安全服务体系-安全加固(windows系统)-上篇
1、安全加固服务概述
为xxx单位提供为期n年的主机安全加固服务,加固的服务器数量n台。并每月提供安全加固报告。对xxx单位的重要业务服务器做资产清点,建立主机资产档案。实施网络隔离技术,防止攻击者入侵重要业务系统。持续监控主机潜在的风险,发现主机内漏洞、病毒、后门、木马。对主机攻击事件进行溯源分析,提供整改建议。
IT技术扩张迅猛,主机面对的各种高级攻击层出不穷。其中,超过80%的恶意攻击发生在应用层,且被攻击者往往损失惨重,同时,开源框架引入比率大幅度增高,面对突发漏洞往往束手无策。自身代码问题虽然可以修复,但修复周期长,期间损失无法避免。目前的主机安全解决方案无一例外的把重点放在网络安全层面,致使面临应用层攻击(如:针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时,传统的网络防火墙、IDS/IPS等安全产品对主机的攻击几乎不起作用。
2、安全加固服务目标
解决服务器资产缺乏统一管控问题
通过主机加固服务梳理主机内部账户、进程、网络连接、Web站点、Web应用、数据库、环境变量等多种类型资产,识别出发生变更的业务资产的安全风险,并随时跟踪资产风险。
解决主机高级持续性威胁问题
现有主机防护方案无法快速响应未知威胁,导致发生数据泄露等安全事件后无法追踪溯源。通过主机加固服务可降低主机被入侵风险,通过WAF探针、RASP探针、ASVE、管理中心沙箱、内核加固等多手段、多层级抵御已知/未知威胁。
保护业务应用系统和应用
对主机的操作系统文件、进程、注册表、服务进行保护,对用户业务应用系统进行保护,防止用户业务应用系统程序意外终止,确保xxx单位重要业务系统的业务连续性。
3、安全加固服务范围
xxx单位的重要业务信息系统。
** 4、安全加固服务内容**
资产清点
通过主机加固服务工具,识别所有与该主机具有访问关系的资产,确保与相互访问的资产具有可靠性。梳理主机内部账户、进程、网络连接、Web站点、Web应用、数据库、环境变量等多种类型资产,通过对业务系统持续学习,自动发现并跟踪业务信息资产的变更(包括服务器、服务器上运行的软件、网站、以及web应用类型等),并采用交互式安全检测技术(IAST)自动识别出发生变更的业务资产的安全风险。以月为单位提供资产清点报告。
流程控制
通过主机加固服务工具获取流量信息(网络通信五元组及业务标签信息)上传到云管理中心。访问控制规则判断:基于流量中的ip、端口等数据信息以及识别到的业务角色标签与策略库规则做对比,符合的流量访问可以通过,不符合的流量访问将拒绝访问。通过细粒度的网络隔离技术,跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略,防止攻击者入侵内部业务网络后的东西向移动。并通过可视化把握业务系统网络信息流动情况。以月为单位提供流量控制报告。
风险发现
通过主机加固服务工具持续更新引擎库以及Agent探针发现主机中的病毒、木马及后门。扫描所有主机上的漏洞、病毒、后门、木马、合规基线性能指标,持续监控潜在风险。以月为单位提供风险发现报告。
入侵检测
通过安全服务工具详细记录应用层、系统层、内核层的所有行为,智能关联分析,通过IOC展示攻击者每次攻击的攻击流,快速定位风险点。对攻击事件进行分析,将攻击事件进行整理,汇总成风险报告呈现给用户,减少大量同类事件给用户带来的困扰。以月为单位提供入侵检测报告。
5、 ** Windows Server平台加固**
5.1 ** 系统防护-操作系统加固**
a. 禁止更改系统可执行文件
加固方法:
Windows Server服务器安装Agent端,PC管理端开启禁止更改系统可执行文件
修改C:\Windows\hh.exe所有者为administrator
修改C:\Windows\hh.exe权限administrator(具有完全控制)
加固验证:
使用无驱动签名exe工具打开C:\Windows\hh.exe;打开路径C:\Windows\hh.exe;操作“追加”-确定
观察PC管理端-日志查询-系统防护日志;
观察Web管理端-入侵检测-事件回溯;
观察Web管理端-入侵检测-安全日志。
b.禁止更改系统可引导文件
加固方法:
Windows
Server服务器安装Agent端,PC管理端开启禁止更改系统可引导文件;通过在C盘搜索找到bootmgr文件,将文件复制到C盘根目录;修改C:\bootmgr文件所有者为administrator
修改C:\bootmgr文件权限administrator
加固验证:
使用无驱动签名工具exe工具打开C:\bootmgr;打开路径C:\bootmgr;操作“追加”-确定。
c. 禁止非系统进程创建autorun.inf文件
加固方法:
将测试工具中的inf文件拷贝至C盘根目录;将测试工具中的exe拷贝至C盘根目录;Windows
Server服务器安装Agent端,PC管理端开启非系统进程创建dll文件
加固验证:
执行非驱动签名exe打开autorun.inf,另存为autorun.inf文件。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
d.禁止非系统进程创建Usp10.dll文件
加固方法:
准备程序:将测试工具文件夹中的exe拷贝至C盘根目录。将C:\windows\winhlp32.exe拷贝至C盘根目录。
Windows Server服务器安装Agent端,PC管理端开启非系统进程创建dll文件。
加固验证:
执行exe,文件路径输入C:\winhlp32.exe,重命名文件名C:\usp10.dll,勾选“目标文件重命名”,选择确定。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
e.防止对外服务进程执行危险命令
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-对外服务进程执行危险命令。
确保开启以下防护开关
将高级防护中小开关全部关闭
加固验证:
访问服务器的域名,例如:http://192.168.8.22:8080/newShell/hello.jsp。在Execute
Command中执行net.exe
观察Agent端拦截情况。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
f.禁止非系统进程创建Lpk.dll文件
加固方法:
准备程序:将测试工具文件夹中的exe拷贝至C盘根目录。
将C:\windows\winhlp32.exe拷贝至C盘根目录。
Windows Server服务器安装Agent端,PC管理端开启非系统进程创建dll文件
加固验证:
