如何打造“钢筋混凝土”型的网络环境

 简化、优化你的补丁管理

许多攻击机制，都是针对未修补的系统。所以，不管你的网络是否对外开放，都应该定期更新操作系统和应用程序。虽然这个建议属于老生常谈，但从另一个侧面也说明了该建议的重要性。

对于Windows系统来说，利用Windows Server进行更新服务简单而高效。 利用WSUS部署更新程序时，WSUS易于设置，可以设置为自动或手动方式，而利用第三方软件来管理更新就有点不靠谱了。

审核默认密码

目前已确认的数据泄露事件均涉及到密码口令的丢失、密码口令安全性过低或默认密码未更改有关，所以这个建议是非常重要的。当用户在首次使用设备时，应该先对默认的出厂密码进行修改，如果没有设置密码的要先设置密码，但往往人们会忽略这些关键的保护手段。攻击者就是利用这些疏忽来进行攻击的，因为一般的出厂默认密码都可以在网络上查到。攻击者可以利用网络设备，如交换机和接入点上的默认密码来重定向流量，执行中间人攻击，或对网络基础设施执行拒绝服务攻击。更糟糕的是，内部系统所利用的Web控制台在包含敏感业务数据或系统配置的应用程序中通常使用的都是默认密码。攻击者利用网络钓鱼和常见的恶意软件的攻击向量就可以绕过安全防护。

加强内部防护，特别是供应链攻击

内部攻击有两种，一种是内部人员有意进行的恶意行为，另一种是供应链攻击的被动攻击行为。

最近两年，供应链攻击已经成为最大网络威胁 。供应链攻击形式多样。可以是对合作伙伴公司的雇员进行网络钓鱼获取本公司登录凭证，比如近几年影响最重大的两起数据泄露：美国零售商塔吉特百货和美国人事管理局(OPM)数据泄露事件，就是经由合作公司失窃的登录凭证。也可以是往合法软件中植入恶意软件，比如著名的NotPetya勒索软件，就是乌克兰流行会计软件M.E.Doc被感染而引起的。英国国家网络安全中心(NCSC) 对供应链攻击的总结如下：

如果做得好的话，供应链攻击是很难被检测出来的，有时候甚至是完全不可能被发现的。网络监视能检测出异常或可疑行为，但依然难以确定安全漏洞是有意引入的(可能是作为后门)，还是来自开发人员或制造商的无意疏忽，或者其实是为了证明有潜在的访问凭证被利用了。

使用LAPS管理本地管理员密码

在2015年年中，微软发布了一个解决这个该问题的工具，即本地管理员密码解决方案(LAPS)。此方案是将本地管理员密码存储在LDAP上，作为计算机账户的一个机密属性，配合GPO，实现自动定期修改密码、设置密码长度、强度等，更重要是该方案可以将该密码作为计算机帐户属性存储在Active Directory中。该属性“ms-Mcs-AdmPwd”可以通过ACL锁定，以确保只有经过批准的用户，如控制台和系统管理员可以查看密码。 LAPS还包括一个PowerShell模块和一个后台客户端，LAPS UI，以简化管理和检索过程。

LAPS实现起来非常快速简单，只需要要求系统管理员创建一个定义密码策略和本地帐户名称的GPO来管理，可以直接将单个文件AdmPwd.dll添加到Windows上。

注意漏洞披露时保护关键细节

攻击者利用这些信息制定攻击策略，例如内部IP地址，敏感文件的本地路径，服务器名称和文件共享。从这些信息可以推断出其他的运行环境特征，并可以帮助攻击者更清楚地了解你的操作环境。一般情况下，很少有用户会查看错误信息的详细原因。

禁用LLMNR和NetBIOS名称解析

链路本地组播名称解析(LLMNR)和NetBIOS名称服务(NBT-NS)都可以导致在启用时快速对域名进行攻击。这些协议最常用在初始DNS查找失败时查找所请求的主机，并且会在默认情况下启用。在大多数网络中，由于DNS的存在，所以LLMNR和NetBIOS名称解析根本就没有必要再用了。当对无法找到的主机发出请求时，例如尝试访问 dc-01的用户打算输入 dc01，LLMNR和NBT-NS就会发送广播，寻找该主机。这时攻击者就会通过侦听LLMNR和NetBIOS广播，伪装成用户(客户端)要访问的目标设备，从而让用户乖乖交出相应的登陆凭证。在接受连接后，攻击者可以使用Responder.py或Metasploit等工具将请求转发到执行身份验证过程的流氓服务(如SMB TCP：137)。 在身份验证过程中，用户会向流氓服务器发送用于身份认证的NTLMv2哈希值，这个哈希值将被保存到磁盘中，之后就可以使用像Hashcat或John Ripper(TJR)这样的工具在线下破解，或直接用于 pass-the-hash攻击。

由于这些服务通常不是必需的，因此最简单的措施是完全禁用它们。大家可以按着计算机配置 – >策略 – >管理模板 – >网络 – > DNS客户端 – >关闭组播名称解析来修改组策略，禁用LLMNR。

而禁用NetBIOS名称解析并不是一件简单的事情，因为我们必须在每个网络适配器中手动禁用“启用TCP / IP NetBIOS”选项。

查看当前账户是否具备管理员权限

攻击者对账户进行控制时，会尽一切办法来获得该设备的管理权限，比如用户有时会为了某种访问的需要，进行一些临时访问，但在访问完毕后，用户有时会忘了对这些访问进行删除或监控，以至于被黑客利用。根据实际监测，很少有用户会把这些临时访问权限进行删除。

具有域管理员或企业管理员资格的帐户应受到高度限制，比如只能用于登录域控制器，具有这些权限的帐户不应再在其他系统上进行登录了。在此，我们建议大家可以基于不同的管理功能来为每个账户设置不同的权限的管理账户，比如 “工作站管理”和“服务器管理”组，这样每个管理员就不具有访问整个域的权限了，这将有助于对整个域的权限保护。

及时查看你的网络设备是否被攻击

如果你登陆过https://www.shodan.io这个网站，你一定会被其中所曝光的敏感漏洞和服务而震惊。与谷歌不同的是，Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌，不停的在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等等。每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息。

如果没有必要就不要将你的设备接入网络

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!