常见系统漏洞的处理方案

是否实施 备注
gpupdate /force立即生效
Windows漏洞修复——修改配置
Windows漏洞修复——修改配置 第一步，打开组策略编辑器：gpedit.msc 第二步，找到“计算机配置——windows设置——安全设置——安全选项” 第三步，在安全选项中找到：”系统加密：将FIPS兼容算法用于加密、哈希和签名“（个 版本系统表述方法可能不同，但系统加密选项就几种，针对FIPS就一种，因此不会选错） 第四步，执行gpupdate命令
• 为什么存在安全漏洞？
• 客观上技术实现
Байду номын сангаас• 技术发展局限 • 永远存在的编码失误 • 环境变化带来的动态化
• 主观上未能避免的原因
• 默认配置 • 对漏洞的管理缺乏 • 人员意识
如何解决安全漏洞？
• 一些基本原则
– 服务最小化 – 严格访问权限控制 – 及时的安装补丁 – 安全的应用开发
• 可使用工具和技术
通过上面的方法将linux系统下的telnet服务修改成windows下的telnet服务，从而达 到迷惑黑客的目的。
修改Apache服务banner信息
自动化工具：Banner Edit Tool
修改httpd.conf文件,设置以下选项: ServerTokens ProductOnly ServerSignature Off 关闭trace-method TraceEnable off
1 漏洞扫描原理 2 黑客攻击方式 3 漏洞修复整体方式 4 Windows系统漏洞处理建议 5 Linux发行版漏洞处理建议 6 数据库、网络设备漏洞处理建议 7 漏洞处理方案总结
Linux漏洞综述
查看内核信息 查看所有软件包 查看主机名 查看网络配置 查看路由表 查看开放端口
查看当前进程
uname -a rpm -qa hostname ifconfig -a netstat -rn
• SSH
• SNMP
• SMTP
• NNTP
• DCE/RPC • CGI
• 数据库
• X Window
• 木马和后 • XDMCP
门
• XFS
• IMAP
• Kerberos
• LDAP
• Finger
• ONC/RPC • RTSP
• 远程管理
…
• POP3
1 漏洞扫描原理 2 黑客攻击方式 3 漏洞修复整体方式 4 Windows系统漏洞处理建议 5 Linux发行版漏洞处理建议 6 数据库、网络设备漏洞处理建议 7 漏洞处理方案总结
ServerSignature apache生成的一些页面底部,比如404页面,文件列表页面等等。 ServerTokens指向被用来设置Server的http头回响。设置为Prod可以让HTTP头回响显 示成这样…. Server: Apache apache禁止访问目录列表- 编辑httpd.conf 把下面配置项改成 Options Indexes FollowSymlinks MultiViews Options FollowSymlinks MultiViews 即拿掉Indexes,重新启动apache 隐藏http头信息中看到php的版本信息 在php.ini中设置 expose_php = Off
netstat -an
ps -aux
Linux系统漏洞 Apache应用漏洞 PHP应用漏洞 ……
修 改 Teln et ban n er 信 息
Telnet Banner修改法：
编辑文件/etc/,找到类似这几行（不同版本的Linux内容不太一样）： Red Hat Linux release 8.0(Psyche) Kernel \r on an \m 改成： Microsoft Windows Version 5.00(Build 2195) Welcome to Microsoft Telnet Service Telnet Server Build 5.00.99206.1 由于重启后会自动恢复，为了保护这些伪造的信息，还需要编辑文件 /etc/rc.local， 在这些行前加“#”号，注释掉恢复的功能： #echo””>/etc/issue #echo”$R”>>/etc/issue #echo “Kernel $(uname ?r) on $a $SMP$(umame ?m)”>>/etc/issue #cp-f/etc/issue/etc/ #echo>>/etc/issue
漏洞修复方式
安全性与易用性始终是最大的矛盾
1 漏洞扫描原理 2 黑客攻击方式 3 漏洞修复整体方式 4 Windows系统漏洞处理建议 5 Linux发行版漏洞处理建议 6 数据库、网络设备漏洞处理建议 7 漏洞处理方案总结
Windows漏洞综述
查看系统版本 查看SP版本 查看Hotfix 查看主机名 查看网络配置 查看路由表
系统架构
远程RSAS 汇总服务器
RSAS
Internet
SSL加密通道
Internet RSAS内部模块
被扫描主机
数据汇总
数据同步模块
扫描核心模块
WEB界面模块
Internet
HTTP升级请求
扫描结果库
漏洞知识库
升级服务器
SSL加密通道
Internet
用户
浏览器 HTTPS访问
漏洞扫描技术原理
名词解释 Banner
是否实施 备注
网络访问限制
操作目的 检查方法 加固方法
网络访问限制
开始->运行->secpol.msc ->安全设置->本地策略->安全选项
网络访问: 不允许 SAM 帐户的匿名枚举：启用 网络访问: 不允许 SAM 帐户和共享的匿名枚举：启用 网络访问: 将 “每个人”权限应用于匿名用户：禁用 帐户: 使用空白密码的本地帐户只允许进行控制台登录：启用
ver wmic os get ServicePackMajorVersion wmic qfe get hotfixid,InstalledOn hostname ipconfig /all route print
查看开放端口
netstat -ano
配置型漏洞 通过组策略、注册表等进行配置修改，多数情况下为禁用开放协 议及默认协议； 系统型漏洞 系统自身存在的溢出漏洞、DDOS漏洞等；需通过补丁升级解决；