执行File.exe,文件路径输入C:\winhlp32.exe,重命名文件名C:\lpk.dll,勾选“目标文件重命名”,选择确定。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
g.禁止非系统进程在系统目录下创建可执行文件
加固方法:
将测试工具中的exe和Notepad.exe拷贝至C盘根目录。
关闭操作系统加固-禁止更改系统可执行文件(windows系统进程例外)[如无法单独关闭小开关,请先开启高级防护]
Windows Server服务器安装Agent端,PC管理端开启非系统进程在系统目录下创建可执行文件
加固验证:
新建C:\Windows\test目录
将exe拷贝至C:\Windows\test目录
双击打开Notepad.exe,选择"文件"-“打开"找到目录"C:\Windows\test”。
在打开窗口目录下右键重命名文件"123.exe"
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
h.防止对外服务进程创建危险扩展名文件
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-对外服务进程创建危险扩展名文件
确保开启以下防护开关
将高级防护中小开关全部关闭
加固验证:
访问目标服务器地址,例如
http://192.168.8.22:8080/newShell网站。选择55aa.vbs文件,并点击上传
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-安全日志。
i.防止对外服务进程执行非正常扩展名执行文件
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-对外服务进程执行非正常扩展名执行文件。
确保开启以下防护开关
将高级防护中小开关全部关闭
加固验证:
将exe重命名为1.jpg后放在C:\xampp\tomcat\webapps\newShell目录下
访问服务器地址:http://192.168.8.22:8080/newShell/hello.jsp网站,点击Execute
Command功能,输入C:/xampp/tomcat/webapps/newShell/1.jpg,点击Execute。
观察Agent端拦截情况。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
j.禁止粘连键命令被篡改
加固方法:
准备程序:exe
Windows Server服务器安装Agent端,PC管理端开启系统防护粘连键命令被篡改
备份文件:"C:\Windows\System32\sethc.exe"86系统 x64系统
备份文件:“C:\Windows\SysWOW64\sethc.exe” x64系统
加固验证:
修改文件所有者和权限
"sethc.exe"文件属性-安全-高级-所有者-编辑修改administrator-确定
"sethc.exe"文件属性-安全-编辑-administrator完全控制-确定
将exe重命名为sethc.exe”
替换"C:\Windows\System32\sethc.exe" & “C:\Windows\SysWOW64\sethc.exe”
快速摁下shift五次观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
k.禁止加载无数字签名驱动
加固方法;
准备程序:PCHunter64.exe
Windows Server服务器安装Agent端,PC管理端开启系统防护-禁止加载无数字签名驱动
加固验证:
双击使用exe,产生一个持续变换名称的系统文件,等待消失即可。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
l.禁止非系统进程尝试劫持系统引导过程
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程尝试劫持系统引导过程
加固验证:
使用工具
RegWorkshopX64.exe
查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon"双击字符串键值Userinit修改数据数值
观察结果。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
m.禁止非系统进程尝试劫持EXE执行过程
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程尝试劫持EXE执行过程
加固验证:
使用工具
RegWorkshopX64.exe
查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows项。修改AppInit_DLLs的数据为任意值。
观察修改结果。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
n.禁止非系统进程尝试劫持自启动过程可被禁止
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程尝试劫持自启动过程可被禁止。
加固验证:
使用工具
RegWorkshopX64.exe
新建HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run项。新建任意字符串值。
观察修改结果。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
o.禁止非系统进程尝试劫持自启动过程可疑
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程尝试劫持自启动过程可疑。
加固验证:
使用工具
RegWorkshopX64.exe
查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。新建任意字符串值。
观察修改结果。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
p.禁止非系统进程通过组策略劫持开机程序
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程通过组策略劫持开机程序。
加固验证:
使用工具
RegWorkshopX64.exe
新建项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group
Policy\Scripts\Startup\test。新建字符串值script
观察修改结果。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯,有告警信息。
观察Web管理端-入侵检测-安全日志。
