《快速消除桌面终端漏洞的方法》由会员分享,可在线阅读,更多相关《快速消除桌面终端漏洞的方法(4页珍藏版)》请在装配图网上搜索。
1、快速消除桌面终端破绽的方法1 引言目前信息平安形势日益严峻,特别是国有大型企业,信息平安程度急需提升。 2022 年初, 湖南省电力公司组织召开信息平安电视 会议, 会上相关技术人员对存在信息平安破绽的效劳器、网络设备、桌面终端设备进展了实战攻防演练, 展示了针对系统破绽实现系统控制权限提升,资料窃取,木马植入等攻击手段与效果,通过本次会议,充分反映出公司信息系统破绽整改的重要性、迫切性。通过使用多种破绽扫描工具对所有信息设备进展平安扫描,通过分析扫描结果发现,效劳器、交换机等主机设备,破绽数量较少,一次整改到位就能防止一样破绽的再次出现。 破绽问题主要集中在桌面终端,桌面终端的破绽种类繁多、
2、重复率高,加之桌面终端点多面广,一时难以整改到位。 如何从技术上消除桌面终端的平安破绽,降低信息平安风险,防止信息平安事件发生,是一个迫切需要解决的问题。2 桌面终端破绽的现状及要求通过使用专业的信息平安漏扫工具扫描, 针对桌面终端破绽扫描结果进展分析、整合,发现桌面终端破绽种类繁多且重复率高,涉及终端面非常广泛,多种操作系统均存在信息平安风险, 归纳后主要的告警提示有以下几类: 微软公司发布的系统破绽, 其中有大量可被恶意攻击、控制的缺陷存在。 局部操作系统自带开启的一些默认效劳、端口,而这些效劳、端口存在着平安隐患;系统的某些效劳使用了默认配置,这可被恶意尝试进展攻击。 终端用户自己安装的
3、一些软件, 存在着被篡改或远程提权的风险等。面对如此复杂的工作工程, 攻关小组讨论得出以下要求:根据桌面终端破绽的重复率高,即多个终端可能存在同一个破绽的情况, 应研究出普遍问题对应的处理方法,做好记录防止重复研究,同时可进展动态管理。 根据桌面终端破绽多样性,应该采用多种技术手段进展处理,可以同时考虑强迫系统补丁安装、系统防火墙开启、针对Windows 系统注册表加固三个方面,实现破绽处理。 根据桌面终端漏容易复发,即处理完毕后,由于用户操作不当或重装系统后平安加固不完善等原因, 导致再次发生破绽的情况。 平安加固应具备强迫性,开机自动运行,不易修改等特点。 根据桌面终端点多面广的情况,应采
4、用统一的平安策略管理形式,可在控制端统一推送并进展强迫、静默安装或配置。 为方便日后运行维护以及管理,必须有手段可查询平安策略的下发和运行情况, 以及是否产生效果。3 技术道路与施行3.1 技术道路通过对现有平台的摸底、研究,结合施行方案的指导要求, 决定利用 360 防病毒控制平台以及桌面管控的文件下发功能, 搭配多方面的技术手段共同完成破绽的处理,有如下优势:充分利用现有平台、资源防止重复部署,减少资金投入和人员工作量,进步效率;实现文件管理与脚本、破绽研究的别离,有利于版本更新,可进展动态管理破绽问题;双管齐下的搭配协作,施行效果更佳。 将需要下发的文件添加到 360 企业版中的信任列表
5、中, 防止由于防护软件造成的下发文件失效等问题。根据扫描结果破绽的类型, 可通过如下技术手段得以消除风险:1技术 1-强迫更新补丁。 之前采用的 WSUS 补丁更新系统, 由于需要用户手动点击更新补丁, 补丁安装才会运行, 这样导致系统补丁安装率一直很难到达100%,本文利用 360 企业版的统一管理平台 ,充分挖掘补丁修复模块功能, 将补丁文件从互联网中下载并移植至内网环境中,配置下发与执行策略,强迫各桌面终端及时安装新的系统补丁文件, 提升信息内网桌面终端系统补丁安装率。2技术 2-启用防火墙。通过桌面管控软件,强迫推送防火墙开启策略脚本。 在启用 Windows 操作系统自带的防火墙后,
