公共实验室信息安全评估实验报告Word格式文档下载.docx
《公共实验室信息安全评估实验报告Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《公共实验室信息安全评估实验报告Word格式文档下载.docx(11页珍藏版)》请在冰点文库上搜索。
三、实验记录
(1)SecAnalyst运行状态评估
#O4
低风险
自启动:
[hkey_local_machine\software\microsoft\windows\currentversion\run\RavTray]-"
c:
\programfiles\rising\rav\rstray.exe"
-system
[hkey_local_machine\software\microsoft\windows\currentversion\run\360Safetray]-c:
\programfiles\360\360safe\safemon\360tray.exe/start
[hkey_local_machine\software\microsoft\windows\currentversion\shellextensions\approved\WinRARshellextension]-c:
\programfiles\winrar\rarext.dll
[hkey_local_machine\software\microsoft\windows\currentversion\shellextensions\approved\CuteFTPShellExtension]-c:
\programfiles\globalscape\cuteftpzh\cuteshell.dll
[hkey_local_machine\software\microsoft\windows\currentversion\shellextensions\approved\DisplayPanningCPLExtension]-deskpan.dll[filenotfound]
[hkey_local_machine\software\microsoft\windowsnt\currentversion\windows\Appinit_Dlls]-c:
\windows\system32\pocrules.dll[filenotfound]
[hkey_local_machine\software\microsoft\windows\currentversion\run\00sclient]-c:
\progra~1\oseasy\crms2\client.exe
[hkey_local_machine\software\microsoft\windows\currentversion\shellextensions\approved\DeveloperStudioComponents]-c:
\programfiles\microsoftvisualstudio\common\msdev98\bin\ide\devxpgl.dll
[hkey_local_machine\software\microsoft\windows\currentversion\shellextensions\approved\RegisteredActiveXControls]-c:
#D0
驱动:
C:
\WINDOWS\system32\Drivers\Asffilter.sys
\WINDOWS\system32\Drivers\SaRegHook.sys
\WINDOWS\system32\Drivers\NTProcDrv.sys
\WINDOWS\system32\Drivers\Tcpfilter.sys
\WINDOWS\system32\drivers\MSCheck.sys
\WINDOWS\system32\drivers\rcmhdog.sys
\WINDOWS\system32\drivers\GSMHWDM.SYS
\WINDOWS\system32\drivers\mhdrv.sys
\WINDOWS\system32\drivers\hostnt.sys
\WINDOWS\system32\DRIVERS\sniffer.sys
\WINDOWS\System32\Drivers\KbFilter.SYS
\WINDOWS\system32\drivers\HookCont.sys
\WINDOWS\system32\drivers\HOOKHELP.sys
\WINDOWS\system32\Drivers\safeboxkrnl.sys
\WINDOWS\system32\DRIVERS\FilterARP.sys
\WINDOWS\system32\DRIVERS\ASKernelNT5.sys
#O3
Toolbar:
{E0E899AB-F487-11D5-8D29-0050BA6940E3}-FlashGetBar-C:
\PROGRA~1\FlashGet\fgiebar.dll
#M0
DLL:
C:
\ProgramFiles\GlobalSCAPE\CuteFTPZH\Cuteshell.dll
\ProgramFiles\WinRAR\rarext.dll
#P0
进程:
\progra~1\oseasy\crms2\sysmonitor.exe
\programfiles\rising\rav\rstray.exe
\programfiles\rising\rav\ravtask.exe
\programfiles\rising\rav\scanfrm.exe
\programfiles\rising\rav\ravmond.exe
\programfiles\rising\rav\ccenter.exe
#S0
NT服务:
HidServ-ServiceDll-C:
\WINDOWS\System32\hidserv.dll-[filenotfound]
BOFSS-启动方式:
自动-当前状态:
已停止-C:
\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXEC:
\WINDOWS\SYSTEM32\WBEM\EHEKGR57.DLL,Export1087-[filenotfound]
RavTask-启动方式:
已启动-"
\ProgramFiles\Rising\Rav\RavTask.exe"
RavTask
RsScanSrv-启动方式:
\ProgramFiles\Rising\Rav\ScanFrm.exe
RsRavMon-启动方式:
\ProgramFiles\Rising\Rav\RavMonD.exe
RavCCenter-启动方式:
\ProgramFiles\Rising\Rav\CCENTER.EXE
#O2
危险
BHO:
{B69F34DD-F0F9-42DC-9EDD-957187DA688D}-C:
\ProgramFiles\360\360Safe\safemon\safemon.dll
\progra~1\oseasy\crms2\wntserv.exe
\matlab701\webserver\bin\win32\matlabserver.exe
WntService3-启动方式:
已启动-C:
\PROGRA~1\OSEASY\CRMS2\WntServ.exe
matlabserver-启动方式:
\MATLAB701\webserver\bin\win32\matlabserver.exe
危险告警主要是监控软件的注册表项、库和系统服务的进程。
(2)MBSA综合评估
Securityassessment:
SevereRisk
Computername:
WORKGROUP\J4PC052
IPaddress:
202.114.213.52
Securityreportname:
WORKGROUP-J4PC052(2012-10-2914-37)
Scandate:
2012-10-2914:
37
ScannedwithMBSAversion:
2.2.2170.0
OperatingSystemScanResults
AdministrativeVulnerabilities
Result:
Allharddrives
(2)areusingtheNTFSfilesystem.
