安天集團 - 關於《Windows 7 操作系統安全加固指引》的技術解讀與運維思路－鑽石舞台

Jun 01 Wed 2022 23:01
安天集團 - 關於《Windows 7 操作系統安全加固指引》的技術解讀與運維思路

點擊上方"藍字"

關注我們吧！

安天攜手多廠商聯合發布安全加固指引

2020年1月，微軟宣布停止對 Windows 7 操作系統的更新服務，同時不再提供針對其的技術支持、軟件更新、漏洞修復等，並提醒繼續使用 Windows 7 操作系統的用戶將面臨較大的安全風險。

而目前 Windows 7 操作系統在我國企事業單位存量極大。為積極預防相關風險，保障資產安全。全國信息化標準委員會於5月26日正式發布了《網絡安全標準實踐指南——Windows 7 操作系統安全加固指引》（以下簡稱：《實踐指南》）。這份文獻起草工作始於2021年底，全國信息安全標準化技術委員會秘書處委託中國網絡安全產業聯盟（CCIA）進行組織，由安天科技集團股份有限公司、杭州安恆信息技術股份有限公司、中國電子技術標準化研究院、深信服科技股份有限公司、杭州迪普科技股份有限公司、三六零數字安全科技集團有限公司、天融信網絡安全技術有限公司、北京山石網科信息技術有限公司8家單位組成了編寫團隊。克服疫情帶來的不利影響，採用靈活多樣的線上交流、線下封閉等形式，匯聚專項技術專家團隊、凝聚業內產業最佳實踐，歷時半年，先後超過50多次討論與修訂，圓滿完成了編制工作，並得到了主管單位領導、專家的高度認可。

安天基於二十多年的威脅實戰經驗、以及對操作系統安全加固相關技術的持續工程實踐積累，是本次工作的牽頭單位之一，同時為本《實踐指南》的形成提供了大量技術支持與經驗素材。

安全加固是網絡安全的基礎保障

系統安全加固是最大化的發揮系統本身的配置能力和內置安全機理的價值，以提升系統的安全性。

大部分網絡攻擊（例如勒索病毒、挖礦木馬等）都是以各類主機系統（端、雲）為最終攻擊點。由於資產雲化、遠程辦公等趨勢造成用戶的網絡邊界正在逐漸模糊，以及加密技術的廣泛的使用，都進一步削弱了防火牆等安全邊界設備的支撐價值。主機資產需要更多的直接面對攻擊，安全的支點也正在毫無爭議的向端點側回歸。

安天通過對大量的攻擊事件與樣本分析進行攻擊技術枚舉，並基於ATT&CK威脅框架技術動作的映射形成累計統計分析。在大量的攻擊中，攻擊者利用主機的暴露面（端口、開放服務等）尋找攻擊入口，並基於主機脆弱性（系統漏洞、系統配置不當等）來達成攻擊目的。例如：利用系統開放端口的漏洞，遠程執行惡意代碼；對系統遠程訪問服務進行遠程爆破攻擊或撞庫攻擊等。其中很多攻擊依靠系統本身的安全的優化就能有效預防。主機安全防護產品通過病毒查殺、白名單驗證、系統防護、安全管控、分布式防火牆、介質管控等手段固然可以提高主機對攻擊和惡意代碼的防護能力，但如果不對主機進行良好的安全加固，將會使主機始終存在可被攻擊者利用的資源，導致防禦產品變成了用來看守沒窗沒門大樓的保安。

因此可以說，進行良好的主機安全加固是網絡安全管理中一項重要工作，也是安全的基礎保障，通過收窄暴露面、降低脆弱性，可以極大提高攻擊者攻擊成本、降低入侵可能。

本次《實踐指南》中，主要對主機安全防護加固和主機安全配置加固兩個方面，給出了相關加固操作方案，用戶可以參考《實踐指南》制定本單位的加固方案。與此同時，我們也考慮到了配置加固與系統穩定性、系統資源占用、系統的業務支撐等方面息息相關，因此《實踐指南》主要用於涵蓋針對 Windows 7 系統進行加固的共性關鍵點。

