khung khảo sát đánh giá lỗ hổng bảo mật của các hệ điều hành máy chủ dịch vụ (tài liệu hay)

- Lỗ hổng bảo mật chưa được vá trong phần mềm máy chủ, hệ điều hành và các ứng dụng.- Mặc định không cần thiết, sao lưu hoặc file mẫu - Cấu hình không đúng tập tin và quyền thư mục - Dịc

Xây dựng khung khảo sát đánh giá lỗ hổng bảo mật của các

2 Các phương pháp để bảo vệ một máy chủ an toàn

- Kiểm soát môi trường phù hợp Vì vậy các độ ẩm và nhiệt độ cần thiết duy tri Có điều kiện dự phòng về môi trường

a Kiểm tra nguồn điện cung cấp

b vá lỗi và cập nhật hệ điều hành

c Làm cứng và Cấu hình hệ điều hành để giải quyết vấn đề bảo mật

d Cấu hình xác thực người dùng hệ điều hành

e Kiểm tra an ninh các hệ điều hành

f Hạn chế tài nguyên máy chủ

- Phân quyền không tốt, không đúng

- Cài đặt máy chủ với các thiết lập mặc định

- Lỗ hổng bảo mật chưa được vá trong phần mềm máy chủ, hệ điều hành và các ứng dụng.

- Mặc định không cần thiết, sao lưu hoặc file mẫu

- Cấu hình không đúng tập tin và quyền thư mục

- Dịch vụ không cần thiết được kích hoạt, bao gồm cả quản lý nội dung và quản trị từ xa

- Mặc định tài khoản và mặc định mật khẩu

4 Lỗ hổng trên hệ điều hành linux

5 Kiểm tra chi tiết

-1 Thông tin chung

Thông tin chung

Địa chỉ IP

Máy chủ Web Microsoft-IIS/6.0

Hệ điều hành Microft Windows Server 2003 R2

.1 Giới thiệu

Windows là phần mềm nguồn đóng có bản quyền do công ty Microsoft giữ và kiểm soát việc phân phối Vì lý do này, Microsoft đang có một vị trí độc quyền trong lĩnh vực máy tính Tất cả các phiên bản hệ điều

hành gần đây của Windows đều dựa trên sự phát triển từ phiên bản đầu tiên.

Download Hotfix (http://www.microsoft.com/security)Microsoft Update (http://update.microsoft.com)

Windows Update: Giống như là Microsoft Update, nhưng được thực hiện tự động hoặc theo lịch trình

Service packs

Là thông tin bản cập nhật mới về sản phẩm vừa được công bố Service packs có thể bao gồm thông tin cập nhật về độ tin cậy, tính tương thích của chương trình, sự an toàn và nhiều hơn nữa về hệ thống Tất cả các thông tin cập nhật này được nén lại để thuận tiện cho việc tải về

Service packs có thể bao gồm các hotfix được đưa vào một gói cài đặt lớn (khoảng 100Mb đến 300Mb)

Download Service packs (http://www.microsoft.com/downloads)Cài đặt: Cài đặt cùng lúc với hệ điều hành hơạc cài đặt tự động

Lứu ý: Nên triển khai thử nghiệm trước

WSUS (Windows Server Update Services),

WSUS Server: Tự động download các hotfix và các Service Pack mới

WSUS Client: Có thể download các hotfix và các Service Pack này từ WSUS Server hoặc từ Microsoft

Download WSUS (http://update.microsoft.com/wsus)

Khuyến cáo nên cập nhật service pack phiên bản mới nhất, cấu hình cập nhật hotfix tự động, luôn theo dõi các bản tin về bảo mật và các bản vá lỗi:

• Sans (http://www.sans.org/newsletters/)

• Microsoft (http://www.microsoft.com/security/)

• Securityfocous (http://www.securityfocous.com/archive/)

• Packet Storm (http://www.packetstormsecurity.org/)

.4 Windows Access Control

Phân quyền NTFS (NTFS Permission)

Các tính năng của NTFS bao gồm:

• Permission (Phân quyền)

