235034 Security in Computer Systems and Networks Windows Security Lec. Sanchai Yeewiyom School of Information and Communication Technology University of Phayao

Objective Hardening Web Servers & Services Windows Workstation Services Windows Remote Access Services Windows Authentication Web Browsers File-Sharing Applications Mail Client Instant Messaging เครื่องมือรักษาความปลอดภัยใน Windows

Hardening การ Configuration การทำงานของ Software, Hardware อุปกรณ์ต่างๆ ในระบบเครือข่าย เพื่อทำให้ระบบเครือข่ายมีความแข็งแรง มีความปลอดภัย ต่อการถูกโจมตี

Web Servers & Services การโจมตีมักเกิดในรูปแบบ ดังนี้ DoS (Denial of Service), DDoS (Distributed Denial of Service) การเปิดเผยหรือการเจาะเข้าไฟล์ที่สำคัญ การ Run โค้ดหรือคำสั่งของระบบ การเจาะเข้าระบบได้อย่างสมบูรณ์ (ได้สิทธิ์ Admin ของระบบ)

Web Servers & Services ตัวอย่าง ระบบที่มีช่องโหว่ Internet Information Service : IIS Apache Sun One PHP

Web Servers & Services การตรวจสอบช่องโหว่ http://cve.mitre.org/ (Common Vulnerabilities and Exposures) www.secunia.com (Secunia corporate information) www.thaicert.nectec.or.th (ThaiCERT) www.us-cert.gov Website ของผู้ผลิต

Web Servers & Services เครื่องมือที่ใช้ในการตรวจสอบช่องโหว่ LANguard Nessus SARA Nikto eEye Retina Microsoft Baseline Security Analyzer

Web Servers & Services การป้องกันและแก้ไข Update ซอฟต์แวร์ และ ระบบปฏิบัติการ, ติดตั้ง Patch ล่าสุด, ใช้บริการ Update อัตโนมัติ ติดตั้ง Anti Virus, Host-based IDS, หมั่นตรวจสอบ Log Disable Script Engine ที่ไม่ได้ใช้งาน เช่น VBScript, JavaScript เก็บ Log, ตรวจสอบเป็นประจำ, ใช้เครื่องมือช่วยวิเคราะห์ Log, รวมถึงเก็บ Log ไว้ที่เครื่องอื่น

Web Servers & Services ลบเครื่องมือบางอย่างที่อาจถูกใช้โดย Hacker เพื่อโจมตีเครื่องอื่น เช่น ftp.exe, remote.exe, telnet.exe จำกัดการรัน Application อื่นที่ไม่เกี่ยวข้อง ระมัดระวังการเชื่อมต่อจาก Web Servers สาธารณะภายนอกเครือข่าย ควรใช้ Account ที่แตกต่างกัน ระหว่าง Servers ที่ให้บริการสาธารณะและที่ให้บริการภายในเครือข่าย

Windows Workstation Services มีหน้าที่รับผิดชอบเกี่ยวกับการร้องขอของ User เพื่อเข้าถึงทรัพยากรต่างๆ ในระบบเครือข่าย เช่น File, Printer มีช่องโหว่เรื่อง Buffer Overflow ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้โดยใช้สิทธิ์ของ System Code ที่ใช้ในการเจาะระบบมีแจกจ่ายใน Internet และถูกนำไปใช้ในการโจมตี ตัวอย่างเช่น Worm ที่ชื่อ PhaBot/GaoBot พบช่องโหว่นี้ทั้งใน Windows Server และ Windows XP

Win32/Gaobot worm The operating system shuts down after displaying the following dialog box:                                  Your computer reboots without user interaction. You may see a system shutdown dialog box:                                  

Windows Workstation Services การป้องกัน ติดตั้ง Service Pack เปิดฟังก์ชัน Automatic Update เพื่อให้มีการปรับปรุงให้ทันสมัยตลอด ให้ Firewall ปิด Port ที่ใช้ในการโจมตี ของ SMB (Server Message Block) คือ Port 139/TCP, 445/TCP เปิด Port ที่จำเป็นเท่านั้น โดยให้เปิด Port ที่สูงกว่า 1024 เพื่อป้องกันการโจมตีที่ใช้ DCE/RPC (Distributed Computing Environment / Remote Procedure Calls)

