您好我想要的工具或审计策略,可以帮助我跟踪所有的变化对Windows服务器registry(包括谁做了更改 – 什么是旧的价值 – 什么是新的价值 – 改变types{删除 – 创build – 修改) 您的支持是高度赞赏
自定义规则mod_security和单独的.conf文件中的白名单 – Apache 2.2,modsec 2.8 白名单规则: SecRule REMOTE_ADDR "^10\.10\.10\.10" phase:1,nolog,allow,ctl:ruleEngine=Off,id:104008 如果一个请求被发送到包含例如/? /?abc=../../的服务器,则modsec只允许来自10.10.10.10的请求,否则它会拒绝第二阶段的请求,正如我预期的那样(由于我们安装的规则) 我有一位使用远程WorPresspipe理系统的客户(此处以10.10.10.10表示),但该系统发送某些包含Content-Length标题但缺lessContent-Type标题的POST请求。 即使请求来自10.10.10.10,也会导致: –7ed45f75-H– Message: Access denied with connection close (phase 1). Match of "rx ^0$" against "REQUEST_HEADERS:Content-Length" required. [file "/usr/local/apache/conf/modsec_rules/10_asl_rules.conf"] [line "93"] [id "392301"] [rev "7"] [msg "Atomicorp.com WAF Rules: Request Containing Content, but Missing Content-Type header"] [severity "NOTICE"] [tag "no_ar"] Apache-Error: [file […]
在试图让一些戴尔服务器BMC更安全的时候,我遵循了其他地方给出的build议,并使用以下命令(在主机操作系统上运行的ipmitool ,即CentOS 6.5–当然,我是root用户) : > ipmitool lan set 1 cipher_privs XXXaXXXXXXXXXXX 然后我想把它改成别的东西,发现那显然我不能: > ipmitool lan set 1 cipher_privs Xaaaaaaaaaaaaaa LAN Parameter Data does not match! Write may have failed. 在其他方面,事情看起来很好: > ipmitool lan print 1 Set in Progress : Set In Progress Auth Type Support : NONE MD2 MD5 PASSWORD Auth Type Enable : Callback […]
我在这里追求的具体例子是具有部署人员angular色。 通常情况下,这将由一个特定的员工执行,但该员工可能会生病,被解雇,休假等等。所以从Windows安全angular度来看,这很简单 – 创build一个部署者angular色,然后敲你就完成了。 问题是许多工具不支持基于angular色的访问安全,有些甚至不支持AD集成,也就是说,它们需要完全自定义的一组凭据。 处理这个问题的简单方法是让每个Tom,Dick和Harry都login,但是这打败了我试图创build的Deployment Officerangular色。 一个稍微差一点的方法是让部署官员将控制权交给另一名员工,但是如果他忘记,生病或特别是被解雇的话,会出现问题。 有什么想法吗? 我一直无法为此提出任何魔力子弹。
一个客户端有一个服务,需要一点点的JavaScript被添加到客户的页面。 作为展示潜在客户的营销工具,我创build了一个Web应用程序,演示客户的页面将如何与我的客户的JavaScript看起来。 这很酷,销售团队喜欢它! 该应用程序使用反向代理(mod_proxy),使客户的网站似乎是我们的域名,所以应用程序可以添加JavaScript没有跨站点脚本的限制。 现在仅限于授权用户。 这个设置运行良好 – 也许太好了! 现在,首席执行官想把这个工具从主页上提供给任何人。 但是,众所周知, 打开反向代理几乎普遍不好。 有没有什么办法可以让这个演示程序成为可能? 也就是说,它会使垃圾邮件发送者和黑客无用,但能够向潜在客户展示几个演示页面? 我有一些想法 每个IP地址每小时只允许X个文件被代理。 仅限于处理GET请求 不要设置cookie 将域名黑名单保留为代理(按点击付费广告服务器) 将警告注入页面内容(“这不是XYZ服务器”),然后由我的应用程序脚本删除。 任何其他的想法,或者这是一个傻瓜的差事?
