我们的一个 Web 服务器未能满足 PCI-DSS 合规要求,因为漏洞扫描检测到其操作系统是 Windows Server 2003 Service Pack 1(显然非常过时!)。
我的问题是漏洞扫描如何检测到这一点,因为我似乎无法找到一种方法来获取相同的信息,而无需对该框进行 AD 访问(它在服务提供商网络上)。即使使用 nmap,它也只能提供对操作系统版本的猜测:
Aggressive OS guesses: Microsoft Windows Server 2003 SP1 or SP2 (99%)
那么,在向我们的提供商发送非常非常愤怒的电子邮件之前,我该如何验证这一点?如果这是真的,那么我会说这是疏忽,我给他们的电子邮件语气不会很好。
我没有这个盒子的登录权限。
答案1
那激进的操作系统猜测线基于什么nmap(或类似 nmap 的扫描仪)能够与其指纹数据库匹配。虽然它声称有“99%”的信心,但这一说法意味着它基于对其他操作系统指纹的了解而充满信心。Win2k3 SP3 及更高版本可能具有相同的指纹,因为这些修补程序没有以任何方式触及 tcp/ip 或 udp/ip 堆栈或服务器签名。
要知道服务器是否容易受到所有已声明的 CVE 攻击,唯一可靠的方法就是实际尝试利用它们。但这样做可能会让你陷入困境 :)
由于您也无法直接访问服务器本身,因此最好的办法是请求(甚至要求)他们为您提供服务器上所有已安装修补程序的列表。这可以通过C:\>wmic qfe list
命令轻松完成。