蓝队一般分为事前加固、实战阶段、事后总结。本期笔者将会重点介绍事前加固——系统加固的部分,因为事前加固能提高系统和网络的安全性,减少潜在的攻击面。
因文章整体内容较长,本文拆分为上下两篇在本公众号发出。上篇内容请参阅蓝队之结合等保2.0加固系统(上)。
欢迎大家点击关注本公众号,精彩内容不要错过~
03.安全审计
基线a)
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
实施内容:
-
应核查是否开启了安全审计功能;
-
应核查安全审计范围是否覆盖到每个用户;
-
应核查是否对重要的用户行为和重要安全事件进行审计。
配置参考:
运行“gpedit.msc”->本地计算机策略->计算机配置->Windows设置->安全设置->本地策略->审核策略:
-
审核策略更改:成功、失败
-
审核登录事件:成功、失败
-
审核对象访问:成功、失败
-
审核过程追踪:成功、失败
-
审核目录服务访问:成功、失败
-
审核特权使用:成功、失败
-
审核系统事件:成功、失败
-
审核帐户登录事件:成功、失败
-
审核帐户管理:成功、失败
|
|
基线b)
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
实施内容:
-
应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
配置参考:
1、Windows操作系统事件查看器中的审计记录默认满足。
2、第三方审计工具中,查看审计记录,审计信息包含日期、主客体、类型等信息;。
基线c)
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
实施内容:
-
应核查是否采取了保护措施对审计记录进行保护;
-
应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。
配置参考:
1、设置日志最大大小不小于1G,日志数据本地保存,并定期备份审计记录,保证审计记录保存时间不少于6个月。
运行“compmgmt.msc”->计算机管理(本地)->事件查看器->Windows日志:
“应用程序”、“安全”、“系统”三类日志记录类型,右键点击类型事件,选择下拉菜单中的“属性”,设置日志最大大小不小于1G:
|
|
基线d)
应对审计进程进行保护,防止未经授权的中断。
实施内容:
-
应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。
配置参考:
默认符合。
04.入侵防范
基线a)
应遵循最小安装的原则,仅安装需要的组件和应用程序。
实施内容:
-
应核查是否遵循最小安装原则;
-
应核查是否未安装非必要的组件和应用程序。
配置参考:
卸载多余不必要的应用程序。
基线b)
应关闭不需要的系统服务、默认共享和高危端口。
实施内容:
-
应核查是否关闭了非必要的系统服务和默认共享;
-
应核查是否不存在非必要的高危端口。
配置参考:
1、运行“services.msc”,打开系统服务管理界面,查看服务详细列表,若开启多余的服务,则关闭。
2、运行“regedit”,打开注册表编辑器,找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项,双击右侧窗口中的AutoShareServer、 AutoShareWks项将键值由1改为0;如果没有AutoShareServer、AutoShareWks项,可自己新建名字分别为AutoShareServer、AutoShareWks,类型为DWORD的项,再修改键值为0。
3、在防火墙规则中阻止访问多余的端口或高危端口。
4、关闭高危端口如135、139、445、593、1025等。
5、关闭默认共享如C$,IPC$。
运行“compmgmt.msc”-->计算机管理(本地)-->共享文件夹-->共享-->右键,属性-->停止共享:
|
|
基线c)
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
实施内容:
-
应核查配置文件或参数是否对终端接入范围进行限制。
配置参考:
设置防火墙、堡垒机。
基线d)
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
实施内容:
-
应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块;
-
应测试验证是否对人机接口或通信接口输入的内容进行有效性检验。
配置参考:
此基线跟加固win无关。
基线e)
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
实施内容:
-
应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞;
-
应核查是否在经过充分测试评估后及时修补漏洞。
配置参考:
1、及时更新系统,打补丁。
2、定时对系统进行漏洞扫描,如发现漏洞,应及时修补漏洞。
05.恶意代码防范
基线a)
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
实施内容:
-
应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;
-
应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为;
-
应核查当识别入侵和病毒行为时是否将其有效阻断。
