亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        防止SQL漏洞的最佳策略

        2016-11-26 02:06:58
        網(wǎng)絡(luò)安全和信息化 2016年3期
        關(guān)鍵詞:白名單特權(quán)攻擊者

        由于管理SQL注入頗為復(fù)雜,并且使漏洞利用過(guò)程自動(dòng)化的大量工具幾乎都可免費(fèi)獲得,所以惡意攻擊者將繼續(xù)利用SQL注入漏洞對(duì)付面向公眾的網(wǎng)站,作為其獲取關(guān)鍵基礎(chǔ)架構(gòu)系統(tǒng)和網(wǎng)絡(luò)的一種方式。

        與其它網(wǎng)絡(luò)漏洞利用的復(fù)雜方法相比,SQL注入所使用的技術(shù)相對(duì)易于學(xué)習(xí)。它易于實(shí)施,但其造成的危害卻可能會(huì)使系統(tǒng)完全癱瘓,面向互聯(lián)網(wǎng)的企業(yè)仍極易遭受這種攻擊。訪(fǎng)問(wèn)遭受損害網(wǎng)站的訪(fǎng)問(wèn)者有可能無(wú)意識(shí)中安裝了惡意代碼,并被重定向到一個(gè)惡意網(wǎng)站,損害其系統(tǒng)中的其它漏洞,或其系統(tǒng)被用于攻擊第三方網(wǎng)站。受感染數(shù)據(jù)的業(yè)務(wù)價(jià)值和敏感性決定了SQL注入損害的長(zhǎng)期影響,并隨著每個(gè)被損害對(duì)象和每次損害而變化。由于這些漏洞的持續(xù)流行,如今的有許多工具都可以使SQL漏洞的利用更容易,這些工具的傳播對(duì)于理解關(guān)鍵基礎(chǔ)架構(gòu)的當(dāng)前風(fēng)險(xiǎn)非常有益。

        一個(gè)案例

        A公司有一個(gè)存在多年的購(gòu)物網(wǎng)站,當(dāng)然,其多數(shù)客戶(hù)使用的是一個(gè)更新的更安全的網(wǎng)站。在搭建新網(wǎng)站時(shí),許多客戶(hù)并不遵循新網(wǎng)站的數(shù)據(jù)處理和加密需求,所以老購(gòu)物網(wǎng)站被用于適應(yīng)這些客戶(hù)。

        隨著越來(lái)越多的客戶(hù)使用新網(wǎng)站,在服務(wù)等級(jí)合約到期后,對(duì)老網(wǎng)站的維護(hù)也就終止了。此外,由于多數(shù)通信被集中到新網(wǎng)站,管理員開(kāi)始將其努力更多地放在新網(wǎng)站,最終完全忘記了老的購(gòu)物網(wǎng)站。但是,它仍位于互聯(lián)網(wǎng)上,企業(yè)也不再管理它,不為它打補(bǔ)丁,幾乎把它忘掉,但它仍有連接到內(nèi)部網(wǎng)絡(luò)的關(guān)鍵連接。

        此外,由于老購(gòu)物網(wǎng)站仍在使用,該公司的基礎(chǔ)架構(gòu)(DMZ、防火墻)需要進(jìn)行配置,以使系統(tǒng)(僅使用簡(jiǎn)單的加密和認(rèn)證協(xié)議)能夠到達(dá)后端數(shù)據(jù)庫(kù)。這會(huì)導(dǎo)致企業(yè)的架構(gòu)產(chǎn)生多個(gè)安全漏洞。

        同時(shí),正準(zhǔn)備攻擊某個(gè)主要防御代理服務(wù)器的攻擊者了解到該代理服務(wù)器與A公司有連接。攻擊者判定到達(dá)防御代理服務(wù)器的最佳方法是利用A公司的防御漏洞,并開(kāi)始執(zhí)行對(duì)A公司的網(wǎng)絡(luò)偵察,知道了到該公司公開(kāi)注冊(cè)的IP地址空間,利用自動(dòng)的Web漏洞掃描器掃描A公司所有面向公眾的機(jī)器。

