用于标识 Windows XP 客户端的自定义漏洞签名

2014年4月8日生效, 微软正式放弃了对 Windows XP 操作系统的支持。  此支持暂停意味着 Microsoft 将不再为 Windows XP 提供软件更新。  这些软件更新经常修复安全漏洞, 如果不解决问题, 可能导致系统受损。  虽然大多数企业已经对 windows 的较新版本进行了标准化, 但通常仍有相当大的 windows XP 安装基础。   许多企业可能不知道在他们的网络环境中有多少剩余的 Windows XP 设备。

此自定义签名可用于根据其 web 应用程序活动标识 Windows XP 主机。  它在 HTTP 请求标头中查找包含 Windows 平台标识符字符串的用户代理字段。  此签名的默认操作是警报。  但是, 可以很容易地将其重写为使用 "drop" 或 "复位-客户端" 操作, 以阻止 Windows XP 主机通过帕洛阿尔托网络安全平台 使用 web 应用程序.

步骤 1: 在对象中创建自定义漏洞对象 >> 自定义对象 > 漏洞

步骤 2: 添加标准签名类型

步骤 3: 选择交易范围并添加和条件

步骤 4: 选择模式匹配运算符、http-必需标头上下文, 并定义以下匹配模式:

步骤 5: 完成!

然后, 可以将此签名包含在漏洞保护配置文件中, 并应用于安全策略中的规则。  如果 Windows XP 主机通过防火墙启动任何 web 应用程序, 则会在威胁日志中显示信息警报。  然后可以创建自定义报表, 以汇总触发此漏洞签名的唯一源地址。

注: Microsoft 在 windows XP x64 版和 windows Server 2003 中使用用户代理报头中的 "Windows NT 5.2" 平台标识符.  使用这种识别方法, 无法区分这两个平台。  如果希望从标识中免除两个平台, 请将模式匹配字符串更改为以下内容:

参考文件：

• 对企业业务的 Windows XP 的支持正在结束
• Microsoft 支持生命周期策略常见问题解答
• 了解用户代理字符串 (Internet 资源管理器)
• 帕洛阿尔托网络将继续保护基于 Windows XP 的系统

信贷:特别感谢亚瑟 Chilipweli 的Solutionary设计这种识别方法和共享他的 regex 模式.