配置参考:
安装恶意代码防范软件,并定时更新升级恶意代码库。
06.可信验证
基线a)
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
实施内容:
-
应核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;
-
应核查是否在应用程序的关键执行环节进行动态可信验证;
-
应测试验证当检测到计算设备的可信性受到破坏后是否进行报警;
-
应测试验证结果是否以审计记录的形式送至安全管理中心。
配置参考:
使用身份认证,禁止使用匿名登录。
07.数据完整性
基线a)
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
实施内容:
-
应核查系统设计文档,鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性;
-
应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。
配置参考:
设置window安全向导、设置防火墙和网络安全设置、设置身份认证和访问控制。
08.数据保密性
基线a)
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
实施内容:
-
应核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性;
-
应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。
配置参考:
应使用ssh等加密协议进行传输。
09.数据恢复备份
基线a)
应提供重要数据的本地数据备份与恢复功能。
实施内容:
-
应核查是否按照备份策略进行本地备份;
-
应核查备份策略设置是否合理、配置是否正确;
-
应核查备份结果是否与备份策略一致;
-
应核查近期恢复测试记录是否能够进行正常的数据恢复。
配置参考:
-
重要数据定期备份,制定备份策略;
-
定期对备份数据进行恢复测试。
基线b)
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
实施内容:
-
应核查是否提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地。
配置参考:
建立异地备份场地,并实时同步数据。
基线c)
应提供重要数据处理系统的热冗余,保证系统的高可用性。
实施内容:
-
应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等)是否采用热冗余方式部署。
配置参考:
服务器采用热备、集群等方式部署满足系统高可用。
10.剩余信息保护
基线a)
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
实施内容:
-
应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。
配置参考:
使用工具彻底清除一些重要的数据。
基线b)
应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
实施内容:
-
应核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。
配置参考:
windows默认满足。
等保基线跟蓝队防御结合,对系统有很好的进行防御作用。
1、密码是进入系统的钥匙,做身份鉴别在密码这部分可以很大程度地把攻击者拦截在外,大大增加了攻击者的爆破、猜解难度。能够提高系统的访问控制能力,防止未经授权的访问,减少密码破解的风险,并增强对系统用户身份的可信度。这些措施可以有效地加强蓝队的防御能力,提高系统的整体安全性。
2、重要的文件不给其他用户权限,删除其他多余用户,把用户访问权限粒度细分,实现权限分离。可以帮助蓝队建立更加安全和可控的系统环境,减少潜在的安全威胁,增强系统的防御能力。
3、安全审计为蓝队提供了全面的系统监控和安全事件追踪的能力,帮助发现和响应安全事件,提供安全情报,这可以让蓝队在溯源时提供有力的依据。还可以实时监控系统动态情况,让蓝队选手能够及时快速准确的响应。
4、遵循最小安装原则、关闭不必要的服务和端口、限制管理终端访问,以及及时修补已知漏洞,可以减少系统的攻击面、加强系统的安全性、降低系统被攻陷的风险、保护系统和数据的安全性,这将大大提高蓝队的防御能力。
5、采用免受恶意代码攻击的技术措施和主动免疫可信验证机制可以帮助蓝队及时识别入侵和病毒行为,并有效阻断攻击。这些措施可以提高系统的安全性,降低恶意代码攻击的风险,并增强蓝队对入侵事件的检测和响应能力。
6、基于可信根的可信验证技术能够强化系统的完整性和可信性,提供动态的检测和报警机制,支持审计和安全管理,有助于提高系统的整体安全性,减少潜在的安全威胁,并能提高蓝队的检测和响应能力。
7、数据完整性和数据保密性的加固,对于蓝队防御来说,能在一定程度上提高数据的安全性。
8、提供重要数据的本地数据备份与恢复功能、异地实时备份功能和热冗余,这些措施可以保护数据的安全性和可用性,确保系统的高可用性,提供应急响应和业务连续性,这对于蓝队来说,备份中的日志,能为安全审计提供一个更好的保障。
9、剩余信息保护,能在一定程度上防止数据的泄露。
(完)
原文始发于微信公众号(安恒信息安全服务):九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论