        攻擊者很快就發(fā)現(xiàn)了有漏洞的老購(gòu)物網(wǎng)站,并利用了一個(gè)可免費(fèi)獲得的SQL注入漏洞工具,進(jìn)而獲得了后端數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)。攻擊者很快地就向數(shù)據(jù)庫(kù)服務(wù)器上傳了特權(quán)提升和憑據(jù)竊取工具,利用DMZ和防火墻中的漏洞,然后,就可以訪(fǎng)問(wèn)管理員的登錄憑據(jù),創(chuàng)建其自己的管理員賬戶(hù),并且上傳后門(mén)文件,以便于以后隨意進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn),并可以在網(wǎng)絡(luò)中跳轉(zhuǎn)。由于A(yíng)公司網(wǎng)絡(luò)的架構(gòu)存在這種缺陷,所以攻擊者能夠訪(fǎng)問(wèn)整個(gè)網(wǎng)絡(luò),并隨意訪(fǎng)問(wèn)任何機(jī)器和上傳自己需要的任何工具或程序。攻擊者還可以控制整個(gè)網(wǎng)絡(luò),洞悉A公司與主要防御代理服務(wù)器的連接,并將訪(fǎng)問(wèn)A公司網(wǎng)絡(luò)當(dāng)作一個(gè)跳板??梢哉f(shuō),SQL注入攻擊代表著任何由數(shù)據(jù)庫(kù)驅(qū)動(dòng)網(wǎng)站的嚴(yán)重威脅。其背后的方法易于學(xué)習(xí),而其造成的危害卻相當(dāng)巨大。雖然有這些風(fēng)險(xiǎn),但網(wǎng)絡(luò)上仍有大量的系統(tǒng)易于遭受這種攻擊。但是,管理員通過(guò)計(jì)劃和正確的實(shí)施,幾乎可以完全預(yù)防這種威脅。

        SQL注入攻擊由SQL查詢(xún)的注入組成,它通過(guò)由客戶(hù)端向應(yīng)用程序輸入數(shù)據(jù)來(lái)實(shí)施。成功的SQL注入可以從數(shù)據(jù)庫(kù)中讀取敏感數(shù)據(jù),修改(插入、更新、刪除)數(shù)據(jù)庫(kù)的數(shù)據(jù)、對(duì)數(shù)據(jù)庫(kù)執(zhí)行管理操作(如關(guān)閉數(shù)據(jù)庫(kù)管理系統(tǒng))、恢復(fù)數(shù)據(jù)庫(kù)管理系統(tǒng)中特定文件的內(nèi)容,有時(shí)還可以向操作系統(tǒng)發(fā)布命令。

        圖1顯示了前文所述的攻擊者最終完全損害網(wǎng)絡(luò)的步驟及其影響,也列舉了企業(yè)可用以對(duì)付攻擊的可擴(kuò)展防御。

        許多企業(yè)的網(wǎng)絡(luò)實(shí)施了其中的部分防御;為更好地保護(hù)網(wǎng)絡(luò)資源,企業(yè)應(yīng)盡量多地實(shí)施防御。企業(yè)必須使用深度防御策略來(lái)防御攻擊的所有階段。

        防御

        1.使用Web漏洞掃描工具查找和修復(fù)漏洞

        這種方法可以使網(wǎng)絡(luò)所有者看出哪里易受攻擊。但這種方法需要花費(fèi)不少時(shí)間并要求一定的技巧,而且掃描有可能引起不必要的警告。

        網(wǎng)絡(luò)所有者和操作人員都應(yīng)當(dāng)對(duì)其網(wǎng)絡(luò)的狀態(tài)保持警惕。很重要的一點(diǎn)是,系統(tǒng)管理員使用可靠的漏洞掃描器,并制定和實(shí)施可以?huà)呙杷泄瞁eb服務(wù)器的計(jì)劃,能夠查找常見(jiàn)漏洞。在發(fā)現(xiàn)漏洞后,管理人員應(yīng)當(dāng)修復(fù)系統(tǒng)或打補(bǔ)丁。對(duì)于那些安裝老Web應(yīng)用程序的網(wǎng)絡(luò)來(lái)說(shuō),這尤其重要,因?yàn)殡S著網(wǎng)站越來(lái)越老,會(huì)有越來(lái)越多的漏洞被發(fā)現(xiàn)或暴露。

        為實(shí)現(xiàn)更強(qiáng)健的防御,建議企業(yè)掃描如下漏洞或缺陷:SQL注入、本地文件包含、跨站腳本攻擊、一般的編碼和輸入錯(cuò)誤。

        2.實(shí)施Web應(yīng)用防火墻和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

        在SQL服務(wù)器前面實(shí)施Web應(yīng)用防火墻和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以防止或阻止多種常見(jiàn)的注入企圖。