• 持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤 其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。
绝大多数漏 洞的寿命
少数漏洞的 寿命无限期
绿盟远程安全评估系统
• 依托专业的NSFOCUS安全小组，综合运用信息重整化（NSIP）等多种领先技术，自 动、高效、及时准确地发现网络资产存在的安全漏洞；
Windows漏洞事例
Windows漏洞修复——更新补丁 /zh-cn/security/default.aspx
常见的网络服务关闭方法
操作目的 检查方法 加固方法
关闭不需要的服务，减小风险
开始->运行->services.msc
建议将以下服务停止，并将启动方式修改为手动： Automatic Updates（不使用自动更新可以关闭） Background Intelligent Transfer Service DHCP Client Messenger Remote Registry Print Spooler Server（不使用文件共享可以关闭） Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper
新版本的Linux中，xinetd已经将inetd取代
OpenSSH漏洞分析
OpenSSH修复建议 1：隐藏OpenSSH版本。由于漏扫在针对OpenSSH进行扫描时，先判断SSH服务开启 状况，在进行banner信息的判断，确认系统版本后即报响应版本漏洞。因此，可通过 修改OpenSSH的banner信息进行隐藏，进而避免漏扫对其漏洞的爆出。修改命令如 下 （建议联系系统开发商，并且在测试机上进行试验）： 修改openssh-X.x/version.h 找到#define SSH_VERSION "OpenSSH_6.2" 2：进行OpenSSH版本升级，现有版本最高为6.2。建议升级到6.0以上即可。版本升 级不复杂并且较为有效，但升级过程中会中断SSH业务，因此需慎重考虑。 3：采用iptables，可进行在服务器端的端口访问限制。可限制为只允许小部分维护端 及SSH接收端即可。可有效避免SSH端口对本次检查地址开放，并可对操作系统TTL值 进行修改，避免系统版本泄露。此方法最安全，但需要linux支持iptables。
关闭不常用的服务
操作目的 检查方法
加固方法
是否实施 备注
关闭不必要的服务（普通服务和xinetd服务），降低风险 使用命令“who -r”查看当前init级别 使用命令“chkconfig --list <服务名>”查看所有服务的状态
使用命令“chkconfig --level <init级别> <服务名> on|off|reset” 设置服务在个init级别下开机是否启动
漏洞扫描误报
常规情况下，由于目标设备适用环境的变化，漏洞扫描设备存在一定的误报率，因此部分漏 洞可能误报甚至未被发现，因此要进行周期化的扫描，以降低误报率；
1 漏洞扫描原理 2 黑客攻击方式 3 漏洞修复整体方式 4 Windows系统漏洞处理建议 5 Linux发行版漏洞处理建议 6 数据库、网络设备漏洞处理建议 7 漏洞处理方案总结
2019常见漏洞的处理方案
1 漏洞扫描原理 2 黑客攻击方式 3 漏洞修复整体方式 4 Windows系统漏洞处理建议 5 Linux发行版漏洞处理建议 6 数据库、网络设备漏洞处理建议 7 漏洞处理方案总结
有关安全漏洞的几个问题
• 什么是安全漏洞？
• 在计算机安全学中，存在于一个系统内的弱点或缺陷，系统对一个特 定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。
黑客攻击方式之1——广撒网
黑客攻击方式之2——重点捞鱼
全面渗透
终端
服务器 WEB服务器 数据库服务器
网络系统
• Windows • Linux • AIX • HP • Solaris • NetWare • BSD • 路由器 • 交换机 • 防火墙
…
应用系统
• WWW
• SMB
• FTP
• Kernel
• 提供Open VM（Open Vulnerability Management开放漏洞管理）工作流程平台， 将先进的漏洞管理理念贯穿整个产品实现过程中；
• 专业的Web应用扫描模块，可以自动化进行Web应用、Web 服务及支撑系统等多层 次全方位的安全漏洞扫描，简化安全管理员发现和修复 Web 应用安全隐患的过程。 漏洞管理系统Vulnerability Management System 漏洞评估系统Vulnerability Assessment System 漏洞扫描产品Vulnerability Scanner
理解为系统标识，可表现出系统版本，业务类型等，可理解为“身份证”；
漏洞插件
基于对某个漏洞的有效攻击，除去攻击过程中可导致目标系统受损的单元，剩余的测试步骤 就为一个漏洞插件；
防火墙过滤
防火墙可进行严格的出入栈过滤，但可通过nmap等攻击进行绕过探测；
数据库版本
默认情况下数据库无法进行版本更新等；并且针对数据库绝大部分为DDOS、溢出等攻击， 因此极少存在漏洞插件。大多数数据库漏洞通过数据库banner进行判定；
是否实施 备注
其他不需要的服务也应该关闭
默认共享
操作目的 检查方法
加固方法
关闭默认共享
开始->运行->cmd.exe->net share，查看共享
关闭C$，D$等默认共享 开始->运行->regedit->找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanman server\parameters ，新建AutoShareServer（REG_DWORD），键值为0
– 安全评估与扫描工具 – 补丁管理系统 – 代码审计
漏洞的可利用性
• 可利用性：80%的利用漏洞的攻击发生在前两个半衰 期内，85%的破坏来自于漏洞攻击开始的15天的自动 化攻击，并且会不断持续，直到该漏洞的影响消失。
漏洞的流行性和持续性
• 流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后 这些漏洞将被一些新的流行高危漏洞所替代。