測試助你保護Windows網絡內部安全
人們常說要從黑客的角度來檢測網絡安全漏洞,但請記住重要的一點:內部人士中的流氓可能跟黑客造成一樣的危害,甚至更為嚴重。
為了更好地從內部保護網絡安全,您的測試任務清單中還需添加以下內容:
1、共享、目錄和(有需要時)文件權限的測試可以確保只有授權用戶才可以對系統中的敏感信息進行讀、寫或進行其它操作。服務器和工作站都需要進行此項測試。 我碰到過一些在Windows工作站打開許多共享和未受保護目錄的情況,網絡上的任何人都可以對這些目錄進行任意操作。
要測試這些工作站,您需要創建一個新的普通域用戶(plain-vanilla domain user),并用該用戶進行登錄,看看您都能做些什么。您所見到的很可能會讓您有驚無喜。
另外,請詳細查看群組和用戶的顯式共享(explicit share)和NTFS權限。這項工作可能非常乏味,但只有這樣做才能確保系統鎖定,不會被未經授權的內部用戶濫用。最簡單的辦法是使用相關的工具,如DumpSec的共享權限功能(如圖1)和LANguard的共享查找工具(Share Finder)(如圖2)。這些工具都非常適合追蹤和審計特定的權限,這些工作如果由人工來完成則需要很長的時間。
圖1
圖2
2、深入挖掘并搜尋您的共享和目錄中沒有得到適當保護的敏感信息。雖然Windows資源管理器(Windows Explorer)提供了文本搜索能力,但我更喜歡免費軟件或商業軟件,因為它們更迅速、功能更強大,例如谷歌桌面搜索、文件定位專家(FileLocator Pro)和身份管理器,如下圖所示。
圖3
這些工具允許您使用常規表達式和其他敏感信息的關鍵詞來查找所匹配信息,例如用“DOB”查找出生日期、用“SSN”查找社會安全號碼(social security number)。為了節省搜索時間,您可以考慮縮小搜索的范圍,限定搜索文本文件類型,如DOC、PDF、TXT、RTF、XLS等。
無論使用哪種方法,您都可能會在各種臨時目錄、本地工作站的Windows桌面以及文件服務器的許多目錄下找到未受保護的敏感信息。如果您什么都沒有找到,那么可能是因為您查找得還不夠深入,還需要繼續進行查詢測試。
3、在您的網絡主干上連接一個網絡分析器,以查看從網絡傳輸出去的是哪些信息。這是另一項可能揭示Windows網絡潛在問題的測試,對這些問題您可能還不知情。您只需簡單地將網絡分析器連接到交換機的鏡像或span端口(或者連接到與外圍防火墻相連的集線器),就能知道網絡中正在使用哪些協議,誰使用這些協議的頻率最高。
TamoSoft公司的NetResident是一款進行此項測試的優秀工具,價格比較廉價,類似的還有十分成熟的OmniPeek網絡分析器。OmniPeek的“監控模式”能為您提供網絡信息交換情況的概況,并且不需要您去抓捕任何實際的數據包。
為了獲得網絡流量模式的真實情況,您可以在某一天中將網絡分析器連續運行幾個小時,或者連續運行幾天。無論運行多久,您都可能發現事先并不知情的異常會話和可疑員工,如圖4中的可疑的FTP流量。
圖4
最后一個需要考慮的問題是,網絡內部的惡意人員通過運行快速漏洞掃描發現了入侵點。雖然與上面提到的不良行為相比,這種情況不常發生,但并不表示不會發生。
包括LANguard和NeXpose社區版在內的幾種免費易用的工具()能讓承包商或公司雇員掃描一些主機,這可能幫助發現網絡存在的漏洞,如Backup Exec遠程代理身份驗證漏洞、微軟即插即用漏洞以及其他因未打補丁而存在的漏洞。內部惡意人員可以下載并運行Metasploit或其他漏洞的利用代碼,從而獲得一個能夠全面訪問系統的遠程命令提示行。只需短短幾分鐘,攻擊者就可以完成入侵過程。
因此,運行上面所提到的漏洞掃描工具(或者QualysGuard)就顯得非常重要,因為這樣做可以讓您在黑客攻擊之前找到問題所在。
盡管還有更多用于檢查Windows網絡安全性的測試,但上面所提到的都是最重要、最不容忽視的幾項測試。雖然您不必每個月或每個季度都進行這些測試,但至少應把它們列入年度的內部漏洞評估計劃。
【編輯推薦】