• Auditing (Kiểm tra)

• Enctyption (Mã hóa)

• Compression (Nén)

• Transactional (Giao tiếp)

• Max size (Dung lượng lớn =16TB)

Sử dụng DACL (Discretionary Access Control List) để phân quyền cho tập tin và thư mục

DACL thực thi với:

• Local User

• IIS User (HTTP & FTP)

• Remote Desktop Protocol

• Shared Folder

• Telnet

DACL mặc định như sau:

• System: Full Control

• Administrators: Full Control

• Chủ sở hữu: Full Control

• User có xác thực: Read & Execute

Mọi tài nguyên trên NTFS đều có chủ sở hữu Chủ sở hữu sẽ có quyền là Full Control đối với Folder, Subfolder, File

Nguyên tắc phân quyền là một user chỉ được cấp quyền ở mức tối thiểu nhất Tức là chỉ cấp những quyền thực sự cần thiết đủ để user này thực hiện được một công việc nào đó

Phân quyền thư mục chia sẻ (Share Folder Permission)

Thực hiện phân quyền với các tài nguyên chia sẻ, cần giới hạn nhóm Everyone không được phép truy cập vào các tài nguyên chia sẻ

Hình …

Cần thiết lập việc phân quyền đối với Registry, gở bỏ tất cả các tài khoản và nhóm người dùng (trừ Administrator) đối với Registry

Đặc quyền (User Rights)

User Rights là những thiết lập trên máy tính nhằm kiểm soát xem một User hoăc một Group có thể thực hiện những thao tác gì đối với máy tính đó

Hình …Những thiết lập nguy hiểm:

• Act as part of the operating system.

• Create a token object.

• Debug programs.

• Load and unload device drivers.

• Modify firmware environment values.

• Restore files and directories.

• Take ownership of files or other objects.

Một số thiết lập cần lưu ý:

• Allow/Deny log on locally  Hạn chế người đăng nhập nội bộ;

• Allow /Deny log on through Terminal Services  Hạn chế người

dùng Remote Desktop

• Take ownership of files or other objects  Thay đổi quyền sở

hữu của đối tượng

• Backup/Restore files and directories  Bỏ qua thiết lập phân

• Ngày lưu mật khẩu tối đa: 90 ngày

• Ngày lưu mật khẩu tối thiểu: 1 ngày

• Chiều dài mật khẩu tối thiểu: 15 ký tự

• Mật khẩu phải đáp ứng các yêu cầu phức tạp: Enable

Account Lockout Policy

Nhằm chống lại việc brute force mật khẩu hoăc đoán mật khẩu

Khuyến cáo thiết lập:

• Thời gian khóa tài khoản: 120 phút

• Ngưỡng tài khoản bị khóa: 5 lần

• Thiết lập lại số lần đếm khóa tài khoản: 45 phút

Security Options

Khuyến cáo một số thiết lập nhằm đảm bảo an toàn:

Đối với System:

• Tùy chỉnh giao diện người dùng

• Vô hiệu hóa Command prompt

• Vô hiệu hóa công cụ sửa đổi Registry

• Chỉ cho phép chạy ứng dụng của Windows

• Không cho phép chạy những ứng dụng đặc biệt

• Vô hiệu hóa Autoplay trên CD-ROM hoặc những ổ đĩa khác.Đối với System: Logon/Logoff

• Vô hiệu hóa Task Manager

• Vô hiệu hóa Lock Computer.