        雖然修復(fù)Web應(yīng)用程序中的SQL注入漏洞很重要,但Web應(yīng)用防火墻可用作一種防止SQL注入企圖的重要措施。使用Web防火墻時(shí),白名單是一種重要技術(shù),因?yàn)楣粽呖偸窃O(shè)法找到繞過(guò)黑名單的方法。

        通過(guò)SQL注入,攻擊者可以使用三種主要方法破壞系統(tǒng):

        方法一,代碼的執(zhí)行特權(quán)(mysql中的存儲(chǔ)過(guò)程、oracle中java函數(shù)的創(chuàng)建、sql server中xp_cmdshell等等)

        如果攻擊者可以通過(guò)數(shù)據(jù)庫(kù)直接執(zhí)行文件系統(tǒng)上的命令,而數(shù)據(jù)庫(kù)用戶(hù)又擁有系統(tǒng)的“執(zhí)行”特權(quán),攻擊者就有能力看到并執(zhí)行他期望的任何操作。因?yàn)樵试S用戶(hù)地執(zhí)行“dir”命令是很危險(xiǎn)的,所以請(qǐng)不要將“執(zhí)行”特權(quán)交給普通的數(shù)據(jù)庫(kù)用戶(hù)。

        方法二,寫(xiě)入或讀取文件系統(tǒng)上的文件(“INTO OUTFILE”命令)

        如果攻擊者擁有文件系統(tǒng)的寫(xiě)入許可,他就可以在網(wǎng)站上創(chuàng)建可執(zhí)行文件,并通過(guò)瀏覽器向其發(fā)送命令。

        方法三,竊取SSH或telnet的登錄憑證

        這并不是一種通過(guò)數(shù)據(jù)庫(kù)對(duì)系統(tǒng)攻擊的直接方法,而是一種獲取登錄憑據(jù)的方法,這種憑據(jù)可通過(guò)其它方式(SSH、telnet)用于登錄嘗試。

        3.強(qiáng)化Web應(yīng)用

        強(qiáng)化Web應(yīng)用是防止漏洞被利用的最有效方法,但這種方法的使用要求進(jìn)行測(cè)試,并往往需要重新編碼和對(duì)Web應(yīng)用進(jìn)行維護(hù)。

        不安全的購(gòu)物網(wǎng)站在攻擊者的攻擊中扮演著一種重要角色,尤其需要注意的是,這種網(wǎng)站可以充當(dāng)進(jìn)入后端數(shù)據(jù)庫(kù)的通道。強(qiáng)化這些Web應(yīng)用是防止入侵的一種關(guān)鍵措施,這應(yīng)當(dāng)成為每個(gè)企業(yè)全局操作和減輕威脅策略的一部分。

        雖然SQL注入可能允許攻擊者竊取數(shù)據(jù),甚至刪除企業(yè)的數(shù)據(jù)庫(kù),但企業(yè)應(yīng)當(dāng)部署恰當(dāng)?shù)目刂?,目的是為了防止攻擊者“脫離”數(shù)據(jù)庫(kù)本身而進(jìn)入網(wǎng)絡(luò)。如果企業(yè)正在使用SQL Server,就要確保Web用戶(hù)的許可盡可能受到限制。要保證數(shù)據(jù)庫(kù)用戶(hù)賬戶(hù)并沒(méi)有給與系統(tǒng)特權(quán),因?yàn)檫@是攻擊者脫離數(shù)據(jù)庫(kù)進(jìn)入網(wǎng)絡(luò)的主要方法之一。

        對(duì)于SQL Server而言,管理員應(yīng)當(dāng)關(guān)注如下問(wèn)題,一是要保證SA賬戶(hù)有一個(gè)強(qiáng)健的口令,二是要清除SQL的臨時(shí)用戶(hù)賬戶(hù),三是要清除BUILTINAdministrators的服務(wù)器登錄,四是不能將許可授與公共角色。

        許多攻擊者使用SQL注入獲得數(shù)據(jù)庫(kù)用戶(hù)的登錄憑據(jù),其目的是使用這些憑據(jù)和SSH(或telnet)進(jìn)入系統(tǒng)。管理員要確保數(shù)據(jù)庫(kù)用戶(hù)賬戶(hù)的口令不同于系統(tǒng)的特權(quán)賬戶(hù)的口令,用以避免攻擊者進(jìn)入系統(tǒng);還要保證所有的口令滿(mǎn)足最佳實(shí)踐所要求的復(fù)雜性,并改變數(shù)據(jù)庫(kù)賬戶(hù)上的所有默認(rèn)口令。如果企業(yè)還沒(méi)有加密數(shù)據(jù)庫(kù)或哈希用戶(hù)的口令,應(yīng)立即修復(fù)。