Windows Workstation Services ใช้ฟังก์ชัน TCP Filtering เพื่อ Block การเข้าถึงระบบจากภายนอกผ่าน Port ที่เกี่ยวข้อง ติดตั้ง Patch ของ Application ที่นำมาใช้งานให้เรียบร้อย ระบบที่เป็น Stand Alone ควร Disable ฟังก์ชัน Windows Workstation Services ถ้าไม่จำเป็นต้องใช้งาน

Windows Remote Access Services Windows รองรับการทำงานผ่านเครือข่ายหลายวิธี และหลาย Protocol ซึ่งในแต่ละวิธีจะมีช่องโหว่ที่ถูกโจมตีที่แตกต่างกัน ได้แก่ NetBIOS Anonymous Logon Remote Registry Access Remote Procedure Call (RPC)

Windows Remote Access Services NetBIOS ใช้สำหรับการแชร์ File และ Folder ผ่านระบบเครือข่าย โดยใช้ Protocol Server Message Block (SMB) หรือ Common Internet File System (CIFS) ที่อนุญาตให้เข้าใช้ File หรือ Folder ของเครื่องอื่นเสมือนเป็นของตัวเอง การเปิดแชร์แบบ Full มีความเสี่ยง Worm Nimda, Sircam ใช้ช่องโหว่นี้ในการแพร่ระบาดโดยการค้นหาเครื่องที่เปิดแบบ Full แล้ว Copy ตัวเองไปไว้เครื่องนั้น

Windows Remote Access Services Anonymous Logon เป็นการเชื่อมต่อโดยไม่ต้องระบุ Username และ Password เรียกอีกอย่างว่า Null Session อาจเข้าถึงข้อมูลต่างๆ ของระบบได้ เช่น ข้อมูล User, กลุ่มของ User, File และ Folder ซึ่ง Windows NT ใช้วิธีการนี้ติดต่อกับ Service อื่นๆ ทำให้ไม่สามารถพิสูจน์ทราบความมีตัวตนของผู้ติดต่อได้

Windows Remote Access Services Remote Registry Access Windows ใช้ระบบฐานข้อมูลที่เรียกว่า Registry ในการจัดเก็บค่า Configuration ต่างๆ ของ Software, อุปกรณ์ต่อพ่วง และ User หาก Configuration ระบบไม่ถูกต้องอาจถูกโจมตีจนเข้าถึง Registry ได้ อาจทำให้ผู้โจมตีสามารถควบคุมเครื่องและสั่งรัน Application ที่ต้องการได้

Windows Remote Access Services Remote Procedure Call (RPC) เป็นการสื่อสารระหว่าง Process ที่อนุญาตให้ Application ที่รันอยู่บนเครื่องหนึ่ง สามารถรัน Code บนอีกเครื่องหนึ่งได้ ช่องโหว่นี้ถูกใช้โดย Worm Blaster, Nachi ในการโจมตีแบบ DoS

Windows Remote Access Services การตรวจสอบช่องโหว่ NetBIOS NbtScan ใช้ Scan การแชร์ไฟล์ของระบบเป้าหมาย Nltest ใช้ตรวจสอบการแชร์ไฟล์อย่างละเอียด MBSA (Microsoft Baseline Security Analyzer) ใช้ Scan หาช่องโหว่จาก SMB (Server Message Block) คำสั่ง Net Share บน Windows สามารถแสดงให้เห็นว่ามีการแชร์อะไรบ้าง

Net Share

Windows Remote Access Services Anonymous Logon ใช้คำสั่ง ดังนี้ net use \\IP address\IPC$ "" /u:"" EXP. net use \\192.168.1.101\IPC$ "" /u:"" คำสั่งนี้จะเชื่อมต่อกับการแชร์ที่ซ่อนไว้ (IPC : Interprocess Communication) ไปยังเครื่องที่มี IP Address ที่กำหนด หากเชื่อมต่อได้แสดงว่าอาจมีช่องโหว่อยู่