• Vô hiệu hóa Change Password

• Vô hiệu hóa Logoff

Đối với Windows Components: Explore

• Gở Map Network Drive và Disconnect Network Drive

• Ẩn những ổ đĩa chỉ định trong My Computer

• Ngăn chặn truy cập đến ổ địa từ My Computer

• Gở Computer lân cận trong My Network Places

• Gở Entire Network trong My Network Places

Đối với Windows Components: Task Scheduler

• Ẩn Property Pages

• Ngăn chặn Task Run hoặc End

• Vô hiệu hóa Drag-and-Drop

• Vô hiệu hóa New Task Creation

• Vô hiệu hóa Task Delection

• Vô hiệu hóa Advanced Menu

• Cấm Browse

Đối với Start Menu & Taskbar

• Gở bỏ những chương trình phổ biến từ Start Menu

• Gở bỏ lệnh Run từ Start Menu

• Vô hiệu hóa và gở bỏ lệnh Shut Down

Đối với Control Panel

• Vô hiệu hóa Control Panel

• Ẩn những applet được chỉ định

Đối với Control Panel: Add/Remove Programs

• Vô hiệu hóa Add/Remove Programs

• Ẩn tùy chọn Add a program from CD-ROM or floppy disk.Đối với Control Panel: Display

• Vô hiệu hóa Display trong Control Panel

• Ẩn tab Background

• Vô hiệu hóa chức năng thay đổi hình nền

• Ẩn tab Appearance.

• Ẩn tab Settings

• Ẩn tab Screen Saver

Đối với Network: Network & Dial-Up Connections

• Cấm kết nối RAS

• Cấm truy cập đến thuộc tính của kết nối LAN

• Cấm truy cập đến Advanced Settings

• Cấm cấu hình kết nối chia sẽ

• Cấm cấu hình TCP/IP nâng cao

Administrative Accounts

Một số khuyến cáo:

• Phải thực thi chính sách mật khẩu mạnh đối với tài khoản Administrator (Mật khẩu có chiều dài trên 6 ký tự, bao gồm các chữ cái, ký tự số, ký tự đặc biệt)

• Yêu cầu xác thực đối với tài khoản Administrator

• Bật tính năng khóa tài khoản khi đăng nhập sai 5 lần

• Nên đổi tên tài khoản Administrator thành một tài khoản khác

• Tạo bẩy Administrator sau khi đã đổi tên tài khoản thật

• Sử dụng hai tài khoản: Regular account (sử dụng thường xuyên)

và Administrative account (sử dụng khi cần thiết)

.6 Quản lý dịch vụ

Đảm bảo an toàn cho các dịch vụ

Khuyến cáo:

• Xác định những dịch vụ không cần thiết

• Gở bỏ hoặc vô hiệu hóa chúng

Cách thức vô hiệu hóa dịch vụ

.7 Một số tiêu chí khi triển khai

Đối với các dịch vụ và cổng:

• Các dịch vụ đang chạy thiết lập với tài khoản có quyền tối thiểu

• Vô hiệu hóa các dịch vụ DHCP, DNS, FTP, WINS, SMTP, NNTP, Telnet và các dịch vụ không cần thiết khác nếu không có nhu cầu sử dụng

• Nếu là ứng dụng web thì chỉ mở cổng 80 (và cổng 443 nếu có SSL)

Đối với các giao thức:

• Vô hiệu hóa WebDAV nếu không sử dụng bởi ứng dụng nào hoặc nếu nó được yêu cầu thì nó phải được bảo mật

• Vô hiệu hóa NetBIOS và SMB (đóng các cổng 137, 138, 139, và 445)

Tài khoản và nhóm người dùng:

• Gỡ bỏ các tài khoản chưa sử dụng khỏi máy chủ

• Vô hiệu hóa tài khoản Windows Guest

• Đổi tên tài khoản Administrator và thiết lập một mật khẩu mạnh

• Vô hiệu hóa tài khoản IUSR_MACHINE nếu nó không được sử dụng bởi ứng dụng khác

• Nếu một ứng dụng khác yêu cầu truy cập anonymous, thì thiết lập tài khoản anonymous có quyền tối thiểu

• Chính sách về tài khoản và mật khẩu phải đảm bảo an toàn, sử dụng cơ chế mật khẩu phức tạp (trên 7 ký tự và bao gồm: ký tự hoa, ký tự thường, ký tự đặc biệt và chữ số)

• Phải giới hạn Remote logons (Chức năng này phải được gỡ bỏ khỏi nhóm Everyone)

• Tắt chức năng Null sessions (anonymous logons)

Tập tin và thư mục:

• Tập tin và thư mục phải nằm trên phân vùng định dạng NTFS

• Tập tin nhật ký (log) không nằm trên phân vùng NTFS hệ thống

• Các nhóm Everyone bị giới hạn (không có quyền truy cập vào \Windows\system32)

• Mọi tài khoản anonymous bị cấm quyền ghi (write) vào thư mục gốc.