        以下措施的目的在于減輕SQL注入的威脅、文件上傳、命令執(zhí)行以及其它已知的Web服務(wù)器漏洞。管理員必須注意,除傳統(tǒng)的服務(wù)器、桌面之外,開(kāi)發(fā)和測(cè)試環(huán)境往往運(yùn)行可公共訪(fǎng)問(wèn)的服務(wù)器,如果這些服務(wù)器被利用了漏洞,也會(huì)導(dǎo)致網(wǎng)絡(luò)攻擊和破壞。

        不同的企業(yè)和角色都要積極地保證Web應(yīng)用程序的安全。下面的這些減輕威脅的措施可根據(jù)不同的企業(yè)和角色進(jìn)行分組,并根據(jù)具體的企業(yè)結(jié)構(gòu)和本地策略而變化。

        SA應(yīng)實(shí)施的減輕威脅的措施包括:確認(rèn)企業(yè)網(wǎng)絡(luò)上的所有Web服務(wù)器和Web應(yīng)用,并保證其管理控制臺(tái)的安全;使正在運(yùn)行的Web服務(wù)器和Web應(yīng)用的數(shù)量最小化;強(qiáng)化系統(tǒng),減少漏洞被利用的機(jī)會(huì),使攻擊者破壞系統(tǒng)的影響最小化;啟用日志,經(jīng)常檢查日志。

        與SA和開(kāi)發(fā)人員有關(guān)的減輕威脅的措施有:實(shí)施Web應(yīng)用防御,其方法是投資購(gòu)買(mǎi)Web應(yīng)用防火墻,打開(kāi)URL掃描或其它Web過(guò)濾器選項(xiàng);限制攻擊者所造成的損害,要點(diǎn)是確保所有的Web應(yīng)用都通過(guò)最少特權(quán)進(jìn)行連接,限制并監(jiān)視在所有可訪(fǎng)問(wèn)的Web目錄中的文件創(chuàng)建;減少攻擊者的成功機(jī)會(huì),其方法是限制可以使用的字符輸入集,并設(shè)置最大的參數(shù)大小,從Web服務(wù)器中移除非必須的HTTP命令;運(yùn)行Web應(yīng)用漏洞掃描器,確認(rèn)漏洞。Web應(yīng)用開(kāi)發(fā)人員可實(shí)施的減輕威脅的措施包括三方面:確認(rèn)已部署的代碼,要確保運(yùn)行在網(wǎng)站上的所有代碼都是最新版本;用最佳方法編程;執(zhí)行定期的代碼檢查,即檢查Web應(yīng)用源代碼中的漏洞。

        4.實(shí)施應(yīng)用程序白名單

        應(yīng)用程序白名單是一種主動(dòng)的安全技術(shù),它僅允許經(jīng)許可的有限的程序運(yùn)行,同時(shí)默認(rèn)地阻止所有的其它程序(包括多數(shù)惡意軟件)。相比之下,多數(shù)操作系統(tǒng)所實(shí)施的標(biāo)準(zhǔn)策略允許所有用戶(hù)下載并運(yùn)行大量非授權(quán)的(或惡意的)應(yīng)用程序。應(yīng)用程序的白名單僅準(zhǔn)許管理員而不是用戶(hù)來(lái)決定運(yùn)行哪些程序運(yùn)行。

        基于路徑的應(yīng)用程序白名單僅允許從文件系統(tǒng)中的特定位置運(yùn)行程序。這種方法不需要確認(rèn)每個(gè)獨(dú)立程序和可執(zhí)行庫(kù)。管理員必須保護(hù)路徑,只有獲得授權(quán)的管理員可以安裝或修改文件,防止標(biāo)準(zhǔn)用戶(hù)和惡意活動(dòng)繞過(guò)應(yīng)用程序的白名單策略。這些規(guī)則對(duì)系統(tǒng)性能的影響最小,并允許多數(shù)程序?qū)嵤└潞痛蜓a(bǔ)丁,而不需要變更任何規(guī)則,同時(shí)可以防止新的未授權(quán)程序和多數(shù)最新的惡意軟件?;谖募膽?yīng)用白名單可以使管理員根據(jù)文件名決定允許哪些文件運(yùn)行。有些應(yīng)用程序有可能并不位于由基于位置的應(yīng)用白名單所確定的位置,用基于文件的白名單可以使管理員允許位于這些位置的文件運(yùn)行。但由于文件名易被欺騙(篡改),實(shí)施應(yīng)用白名單的更安全方法是基于哈希的方法。在這種方法中,文件的哈希被用于指定是否允許一個(gè)文件運(yùn)行。由于哈希不易被欺騙,所以這種方法可用于向應(yīng)用白名單策略提供更高的精細(xì)度和特異性。不過(guò),這種方法還要求更多的工作,才能確保文件的哈希保持更新。