6、可进展基于网络端口层的平安防护。 通过桌面管控系统的策略版本变更, 实现动态调整防火墙平安策略,降低了桌面终端信息平安风险。3技术 3-系统加固。采用修改注册表的方式,实现对系统的平安加固。 平安加固脚本同样通过桌面管控程序强迫推送与执行。 通过桌面管控系统的策略版本变更,实现动态调整注册表加固策略。4技术 4-同步编制回退脚本程序。考虑到,随着平安加固脚本不断晋级, 可能会有局部终端在系统平安加固、启用防火墙后,出现系统异常、相关业务应用无法正常使用等现象。 由此根据每次更新的加固脚本,必须同步编制相应的复原策略,其复原流程如图 1 所示。5技术 5-系统补丁 、加固脚本推送 、运行与监管。
7、 本文采用 360 企业版强迫推送与安装操作系统补丁。防火墙脚本、 注册表加固脚本通过桌面管控强迫下发与执行,但在 360 企业版中必须开启相关脚本运行权限,保证脚本运行正常。 通过 360 企业版控制中心实时查看补丁推送安装情况, 可以通过桌面管控程序实时查看平安脚本下发及运行情况。 这样确保了系统补丁、平安脚本的强迫执行以及实时监控,其流程如图 2 所示。3.2 技术施行3.2.1 补丁更新利用 360 企业版提供的离线补丁下载工具, 下载系统补丁并使用挪动存储介质转移至内网环境中, 进展补丁更新。通过 360 控制中心,配置平安策略,强迫所有联网终端自行进展系统补丁更新, 同时通过监控中
8、心可检测到补丁更新的进展情况; 对于局部客户端自行反应的破绽项,可下发命令强迫更新。 而离线终端在联网后,自动接收效劳器的下发的各种命令,并执行。3.2.2 开启防火墙由于防火墙可屏蔽非例外端口, 所以首先需要调研需要开放的端口,如:防病毒/补丁更新端口,桌面管控端口,远程桌面端口,防违规外联端口等。通过编写脚本命令,将例外端口添加至防火墙例外;同时根据扫描结果,可添加一些屏蔽的端口即使已存在终端例外,通过添加相反的端口权限形式,可使其失效。通过桌面管控程序配置策略下发并执行, 通过更新文件实现动态管理目的。3.2.3 系统加固根据扫描结果, 排查出更改注册表项/键值即可实现的平安加固工程,如
9、:SMB 相关破绽、远程桌面相关缺陷等,编写对应的命令并单独成为一个脚本文件,通过管控程序下发及执行,策略配置类似防火墙脚本程序。 策略下发方式与防火墙策略下发一致。3.2.4 开启 360 指定脚本允许执行功能由于上述的脚本文件都更改了系统的配置, 在安装了 360 平安卫士的情况, 默认情况下会拦截此类非信任程序的更改,导致下发文件失效。 所以需要将管控程序进程文件、脚本文件等通过 360 控制中心添加至信任列表。3.2.5 策略运行监控本文采用 360 企业版控制中心实时查看补丁推送安装情况,如图 3 所示。采用桌面管控系统的审计报警功能实时查看平安脚本推送及执行情况,如图 4 所示。通
10、过上述系统的查询功能, 准确定位隐患终端的 IP地址、使用人以及操作系统详细信息,从而进步终端隐患处理效率。4 效果评估与改良借助上述相关措施的有力施行, 屡次的信息平安督察中终端平安破绽个数为 0,获得了良好的成效。通过对桌面终端平安策略执行情况的日管控、 周扫描、月通报,桌面终端破绽数量急剧减少,从最初扫描的2830 个高、中危破绽降至 0 个。定期更新破绽扫描系统的破绽库, 每月开展破绽扫描工作。 针对新发现的破绽,做好对应平安脚本的编写、测试、下发工作,确保桌面终端破绽数保持为 0.5 完毕语通过对扫描结果的分析、整合及研究,并进展了大量的测试, 确立了消除破绽的主要三种技术手段: 安装补丁、开启系统自带防火墙、进展系统平安加固,并结合桌面管控系统的文件下发、防病毒系统强迫安装补丁功能,加之管理手段的协助, 在破绽整改工作中获得了非常显著的成绩。参考文献: 宋雁辉。windows 防火墙与网络封包截获技术 .北京:电子工业出版社,2002;【2】 潘爱民。windows 内核原理与实现.北京:电子工业出版社。2022. Litchfield D,Anley C,Heasman J,et al. 黑客大曝光-数据库平安防护.北京:清华大学出版社,2022
快速消除桌面终端漏洞的方法