TheGuestaccountisdisabledonthiscomputer.
Computerisproperlyrestrictinganonymousaccess.
Nomorethan2Administratorswerefoundonthiscomputer.
WindowsFirewallisdisabledandhasexceptionsconfigured.
TheAutomaticUpdatessystemserviceisnotrunning.
Noincompletesoftwareupdateinstallationswerefound.
AdditionalSystemInformation
ComputerisrunningMicrosoftWindowsXP.
3share(s)arepresentonyourcomputer.
Somepotentiallyunnecessaryservicesareinstalled.
InternetInformationServices(IIS)ScanResults
SomeIISsampleapplicationsareinstalled.
IISADMPWDvirtualdirectoryisnotpresent.
Parentpathsareenabledinsomewebsitesand/orvirtual
TheMSADCandScriptsvirtualdirectoriesarenotpresent.
TheIISLockdowntoolhasnotbeenrunonthemachine.
SomeweborFTPsitesarenotusingtherecommendedloggingoptions.
DesktopApplicationScanResults
InternetExplorerzoneshavesecuresettingsforallusers.
4MicrosoftOfficeproduct(s)areinstalled.Noissueswerefound.
(3)X-scan攻击扫描评估
检测结果
-存活主机:
1
-提示数量:
5
主机列表
localhost(发现安全提示)
详细资料
+localhost:
.开放端口列表:
omicrosoft-ds(445/tcp)(发现安全提示)
owww(5800/tcp)(发现安全提示)
osmtp(25/tcp)(发现安全提示)
owww(80/tcp)(发现安全提示)
oepmap(135/tcp)(发现安全提示)
.端口"
microsoft-ds(445/tcp)"
发现安全提示:
"
microsoft-ds"
服务可能运行于该端口
NESSUS_ID:
10330
www(5800/tcp)"
WEB"
服务运行于该端口
BANNER信息:
HTTP/1.0200OK
<
HTML>
TITLE>
VNCdesktop[j4pc052]<
/TITLE>
APPLETCODE=vncviewer.classARCHIVE=vncviewer.jarWIDTH=1024HEIGHT=800>
paramname=PORTvalue=5900>
/APPLET>
/HTML>
smtp(25/tcp)"
SMTP"
220J4PC052MicrosoftESMTPMAILService,Version:
6.0.2600.2180readyat
Mon,29Oct201214:
50:
06+0800
www(80/tcp)"
HTTP/1.1200OK
Server:
Microsoft-IIS/5.1
Content-Location:
Date:
Mon,29Oct201206:
15GMT
Content-Type:
text/html
Accept-Ranges:
bytes
Last-Modified:
Thu,18Aug200508:
49:
46GMT
ETag:
"
0f1a9c8d1a3c51:
981"
Content-Length:
625
!
DOCTYPEHTMLPUBLIC"
-//W3C//DTDHTML4.01Transitional//EN"
>
html>
head>
metahttp-equiv="
Content-Type"
content="
text/html
charset=gb2312"
title>
华中大在线<
/title>
/head>
bodybgcolor=
epmap(135/tcp)"
epmap"
服务可能运行于该端口.
