安全廠商 eEye Digital Security 在上個月 (5月) 發表了一份報告,內容針對去年度 (2010年) 微軟所發佈的安全通告進行分析。在報告中,提出了幾項在組態上建議採行的控制措施,以避免或減少安全問題的危害:
- 避免使用 WebDAV – 對許多使用者而言,WebDAV 並不是日常工作所需的功能。然而在較新的微軟作業系統中,這些協定卻是預設開啟的,因而造成了安全問題的發生。關閉 WebDAV 的使用可以透過 GPO 將 WebClient 這個服務加以停用,或者是利用網路設備 (如IPS) 將 WebDAV 的封包加以攔阻。唯在進行 WebDAV 使用的封鎖之前,應確實了解內部有哪些 WebDAV 協定的使用是必須的,以免影響原有作業之進行。
- 避免使用 Office 的 Converter 功能 – Office 的 Converter 功能主要是用來提供 Office 程式開啟不同版本的 Office 文件(包含開啟舊版的文件,或者是新版的文件)。同樣的,這樣的功能也不是大多數使用者在進行日常業務時所需的。關閉 Converter 的功能可以透過 GPO 或是機碼的方式對使用者進行設定,唯需特別注意的是每一個 Office 功能 (如 Word 或 PowerPoint) 需分別設定。
- 使用代理伺服器 - 雖然代理伺服器本身不能阻隔攻擊行為的發生,但是卻可以有效避免被成功攻擊後所產生的危害,這些危害包含與控制中心的溝通、或者是相關機密資料的外洩。必須注意的是,這些代理伺服器不僅需針對 HTTP 的協定,更應該包含所有的網路協定。
- 採用 VLAN 與 IPSec - 採用 VLAN 不但可以避免封包的偷窺 (Sniffing) 或修改攻擊,更可以藉由分析 VLAN 間的流量找出可疑的網路行為。如果再加上 IPSec 的使用,即使是同一個 VLAN 之內的封包也無法進行偷窺或修改的攻擊。
- 避免使用 NTVDM – NTVDM 是用來模擬 16 位元程式執行環境的子系統,此對大多數的使用者而言同樣並非所需的功能。
- 使用最新版本的應用程式 - 這裡講的不是安裝最新的更新檔 (Patch 或 Service Pack),而是安裝最新的版本,例如使用 Office 2010 取代 Office 2007。根據實際的數據顯示,新版的應用程式確實擁有較少的安全問題,而這主要歸功於微軟不斷地致力於提昇軟體安全。只是微軟在提昇軟體安全的同時,卻忘了把舊的軟體一併改進,所以才會造成此一現象。當然,這點建議在採行上還有其他因素需要考量,包含轉換成本以及相容性等。
對原始報告內容有興趣的讀者,可以在這裡下載完整的內容。
相關連結:
沒有留言:
張貼留言