Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Signature de vulnérabilité personnalisée pour l'identificat... - Knowledge Base - Palo Alto Networks

Signature de vulnérabilité personnalisée pour l'identification de clients Windows XP

34357
Created On 09/25/18 17:39 PM - Last Modified 06/07/23 08:07 AM


Resolution


À compter du 8 avril 2014, Microsoft a officiellement abandonné le support pour le système d'exploitation Windows XP.  Ce moratoire de support signifie que Microsoft ne fournira plus de mises à jour logicielles pour Windows XP.  Ces mises à jour logicielles corrigent fréquemment les failles de sécurité qui pourraient conduire à un compromis système s'ils ne sont pas non-abordés.  Alors que la plupart des entreprises ont standardisé sur les versions plus récentes de Windows, il reste souvent une base installée de grande envergure de Windows XP.   De nombreuses entreprises peuvent ne pas être au courant du nombre de périphériques Windows XP restant dans leur environnement réseau.

Cette signature personnalisée peut être utilisée pour identifier les hôtes Windows XP en fonction de leur activité d'application Web.  Il recherche dans les en-têtes de requête http un champ User-agent qui contient la chaîne d'identificateur de plate-forme Windows.  L'action par défaut de cette signature est d'alerter.  Toutefois, cela peut facilement être substitué à l'Aide de l'action "Drop" ou "Reset-client" afin de bloquer les hôtes Windows XP d' utiliser des applications Web via la plate-forme de sécurité des réseaux de Palo Alto.


Étape 1: créer un objet de vulnérabilité personnalisé dans objets > objets personnalisés > vulnérabilité

2014-04 -18 _10-12 -09. png


Etape 2: ajouter un type de signature standard

2014-04 -18 _10-16 -11. png


Étape 3: choisissez la portée de la transaction et ajoutez une condition

2014-04 -18 _10-18 -19. png


Étape 4: sélectionnez l'opérateur de correspondance de modèle, le contexte http-req-headers et définissez le modèle de correspondance suivant:

Chaîne

User-agent:. + Windows NT 5 \. [12] | User-agent:. + Windows XP


2014-05 -13 _21-25 -09. png

Etape 5: terminé!

Cette signature peut ensuite être incluse dans un profil de protection de vulnérabilité et appliquée à la règle dans votre stratégie de sécurité.  Si les hôtes Windows XP lancent des applications Web via le pare-feu, les alertes informationnelles seront affichées dans les journaux des menaces.  Un rapport personnalisé peut ensuite être créé qui récapitulera les adresses source uniques qui ont déclenché cette signature de vulnérabilité.

2014-04 -18 _10-29 -23. png

2014-04 -18 _13-33 -15. png

Remarque: Microsoft utilise l'identificateur de plate-forme «Windows NT 5,2» dans L'en-tête User-agent pour Windows XP édition x64 et Windows Server 2003.  Il n'existe aucun moyen de différencier ces deux plates-formes en utilisant cette méthode d'identification.  Si vous souhaitez exempter les deux plates-formes de l'identification, remplacez la chaîne de correspondance de modèle par la suivante:

Chaîne
User-agent:. + Windows NT 5 \. 1 | User-agent:. + Windows XP


Références :

Credit: remerciements spéciaux à Arthur Chilipweli de solution pour concevoir cette méthode d'identification et de partage de son modèle Regex.



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHeCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language