(4)MSAT安全评估
业务风险配置文件与纵深防御指数汇总报表
解释图表
●BRP分数范围从0到100,其中分数越高意味着该特定分析区域(AoA)的潜在业务风险越高。
请务必注意此处的分数不可能为零;
因为业务经营环境及业务经营本身就隐含一定程度的风险。
另外还请务必了解,业务运营的某些方面没有直接的缓冲战略。
●业务风险配置文件(BusinessRiskProfile,BRP)-一种衡量方法,用于根据组织所处的业务环境和行业,衡量组织面临的风险。
●AoAs-分析领域,这是基础设施,应用,业务,和人民。
●DiDI分数范围也是从0到100。
高分数表示已在环境中采取了大量措施,以便在特定分析区域(AoA)部署纵深防御战略。
DiDI分数并不反映整体安全功效,甚至也不反映在安全方面花费的资源,而是反映用于环境防御的整体战略。
●纵深防御指数(Defense-in-DepthIndex,DiDI)-一种衡量方法,用于衡量为帮助缓解业务风险而在人员、流程和技术区域采用的安全防御措施。
●直观看来,BRP分数较低而DiDI分数较高似乎就表示一个良好结果,但是情况并不总是这样。
此自我评估的范围并不允许将所有因素都考虑在内。
在特定的AoA中,如果BRP分数与DiDI分数有明显差异,建议您进一步检查此AoA。
在分析结果时,考虑与BRP和DiDI都有紧密联系的单项分数很重要。
如果所有区域的分数都相对较为平均,则表示环境比较稳定。
如果DiDI分数之间存在差异,则表明整体安全战略注重的是单个缓解技巧。
如果安全战略没有使人员、流程和技术方面达到平衡,环境将可能更容易遭受攻击。
四、实验总结
4.1总结系统主要的安全漏洞是哪些?
系统服务漏洞,例如UPNP服务漏洞,允许攻击者执行任意指令。
升级程序漏洞。
压缩文件可以运行攻击代码。
服务拒绝,使系统中断运行。
播放器漏洞,信息泄露,执行脚本。
等等
4.2针对实验中的MSAT安全评估报告,除了MSAT提出的建议,自己思考提出针对系统安全改进建议。
关闭默认共享,可以降低系统被病毒感染的概率。
将可远程访问注册表的路径设置为空,可以有效避免黑客利用扫描器通过远程注册表读取系统信息及其他信息。
系统中一些常用的、权限较高的功能,如命令行程序、批处理文件、注册表编辑器等,不是经常用到,可以禁用这些功能。
禁用自动播放和自动运行功能,因为闪存和移动硬盘等移动存储设备也成为恶意程序传播的重要途径。
如果电脑放在宿舍、公司这样的公共环境中,对重要的系统功能加以限制,以避免他人的操作引起系统故障。
清除历史记录保护个人隐私。
利用文件管理器对regedit.exe文件设置成只允许管理员能够使用该命令访问修改注册表,其他用户只能读取,但不能修改,这样可以防止非法用户恶意修改注册表。
阻断其“克隆”账号的途径,控制面板----管理工具-----本地安全策略选项,在“本地安全设置”中单击“本地策略”中的“安全选项”命令,将右边“策略”中“网络访问:
不允许SAM帐户的匿名枚举”及“网络访问:
不允许SAM帐户和共享的匿名枚举”命令启用。
附录
#T0SecAnalyst分析报告版本:
0,4,0,47
#操作系统:
MicrosoftWindowsXPProfessionalServicePack2(Build2600)(CHS)
#系统目录:
\WINDOWS\system32
#浏览器
:
InternetExplorer6.0.2900.2180
#生成时间:
34:
54
#T2请把报告贴到安全救援中心bbs.s-,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#Q1(请在此输入你的电脑遇到的问题和异常情况..)
警告
[hkey_local_machine\software\microsoft\windows\currentversion\shellextensions\approved\RISING]-c:
\windows\system32\ravext.dll
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks\RisingExecuteFileExtshook]-c: