。當(dāng)然為了完成基線掃描，你需要安裝相應(yīng)的支持庫（.NET框架或SQL服務(wù)器）。該掃描涵蓋了系統(tǒng)內(nèi)可能會(huì)影響攻擊平面的方方面面，包括注冊(cè)表項(xiàng)、安全標(biāo)識(shí)符（SID）、開放端口等。掃描結(jié)果保存在當(dāng)前用戶目錄的一個(gè).CAB文件中，文件名由當(dāng)前的主機(jī)名和掃描的時(shí)間日期自動(dòng)產(chǎn)生。

圖1：攻擊平面分析器的基線掃描

第二次掃描應(yīng)在你安裝了受測(cè)程序之后再進(jìn)行。在攻擊平面分析器中，這被稱為“非產(chǎn)品掃描（aproduct scan）”，受測(cè)程序造成的任何改變都會(huì)被詳細(xì)地記錄下來。掃描結(jié)果保存在一份HTML格式的報(bào)告中，描述了掃描過程中發(fā)現(xiàn)的明顯的安全問題，以及可能的攻擊平面的詳細(xì)信息。請(qǐng)注意，一個(gè)給定的攻擊平面并不一定總是危險(xiǎn)的，但如果在掃描中被察覺，那么就值得引起注意了。

微軟撰寫了一篇關(guān)于衡量攻擊平面的文章，對(duì)Windows各版本已暴露的攻擊平面做了比較。文中提出的一些概念指導(dǎo)了攻擊平面分析器的誕生——具體地，就是以受攻擊的機(jī)會(huì)大小作為衡量指標(biāo)，考慮什么會(huì)最先、最快地受到攻擊。

圖2：攻擊平面分析器掃描已安裝程序的漏洞

【編輯推薦】

1. Windows Server 林功能級(jí)別詳解
2. Windows Server崩潰的三大常見誘因與避免方式
3. 在 Windows Server 2008 R2 上安裝 IIS 7.5