【红蓝/演练】-事前准备(6)之办公网风险收敛

对于有条件的企业，办公网络最好关闭互联网访问的权限，比如金融、能源的企业，办公网络都是与互联网隔离的，员工的上网需求通常会设置上网机来解决，针对上网机的加固，可以考虑从以下几方面开展工作：

• 搭建隔离的上网区。设置一个专门的网段用于上网，有条件的单位可使用上网沙箱来解决上网需求，安全性更高；
• 理清现状。看看我们都有哪些上网机，可以结合上网机申请工单进行梳理，也可结合上网区终端IP的数据进行梳理；
• 权限收敛。有了上网机清单后，可以评估是否有保留的必要，可以借此机会下线一批上网机；
• 为上网机穿上铠甲。防病毒、EDR、DLP等终端安全安全产品，结合自身的实际情况进行安装，保证安全监控能力100%覆盖上网机；
• 文件清理。删除终端上的敏感文件，有条件的可以对系统进行重装，并格式化硬盘；
• 打安全补丁。特别是Windows机器，要把补丁更新到最新，对于微软已经不维护的windows版本，尽量升级windows版本，升级不了的一定要记录下清单，演习期间要对上述清单中的机器进行重点监控；

• 病毒查杀。除了开启实时防护外，演习前和演习中，提高全盘查杀的频率。

针对打印机主要有以下风险：

• 未授权访问。很多打印机的http服务和打印服务是未授权访问的，或者使用的是默认账密，只要网络通，就能使用其服务。

• 安全漏洞。一些打印机自身就有安全漏洞，如果在域环境下，还有可能通过打印机的票据接管域控。

• 准入绕过。打印机接入内网通常是通过绑定ip和mac实现的，如果有机会近源到内部，通过管理后台未授权获取打印机的ip和mac，给自己的电脑配置上，拔下网线怼在自己电脑上，就可以绕过准入进入内网。

攻击方通过获取账号密码突破业务系统的真实案例确实很多，对防守方来说，针对账号风险进行专项治理是很有必要的，在账号风险收敛方面，提供以下工作思路供参考：

• 现状梳理。梳理现有的账号体系，是否有域账号、是否有统一身份认证、哪些系统是用户自管理账号……还是那句话，要了解现状才能针对性地开展风险治理工作。

• 默认密码清理。企业内如有通用的默认密码，一定要清理掉，还要注意源头治理，在各类账号开通的时候就要避免通用口令的出现。

• 消灭弱口令。结合目前的账户体系，针对性地进行弱口令检查，重点针对域账号和集权系统组织专项的治理工作，发现风险及时通知到人，即查即改。

• 僵尸账号清理。半年甚至更久时间都没登录过的账户需要“特别照顾”一下，看看这些账号是不是需要禁用。域控上可以查看最后一次登录时间，集权系统的后台一般也能查看账号登录时间，可以把登录日志导出，找出僵尸账号清单，逐一跟进清理。

• 自管账号收敛。尽量减少自管账号的情况，依托前期对账号体系的现状梳理，找到自管账号的系统，推动对接域控或者统一身份认证，集中管理后，针对一些高风险场景可开启多因素认证的方式，进一步增强账号安全等级。

• 异常登录告警。在态势感知平台上制定专门的告警规则，当发现账户有异地登录的情况则触发告警，同时还可以给当事人发送风险提醒，比如短信提醒、微信机器人提醒等。

针对wifi的加固，可以从以下几个方面入手：

• 能关就关了，对于那些有几十层办公楼财大气粗的单位，1楼通常也不是办公区，可以考虑只关闭低楼层的wifi，这样不会大范围影响办公，攻击队也无法连接wifi。

• 演习前最好改一次wifi连接密码，并且设置为强密码。

• 有些提供wifi功能的网络设备，portal自身就有认证绕过和RCE漏洞，在曾经做过的红蓝对抗项目中，有过多次通过wifi portal漏洞突破内网的案例，有些portal甚至还有0day。及时对wifi服务器进行固件和系统升级，部署主机防护产品，防止因为portal的漏洞被攻击者利用。