近日,一则爆炸性新闻侵入我们的视野,黑客组织Shadow Brokers在Twitter上再次泄露出一份震惊世界的机密文档,其中包含了多个关键 Windows远程漏洞利用工具,可以覆盖大量的 Windows服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,这个事件让所有企业的IT人员都感到威胁。
据了解,该事件影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。目前国内不少高校、政府、国企甚至一些互联网公司还在使用 Windows服务器。据悉,受影响的设备覆盖了全球约70%的Windows服务器,这次黑客行为造成的影响堪称史无前例。
Shadow Brokers曝光了三个部分的大量文件,文件包含多个 Windows漏洞的利用工具,涉及多个Windows系统服务(IIS、SMB、RDP),只要 Windows 服务器开了135、137、445、3389其中的端口之一,有很大概率可以直接被攻击。
利用这些漏洞攻击者能够提升自己的高级权限,犹如操作本机一样操作被攻击设备,并且能够获取各类共享的数据信息,还可以远程上传后门程序,执行任何恶意代码,根据以上信息可以看出该事件所造成的损失是巨大的,虽然部分厂商提出了相关解决方案,但多数都是基于手动对端口进行关闭,或使用防火墙屏蔽,亦或等待微软相关补丁。
如何拯救几近裸露的服务器,实现标本兼制
当政府、企业面对这样的威胁,应该怎么办?浪潮提出SSR主机安全增强系统解决方案从内核层进行加固,从根本上防御对操作系统的攻击。相对其他厂商关闭端口的做法更为全面合理。
SSR产品不仅可以非常方便的帮客户查询开放端口,还可以帮助用户便捷的关闭。
安全基线核查功能,除了端口以外,系统配置项目全部进行检查,发现问题项提供一键修复功能。
强制访问控制与白名单,为核心主机保驾护航,免疫已知与未知病毒。
可执行程序控制,系统里跑的应用的底层就是端口,此次135等端口对应的就是上层应用。SSR可以帮客户锁定只允许哪些应用启动,其他应用不允许启动,非授权端口自然无法启动也就无法被病毒或者攻击者利用。
账户控制,SSR安装后可以对系统账户做控制,不允许新增系统用户或者权限提权。
SSR通过以下技术手段解决此次安全风险挑战
安全基线管理功能,SSR根据基线要求配置完整的安全配置库,设定系统的安全基线元素,并根据模板批量下发至同类型系统中,实现一键式安全管理。同时,可以便捷地检测系统端口状态,一键式进行端口启停,及时处理黑客利用端口漏洞发起的一切攻击行为。
账户强制访问控制,通过对系统账户的保护,保证系统账户的完整性,防止随意添加账户、随意删除账户,即使是系统管理员也没有权限;防止随意修改账户的信息,防止普通账户随意提权,保护系统安全。从而避免该事件中利用这些漏洞攻击者能够提升自己的高级权限。
进程访问控制,进程可以赋予的权限有允许终止,允许读内存,写内存,创建线程,复制句柄等操作,任何与策略相违背的操作都会被拒绝,防止进程被注入,进程提权,进程被恶意终止,保证用户业务的连续性等。
文件强制访问控制,通过配置用户文件安全策略或者进程文件策略,达到保护重要文件或者目录的目的。文件或者目录可以赋予的权限有只读,只写,允许所有操作,禁止所有操作,任何与策略相违背的操作都会被拒绝。
完整性检测、安全基线配置检查(基于等保三级、分保)、安全审计等多种功能,全面满足用户对系统安全的要求。
作为系统安全专家,浪潮SSR全面应对核弹级漏洞来袭,我们准备好了。
原文发布时间为: 2017年4月27日
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