對於有更高配置要求和細粒度配置要求的用戶，還可以在《實踐指南》基礎上對外設介質、系統服務、開放端口、網絡訪問、用戶賬戶、主機環境等多種對象制定更進一步的細化方案，同時，在安天的防禦框架的「識別」和「塑造」環節中對我們認為應加固的內容和協議，以及需要支撐加固的工作進行了列舉，可供參考。

規模化主機資產加固工作需要依賴高質量的主機安全產品

系統加固的大量工作都是對系統默認配置的調整和修改，這些配置多數表現為系統註冊表的鍵名和鍵值設定，或者使用系統防火牆等安全工具通過設置策略執行，例如關閉默認共享，可在註冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters中修改AutoShareServer、AutoShareWKS兩個鍵值來完成。

再比如使用 Windows 系統自帶防火牆關閉3389等高危端口，需要執行多個步驟的操作，分別是：

1）使用控制面板進入防火牆配置界面；

2）打開規則嚮導界面；

3）規則類型頁選擇「端口」；

4）協議和端口頁選擇「TCP」,填寫「特定本地端口」（如：3389）；

5）操作頁選擇「阻止連接」；

6）配置文件頁勾選「域」、「專用」、「公用」；

7）設置規則名稱。

還有一些特殊的配置加固點，需要刪除一些特定的文件，設置一些特定文件目錄的權限和屬性。

配置加固工作本質就是對這樣的一些「配置點」的修改。這些對專業用戶來說是簡單操作，但對普通用戶來說則難以掌握。

1. 配置點較多容易疏漏

一台需要進行系統安全加固的主機中可配置點可達幾十項甚至數百項。如果採用手工操作的方式，不僅極為繁瑣占用時間，普通使用者也極難掌握。而如果全部由安全運維人員來完成，則成為了非常繁重的重複勞動。

在緊急的情況下，網絡管理者可以通過類似將主機策略編寫為.reg文件，分發給用戶點擊生效，但對於規模型資產用戶來說，不同部門和群組、不同等級的主機、其安全加固策略是有差異型的，分發和管理這些.reg策略本身就成為非常複雜的工作，而且還難以驗證加固結果。

2. 安全加固工作需要對全域主機實現可檢查、可驗證和動態管理

改變目標主機的安全配置狀態只是加固工作的一個環節，合理的加固策略是需要對主機加固前的安全策略進行檢查、評估，對加固後的配置是否修改成功進行驗證。這是因為為支撐有效的威脅分析、評估、溯源、獵殺等工作，對主機的安全策略狀態需要進行全生命周期的管理，對系統配置點的變化時點和變化過程都需要進行記錄與分析。

而且系統配置策略也不是一成不變的，在重大漏洞和攻擊風險出現時需要調整加固等級，以提升對抗風險能力，但此時也會採用一些臨時性的強化配置點，這些一部分配置需要在風險過後、或補丁發布後進行復原，以減小對系統業務的潛在風險管理。這些工作都很難能通過純手動完成的，需要有全面的自動化手段。例如為防範7-zip軟件的CHM幫助文件執行漏洞，可以採取臨時把幫助文件刪掉的方法，但也會導致用戶想要閱讀幫助文件時無法找到文件。在補丁升級後，則就應將對應文件恢復。

3. 加固是整個系統防禦模型中的一個層次，需要和其他安全機制有效聯動

加固是主機安全的基礎，但僅僅依靠系統本身的安全能力，則是遠遠不夠的。例如加固可以通過關閉 RPC 相關端口，降低系統暴露面、削弱基於 RPC 攻擊遠程漏洞利用，但如果系統本身工作要求RPC端口必須開放，此時就需要分布式主機防火牆 /HIPDS 來攔截針對 RPC 端口的攻擊。有效的將系統加固和主動安全防護能力結合，一直是安天開發智甲終端防禦產品家族（以下簡稱：智甲）的重點。

