使用微軟安全工具評測Server攻擊平面
安全專家們創造了“攻擊平面”這個詞來形容指定電腦可能受到惡意實體攻擊的方法數量。攻擊實體既可能是惡意軟件,也可能是一個惡意用戶。你可以這樣理解它:攻擊平面越大,電腦受攻擊的可能就越大;攻擊平面越小,攻擊者能夠獲得的立足點也就越少。
微軟在上幾個版本的產品中一直在強調,要減少Windows Server的攻擊平面。它們的想法是通過默認就能減小攻擊平面,從而讓新安裝的Windows Server也能輕松地避免攻擊。但是,減少攻擊平面的概念適用于所有版本的Windows產品,包括桌面和服務器等版本。
微軟關于減少攻擊平面的工作主要集中于改進應用在Windows上的工程設計,如操作系統的默認設置等。但是第三方的應用程序(從不會造成損害的獨立程序到相對復雜的、添加了設備驅動的程序)也可能會增加Windows的攻擊平面。有時用戶或者程序員并沒有意識到這一點,尤其是在應用程序改變了系統功能的底層元素時,如防火墻或殺毒軟件。
直到最近,程序員們也仍然沒有一個真正實用的方法可以檢查他們的程序是否會增加系統的攻擊平面,往往只有等到被攻擊后問題才會暴露。然而,在今年早些時候的Black Hat技術安全會議上,微軟發布了一款beta版工具。該工具讓IT人士(不僅只是程序員)可以確定某一指定應用程序是否會顯著增加Windows Server的整體攻擊平面。這個工具就是攻擊平面分析器(Attack Surface Analyzer),有32位和64位版可以使用,目前還處于測試階段,正在征求用戶的反饋意見。
攻擊平面分析器的工作方式是在Windows系統中進行兩次掃描。第一次是基線掃描,即在未安裝問題程序的系統上進行掃描。當然為了完成基線掃描,你需要安裝相應的支持庫(.NET框架或SQL服務器)。該掃描涵蓋了系統內可能會影響攻擊平面的方方面面,包括注冊表項、安全標識符(SID)、開放端口等。掃描結果保存在當前用戶目錄的一個.CAB文件中,文件名由當前的主機名和掃描的時間日期自動產生。
圖1:攻擊平面分析器的基線掃描
第二次掃描應在你安裝了受測程序之后再進行。在攻擊平面分析器中,這被稱為“非產品掃描(aproduct scan)”,受測程序造成的任何改變都會被詳細地記錄下來。掃描結果保存在一份HTML格式的報告中,描述了掃描過程中發現的明顯的安全問題,以及可能的攻擊平面的詳細信息。請注意,一個給定的攻擊平面并不一定總是危險的,但如果在掃描中被察覺,那么就值得引起注意了。
微軟撰寫了一篇關于衡量攻擊平面的文章,對Windows各版本已暴露的攻擊平面做了比較。文中提出的一些概念指導了攻擊平面分析器的誕生——具體地,就是以受攻擊的機會大小作為衡量指標,考慮什么會最先、最快地受到攻擊。
圖2:攻擊平面分析器掃描已安裝程序的漏洞
【編輯推薦】