        對(duì)于微軟的一些較新的操作系統(tǒng),AppLocker是一種內(nèi)建的特性,它可以強(qiáng)化由管理員定義的白名單策略。AppLocker策略可通過(guò)標(biāo)準(zhǔn)的Windows組策略管理應(yīng)用進(jìn)行創(chuàng)建和管理。AppLocker可用于Windows Server 2012、Windows Server 2008 R2、Windows 8、Windows 7等操作系統(tǒng)。此外,有些主機(jī)入侵防御系統(tǒng)產(chǎn)品還可以執(zhí)行應(yīng)用白名單功能。

        5.實(shí)施主機(jī)入侵防御系統(tǒng)

        實(shí)施這種系統(tǒng)可以更廣泛進(jìn)行保護(hù),并可以限制惡意軟件的行為。但主機(jī)入侵防御系統(tǒng)較難以建立,并需要耗費(fèi)較多時(shí)間進(jìn)行監(jiān)視和管理。

        計(jì)算機(jī)和系統(tǒng)安全的一個(gè)基本目標(biāo)就是保持每一臺(tái)主機(jī)的健康運(yùn)行或完整性,而主機(jī)入侵防御系統(tǒng)可用于保護(hù)主機(jī)的完整性。在企業(yè)的部署中,主機(jī)入侵防御系統(tǒng)是集中管理的,而SA(超級(jí)管理員)會(huì)將策略和規(guī)則發(fā)布給每一臺(tái)主機(jī)。主機(jī)上惡意或異常行為都被反饋給管理系統(tǒng),進(jìn)而據(jù)以采取行動(dòng)。

        為保證其有效性,非常關(guān)鍵的一點(diǎn)是主機(jī)入侵防御系統(tǒng)要擁有一套定義精細(xì)的策略或規(guī)則。廠(chǎng)商在其產(chǎn)品中定義了許多規(guī)則,但是要由SA調(diào)整這些策略才能滿(mǎn)足其具體的環(huán)境和解決所面臨的特定風(fēng)險(xiǎn)。有些規(guī)則可能與業(yè)務(wù)操作相沖突,因而企業(yè)最好在測(cè)試網(wǎng)絡(luò)中測(cè)試所有的規(guī)則,在將其安裝到生產(chǎn)網(wǎng)絡(luò)中之前,先模擬生產(chǎn)環(huán)境。如果某條規(guī)則的變更影響了生產(chǎn)環(huán)境,企業(yè)就應(yīng)創(chuàng)建一種例外規(guī)則,重新定義規(guī)則直至沒(méi)有沖突產(chǎn)生,或者完全禁用規(guī)則。為使主機(jī)入侵防御系統(tǒng)的有效性最大化,并減少花費(fèi)在部署主機(jī)入侵防御系統(tǒng)上的時(shí)間,企業(yè)應(yīng)預(yù)先構(gòu)建一個(gè)可管理的網(wǎng)絡(luò)。這包括移除或卸載不必要的應(yīng)用,清除或禁用不必要的服務(wù),并確認(rèn)不正常的網(wǎng)絡(luò)通信的源頭。

        多數(shù)主機(jī)入侵防御系統(tǒng)都有一種學(xué)習(xí)模式,它可以使設(shè)備被動(dòng)地監(jiān)視網(wǎng)絡(luò)通信,以便于決定應(yīng)用程序如何實(shí)現(xiàn)功能以及什么才是正常通信。這種模式最好用于未遭受破壞的環(huán)境中。

        6.控制管理特權(quán)

