windows服务器安装软件的权限如何管控？内网安全设备的病毒库/特征库/漏洞库如何升级？｜总第275周

0x1本周话题

话题一：请教下，windows服务器安装软件的权限如何进行管控？如果把服务器的账号组权限从原先的administrators权限改成users权限,会对服务器上跑的业务会有影响吗？

A1：有没有影响，在测试环境测试一下就知道了。

A2：还没收到内部企业微信这样类似的报告。

A3：每个业务系统都测相当耗时间，大家这块普遍是怎么做的？别人怎么把安装包传到服务器上的呢？

A4：堡垒机可以传。但是需要控制，不允许堡垒机传。需要专门有人管理服务器上用的软件安装包。

A5：小公司没什么运维人员，我能想到简单粗暴的就是把以前提供的账号改成users权限，这样就没权限安装，或者是通过组策略的软件限制策略等，但这种以黑名单的方式，效果不太好。

A6：公有云的镜像仓库默认互联网可访问，并且只有简单的用户名密码认证。一般需要加安全补偿措施吗？或者要求仅内网访问？

A7：风险不小，源码可能泄露，镜像可能被篡改。目的是控制安全风险。

A8：公有云的镜像仓库对互联网开放，并且只有简单的用户名密码认证，这可能导致潜在的安全风险。以下是一些可能的问题：

• 未经授权的访问：由于只有简单的用户名密码认证，黑客可能会尝试猜测用户名和密码，或者利用已知的用户名和密码进行批量登录尝试，以获取未授权的访问权限。一旦成功，他们可能会下载、修改或删除镜像，或者在镜像中植入恶意代码。

• 数据泄露：如果黑客成功访问了公有云的镜像仓库，他们可能会获取到存储在其中的敏感数据，如公司内部的源代码、数据库密码、API密钥等，这些数据如果被恶意使用，将对公司的业务和安全造成严重影响。

• 恶意软件传播：如果黑客在镜像中植入了恶意代码，那么使用这些镜像的任何人都可能会受到攻击。这可能会导致恶意软件在公司内部网络中传播，从而造成更大的安全问题。

• DDoS攻击：如果黑客试图通过大量请求来使镜像仓库服务器过载，从而使其服务不可用，那么这可能会影响到公司的业务连续性。

  ‍

为了降低这些风险，建议采取以下措施：

• 使用更强大的认证机制，如多因素认证或专门的身份验证服务。
• 对镜像仓库进行访问控制，只允许授权人员访问。
• 在上传和下载镜像时进行安全检查，以防止恶意代码的传播。
• 对镜像仓库进行监控和日志记录，以便及时发现异常行为。
• 使用加密技术保护传输中的数据。
• 定期备份镜像数据，以防止数据丢失。
• 使用防御性的云服务提供商，例如具有DDoS防御能力的云服务提供商。

话题二：请教一个问题，大家内网的安全设备的病毒库、特征库、漏洞库等的升级是通过互联网自动升级（供应链投毒风险怎么考虑？），还是先下载下来验证以后再离线升级（离线升级的话升级频率多久一次）？

A1：我们是离线包弄到服务器，客户端的是每天升级，其他安全设备基本是每个月。使用专用移动存储介质。

A2：那客户端的升级包是每天从公网上拷进来？

A3：看区域，看策略。若只检测，可以每天更新，风险也不大。若开拦截，t日就先验证不重要区域，t+n日再更新重要区域。

A4：客户端的病毒库不用验证，我们用了这么长没出啥问题。最怕把生产程序干掉。

A5：例如终端防病毒这种是开隔离的，若病毒码有问题，影响也很大。所以还是开灰度更新。例如设置小白鼠区域先更新，1日后再更新其他区域，打补丁也一样。

Q：终端我们把最核心的程序，还有安全类的软件加白了。我现在也遇到这个问题，扫出来说生产程序的文件有问题，只能被动忽略，但是既然忽略了，扫描杀毒还有什么意义呢？

A6：要核查到底是什么问题，把有问题的生产程序跑一下沙箱。

A7：例如，哪天碰上wps或者企微这类办公必需软件被杀掉了没法启动，也会很大影响，倒不用被动忽略，还是要查清楚，告警原因是啥。

A8：分析一下，还是搞不清楚就上多引擎扫描，都有问题就让供应方整改。

A9：是因为没签名，触发了敏感指令，还是真的有后门或其他危害，得区分清楚。要防止供应商投毒，也要防止病毒软件投毒，前车之鉴。业务软件行为触发告警肯定很多，但是坚持深挖的话可以发现一些问题。

A10：病毒软件投毒你们遇到过？

A11：杀毒软件把win干趴了。

A12：硬盘驱动文件？有过因为硬盘驱动文件没有签名，给干掉了。系统反复重启进不去系统。好在迅速发现了原因，给修复了。

A13：所以要灰度发布，哪怕出问题，至少还有能跑的，但是理论上来说要是有防毒供应商投毒做延时攻击就。现在电子产品都有可能boom到时供应商搞个外包出来也不是没可能。

A14：风险不能被消除，只能缓释。现在监管检查都有这块专项检查，如何防范规则库异常问题。所以内网环境的未来就是可信系统加可信软件。

A15：白名单呗，能做到完整性的白名单基本上可以杜绝内网安全问题了。但是白名单就是有点折腾安全人员了，要做好白名单审核提交系统，自动化检查加事项审批。

0x2