NSA和CISA红蓝队共享的网络安全误配置TOP10 (下)

错误配置

安全建设措施和建议

软件和应用程序的默认配置

• 在部署上线前修改软件和应用程序的默认配置[M1013],[D3-ACH]。请参阅供应商提供的强化指南和相关网络安全指南（例如 DISA 的安全技术实施指南 (STIG) 和配置指南）。

软件和应用程序的默认配置：默认口令

• 在部署和测试时，更改供应商提供的服务、软件和应用程序的默认密码[CPG 2.A]，并且新密码要满足强密码要求，即大于等于15位的随机字符串组成的密码。

默认权限配置：不安全的AD域证书服务

• ADCS的安全加固，确保所有AD基础设施及时更新系统补丁，部署相关日志审计或监控措施，使用严格的访问控制策略。

• 如果企业不需要，请禁用ADCS服务器的WebEnrollment功能，参考微软提供的指南：Uninstall-AdcsWebEnrollment (ADCSDeployment)

• 如何企业需要使用ADCS服务器的WebEnrollment功能：

• 必须启用扩展认证保护(EPA)以验证所有的WebEnrollment客户端。参阅微软文档：KB5021989: Extended Protection for Authentication

• 配置ADCS服务器强制使用SSL

• 在ADCS服务器上禁用NTLM，参考微软文档：Network security Restrict NTLM in this domain - Windows Security | Microsoft Learn和Network security Restrict NTLM Incoming NTLM traffic - Windows Security

• 禁用UPN映射的SAN，参考微软文档：How to disable the SAN for UPN mapping - Windows Server。使用智能卡身份验证替代UPN映射，智能卡身份验证可以使用 altSecurityIdentities 属性来更安全地将证书显式映射到帐户。

• 对ADCS服务器上的权限模板配置进行审计，确保只有需要注册权限的用户和组有相应的权限。从模板中禁用CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT标志以保护用户信息和防止用户编辑模板中的安全敏感配置。强制主管才有权限批准所请求的证书。删除低特权组（例如域用户）对证书模板对象的 FullControl、WriteDacl 和 Write 属性权限。

默认权限配置：不安全的古早协议和服务

• 确认业务运行是否需要用到LLMNR和NetBIOS

• 如果不需要，在本地计算机配置或组策略中禁用LLMNR和NetBIOS

默认权限配置：不安全的SMB服务

• 所有SMB交互的SMB客户端和服务器都要使用SMB签名，以防止已知的中间人攻击例如PTH，参考微软文档：Overview of Server Message Block Signing、Microsoft Windows 11 Insider Preview Build 25381、

错误配置

加强网络共享访问的ACL控制

网络共享和服务的 ACL 不足

• 对所有网络和共享服务进行访问控制，只有授权过的用户才能访问

• 对重要信息资源应用最小权限原则，以降低未经授权的数据访问和操纵的风险。

• 对文件和目录应用限制性权限，并防止对手修改 ACL [M1022]、[D3-LFP]。

• 对包含敏感私钥的文件和文件夹设置限制性权限，以防止意外访问 [M1022]、[D3-LFP]。

• 启用 Windows 组策略安全设置“不允许匿名枚举安全帐户管理器 (SAM) 帐户和共享”以限制可以枚举网络共享的用户。

错误配置

消灭弱口令

弱口令

• 创建密码策略以强制使用无法破解的“强”密码时，请遵循美国国家标准与技术研究所 (NIST) 指南 [M1027]、[D3-SPP]。[29] 考虑使用密码管理器来生成和存储密码。

• 不要跨系统重复使用本地管理员帐户密码。确保密码“强”且唯一 [CPG 2.B]、[M1027]、[D3-SPP]。

• 对私钥使用“强”密码会导致破解资源密集。不要将凭据存储在 Windows 系统的注册表中。建立禁止在文件中存储密码的组织策略。

• 确保 Windows 服务帐户有足够的密码长度（最好是 25 个以上字符）和复杂性要求，并在这些帐户上实施定期过期的密码 [CPG 2.B]、[M1027]、[D3-SPP]。如果可能，请使用托管服务帐户自动管理服务帐户密码。

明文密码泄露

• 对文件和系统实施审查流程以查找明文帐户凭据。找到凭据后，删除、更改或加密它们 [D3-FE]。使用自动化工具定期扫描服务器计算机，以确定是否存储敏感数据（例如个人身份信息、受保护的健康信息）或凭据。权衡在密码存储和 Web 浏览器中存储凭据的风险。如果系统、软件或 Web 浏览器凭证泄露是一个重大问题，技术控制、策略和用户培训可能会阻止将凭证存储在不适当的位置。

• 使用 国家安全系统政策委员会 (CNSSP)-15和商业国家安全算法套件 (CNSA) 批准的算法存储哈希密码。[50]、[51]

• 考虑使用组托管服务帐户 (gMSA) 或第三方软件来实施安全密码存储应用程序。

错误配置

代码执行管控

代码执行不受限制

• 启用系统设置，阻止运行从不受信任的来源下载的应用程序。[52]

• 使用默认情况下限制程序执行的应用程序控制工具，也称为白名单 [D3-EAL]。确保这些工具检查数字签名和其他关键属性，而不仅仅是依赖文件名，特别是因为恶意软件经常试图伪装成常见的操作系统 (OS) 实用程序 [M1038]。明确允许某些 .exe 文件运行，同时默认阻止所有其他文件。

• 阻止执行已知的易受攻击的驱动程序，攻击者可能会利用这些驱动程序在内核模式下执行代码。在审核模式下验证驱动程序块规则，以确保生产部署之前的稳定性 [D3-OSM]。

• 限制脚本语言以防止恶意活动、审核脚本日志并限制环境中未使用的脚本语言[D3-SEA]。请参阅联合网络安全信息表：保留 PowerShell：使用和拥抱的安全措施。[53]

• 如果可能，请使用只读容器和最小镜像来防止命令运行。

• 定期分析边界和主机级保护，包括垃圾邮件过滤功能，以确保其在阻止恶意软件的传递和执行方面持续有效[D3-MA]。评估 HTML 应用程序 (HTA) 文件是否在您的环境中用于商业目的；如果未使用 HTA，请将打开它们的默认程序从 mshta.exe 重新映射到 notepad.exe。