4. 安天智甲是融合加固、防護、管控功能的安全產品

基於主機安全加固、防護、管控的需求以及用戶業務場景，安天面向政企側打造的智甲產品在加固方面不僅全面覆蓋了本次《實踐指南》中所要求的加固項目，還基於 STIG 等規範增加了上百項增強配置點。

智甲產品的工作思路，是構建「多層防禦，兩重閉環」的防護解決方案，多層防禦即系統加固、（主機）邊界防禦、掃描過濾、主動防禦等防禦層次；兩重閉環是 EPP（端點防護）的實時防禦閉環，和 EDR（端點檢測和響應）的准實時/異步防禦閉環。

防護層級

技術原理

系統加固

採集主機關鍵要素信息，包括主機環境、系統配置、安全漏洞、補丁情況、網絡訪問、服務、端口、賬號等對象，比對安全策略模板發現配置風險，對系統和應用的配置策略進行調整，全面發揮操作系統本身的安全能力。針對不同群組進行差異化的配置管理。

（主機）邊界防禦

使用分布式主機防火牆對網絡數據包進行檢查，攔截攻擊探測、橫向移動，發現違規連接行為，管控應用網絡行為；使用外設管控功能，攔截U盤、光盤等載體中的惡意代碼或者違規介質使用行為。

掃描過濾

基於安天AVL SDK反病毒引擎對文件對象、扇區對象、內存對象、註冊表數據對象等進行掃描，判斷檢測對象是否是已知病毒或者疑似病毒，從而實現精準判斷查殺。基於安全的威脅情報引擎，對Domain、URL、IP、GUID、HASH、PDB、Mutex、註冊表位置，進行情報匹配，從而發現已知威脅和病毒，對落地到本地的惡意代碼進行精準查殺。

主動防禦

基於內核驅動持續監控進程等內存對象操作行為動作，研判是否存在持久化、提權、信息竊取等攻擊動作，判斷是否存在批量讀寫、刪除、移動文件或扇區等操作，並文件授信（簽名驗證）機制，過濾正常應用操作動作以降低誤報。另外通過主動防禦能力可以控制進程運行權，防止利用系統配置不安全導致的越權行為，針對暫時無法修復的安全漏洞，通過虛擬補丁/熱補丁等手段進行緩解。

智甲管理中心提供原廠配置模板管理、配置模板定製、配置情況分析、配置調整指令下發等功能，讓安全運維人員可對安全加固工作進行統一管理和統計，特別是針對不同群組制定不同的配置模板，針對特定的工作需求，制定個性化的配置方案：例如安全運維人員可設置不同的加固策略，例如：

1. 在普通辦公機場景下，針對「遠程桌面服務」配置的加固策略是關閉；

2. 在普通服務器場景下，針對「遠程桌面服務」配置的加固策略是開啟「網絡級別身份驗證」，禁止使用默認端口「3389」，端口由用戶自定義；

3. 在關鍵業務服務器場景下，繼承普通服務器場景策略，並在 WEB 管理端提供即時開關「遠程桌面服務」功能，按需開啟和關閉機器的「遠程桌面服務」；

4. 在涉密主機場景下，如必須使用遠程管理功能，配置的策略是，禁用系統本身的「遠程桌面服務」，並阻斷一切開啟「遠程桌面服務」的行為，同時按需，安裝安天多層加密遠程協助組件，進行實際的運營管理。

通過智甲「多層防禦，兩重閉環」的防護解決方案，助力用戶有效收窄主機暴露面，降低資產脆弱性。

智甲家族產品簡介

智甲產品家族基於UES（統一端點安全）理念研發，將病毒查殺、配置加固、可信環境驗證、主動防禦、分布式防火牆/HIPDS、介質管控、WEB SERVER防護等模塊積木化組合，可以有效覆蓋包括傳統桌面、工作站、服務器、虛擬化、容器等場景的安全需求，對包括Windows、Linux、Android以及歐拉、麒麟、統信等國產操作系統都能有效建構系統內核層防禦。

附錄：

《網絡安全標準實踐指南—Windows 7操作系統安全加固指引》.pdf

‍https://mp.weixin.qq.com/s/6jbZ4LfGHkKrngKaXepw0A‍