由于这是一个关于安全问题的基于性能的问题,信息安全部门的一些人build议我在这里发帖: 我的物联网公司希望使用客户端证书身份validation来保护每个“事物”和中央服务器之间的通信。 我们每年部署大约3万个事物,而且他们有大约5年的生命周期,所以我们的服务器端解决scheme保守地需要能够一次支持150到200K个证书。 从阅读和提出其他问题来看,似乎最好的解决scheme是EJBCA ,这看起来很好,但我也看到haproxy(理论上)也有能力做到这一点。 我的问题是 :haproxy如何扩展以处理大量的客户端证书和连接?
Debian / Ubuntu软件包中用于MySQL 的preinst脚本将MySQL服务器的默认主目录设置为/ nonexistent ,这可能是一种安全措施 – MySQL服务器具有自己的datadirpath,它像home目录一样使用。 然而,这样做的一个副作用是,当MySQL启动时,它会产生这样的信息: No directory, logging in with HOME=/ 这里我关心的是从安全的angular度来看,这并不好看。 这表明它会推动MySQL尝试在/创build文件; 显然它应该不会因为权限而这样做,但是它甚至不会尝试。 我已经看到了通过创build主目录来“解决”这个问题的答案 ,但是这样做似乎没有任何意义,因为这样做的意义不大,尽pipe它可能是“安全的”,因为MySQL也被设置为使用/bin/false它的壳。 将其设置为存在并且MySQL拥有所有权(比如/var/lib/mysql会更安全吗? 或者创build文件夹,但不允许MySQL写入它? 有更清洁的解决scheme吗?
我正在处理专有的传统VMS(videopipe理系统),它连接到IP摄像机进行远程监视。 该系统在公共互联网上的8016端口上公开,用户通过非encryption连接(主要是在移动设备上,使用名为RAS Mobile I的应用程序)访问它。 用于通信的协议是专有的,不基于HTTP。 服务器支持身份validation,但使用简短的数字代码,所有内容都以明文forms传输。 不用说,这是一个巨大的安全问题。 我被要求让系统更安全,但我想不出有什么办法可以实现这一点,而不需要VPN。 VPN不是理想的解决scheme,因为用户在99%的时间(所有苹果设备)上访问移动设备上的摄像头,使用VPN需要他们:打开VPN应用程序,启动隧道,返回到RAS Mobile我,然后再次打开VPN应用程序closures隧道。 有没有另外一种方法来为系统添加一些安全和encryption层,而不需要VPN连接? 例如:对于另一个通过HTTP进行通信的系统,我在前面添加了一个Nginx反向代理,并在代理中启用了SSL和HTTP基本身份validation。
我使用由Ubuntu Server 16.04打包的Asterisk 13.1.0来运行纯VoIP电话系统。 Asterisk有一个模块 – phoneprov – 允许它模板化特定线路的configuration文件,并从内置的HTTP服务器提供服务。 我想用它来configuration我的Polycom IP电话,但我无法弄清楚如何安全地进行操作。 更复杂的事情,我已经使用内置HTTP服务器的SIP通过WebSockets。 据我所知, phoneprov模块根本没有authentication或授权机制。 这似乎只是服务任何人谁问的文件。 由于生成的configuration文件包含注册为一条线路所需的所有凭证,因此任何可以向内置HTTP服务器发出HTTP请求的人都可以通过phoneprov注册为任何行。 这似乎太明显的安全问题存在于软件中,像Asterisk那样高调地存在,在文档中甚至在互联网上甚至(据我所知)都可以窥探它。 我在这里错过了什么? TLS相互authentication 至less在我看来,理想的方式是通过TLS客户端证书来validation硬件IP电话的供应。 几乎所有的主要制造商都会在他们的手机上发布一个由私人CA签署的客户端证书,该证书通过MAC地址来识别手机。 由于configuration文件也是由MAC地址提供的,因此将证书中的MAC与URL中的MAC进行匹配并以此方式控制访问是非常简单的。 这就是我的基于nginx的configuration服务器(它处理除了线路凭证以外的所有configuration)。 