Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 60 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
60
Dung lượng
4,8 MB
Nội dung
CHỦ ĐỀ: Nhậndạngnguycơ,điểmyếulỗhổngbảomậthệthốngMicrosoftWindowsbiệnpháp đảm bảo an toàn hệthốngMicrosoftWindows THỰC HIỆN: Nguyễn Hoàn Nam Dương PTIT CÁC NGUYÊN TẮC BẢOMẬTTRONGHỆTHỐNGMICROSOFTWINDOWS BỘ BẢOMẬTBAO GỒM NGUYÊN TẮC BẢOMẬT CHÍNH: - TÍNH BẢOMẬT (CONFIDENTIALITY) - TÍNH TỒN VẸN (INTEGRITY) - TÍNH KHẢ DỤNG (AVAILABILITY) CÁC NGUYÊN TẮC BẢOMẬTTRONGHỆTHỐNGMICROSOFTWINDOWS Hình 1.2 – Trang 28/MicrosoftWindows-Security-Essentials CÁC NGUYÊN TẮC BẢOMẬTTRONGHỆTHỐNGMICROSOFTWINDOWSBẢOMẬT TÍNH BẢO MẬT: - Thực phương pháp kiểm soát truy cập để kiểm sốt truy cập liệu - Mã hóa lớp bảomật khác để bảo vệ chống tính bảomật - Có thể mã hóa tập riêng lẻ, toàn ổ đĩa cứng truyển liệu qua mạng CÁC NGUYÊN TẮC BẢOMẬTTRONGHỆTHỐNGMICROSOFTWINDOWSBẢOMẬT TÍNH KHẢ DỤNG: - Mất tính khả dụng đơn giản hệthống liệu không khả dụng người dùng cần chúng Một hệthống phải hoạt động 24/7 - Đảm bảohệthống hoạt động cách bảo vệ chống lại mối đe dọa khác - Một mối đe dọa phổ biến virut, worms, trojan - Sao lưu liệu quan trọngCÁC NGUYÊN TẮC BẢOMẬTTRONGHỆTHỐNGMICROSOFTWINDOWSBẢOMẬT TÍNH TỒN VẸN - Mất tính tồn vẹn xảy liệu sửa đổi mà không phép - Kiểm soát truy cập hoạt động để đảm bảo người ủy quyền có quyền truy cập - Ghi nhật kí kiểm tra hiển thị có truy cập liệu bao gồm chi tiết họ ai, làm thời gian họ làm - Kiểm tra băm phát liệu tính tồn vẹn PHÂN TÍCH, NHẬNDẠNGCÁCNGUYCƠ,ĐIỂMYẾUVÀLỖHỔNGBẢOMẬTTRONGHỆTHỐNGMICROSOFTWINDOWS 2.1 CÁC NGUYÊN NHÂN CÓ THỂ GÂY RA CÁCLỖHỔNGBẢOMẬT Lỗi thân hệ điều hành ( lỗhổnghệthống tệp, lỗhổng chế độ tải, lỗhổng chế quản lý tiến trình ) Lỗhổng từ phần mềm, dịch vụ kèm phát hành hệ điều hành Người quản trị hệthốngyêu không hiểu sâu sắc dịch vụ cung cấp, cấu hình khơng an tồn Người sử dụng có ý thức bảomật click vào đường link lạ hay tải ứng dụng độc hại, sử dụng mẫu yếu 2.2 PHÁT HIỆN LỖHỔNG CỦA HỆTHỐNGTHÔNG TIN Để phát hiện, xác định đánh giá lỗhổng HTTT loại bỏ chúng, người ta sử dụng phương tiện phân tích an tồn Q trình phát lỗhổng HTTT xây dựng cách thực kiểm tra thụ động kiểm tra thăm dò tích cực (active probe) lỗ hổng. Mơ hình phát lỗhỏng tổng quát 10 4.7.1.GIỚI THIỆU • Hai lỗhổngbảomật riêng tư Remote Desktop Protocol (Exec Code Dos).Lỗ hỏng cho phép thực thi mã từ xa kẻ công gửi chuỗi gói RDP thiết kế đặc biệt với hệthống bị ảnh hưởng • Theo mặc định tất máy khơng cho phép dịch vụ Remote Desktop không bị lỗi 46 Windows XP Service Pack Windows XP Professional x64 Edition Service Pack Windows Server 2003 Service Pack Windows Server 2003 with SP2 for Itanium-based Systems Windows Vista Service Pack Windows Vista x64 Edition Service Pack Windows Server 2008 for 32-bit Systems Service Pack Windows Server 2008 for x64-based Systems Service Pack Windows Server 2008 for Itanium-based Systems Service Pack Windows for 32-bit Systems and Windows for 32-bit Systems Service Pack Windows for 32-bit Systems and Windows for 32-bit Systems Service Pack Windows for x64-based Systems and Windows for x64-based Systems Service Pack Windows for x64-based Systems and Windows for x64-based Systems Service Pack Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itani um-based Systems Service Pack Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itani um-based Systems Service Pack 47 4.7.2.CÁCH KHẮC PHỤC Tìm kiếm vá: Win vá cho lỗi KB2667402 Win XP vá cho lỗi KB2621440 Tắt dịch vụ Remote Desktop máy tính 48 4.8 MS10-046 Vulnerability in Windows Shell Could Allow Remote Code Execution 49 4.8.1 GIỚI THIỆU Đây lỗi nghiêm trọng liên quan đến Window Shell tất hệ điều hành bị ảnh hưởng, cho phép kẻ cơng chiếm lấy tồn quyền điều khiển Window thực thi mã nguồn từ xa Lỗi phát vào tháng 6/2010 tháng 8/2010,Microsoft tung ba lỗi Lỗi nguy hiểm nằm tập tin “shortcut”(*.lnk) Window Bằng cách tạo tập tin shortcut nhúng mã độc, tin tắc tự động thực thi mã độc người dùng xem tập tin shortcut hay nội dung thư mục chứa tập tin 50 Windows XP Service Pack Windows XP Professional x64 Edition