Windows Remote Access Services Remote Registry Access ใช้เครื่องมือที่มากับ CD ชื่อ Regdump.exe เพื่อตรวจสอบว่าเครื่องใดมีปัญหาเกี่ยวกับสิทธิ์ในการเข้าถึงจากระยะไกล Remote Procedure Call (RPC) ใช้ MBSA (Microsoft Baseline Security Analyzer) ใช้ Scan หาช่องโหว่

Windows Remote Access Services การป้องกันช่องโหว่ NetBIOS ตรวจสอบการแชร์ทั้งหมดที่ซ่อนไว้ เช่น C$, D$, E$, ADMIN$ ปิดการทำงานแชร์ Default ที่ซ่อนไว้ หากจำเป็นต้องแชร์ ให้แชร์แบบ User Level เพื่อควบคุมการเข้าถึงข้อมูล รวมถึงมีการกำหนดรหัสผ่าน

Windows Remote Access Services ไม่ควรแชร์ไฟล์กับ Host ที่อยู่บนอินเทอร์เน็ต ควรแชร์ไฟล์โดยการกำหนด IP Address เนื่องจากการกำหนดโดยใช้ชื่อ Domain อาจถูก Spoof ได้ Anonymous Logon แก้ไข Registry โดยการไม่อนุญาตให้เชื่อมต่อแบบ Anonymous Logon Remote Registry Access ควรมีการจำกัดสิทธิ์ในการเข้าถึงโดยการแก้ไข Registry

Windows Remote Access Services Remote Procedure Call (RPC) ติดตั้ง Patch ตามที่ MBSA แนะนำ เปิดฟังก์ชัน Automatic Update

Windows Authentication เป็นการพิสูจน์ทราบตัวตนก่อนการเข้าใช้งานระบบ โดยปกติใช้ Username และ Password อาจถูกโจมตีที่ Password ที่มีจุดอ่อน ได้แก่ ใช้รหัสผ่านที่ง่าย หรือไม่ใช้เลย เก็บรักษารหัสผ่านไม่ดี หลาย Application ใช้ Algorithm ในการเข้ารหัส Password ที่เป็นที่รู้จักทั่วไป หรือเก็บค่า Hash ของ Password ไว้ในที่ที่ผู้ใช้งานสามารถเข้าถึงได้ ไม่ได้ยกเลิก Account ของพนักงานที่ออกไปแล้ว

Windows Authentication การป้องกัน ทำรหัสผ่านให้มีความแข็งแรง ได้แก่ กำหนดรหัสผ่านให้มีความซับซ้อนและยาวพอสมควร บังคับให้มีการเปลี่ยนรหัสผ่านตามระยะเวลาที่กำหนด บันทึกประวัติการใช้รหัสผ่าน เพื่อป้องกันไม่ให้ User ใช้รหัสผ่านเดิมซ้ำบ่อยๆ

Windows Authentication ปกป้องรหัสผ่าน ไม่ให้ถูกขโมย ไม่บอกให้ผู้อื่นทราบ ไม่ควรจดบันทึกรหัสผ่าน มีการเข้ารหัสรหัสผ่านในระบบ ควบคุมบัญชีผู้ใช้อย่างเคร่งครัด เช่น ลบบัญชีผู้ใช้ที่ไม่ได้ใช้งานทิ้ง บันทึกการใช้งานของแต่ละบัญชีผู้ใช้ กำหนดขั้นตอนที่ชัดเจนในการเพิ่มผู้ใช้ ตรวจสอบรายชื่อผู้ใช้เป็นประจำเพื่อดูความเปลี่ยนแปลงที่ผิดปกติ กำหนดนโยบายที่เคร่งครัดเกี่ยวกับรหัสผ่าน

Web Browsers ปัญหาเกี่ยวกับ Web Browsers มีช่องโหว่จำนวนมาก เนื่องจากมีผู้ใช้งานจำนวนมาก ใช้เวลาในการพัฒนา Patch นาน บางช่องโหว่ยังไม่มี Patch ออกมาแก้ไข ActiveX, Plug-in และ Active Scripting (JavaScript, VBScript) ถูกนำมาใช้ในการหลีกเลี่ยงระบบรักษาความปลอดภัย Cross-Site Scripting (XSS) โดย Hacker จะมีการฝัง Script บางอย่างที่เป็นอันตรายลงในเว็บไซต์ ทำให้ผู้ใช้งานโดนโจมตีโดยไม่รู้ตัว และทำงานโดยใช้สิทธิ์ของผู้ใช้โดยไม่ต้องตรวจสอบสิทธิ์