Tài nguyên chia sẻ:

• Gỡ bỏ tất cả các chia sẻ không sử dụng (bao gồm cả chia sẻ mặc định)

• Các chia sẻ khác (nếu có) cần được giới hạn (nhóm Everyone không được phép truy cập)

Các phiên bản vá lỗi:

• Cập nhật các phiên bản mới nhất

• Theo dõi thông tin cập nhật từ nhiều nguồn khác nhau

• Nên triển khai cập nhật trên hệ thống thử nghiệm trước khi cập nhật vào hệ thống thật

Tổng quan các lỗ hổng bảo mật trên hệ điều hành Microsoft Windows Server 2003

Lỗ hổng này thường gặp trong Microsoft Windows XP SP2 và SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2, SP1, và Windows 7

Nó cho phép người dùng cục bộ đạt được đặc quyền thông qua một ứng dụng để cho hệ thống xử lý các dữ liệu không hợp lệ gây ra hiện tượng tràn bộ nhớ, hay còn gọi là "Windows Kernel Integer Overflow Vulnerability."

Lỗ hổng này cho phép điều khiển từ xa máy chủ web để thu thập thông tin bằng cách kích hoạt nhiều requests đến máy chủ HTTPS và sử dụng phương pháp nghe lén (sniffing) mạng

Dịch vụ LanmanWorkstation trong Microsoft Windows

XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2, SP1 và Windows 7 nếu không được xử lý đúng sẽ tạo điều kiện cho kẻ tấn công từ xa gây ra tấn công từ chối dịch vụ

Các máy chủ DNS trong Microsoft Windows Server 2003 SP2, Server 2008 SP2, R2, SP1 nếu không xử lý đúng các đối tượng trong bộ nhớ trong quá trình tra cứu sẽ tạo điều kiện cho kẻ tấn công từ xa gây ra tấn công từ chối dịch vụ

CVE-2011-1970

DoS Overflow Mem Corr

Các máy chủ DNS trong Microsoft Windows Server 2003 SP2 and Windows Server 2008 SP2, R2 và R2 SP1 nếu cấu hình không đúng cách khởi tạo bộ nhớ sẽ cho phép kẻ tấn công từ xa gây ra từ chối dịch vụ thông qua việc truy vấn tới một tên miền không tồn tại

Lỗi XSS trong Active Directory Certificate Services Web Enrollment in Microsoft Windows Server 2003 SP2, Server 2008 cho phép kẻ tấn công từ xa để tiêm kịch bản web hoặc HTML thông qua một tham số không xác định

Lỗ hổng này dễ bị tấn công trong các trình điều khiển OTF (Open Type Font) trong Microsoft Windows XP SP2, SP3, Windows Server 2003 SP2, Windows Vista SP1, SP2, Windows Server 2008 Gold, SP2, R2, Windows 7 cho phép người dùng cục bộ đạt được các đặc quyền

Dịch vụ Netlogon RPC trong Microsoft Windows Server

2003 SP2, Server 2008 Gold, SP2, R2 được kích hoạt sẽ cho phép kẻ tấn công từ xa gây ra DoS thông qua một gói tin RPC crafted

CVE-2010-2265

Exec Code XSS

Lỗ hổng này nằm trong chức năng của GetServerName trong sysinfo/commonFunc.js của Windows XP và Windows Server 2003 cho phép kẻ tấn công từ xa để tiêm kịch bản web tùy ý hoặc HTML thông qua tham số SVR

CVE-2010-1897 +Priv

Trình điều khiển mode trong win32k.sys của Windows XP SP2, SP3, Windows Server 2003 SP2, Windows Vista SP1, SP2, Windows Server 2008 Gold,

kernel-SP2, R2, Windows 7 nếu không xác nhận giá trị xử lý trong các thông số trong quá trình cài đặt sẽ cho phép người dùng cục bộ chiếm được đặc quyền thông qua một ứng dụng crafted Lỗ hổng này còn được gọi là

"Win32k Window Creation Vulnerability."

