Windows XP クライアントを識別するためのカスタム脆弱性署名

2014年4月8日、マイクロソフトは正式に Windows XP オペレーティングシステムのサポートを削除しました。  このサポートモラトリアムはマイクロソフトがもはや Windows XP のためのソフトウェア更新を提供しないことを意味する。  これらのソフトウェア更新プログラムは、放置が残っている場合にシステムの侵害につながる可能性のあるセキュリティの脆弱性を頻繁に修正します。  ほとんどの企業は、windows の新しいバージョンで標準化されているが、多くの場合、windows XP のかなりのインストールベースのままです。   多くの企業では、ネットワーク環境に残されている Windows XP デバイスの数を認識できない場合があります。

このカスタム署名は、web アプリケーションの動作に基づいて Windows XP ホストを識別するために使用できます。  これは、Windows プラットフォーム識別子文字列を含むユーザーエージェントフィールドの HTTP 要求ヘッダーを検索します。  この署名の既定の動作では、警告が行われます。  しかし、これは簡単に "ドロップ" または "リセットクライアント" アクションを使用して、Windows XP のホストは、パロアルトネットワークのセキュリティプラットフォームを介し て web アプリケーションを使用してからブロックするためにオーバーライドすることができます。

手順 1: オブジェクトにカスタム脆弱性オブジェクトを作成する > カスタムオブジェクト > 脆弱性

手順 2: 標準の署名の種類を追加する

ステップ 3: トランザクションスコープを選択し、and 条件を追加する

ステップ 4: パターンマッチ演算子、http-必須ヘッダーコンテキストを選択し、次の一致パターンを定義します。

ステップ 5: 完了!

この署名は、脆弱性保護プロファイルに含めることができ、セキュリティポリシーのルールに適用されます。  Windows XP ホストがファイアウォールを介して web アプリケーションを起動すると、脅威ログに情報アラートが表示されます。  この脆弱性のシグネチャが発生した一意のソースアドレスを要約するカスタムレポートを作成できます。

注:マイクロソフトでは、windows XP x64 エディションと windows Server 2003 の両方のユーザーエージェントヘッダーに "windows NT 5.2" プラットフォーム識別子を利用しています。  この識別方法を使用して、これら2つのプラットフォームを区別する方法はありません。  両方のプラットフォームを識別から除外する場合は、パターン一致文字列を次のように変更します。

参照:

• エンタープライズビジネスのための Windows XP のサポートが終了しています
• マイクロソフトサポートライフサイクルポリシー FAQ
• ユーザーエージェント文字列について (Internet Explorer)
• パロアルトネットワークは、Windows XP ベースのシステムを保護していきます

クレジット: Solutionary のアーサー Chilipweli に特別な感謝の識別のこのメソッドを考案し、彼の正規表現のパターンを共有するための.