        控制管理特權(quán)可以減少特權(quán)賬戶(hù)的暴露程度,并限制惡意軟件的訪(fǎng)問(wèn),但有可能導(dǎo)致用戶(hù)的抱怨,并有可能喪失一些靈活性。計(jì)算機(jī)系統(tǒng)的管理特權(quán)可以使用戶(hù)訪(fǎng)問(wèn)多數(shù)用戶(hù)無(wú)法訪(fǎng)問(wèn)的資源,并可以執(zhí)行本應(yīng)受到限制的操作。如果企業(yè)沒(méi)有正確地管理這種管理特權(quán),特權(quán)的授權(quán)面又很大,再加上沒(méi)有嚴(yán)格的審核,攻擊者就能夠利用這種漏洞,并輕而易舉地在網(wǎng)絡(luò)中遷移。獲得管理特權(quán)一般都通過(guò)一種被稱(chēng)為“特權(quán)提升”的技術(shù)而實(shí)現(xiàn)。特權(quán)提升是利用漏洞和設(shè)計(jì)缺陷的一種操作,它也能夠利用操作系統(tǒng)或應(yīng)用軟件中的配置錯(cuò)誤,進(jìn)而訪(fǎng)問(wèn)普通用戶(hù)無(wú)法訪(fǎng)問(wèn)的資源。對(duì)管理特權(quán)的管理不善可以使攻擊者更容易地執(zhí)行這種技術(shù)。

        非常重要的一點(diǎn)是,企業(yè)部署正確的控制可以防止攻擊者利用數(shù)據(jù)庫(kù)進(jìn)入網(wǎng)絡(luò)。如果企業(yè)正使用SQL Server,就應(yīng)確保Web用戶(hù)的許可盡可能受到限制。還要保證數(shù)據(jù)庫(kù)用戶(hù)的賬戶(hù)不會(huì)得到系統(tǒng)特權(quán),因?yàn)檫@是攻擊者利用數(shù)據(jù)庫(kù)進(jìn)入網(wǎng)絡(luò)的主要方法之一。

        在此,筆者提供如下建議:

        將企業(yè)管理員與域管理員分離開(kāi);如果有可能,將活動(dòng)目錄的管理員賬戶(hù)從企業(yè)管理員賬戶(hù)和域管理員賬戶(hù)分離開(kāi);不要允許本地賬戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò),要從這些賬戶(hù)尤其是管理員賬戶(hù)中清除網(wǎng)絡(luò)交互登錄特權(quán)或遠(yuǎn)程交互登錄特權(quán);如果無(wú)法實(shí)現(xiàn)物理管理,應(yīng)將遠(yuǎn)程登錄限制給少數(shù)特權(quán)用戶(hù),并且僅允許從安全有保障的工作站進(jìn)行訪(fǎng)問(wèn);禁止本地賬戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò);限制特權(quán)賬戶(hù)可以訪(fǎng)問(wèn)的系統(tǒng),對(duì)這些高級(jí)特權(quán)賬戶(hù)進(jìn)行限制,使其只能登錄到安全系統(tǒng);從本地管理員組中清除標(biāo)準(zhǔn)用戶(hù),不要將本地管理員組的成員資格授與標(biāo)準(zhǔn)用戶(hù)賬戶(hù);確保管理員賬戶(hù)不能擁有電子郵件賬戶(hù)或互聯(lián)網(wǎng)的訪(fǎng)問(wèn);遵循最小特權(quán)原則,僅給與用戶(hù)只能完成其工作的許可;使用多因素認(rèn)證,為許可用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源,要使其證明自己的身份;要有效的管理口令,管理員賬戶(hù)的口令應(yīng)當(dāng)保證復(fù)雜性,要包含由字母、數(shù)字、特別字符的組合,而且至少包含14個(gè)字符;要求所有的管理員賬戶(hù)和其它特權(quán)賬戶(hù)經(jīng)常變更口令;指定專(zhuān)用系統(tǒng),管理活動(dòng)目錄并阻止通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)這些系統(tǒng);禁止企業(yè)管理員和域管理員的服務(wù)登錄;禁用企業(yè)和域管理員的本地登錄;從本地管理員組清除企業(yè)和域管理員組;禁止委托特權(quán)賬戶(hù);審查活動(dòng)目錄用戶(hù)和計(jì)算機(jī)中的所有特權(quán)賬戶(hù)的屬性。