Trình điều khiển kernel-mode trong win32k.sys của Windows XP SP2, SP3, Windows Server 2003 SP2, Windows Vista SP1, SP2, Windows Server 2008 Gold, SP2 nếu không xác nhận đúng người dùng ở chế độ user-mode sẽ cho phép người dùng cục bộ chiếm được đặc quyền thông qua ứng dụng crafted Lỗ hổng này còn được gọi là "Win32k User Input Validation

Hệ điều hành Microsoft Windows XP SP2, SP3, Server

2003 SP2, Vista Gold, SP1, SP2, Server 2008 Gold, SP2 cho phép kẻ tấn công từ xa vượt qua những hạn chế của dải địa chỉ Ipv4 bằng một nguồn địa chỉ Ipv6 không phù hợp trong gói ISATAP Lỗ hổng này được gọi là "ISATAP IPv6 Source Address Spoofing Vulnerability."

CVE-2010-0494 XSS Bypass +Info

Cross-domain là lỗ hổng trong Microsoft Internet Explorer 6, 6 SP1, 7, và 8 cho phép kẻ tấn công từ xa vượt qua các chính sách và tiến hành tấn công cross-site scripting (XSS) Lỗ hổng này còn được gọi là "HTML Element Cross-Domain Vulnerability."

Lỗ hổng trong registry-key của Microsoft Windows 2000 SP4, XP SP2, SP3, Server 2003 SP2, Vista Gold cho phép người dùng cục bộ có thể gây ra tấn công từ chối dịch vụ (khởi động lại) thông qua một ứng dụng crafted hay còn gọi là "Windows Kernel Registry Key Vulnerability."

Mô tả chi tiết kết quả thực hiện kiểm tra đánh giá các lỗ hổng trên hệ thống cài đặt

hệ điều hành Microsoft Windows Server 2003

 Vulnerability Details : CVE-2012-2529

CVSS score 6.9

Severity Medium

References • MS:MS12-068

• URL:http://technet.microsoft.com/security/bulletin/MS12-068

Testing Dùng tools: Nessus, Nexpose, Metasploit để kiểm tra

Pass / Fail Hệ thống đã được fix lỗi này

 Vulnerability Details : CVE-2012-1870

Pass / Fail Hệ thống đã được fix lỗi này

 Vulnerability Details: CVE-2012-1850

CVSS score 5.0

References • MS:MS12-054

• URL:http://technet.microsoft.com/security/bulletin/MS12-054Testing Dùng tools: Nessus, Nexpose, Metasploit để kiểm tra

Pass / Fail Hệ thống đã được fix lỗi này

 Vulnerability Details : CVE-2012-0006

Các máy chủ DNS trong Microsoft Windows Server 2003 SP2, Server

2008 SP2, R2, SP1 nếu không xử lý đúng các đối tượng trong bộ nhớ trong quá trình tra cứu sẽ tạo điều kiện cho kẻ tấn công từ xa gây ra tấn công từ chối dịch vụ

Pass / Fail Hệ thống đã được fix lỗi này

 Vulnerability Details : CVE-2011-1970

Pass / Fail Hệ thống đã được fix lỗi này

 Vulnerability Details : CVE-2011-1264

• MS:MS11-051

• 051.mspx

URL:http://www.microsoft.com/technet/security/Bulletin/MS11-• OVAL:oval:org.mitre.oval:def:12749

• URL:http://oval.mitre.org/repository/data/getDef?

id=oval:org.mitre.oval:def:12749 Testing Dùng tools: Nessus, Nexpose, Metasploit để kiểm tra

Pass / Fail Hệ thống đã được fix lỗi này

 Vulnerability Details : CVE-2010-3957

Pass / Fail Hệ thống đã được fix lỗi này