Individuelle Verwundbarkeits Unterschrift zur Identifizierung von Windows XP-Clients
Resolution
Mit Wirkung zum 8. April 2014 hat Microsoft die Unterstützung für das Betriebssystem Windows XP formell eingestellt. Dieses Unterstützungs Moratorium bedeutet, dass Microsoft keine Software-Updates mehr für Windows XP bereitstellen wird. Diese Software-Updates beheben häufig Sicherheitslücken, die zu einem systemkompromiss führen könnten, wenn Sie nicht adressiert bleiben. Während die meisten Unternehmen auf neueren Versionen von Fenstern standardisiert haben, bleibt oft eine beträchtliche installierte Basis von Windows XP. Viele Unternehmen wissen vielleicht nicht, wie viele Rest-Windows-XP-Geräte in Ihrer Netzwerkumgebung sind.
Diese benutzerdefinierte Signatur kann verwendet werden, um Windows XP Hosts auf der Grundlage ihrer Web-Anwendung Aktivität zu identifizieren. Es sieht in HTTP-Request-Headern für ein User-Agent-Feld aus, das den Windows Platform Identifier String enthält. Die Standard-Aktion dieser Signatur ist zu warnen. Dies kann jedoch leicht überschrieben werden, um die Aktion "Drop" oder "Reset-Client" zu verwenden, um Windows XP Hosts von der Nutzung von Web-Anwendungen über die SicherheitsPlattform Palo Alto Networks zu blockieren.
Schritt 1: Erstellen Sie ein individuelles Verwundbarkeits Objekt in Objekten > BenutzerDefinierte Objekte > Verwundbarkeit
Schritt 2: Fügen Sie einen Standard-Signatur-Typ
Schritt 3: Wählen Sie den Transaktions Umfang und fügen Sie eine und Bedingung hinzu
Schritt 4: Wählen Sie den Muster-Match-Operator, den HTTP-req-Headers-Kontext, und definieren Sie Folgendes Match-Muster:
| Zeichenfolge |
|---|
User-Agent:. + Windows NT 5 \. [12] | User-Agent:. + Windows XP |
Schritt 5: fertig!
Diese Signatur kann dann in ein Schwachstellen Schutzprofil aufgenommen und auf die Regel in ihrer Sicherheitspolitik angewendet werden. Wenn Windows XP-Hosts irgendwelche Web-Anwendungen über die Firewall initiieren, werden Informations Warnungen in den Bedrohungs Protokollen angezeigt. Dann kann ein individueller Bericht erstellt werden, der die einzigartigen Quelladressen zusammenfasst, die diese Verwundbarkeits Unterschrift ausgelöst haben.
Hinweis: Microsoft verwendet die "Windows NT 5,2"-Plattform-Kennung im User-Agent-Header sowohl für Windows XP x64 Edition als auch für Windows Server 2003. Es gibt keine Möglichkeit, zwischen diesen beiden Plattformen mit dieser Methode der Identifizierung zu unterscheiden. Wenn Sie beide Plattformen von der Identifizierung befreien möchten, ändern Sie den Pattern Match String auf Folgendes:
| Zeichenfolge |
|---|
| User-Agent:. + Windows NT 5 \. 1 | User-Agent:. + Windows XP |
Referenzen:
- UnterStützung für Windows XP für Enterprise-Geschäft endet
- Microsoft UnterStützt LebensZyklusRichtlinien FAQ
- User-Agent Strings verstehen (Internet Explorer)
- Palo Alto Networks wird weiterhin Windows XP-basierte Systeme schützen
Verdienst: ein besonderer Dank geht an Arthur chilipweli von Solutionary für die Entwicklung dieser Methode der Identifizierung und des Teilens seines Regex-Musters.