對于有些公司,為了技術(shù)部文檔通一規(guī)范,需要把UG,SW PRoe 文檔工程圖導入CAD格式
需要分3步完成。
第一步:打開SW 工程圖
打開工程
第二步:【文件】-【另存為】-【類型DWG】-激活打鉤√
選擇選項
第三步:對映射對話欄設(shè)置(設(shè)置根據(jù)自己公司要求)
設(shè)置圖層
設(shè)置圖層映射到CAD
打開剛保存的DWG文件 如下圖
等保測評過程中利用漏掃工具對系統(tǒng)進行漏洞掃描是評估系統(tǒng)風險和發(fā)現(xiàn)系統(tǒng)脆弱點的有效方式,而針對發(fā)現(xiàn)的系統(tǒng)漏洞,常規(guī)的解決方案存在兩種:1、安裝系統(tǒng)補丁2、系統(tǒng)安全加固配置。本期文章就以“SSL Certificate Signed Using Weak Hashing Algorithm”高危系統(tǒng)漏洞為案例向各位小伙伴總結(jié)分享該系統(tǒng)漏洞的修復方案。
通過自建Windows系統(tǒng)證書(簽名算法:sha256RSA)替換系統(tǒng)遠程桌面默認的證書(sha1RSA),從而修復“SSL Certificate Signed Using Weak Hashing Algorithm”漏洞。
鑒于Centos 7系統(tǒng)默認安裝openssl工具軟件,因此,登陸Centos 7系統(tǒng)并通過以下命令可自建Windows系統(tǒng)證書。
#創(chuàng)建CA私鑰
openssl genrsa -out windows_CA.key 4096
#調(diào)用創(chuàng)建的私鑰創(chuàng)建CA證書,該證書有效期8000天
openssl req -x509 -new -nodes -key windows_CA.key -sha256 -days 8000 -out windows_CA.crt -subj "/C=CN/ST=AnHui/L=Hefei/O=onme0/OU=NIC/CN=test"
#釋義:C=CN指證書發(fā)行者的國家,ST=AnHui指省份,L=Hefei指城市,/O=onme0指單位組織名稱,OU=NIC指單位組織的部門,CN=test指該證書用于系統(tǒng)的主機名,此塊信息根據(jù)實際情況可自定義配置;
#調(diào)用私鑰和證書合成windows系統(tǒng)pfx格式的證書
openssl pkcs12 -export -in windows_CA.crt -inkey windows_CA.key -out windows_CA.pfx
命令提示符中輸入命令:“mmc”打開系統(tǒng)控制臺,在控制臺中添加管理單元、導入證書并賦予權(quán)限。
打開“文件”,打開“添加/刪除管理單元”,如下圖所示;
證書管理單元添加完畢后,查看“遠程桌面”的默認證書并刪除,如下圖所示;系統(tǒng)遠程桌面服務(wù)證書默認采用簽名算法是:sha1RSA。
個人(右鍵)–>所有任務(wù)–>導入–>本地機計算–>下一步–>瀏覽–>選擇自建的證書–>下一步–>輸入Private Key Password–>確定–>下一步–>完成–>導入成功–>證書(雙擊)–>即可查看到test證書;
記錄證書指紋信息:?44 cc b9 6c 41 4b 7e 8f 5a 8c 14 f0 08 c9 f4 23 72 fc 91 05,用于遠程桌面調(diào)用該證書;
test證書(右鍵)–>所有任務(wù)–>管理私鑰–>添加–>輸入對象名稱來選擇–>NETWORK SERVICE–>檢查名稱–>確定–>分配NETWORK SERVICE讀取權(quán)限–>確定;
修改系統(tǒng)注冊表使遠程桌面服務(wù)調(diào)用自建導入的證書。
在命令提示符中輸入以下命令即可修改系統(tǒng)注冊表;
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "SSLCertificateSHA1Hash" /t REG_BINARY /d 44ccb96c414b7e8f5a8c14f008c9f42372fc9105 /f
釋義:添加字段SSLCertificateSHA1Hash,字段類型REG_BINARY,字段值即為證書的指紋信息;
遠程桌面登陸該windows系統(tǒng),查看調(diào)用證書信息,如下圖所示;從調(diào)用的證書來看,該漏洞已成功修復。
另外,通過nessus漏掃工具重新對系統(tǒng)進行掃描同樣可驗證該漏洞已成功修復。
利用Linux系統(tǒng)中的openssl工具可創(chuàng)建適用于windows系統(tǒng)的證書;
通過自建windows系統(tǒng)證書的方案解決“SSL Certificate Signed Using Weak Hashing Algorith”系統(tǒng)漏洞,然而仍存在“SSL Certificate Cannot Be Trusted”和“SSL Self-Signed Certificate”系統(tǒng)漏洞告警。要解決該系統(tǒng)漏洞告警則需向數(shù)字證書頒發(fā)機構(gòu)申請相關(guān)證書。