但是,Asterisk不支持TLS客户端身份validation。 它有一个TCP和TLS套接字侦听器的通用实现,并且通过阅读源代码证实它不支持请求客户端证书。 更正 :Asterisk的tcpctls系统确实支持客户端证书validation,但是它只能validation客户端证书是否有效,并且(可选)它的commonName匹配客户端的主机名。 虽然可以为Asterisk HTTP服务器启用该选项,但对保护phoneprov没有多大帮助,因为该模块不使用主机名(或其他任何名称)进行授权。 它也会通过WebSocket破坏SIP。 HTTP身份validation 如果无法使用TLS身份validation,则使用HTTP基本身份validation来保护对configuration文件的访问是有意义的。 访问configuration服务器的证书本身必须以某种方式进行configuration,但总比没有好。 不幸的是,我已经通过阅读源码来确认,虽然Asterisk的HTTP服务器支持HTTP基本authentication,但是phoneprov模块并没有使用该function。 通过反向代理validation 如果Asterisk无法对自身的请求进行身份validation,那么我希望在请求连接到Asterisk之前使用像nginx这样的反向代理来处理身份validation。 这对我来说尤其方便,因为我已经configuration了nginx来authenticationconfiguration客户端。 不幸的是,这种方法有两个主要问题: 首先,Asterisk不支持X-Forwarded-For头部或者在逆向代理之后使用的任何其他方式发现真正的客户端IP地址。 我已经通过检查源代码来确认这一点。 使用反向代理时,Asterisk中的所有请求将显示为127.0.0.1 。 这不会是phoneprov ,但是基于WebSockets的SIP实现位于同一台服务器上,而不正确的客户端IP地址会导致严重的SIP问题。 没有办法将SIP over WebSockets服务器与phoneprov服务器分开,并且phoneprov服务器不能暴露于Internet或反向代理服务器毫无意义。 其次,即使客户端IP问题不成问题,也很难保证对Asterisk HTTP服务器的本地访问,因为它只支持在TCP套接字上侦听。 在使用反向代理进行身份validation时,需要保护代理和后端之间的连接,以防止攻击者绕过代理。 当代理和后端在同一台计算机上时,通常使用UNIX域套接字进行连接,以便使用文件系统权限进行保护。 这种方法对于Asterisk来说是不可能的,而且很难确保TCP套接字(即使是绑定到127.0.0.1 TCP套接字)被未经授权的本地进程(如受到威胁的PHP应用程序)访问。 完全避免使用HTTP phoneprov模块也支持将其生成的文件导出到文件系统。 […]
我们试图阻止我们的用户运行我们没有特别批准的各种命令。 我们已经实现了Applocker,但是这并不妨碍用户运行以rundll32.exe或regsvr32.exe开头的命令。 在以前的Windows版本中,组策略设置“从开始菜单中删除运行菜单”就足够了。 但在Windows 10中,当用户开始在search中input任何命令时,即使执行该GP设置,该命令也会运行。 有什么办法可以防止这个? 这是一个重要的安全问题,我感到惊讶的是,在这个问题上,一般来说更安全的Windows 10实际上并不如此。 如果没有,至less有一种方法可以阻止访问search字段? 我已经在任务栏上find了它(即使我把它设置为“隐藏”,用户可以将它切换回“显示search图标”或“显示search框”),按照字母顺序列表(在“search“)和通过Windows + S和Windows + Q热键。 我尝试重命名文件夹C:\ Windows \ SystemApps \ Microsoft.Windows.Cortana_cw5n1h2txyewy 这确实完全禁用了searchfunction,但是对于我们的需求来说太过分了。 这将阻止用户从开始菜单运行他们的程序。 例如,他们不能开始input“Word”并打开Microsoft Word。 任何想法都会受到欢迎。 谢谢! 大卫