Service Pack Windows Server 2003 Service Pack Windows Server 2003 x64 Edition Service Pack Windows Server 2003 with SP2 for Itanium-based Systems Windows Vista Service Pack and Windows Vista Service Pack Windows Vista x64 Edition Service Pack and Windows Vista x64 Edition Service Pack Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32- bit Systems Service Pack Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack Windows for 32-bit Systems Windows for x64-based Systems Windows Server 2008 R2 for x64-based Systems Windows Server 2008 R2 for Itanium-based Systems 51 4.8.2 CÁCH KHẮC PHỤC Thường xuyên chạy vá Window để tránh bị hacker lợi dụng Bản lỗi có tên mã KB2286198 52 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 ) File LNK- file sử dụng để mở chương trình gọi file shortcut Khi bạn click vào chương trình .exe, file lnk sẽ map chương trình mở chương trình lên Lỗhổngbiến thể MS10-046 (CVE2010-2568) ->MS15-020 (CVE-2015-0096) 53 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 ) Lổhổng cho phép hacker thực thi mã độc từ xa file LNK hiển thị xử lý Nguyên nhân gốc rễ nằm cách hiển thị shortcut Windows Control Panel, windows mở tệp lnk (hoặc pif) tạo thủ công, tải tệp dll định tệp Lnk mà khơng có kiểm tra, mà làm cho mã độc hại file dll thực 54 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 ) Tình huống: hacker đưa cho nạn nhân USB, chia sẻ folder chứa file LNK kèm với file dll Khi người dùng mở usb, mở share folder ra, bị lây nhiễm Chỉ cần người dùng mở USB có chứa file Shortcut bị lỗ hổng, virus tự động thâm nhập vào máy tính chức Autorun bị vơ hiệu hóa Từ đó, hacker chiếm tồn quyền điều khiển máy tính để thực hành vi ăn cắp thông tin, phá hủy liệu dựa vào file DLL 55 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 ) Hacker khai thác thành công lỗhổng có quyền người dùng giống người dung local máy tính lỗhổng bị khai thác từ việc chia sẻ mạng, hay chia sẻ dạng WebDAV Những hệ điều hành từ Windows XP trở sau bị ảnh hưởng lỗi trên, kể Winserver 2016 Windows 10 56 4.9 LNK REMOTE CODE EXECUTION VULNERABILITY (CVE-2017-8464 ) Cách hạn chế : Tắt tính Autoplay, Autorun Window, quét USB trước thực thao tác Vơ hiệu hóa tính tự động tải trình duyệt Trên server nên cấu hình sử dụng local mức user thường Sử dụng phần mềm Antivirus cập nhật sở liên tục giúp phát malware mà usb cấm vào Cập nhật vá sử dụng sở liệu virus cho Windows Defender 57 4.10 LỔHỔNG ETERNALBLUE MS17_010 Smb -Server Message Block giao thức chia sẻ file phổ biếnhệ điều hành window, trước phát lổ hổng, gần mặc định dùng tảng Windows EternalBlue khai thác lỗhổng việc triển khai thực giao thức SMB (Server Message Block) Microsoftthông qua Lỗhổng tồn giao thức SMBv1, máy tính window SMBv1 kích hoạt mặc định dùng gói tin SMBcủa kẻ công cho phép họ thực thi đoạn mã ngẫu nhiên máy tính người dùng Lổhổng SMB attack vector nhiều công 58 4.10 LỔHỔNG ETERNALBLUE MS17_010 Ban đầu khai thác hệ điều hành win7, server 2008 tương tự trở xuống Nhưng sau công lợi dụng lổhổng SMB phát táng mã độc eternalblue đưa khai thác tảng win 8.1, Server 2012, 2016, win 10 tạo nhiều biến thể khác, cách thức khai thác khó hơn, có khả bị lợi dụng công 59 4.10 LỔHỔNG ETERNALBLUE MS17_010 Khuyến nghị: + Cập nhật vá lỗi ms17-010 Microsoft + Chặn kết nối đến cổng (Port) 135 Và 445 firewall + Tắt giao thức SMB + Bảomật tài khoản người dùng + Tránh share folder cho user guest + Sử dụng công cụ kiểm tra tồn lổhổng mạng, khắc phục kịp thời 60 ... DẠNG CÁC NGUY CƠ, ĐIỂM YẾU VÀ LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS 2.1 CÁC NGUY N NHÂN CÓ THỂ GÂY RA CÁC LỖ HỔNG BẢO MẬT Lỗi thân hệ điều hành ( lỗ hổng hệ thống tệp, lỗ hổng chế... (AVAILABILITY) CÁC NGUY N TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS Hình 1.2 – Trang 28/MicrosoftWindows-Security-Essentials CÁC NGUY N TẮC BẢO MẬT TRONG HỆ THỐNG MICROSOFT WINDOWS BẢO MẬT TÍNH BẢO MẬT:... không hợp pháp Lỗ hổng loại A: cảnh báo nguy hiểm cho phép người ngồi hệ thống truy cập hợp pháp vào hệ thống dẫn đến phá hủy hệ thống Nguy n nhân lỗ hổng thường quản trị yếu Những lỗ hổng có