在这个PCI DSS的时代,审计要求越来越高,你很可能会从一个更广大,更鲜明的角度重新审视你的windows服务器。
使用那些专门的漏洞扫描工具,如QualysGuard 或者 GFI LANguard,你可以从各个角度检测你的windows服务器,然后找到那些平时没有关注的和不容易找到的漏洞。
但是漏洞扫描工具有一些不可告人的秘密,这些是厂商不愿意让你知道的。事实上,许多-就算不是大多数-扫描工具找到的结果都不如它们所宣传的那样准确。它们很多时候是市场需要所做的夸大或者是人们证明它们的工作价值所做的努力,你必须对漏洞扫描结果采取审慎保留的态度。
我想当我们查看漏洞扫描报告并假设一切都像看起来那么糟糕时,其实只是我们在自我愚弄,并且这还增加了许多不必要的工作量。例如:我的一个客户最近被外部审计公司告知,不管什么情况都必须马上修复所有中、高等优先级(级别3到5)的漏洞扫描结果。真的有这么严重吗!?
一旦遇到一些需要特别技巧的较少执行的操作,基本的windows服务器漏洞扫描就毫无用武之地了。不幸的是,这些扫描还经常被那些对操作系统,应用和黑客技术知识所知甚少的人反复执行。这在某种程度上,就像完全跳过那些训练有素的放射科专家,而由一个护士来解释CT扫描或者MRI的结果一样。我们必须跳出这种心态,它确实错过了全局得出那些“天就要塌了”的审计结果。
最好的办法应该是投放精力用来提高评估windows服务器安全的人员身上。具体可以这样操作:
– 查看实际上哪些漏洞可能被利用-或者说有理由被恶意攻击者利用
– 找到业务环境中最重要的东西
– 决定哪些东西需要重点关注
具体情况各有不同,但是导致最大的风险的是常见的几种类型漏洞。它们可能出现在开发环境或是在网络质量评估环境中,和组织中的其它系统隔离开来,也有可能这些漏洞在一个培训服务器上,而并不在windows域中,并且上面没有任何生产数据。你必须深入调查具体情况。
除了这些常见的问题意外,我看到业务系统还可能会因以下这些情况而受到威胁:
– 没有重命名访客和管理员帐号
– 交换服务器接受纯文本的smtp登陆验证
– 可随意在网络中访问Netbios名
– 用NTLM方式验证IIS配置
这个清单可以列的很长。但是你知道这些项目究竟意味着什么吗?它们真的算是漏洞吗?它们的危险等级和审计员们描述的那些相当吗?
不要再被愚弄了,这一点很重要。如果你从漏洞扫描系统、审计员或者外部顾问/安全公司拿到一份负面报告,请务必询问一下,这些问题在你的环境中产生的原因和过程。你可以撇开那些没用的噪音,对所有已发现漏洞问以下问题:
– 这个风险中是否涉及到敏感信息,如个人身份信息(PII)或者知识产权?
– 是否违反了政策和法规?
– 该漏洞是否会导致进一步的系统攻击?
你必须公平地应对这些问题并给予他们应有的关注。很可能你会发现大多数所谓的问题都没有想象的那么严重。
当你的windows系统真正变的坚固起来并且经受住时间的考验,这时候去要求他们给出一张清晰的评估报告就是水到渠成的事情了。记着用一般的常识和理性的判断-在当今的IT环境中我们真的应该多应用这两个标准来做事。