Web Browsers การตรวจสอบและป้องกัน ตรวจสอบระบบโดยใช้เครื่องมือ เช่น MBSA Upgrade Web Browsers ให้เป็น Version ล่าสุด Web Site ส่วนใหญ่จะไม่ใช้ ActiveX ดังนั้น อาจ Disable ได้ แต่อาจมีผลกระทบกับงานบางอย่าง เช่น Windows Update ผ่านทาง Web Site

File-Sharing Applications ช่องโหว่ จำแนกเป็น 3 ประเภท คือ Technical Vulnerability : เป็นช่องโหว่ที่ผู้ไม่หวังดีสามารถเจาะเข้าระบบจากระยะไกลได้ Social Vulnerability : ช่องโหว่ที่ผู้ไม่หวังดี สามารถแชร์ข้อมูลที่มีเนื้อหาไม่ถูกต้อง มีการเปลี่ยนแปลงแก้ไข หรือหลอกลวง Legal Vulnerability : ช่องโหว่ที่ใช้ในการแลกเปลี่ยนไฟล์ที่ผิดกฎหมาย ละเมิดลิขสิทธิ์

File-Sharing Applications การตรวจสอบช่องโหว่ ตรวจสอบ ในระบบ โดยเน้น Port ที่โปรแกรมเหล่านั้นใช้ เช่น TCP6881-6999 (Bit Torrent) โดยใช้เครื่องมือต่างๆ เช่น Intrusion Prevention System (IPS) เพื่อป้องกันการติดตั้งและรัน Network Based Application Recognition (NBAR) ของ Cisco ช่วยตรวจจับและป้องกัน Traffic เข้าออกเครือข่าย หรือใช้ NTOP (Network top) ตรวจจับ Traffic ของ P2P และการ Scan Disk ที่ใช้เก็บข้อมูลของระบบ เพื่อค้นหาไฟล์ที่นิยม Download

Network Based Application Recognition (NBAR)

NTOP

File-Sharing Applications การป้องกัน ไม่อนุญาตให้ติดตั้งโปรแกรมก่อนได้รับอนุญาต โดยเฉพาะโปรแกรม P2P ใช้ Proxy Server ในการควบคุมการใช้งานอินเทอร์เน็ต กำหนดให้ Firewall ปิดทุก Port ที่ไม่จำเป็น Monitor เครือข่ายเพื่อตรวจดู Traffic ของ P2P เนื่องจากบางตัวอาศัย Port 80 (http) ติดตั้ง Antivirus และ Update เป็นประจำ

Mail Client ตัวอย่าง เช่น Microsoft Outlook ความเสี่ยงที่เกิดขึ้น ได้แก่ Virus Worm Trojan Malicious Code Spam Web Beaconing : เป็นการ Monitor ดูว่า Web หรือ Mail ถูกเปิดแล้วหรือยัง เพื่อเป็นการตรวจสอบความถูกต้องของ e-Mail Address โดยการฝัง transparent gif image หรือ image ที่มีสีเดียวกันกับ background ลงใน Web หรือ Mail

Mail Client การป้องกันเบื้องต้น Update เป็นประจำ เปิด Automatic Update Disable ฟังก์ชัน Message Preview Pane เพื่อป้องกันการแสดงเนื้อหาของอีเมล์โดยอัตโนมัติ เพิ่มความเข้มงวดในการตรวจสอบ Mail ที่เข้ามา ด้วยตัวเอง และใช้ระบบช่วยโดยปรับค่า Restricted Sites Zone ให้เป็น High

Mail Client ไม่ควรเปิดไฟล์ที่ไม่แน่ใจว่าจะปลอดภัย ซึ่งอาจต้องตรวจสอบ Digital Signature ของผู้ส่งด้วย เลือกใช้ Antivirus ที่สามารถ Scan Mail ที่รับเข้ามาและส่งออกไป