        7.限制工作站之間的通信

        這種方法的好處是減少哈希傳遞的技術(shù),但設(shè)置難度較大,且有時(shí)會(huì)造成一些網(wǎng)絡(luò)中斷。準(zhǔn)許工作站之間的通信可以使網(wǎng)絡(luò)攻擊者輕易地?cái)U(kuò)展到多個(gè)系統(tǒng),并可以在網(wǎng)絡(luò)內(nèi)建立一種有效的陣地,然后,攻擊者還可以建立進(jìn)出網(wǎng)絡(luò)的多種通信通道或后門(mén),便于其日后的持久訪(fǎng)問(wèn)。

        對(duì)攻擊者來(lái)說(shuō),高價(jià)值的系統(tǒng)可能更難以訪(fǎng)問(wèn)和利用其漏洞,所以攻擊者會(huì)企圖在網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動(dòng)(從網(wǎng)絡(luò)內(nèi)的一個(gè)工作站跳轉(zhuǎn)到另一個(gè)工作站),其目標(biāo)是找到進(jìn)入這些目標(biāo)的方法。攻擊者可以使用多種方法在網(wǎng)絡(luò)中水平移動(dòng),例如,他可以通過(guò)連接到工作站上一個(gè)開(kāi)放的保護(hù)不善的共享目錄,或者通過(guò)一種更具有破壞性的哈希傳遞方法。

        所有實(shí)施單點(diǎn)登錄環(huán)境中都存在一種嚴(yán)重漏洞:哈希傳遞以及重新利用合法憑據(jù)的其它形式。例如,在Windows、Linux 7、Mac 8中。哈希傳遞可以使攻擊者再次利用合法的管理員或用戶(hù)憑據(jù),從網(wǎng)絡(luò)上的一個(gè)系統(tǒng)移動(dòng)到另一個(gè)系統(tǒng),卻無(wú)需破解口令。在攻擊者破壞了一臺(tái)主機(jī)后,他就可以重新利用竊取的哈希憑據(jù)進(jìn)而擴(kuò)展到網(wǎng)絡(luò)上的其它系統(tǒng),訪(fǎng)問(wèn)特權(quán)用戶(hù)的工作站,獲取域管理員的登錄憑據(jù),然后控制整個(gè)網(wǎng)絡(luò)環(huán)境。

        利用防火墻規(guī)則限制通信,主要是設(shè)置Windows防火墻規(guī)則,特別是通過(guò)組策略防止工作站之間的通信。其關(guān)鍵是打開(kāi)并啟用Windows防火墻或類(lèi)似產(chǎn)品,還要設(shè)置防火墻,用以阻止非主動(dòng)請(qǐng)求的進(jìn)入連接。如果企業(yè)還使用了其它防火墻,還要對(duì)其進(jìn)行同樣的設(shè)置。

        企業(yè)必須控制管理特權(quán),即要實(shí)施最少特權(quán)的管理模式,僅授與用戶(hù)完成其工作所必需的特權(quán),并通過(guò)限制特權(quán)憑證的使用方式和使用地點(diǎn)來(lái)實(shí)施保護(hù)。管理人員還要利用私有VLAN從邏輯上隔離網(wǎng)段,即通過(guò)端口限制實(shí)施私有VLAN。

        8.隔離網(wǎng)絡(luò)和功能

        網(wǎng)絡(luò)由具有不同功能、目的、敏感程度的互聯(lián)設(shè)備組成,網(wǎng)絡(luò)也可能由多個(gè)網(wǎng)絡(luò)分段組成,這些網(wǎng)段包含Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、開(kāi)發(fā)環(huán)境以及將不同部分連接起來(lái)的基礎(chǔ)設(shè)施。由于這些網(wǎng)段有不同的功能和安全問(wèn)題,所以正確地隔離不同的網(wǎng)段對(duì)于防止網(wǎng)絡(luò)遭受漏洞利用和惡意企圖非常重要。如果攻擊者能夠獲得訪(fǎng)問(wèn),而網(wǎng)絡(luò)又沒(méi)有正確分段,他就能夠擴(kuò)展其訪(fǎng)問(wèn),并在網(wǎng)絡(luò)中自由移動(dòng)。在將網(wǎng)絡(luò)隔離成小的部分并限制不同部分的通信時(shí),攻擊者的訪(fǎng)問(wèn)范圍就受到了限制,而且他在網(wǎng)絡(luò)中橫向移動(dòng)也受到嚴(yán)格限制。

        阻止入侵者進(jìn)一步訪(fǎng)問(wèn)網(wǎng)絡(luò)的能力對(duì)于保護(hù)敏感信息和更輕松地修復(fù)危害是至關(guān)重要的。限制設(shè)備的通信可以更好地監(jiān)視和發(fā)現(xiàn)入侵者從一個(gè)領(lǐng)域擴(kuò)展到另一個(gè)領(lǐng)域的企圖。

