详细介绍
3月底,黑客组织Lapsus$泄露了微软37GB的源代码,声称这些都是从微软内部的Azure DevOps服务器上窃取的,从发布的Telegram频道截图能够正常的看到,这些项目中的源代码涵盖了一系列高知名度和内部项目,包括与必应搜索、必应地图和Cortana语音助手有关的代码。
众所周知,PC、服务器、打印机、摄像头等都是企业最常用的终端设备,而这些也是黑客在进行网络攻击时最主要的目标,最著名的“永恒之蓝”事件也同样是黑客攻击企业终端设备造成的,但很多企业即使安装了终端安全防护产品依然会被攻击,这是怎么回事?这是由于很多企业因自身原因并未完全落实安全策略,例如:没有全面部署最新版终端安全产品、未开启安全防御功能、未及时来更新等等,而导致外来攻击趁虚而入,因此将网关防护与终端防护搭配应用,方可建立有效的防御体系。
综上几点,这些安全问题都造成了企业单点防御薄弱,不能有效抵御外来的网络攻击,因此如何将已有安全设备与存在安全风险隐患的设备做有效隔离是关键。
企业用户都能够在企业互联网出口处部署瑞星新一代导线式防毒墙RSW-NL,配置防毒墙与ESM联动功能,对所有内网的客户端进行ESM安装配置等合规检查,对不合规的客户端限制其访问互联网,实现客户端准入控制。
登陆瑞星新一代导线式防毒墙,点击上方菜单“联动处置”,之后点击左侧“ESM中心联动”。在 “ESM中心联动配置”页面填写以下各项内容:“系统中心IP地址”填入安装ESM服务器时所选择使用的协议前缀+管理IP地址,默认情况下比如选用https协议作为admin访问并管理ESM服务器web控制台的协议,那么此处就应该填为:
“:”后就是安装ESM服务器时设置的admin通过web访问控制台时使用的端口,一般默认安装采用https协议时是10443,采用http协议时是80。
“用户名”和“密码”填写ESM服务器的admin权限用户名,和其登录web控制台的密码。
“HTTP端口”填为安装ESM时设置的HTTP服务端口(一般这个端口开放是给没安装终端客户端用户更好的提供在服务器下载安装程序的便利所使用的HTTP协议端口)。
“客户端安装路径”填为管理员想提示用户安装终端客户端所需的安装包下载路径。(这个路径在客户端因没有安装终端软件的时候,会在浏览器显示出来提示用户来下载安装)。
“查询间隔”是防毒墙和ESM服务器之间查询客户端信息的间隔,推荐2至5分钟。
在此页面下方的“内网主机安全性定义”勾选要对客户端检查的选项,勾选了的选项 将被检查,如果客户端没有此功能则会被认为是不安全主机。(注意:推荐根据实际部署ESM的服务器已安装功能来勾选此部分内容,比如ESM服务器本身都没有购买审计功能模块,这里就不需要勾选“已安装审计RBA子产品”,否则所有客户端都会被认为是不安全主机。)勾选好后点击“设置”。
然后在此页面的“对不安全主机控制策略”处选择对发现的不安全主机怎么样做处理,包括:
“发送WEB告警信息”,此选项将每隔5分钟(比如13:05,13:10)向客户端的WEB浏览器发送30秒的警告信息,如“您的主机为不安全主机……”,但过了30秒后客户端仍可正常通过浏览器以HTTP协议访问网站。需要注意的是此选项要求在发送信息的时间,客户端正在使用HTTP协议进行某种访问(如用WEB浏览器访问HTTP站点),否则不会看到提示信息。
“仅阻断WEB访问”此选项可以阻断客户端通过WEB浏览器等通过HTTP协议对网站的访问,如果此时客户端访问某个HTTP站点,其网页中显示的将不是网站的内容,而是防毒墙发出的提示“您的主机为不安全主机……”,直到客户端变为安全主机后才可再次通过浏览器等以HTTP协议访问此站点才会显示网页的正常内容。
“连接系统中心失败时的处理策略”是指防毒墙不能通过网络联系到ESM中心时对客户端的处理策略,可根据实际情况选择是“放行”还是“阻断”。(建议不清楚时选择放行)
(注意:此处对不安全主机的处理行为,都要求不安全主机对网络的访问通过防毒墙的转发口才能生效,如果某客户端为不安全主机,但是其可以不通过防毒墙就以HTTP协议访问某个站点,则防毒墙无法对其网络访问进行阻断等操作)。
完成了“ESM中心联动”设置后,还需要启用此联动来完成设置。还是在此配置页面的上方勾选“ESM联动设置”后面的“开启”开关(此选项将打开ESM联动功能),还有一个“并启用病毒数据同步到ESM中心”选项是指当防毒墙发现不安全主机并做处理后,会将此信息发送给ESM中心,如果此客户端安装了ESM终端软件,ESM中心会向此客户端发送告警信息,客户端收到信息后会在右下角出现弹泡显示有关信息。(注意:此功能要求ESM中心安装了相应的“防毒墙联动功能”)。
如果有客户端违反已配置的合规策略,属于不安全主机,此时如果此客户端通过防毒墙的转发口进行http协议的访问,比如通过浏览器访问某个http站点,其访问就会被防毒墙阻断,其浏览器中显示的内容为防毒墙提示其为不安全主机。
添加“ESM非监控主机”是将那些不合规,但又不想让防毒墙对其进行相应处理的主机。能够最终靠在防毒墙的“ESM非监控主机”添加这些主机的IP来实现此功能。
还是在“ESM中心联动”页面,点击页面下方“非监控主机”右侧的“创建非监控主机”。
在“新增非监控主机”页面,能够最终靠IP地址或地址范围的方式将不想要监控的主机地址添加进去。可选择添加“单个IP”、“IP范围”或“IP/掩码”。输入IP内容后点击“确定”。
添加后的主机就会出现在“非监控主机”列表中,这些主机将不会受“内网安全主机”,即合规检查条件的限制来通过防毒墙对网络资源予以访问
(注意:推荐将防毒墙的管理IP地址添加到非监控主机里面去,因为防毒墙无法安装ESM客户端,在一些特殊情况下,比如防毒墙从官网升级病毒库时是一个HTTP访问,而对方的网络配置又决定此访问又一定要通过防毒墙自己的转发口才可进行,那么此时就需要将防毒墙自己的管理IP添加到“非监控主机”中,否则防毒墙官网升级病毒库可能会因此失败)。