Instant Messaging ตัวอย่าง เช่น Yahoo Messenger, MSN (Windows Live Messenger ) ช่องโหว่ที่เกิดขึ้นมักทำให้เกิดปัญหา Buffer Overflow ซึ่งมีสาเหตุจาก ActiveX ที่ล้าสมัย หรือเกิดจากการโอนถ่ายไฟล์ การป้องกันทำได้โดย Update โปรแกรม Instant Messaging กำหนดให้ IDS และ IPS แจ้งเตือนกรณีมีการโอนถ่ายไฟล์โดย โปรแกรม Instant Messaging

Instant Messaging กำหนดให้ Firewall ปิด Port ต่อไปนี้ 5050/TCP : Yahoo Messenger 1863/TCP : MSN Messenger (Windows Live Messenger ) 6891/TCP : MSN Messenger File Transfer Block การเข้าถึง Web ที่ใช้ ActiveX ที่มีปัญหากับ Messenger

เครื่องมือรักษาความปลอดภัยใน Windows Microsoft จัดตั้ง Trustworthy Computing (TwC) ขึ้นเพื่อช่วยในการรักษาความปลอดภัยให้กับผู้ใช้งาน Software ของบริษัท ประกอบด้วย 3 เทคโนโลยี Microsoft Malware Protection Center (MMPC) : ประกอบด้วยผู้เชี่ยวชาญและนักวิจัยด้านการรักษาความปลอดภัยจากภัยคุกคามใหม่ๆ Microsoft Security Engineering Center (MSEC) : ทีมพัฒนาข้อแนะนำ หรือแนวทาง การพัฒนาซอฟท์แวร์ของ Microsoft

เครื่องมือรักษาความปลอดภัยใน Windows Microsoft Security Response Center (MSRC) : ทีมงานตอบสนองต่อเหตุการณ์ด้านการรักษาความปลอดภัยที่เกิดขึ้น ตลอด 24 ชั่วโมง และแจ้งเตือนทันทีที่มีเหตุการณ์

เครื่องมือรักษาความปลอดภัยใน Windows Microsoft Forefront : มีเครื่องมือ 2 ตัว คือ ISA (Internet Security and Acceleration) ที่ช่วยปกป้องในระดับเครือข่าย และ Microsoft Forefront Client Security ที่ช่วยเสริมการทำงานให้กับเครื่องลูกข่ายในการป้องกัน Malware ที่เล็ดลอดเข้ามา Windows Live OneCare : ช่วยตรวจสอบและลบ Malware ปรับปรุงประสิทธิภาพการทำงานของระบบ สำรองข้อมูล

Microsoft Forefront

Windows Live OneCare

เครื่องมือรักษาความปลอดภัยใน Windows Windows Defender : ช่วยปกป้อง Spyware และ Software ที่ไม่พึงประสงค์ต่างๆ ทำงานแบบ Real-time Protection สามารถเข้าร่วม Community เพื่อรับทราบข้อมูลข่าวสารและปกป้องระบบโดยอัตโนมัติ Malicious Software Removal Tools : ทำงานแบบ Standalone ใช้ในการแก้ปัญหาที่เกิดขึ้นจากการติดเชื้อ สามารถตรวจสอบและกำจัดได้ แต่ไม่สามารถทำงานแทนที่ Anti Virus

Windows Defender

Malicious Software Removal Tools

เครื่องมือรักษาความปลอดภัยใน Windows Microsoft Security Bulletin : ทำหน้าที่ออกประกาศเพื่อแจ้งเตือนเกี่ยวกับภัยคุกคามใหม่ๆ หรือช่องโหว่ที่เกิดขึ้นในผลิตภัณฑ์ของ Microsoft รวมถึงแนวทางป้องกันและแก้ไข (http://technet.microsoft.com/en-us/security/bulletin) Microsoft Knowledge Base : ฐานข้อมูลบทความเกี่ยวกับผลิตภัณฑ์และเทคโนโลยีของ Microsoft

Microsoft Security Bulletin

Microsoft Knowledge Base