        為此,筆者提供如下建議:

        1.如果有可能盡可能從物理上隔離網(wǎng)段,敏感功能應(yīng)當(dāng)擁有與遠(yuǎn)程或可公共訪(fǎng)問(wèn)的Web環(huán)境相分離的基礎(chǔ)架構(gòu)中。

        2.利用私有VLAN從邏輯上隔離網(wǎng)段。利用支持端口限制的私有VLAN,防止主機(jī)與同一子網(wǎng)上的其它主機(jī)通信。

        3.利用VPN,建立通過(guò)公共或私有網(wǎng)絡(luò)的隧道,安全地?cái)U(kuò)展主機(jī)或網(wǎng)絡(luò)。

        4.利用虛擬路由轉(zhuǎn)發(fā)(VRF)對(duì)虛擬基礎(chǔ)架構(gòu)上的網(wǎng)絡(luò)進(jìn)行分段,并且將網(wǎng)絡(luò)通信隔離成不同的區(qū)域。

        5.在隔離的網(wǎng)絡(luò)和功能中保護(hù)敏感賬戶(hù),限制這些特權(quán)賬戶(hù)和憑據(jù)可以進(jìn)一步阻止未授權(quán)的訪(fǎng)問(wèn)。

        “千里之堤,毀于蟻穴”。SQL注入漏洞有可能被攻擊者利用來(lái)進(jìn)入并破壞整個(gè)企業(yè)的網(wǎng)絡(luò)資源。安全管理者只有防微杜漸,實(shí)施深度防御,從物理上和邏輯上雙管齊下,才能真正有效地保護(hù)網(wǎng)絡(luò),真正將攻擊者阻擋于網(wǎng)絡(luò)之外。

        猜你喜歡
        白名單特權(quán)攻擊者
        基于白名單的車(chē)道工控系統(tǒng)信息安全解決方案
        無(wú)聊是一種特權(quán)
        好日子(2022年3期)2022-06-01 15:58:27
        基于微分博弈的追逃問(wèn)題最優(yōu)策略設(shè)計(jì)
        核電廠(chǎng)儀控系統(tǒng)安全防護(hù)策略研究及應(yīng)用
        正面迎接批判
        愛(ài)你(2018年16期)2018-06-21 03:28:44
        有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
        試論現(xiàn)階段特權(quán)問(wèn)題及其治理
        公布洋大學(xué)“白名單”遠(yuǎn)遠(yuǎn)不夠
        『人大代表』不該成為特權(quán)符號(hào)
        浙江人大(2014年6期)2014-03-20 16:20:42
        “訂單培養(yǎng)”不能成為“特權(quán)培養(yǎng)”
        av手机在线观看不卡| 人妻少妇无码中文幕久久| 亚洲天堂免费一二三四区| 亚洲av男人的天堂一区| 女女女女女裸体处开bbb| 欧美午夜一区二区福利视频| 久久99老妇伦国产熟女高清| 一本色道久久88加勒比综合| 日本天堂免费观看| 天天躁日日躁狠狠躁人妻| 天堂AV无码AV毛片毛| 久久久大少妇免费高潮特黄| 亚洲av综合色区| 乌克兰少妇xxxx做受6| 中文字幕一区二区网站| 男人天堂亚洲天堂av| 国产又色又爽又高潮免费视频麻豆 | 婷婷久久香蕉五月综合加勒比| 中文字幕亚洲欧美日韩2019| 亚洲熟妇大图综合色区| 午夜视频一区二区三区在线观看| 亚洲国产一二三精品无码| 免费黄色电影在线观看| 国产三级国产精品三级在专区| 国产免费一区二区在线视频| 曰韩亚洲av人人夜夜澡人人爽| 激情五月婷婷综合| 伊人久久大香线蕉综合av| 午夜天堂av天堂久久久| 国产精品免费久久久久影院仙踪林 | 亚洲欧美国产精品久久| 丰满人妻妇伦又伦精品国产 | 超级乱淫片国语对白免费视频| 在线观看热码亚洲av每日更新| 国产精品视频流白浆免费视频| 国产精品国产三级在线专区| 亚洲中国精品精华液| 7777精品伊人久久久大香线蕉| 亚洲免费毛片网| 男女av免费视频网站| 国产免费av片在线观看|