q.禁止非系统进程通过组策略劫持关机程序
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程通过组策略劫持关机程序。
加固验证:
使用工具
RegWorkshopX64.exe
新建项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group
Policy\Scripts\Shutdown\test。新建字符串值script
观察修改结果。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯,有告警信息。
观察Web管理端-入侵检测-安全日志。
r.禁止非系统进程修改LSP
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程修改LSP
加固验证:
使用工具
RegWorkshopX64.exe
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\下的LibraryPath为任意值。
使用工具
RegWorkshopX64.exe
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001\下的LibraryPath为任意值
观察修改结果。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-安全日志。
观察Web管理端-入侵检测-事件回溯,有告警信息。
s.禁止非系统进程修改MSI提权
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-非系统进程修改MSI提权。
加固验证:
使用工具
RegWorkshopX64.exe
新建项HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer,新建值(字符串值)”
AlwaysInstallElevated”
使用工具
RegWorkshopX64.exe
新建项HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer,新建值(字符串值)”
AlwaysInstallElevated”
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-安全日志。
观察Web管理端-入侵检测-事件回溯,有告警信息。
t.禁止非系统进程通过修改屏保程序劫持启动过程
加固方法:
打开操系统加固项-非系统进程通过修改屏保程序劫持启动过程
开启系统屏幕保护功能(开启方式自行百度学习)
Y_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE”
加固验证:
x86系统执行exe
x64系统执行exe
编辑“HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE”双击修改数据数值.
u.禁止添加用户到管理员组
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-禁止添加用户到管理员组。
加固验证:
使用cmd命令新建用户test:net user test /add
使用cmd命令将用户test添加到Administrators组:net localgroup administrators test /add
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志。
v.防止对外服务进程创建可执行文件
加固方法:
防护开关:需确保“进程监听端口监控开关”“文件防护开关”“进程防护开关”均为开启状态
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-对外服务进程创建可执行文件
加固验证:
访问服务器地址:http://192.168.8.22:8080/hello.jsp网站。选择File Manager选择 exe文件,并点击上传。
现象:上传被拦截;
观察Agent端拦截情况。
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志
w.防止窃取系统内存密码
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-防止窃取系统内存密码
加固验证:
- 打开
RegWorkshopX64.exe
工具
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ 中找到Notification
Packages和 Security Packages并修改键值对为任意值
观察Agent端拦截情况
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-安全日志
内核加固技术作用
服务器内核加固技术主要加强操作系统自身对抗恶意代码和黑客攻击的能力,抵御非法提权、非法创建可执行文件等黑客行为。就算黑客通过后门成功进行到系统,但他啥也干不了,不能提权不能新建可执行程序,不能新建用户,甚至连开关机都做不到,那么他之前的渗透等于没有效果。
询-系统防护日志。
观察Web管理端-入侵检测-事件回溯。
观察Web管理端-入侵检测-安全日志
w.防止窃取系统内存密码
加固方法:
Windows Server服务器安装Agent端,PC管理端开启系统防护-操作系统加固-防止窃取系统内存密码
[外链图片转存中…(img-6CGiBnTR-1691114780281)]
加固验证:
- 打开
RegWorkshopX64.exe
工具
[外链图片转存中…(img-yDZizVy2-1691114780282)]
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ 中找到Notification
Packages和 Security Packages并修改键值对为任意值
[外链图片转存中…(img-VPfVgFej-1691114780282)]
观察Agent端拦截情况
观察PC管理端-日志查询-系统防护日志。
观察Web管理端-入侵检测-安全日志
内核加固技术作用
服务器内核加固技术主要加强操作系统自身对抗恶意代码和黑客攻击的能力,抵御非法提权、非法创建可执行文件等黑客行为。就算黑客通过后门成功进行到系统,但他啥也干不了,不能提权不能新建可执行程序,不能新建用户,甚至连开关机都做不到,那么他之前的渗透等于没有效果。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。
更多推荐
1
0- 0
已为社区贡献16条内容
所有评论(0)