我们常常从 的角度讨论测试安全漏洞,可是我们都忘记了与 一样危险甚至更具破坏性的内部威胁,
维护Windows内部安全
。有时我们认识到内部威胁的存在却又忽略了“注意,你的数据已被非法利用”这样的提示。当你进行内部测试时,一定要将下面常常被忽略的问题添加到测试列表中:
1.共享权限测试、目录权限测试,如果需要还有文件权限测试,确保只有被授权的用户才能阅读、书写或利用系统中的重要信息。不仅要对服务器而且要对工作站进行以上的测试。我在Windows工作站常常发现没有保护的共享和目录――通常是网络上的任何人都能操作。
创建一个简单的域用户,以该用户的身份登陆,看你可以查看、操作什么。你可能会很惊讶。再查看群和用户的共享权限以及NTFS权限。虽然这将是一项非常单调的工作,但是如果你希望系统内部没有隐患,你必须这样做。
进行这项工作最好的方法就使用恰当的工具。图1显示的是DumpSec共享权限功能,图2显示的是LANguard Network Security Scanner的共享工具。以上两个工具都是追踪、审查特定权限的有效工具,否则,你就必须手工追踪审查。
图 1 - DumpSec 能发现不安全的共享权限等。
图 2 - LANguard Network Security Scanner的共享定位能追踪共享权限等。
2.仔细搜集、查找你的共享和目录,发现没有安全保护的重要信息。你可以使用Windows的资源管理器的文本查找功能,不过我更愿意选择免费或更可靠的商业软件,例如Google Desktop Search或如图3中显示的 Effective File Search。输入一些你认为可以定位到重要信息的规则表达式或其它文本,如“dob”代表出生日期,“ssn”代表社会安全代码,看查找工具找到了什么,
电脑资料
《维护Windows内部安全》(http://meiwen.anslib.com)。你也许想通过限制搜索文件的类型来缩短检索时间,如DOC, PDF, TXT, RTF, XLS等。你会发现分散在临时目录、本地工作站的Windows桌面以及文件服务器各个目录下的不安全的重要信息。如果你没有发现不安全的重要信息,可能是由于你检索得不彻底,所以继续使用文本搜索进行查找。
图 3 – 使用文本搜索功能发现分散在网络中的重要信息。
3.将网络分析器连接到骨干网络,看什么正在离开网络。这是另一个测试,它可能会发现存在于你的Windows网络上的问题。你只需要将网络分析器连接到switch的mirror 或span端口(或连接到连接防火墙的本地集线器),看使用了哪些协议、谁是发言最多的人。我喜欢用EtherPeek SE,因为它有一个监控模式,你将没有捕捉信息包的麻烦就可以有总得看法。为了得到好的过程信息,你可以让网络分析器在一天中运行几个小时或几天运行一段时间。不论哪种方法,我坚信你可能会发现那些你从来都不曾想到的雇员们的网络恶作剧。
图4显示的是EtherPeek的可疑协议目录,这些协议本不应该出现在网络中。Hmm――加密POP3 电子邮件, SSH,和AOL实时信息都是来自于同一台实习生的机器?你可能想知道这样的安装之后将会怎样?
图4 – 网络分析器的监控模式能发现你从来没有注意到的网络安全漏洞
最有一个可能出现的问题,虽然不及以上提到的问题可能性大,但是仍有可能发生。这个问题就是内部威胁者非法利用其发现的漏洞,进行快速的网络攻击扫描。利用一些免费的简单工具,扫描一些主机,发现一些漏洞,例如Backup Exec Remote Agent 真实性漏洞。如果攻击者有任何了解他的电脑,他仅仅需要下载并运行Metasploit,并获得访问全系统的远程命令。这仅仅需要3分钟,他就进入了网络!在最近的提示中我已经介绍了怎样使用Metasploit测试安全。
一些试验可能需要一段时间和精力,但我们需要进行这些测试来确保系统远离内部威胁。不过,你不需要每个月、每个季度都进行测试,每年进行一次即可。