Windows Server Service Pack-Stufe aus der Ferne erkennen

424
SnakeDoc

Einer unserer Webserver hat gerade die PCI-DSS-Konformität nicht eingehalten, da der Vuln. Bei einem Scan wurde festgestellt, dass das Betriebssystem Windows Server 2003 Service Pack 1 war (offensichtlich sehr veraltet!).

Meine Frage ist, wie der Vuln-Scan dies erkannt hat, da ich anscheinend keinen Weg finden kann, um dieselben Informationen zu beziehen, ohne AD-Zugriff auf diese Box zu haben (sie befindet sich in einem Netzwerk eines Diensteanbieters). Selbst mit nmap gibt es nur Vermutungen zur Betriebssystemversion:

Aggressive Betriebssystem-Vermutungen: Microsoft Windows Server 2003 SP1 oder SP2 (99%) Wie kann ich das überprüfen, bevor ich eine sehr, sehr verärgerte E-Mail an unseren Provider schicke? Wenn dies richtig ist, würde ich sagen, dass dies fahrlässig ist und mein E-Mail-Ton an sie nicht sehr gut sein wird.

Ich habe keinen Login-Zugriff auf diese Box.

2
Haben Sie versucht, Fingerabdrücke mit Metasploit / armitage zu erstellen? James vor 11 Jahren 1
Können Sie die Person, die dieses Problem entdeckt hat, nicht einfach fragen, wie sie es festgestellt hat? Ich gehe davon aus, dass sie in gewisser Weise für Ihr Unternehmen arbeiten. Ramhound vor 11 Jahren 0

1 Antwort auf die Frage

0
STTR

Schließen Sie alle Ports. Ordnen Sie das Port-RDP erneut zu. Ändern Sie die TTL. Und höchstwahrscheinlich bestimmt Ihr System nicht aus der Antwort).

Ändern Sie die TTL:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] DefaultTTL 64 DWORD

Ordnen Sie das Port-RDP erneut zu (mstsc: 3333):

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber 3333 DWORD

Ordnen Sie den VPN-Port erneut zu:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\\0003] TCPPortNumber <VPN port number> DWORD

Deaktivieren Sie IPv6

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters DisabledComponents 0xffffffff DWORD

Befehl, deaktivieren Sie IPv6 Teredo, 6to4, ISATAP:

netsh interface teredo set state disabled netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled netsh interface ipv6 isatap set state state=disabled

Ändern Sie Antwortdienste und so weiter und so fort ...

Schließen Sie nicht alle Ports.

Dies ist zwar eine gute Information, aber ich denke, Sie haben es in meinem OP vermisst, wo ich sagte, dass wir keinen Login-Zugang zu dieser Box haben. Auch das bloße Ausblenden der durchgesickerten Informationen ist keine Lösung, da die Box selbst bei der Verwendung von Metasploit und einem definitiven PCI-DSS-Fehler sogar für Skiddies anfällig ist. SnakeDoc vor 11 Jahren 0
@SnakeDoc Diese Station mit W2K3 SP1 in Ihrem Umkreis oder in Ihrer Infrastruktur? Wenn ja, können Sie die Situation von Software und Hardware beeinflussen. Wenn nicht, benachrichtigen Sie den Verwaltungsclient und belasten Sie nicht. STTR vor 11 Jahren 0

Verwandte Probleme