Signature de vulnérabilité personnalisée pour l'identification de clients Windows XP
Resolution
À compter du 8 avril 2014, Microsoft a officiellement abandonné le support pour le système d'exploitation Windows XP. Ce moratoire de support signifie que Microsoft ne fournira plus de mises à jour logicielles pour Windows XP. Ces mises à jour logicielles corrigent fréquemment les failles de sécurité qui pourraient conduire à un compromis système s'ils ne sont pas non-abordés. Alors que la plupart des entreprises ont standardisé sur les versions plus récentes de Windows, il reste souvent une base installée de grande envergure de Windows XP. De nombreuses entreprises peuvent ne pas être au courant du nombre de périphériques Windows XP restant dans leur environnement réseau.
Cette signature personnalisée peut être utilisée pour identifier les hôtes Windows XP en fonction de leur activité d'application Web. Il recherche dans les en-têtes de requête http un champ User-agent qui contient la chaîne d'identificateur de plate-forme Windows. L'action par défaut de cette signature est d'alerter. Toutefois, cela peut facilement être substitué à l'Aide de l'action "Drop" ou "Reset-client" afin de bloquer les hôtes Windows XP d' utiliser des applications Web via la plate-forme de sécurité des réseaux de Palo Alto.
Étape 1: créer un objet de vulnérabilité personnalisé dans objets > objets personnalisés > vulnérabilité
Etape 2: ajouter un type de signature standard
Étape 3: choisissez la portée de la transaction et ajoutez une condition
Étape 4: sélectionnez l'opérateur de correspondance de modèle, le contexte http-req-headers et définissez le modèle de correspondance suivant:
| Chaîne |
|---|
User-agent:. + Windows NT 5 \. [12] | User-agent:. + Windows XP |
Etape 5: terminé!
Cette signature peut ensuite être incluse dans un profil de protection de vulnérabilité et appliquée à la règle dans votre stratégie de sécurité. Si les hôtes Windows XP lancent des applications Web via le pare-feu, les alertes informationnelles seront affichées dans les journaux des menaces. Un rapport personnalisé peut ensuite être créé qui récapitulera les adresses source uniques qui ont déclenché cette signature de vulnérabilité.
Remarque: Microsoft utilise l'identificateur de plate-forme «Windows NT 5,2» dans L'en-tête User-agent pour Windows XP édition x64 et Windows Server 2003. Il n'existe aucun moyen de différencier ces deux plates-formes en utilisant cette méthode d'identification. Si vous souhaitez exempter les deux plates-formes de l'identification, remplacez la chaîne de correspondance de modèle par la suivante:
| Chaîne |
|---|
| User-agent:. + Windows NT 5 \. 1 | User-agent:. + Windows XP |
Références :
- La prise en charge de Windows XP pour Enterprise Business se termine
- FAQ de Microsoft support Lifecycle Policy
- Présentation des chaînes utilisateur-agent (Internet Explorer)
- Palo Alto Networks continuera à protéger les systèmes basés sur Windows XP
Credit: remerciements spéciaux à Arthur Chilipweli de solution pour concevoir cette méthode d'identification et de partage de son modèle Regex.