(一)安全机制
安全机制 | 说明 | |
1 | Windows认证机制 | 早期Windows系统认证机制弱,从Windows 2000开始增强,两种基本认证类型 ①本地认证:本地计算机或Active Directory账户确认用户身份 ②网络认证:根据用户试图访问的任何网络服务确认用户身份 集成身份验证技术:Kerberos V5、公钥证书和NTLM |
2 | Windows访问控制机制 | Windows NT/XP安全性达到橘皮书C2级,实现了用户级自主访问控制 为实现进程间安全访问,Windows NT/XP中的对象采用了安全性描述符(Security Descriptor) 安全性描述符: ①用户SID( Owner) ②工作组SID (Group) ③自由访问控制列表(DACL) ④系统访问控制列表(SACL) |
3 | Windows审计/日志机制 | ①日志文件:记录Windows系统运行状况,如各系统服务启动、运行、关闭等信息。 ②日志类型: 系统日志(SysEvent.evt) 应用程序日志(AppEvent.evt) 安全日志(SecEvent.evt) ③存放位置:系统安装区域system32\config目录下 |
4 | Windows协议过滤和防火墙 | 针对网络威胁 ①Windows NT 4.0、Windows 2000提供了包过滤机制,限制网络包进入 ②Windows XP自带防火墙,监控和限制用户计算机的网络通信 |
5 | Windows文件加密系统 | 为防范通过物理途径读取磁盘信息,绕过Windows系统文件访问控制机制,微软开发了加密文件系统EFS(加密磁盘数据)。 用户必须拥有文件密钥,才能访问加密文件 |
6 | 抗攻击机制 | 针对常见缓冲区溢出、恶意代码等攻击,Windows 7、Windows10增加了抗攻击安全机制,集成了内存保护机制 |
①堆栈保护(Stack Protection) ②安全结构例外处理SafeSEH(Safe Structured Exception Handling) ③数据执行保护DEP(Data Execution Prevention) ④地址随机化ASLR(Address Space Layout Randomization) ⑤补丁保护PatchGuard ⑥驱动程序签名(Driver Signing) |
(二)Windows 10提供减少攻击面规则配置
规则配置 | 说明 | |
1 | 阻止来自邮件客户端和Webmail可执行内容 | 邮件中的可执行文件(exe,dll或scr)、脚本文件(PowerShell.ps、VisualBasic.vbs或JavaScript.js) |
2 | 阻止所有Office应用程序创建子进程 | 恶意软件利用Office应用运行VBA宏或执行攻击代码 |
3 | 阻止Office应用程序创建可执行内容 | 恶意软件借用Office作为攻击媒介,将恶意组件保存到磁盘。规则用于防护持久性威胁 |
4 | 阻止Office应用程序将代码注入其他进程 | Office应用程序把恶意代码注入其他进程,将恶意代码伪装成正常进程。 |
5 | 阻止JavaScript或VBScript启动下载的可执行内容 | JavaScript或VBScript编写的恶意软件通常从网上获取下载,并启动其他恶意软件 规则防止脚本启动潜在的恶意下载内容 |
6 | 阻止执行可能被混淆的脚本 | 恶意软件作者使用混淆处理让恶意代码难以阅读,从而防止人、安全软件的严格审查 脚本混淆:是恶意软件作者和合法程序用来隐藏知识产权或减少脚本加载时间的常用技术 规则可检测混淆脚本中的可疑属性 |
7 | 阻止Office宏调用Win32 API | 恶意软件会滥用Office VBA调用Win32 API功能来启动恶意shellcode,而不直接将任何内容写入磁盘 规则可防止使用VBA调用Win32 API功能 |
8 | 阻止信任列表外的可执行文件运行 | 启动执行不受信任或未知可执行文件可能会导致潜在风险。 规则阻止exe、dll或scr等可执行文件类型启动(信任列表除外) |
9 | 防御勒索软件 | 阻止与勒索软件相似的文件运行(信任列表除外) 规则要求扫描检查进入系统的可执行文件可信性 |
10 | 阻止从Windows本地安全授权子系统窃取身份凭据 | 规则通过锁定本地安全授权子系统服务(LSASS),防止身份凭据被窃取 |
11 | 阻止PsExec和WMI命令创建进程 | 恶意软件滥用PsExec和WMl远程执行代码功能用于命令和控制目的,或将感染传播到整个组织网络 规则阻止运行通过PsExec和WMI创建的进程 |
12 | 阻止从USB运行不受信任、未签名的进程 | 规则阻止从USB(SD卡)运行未签名或不受信任的可执行文件、脚本文件。 文件类型: ①.exe ②.dll ③.scr ④PowerShell.ps ⑤VisualBasic.vbs ⑥JavaScript.js |
13 | 阻止Office创建子进程通信应用程序 | 规则阻止Outlook创建子进程(允许正常通信),可以抵御社会工程学攻击,防止利用Outlook漏洞攻击。 |
14 | 阻止Adobe Reader创建子进程 | 恶意软件通过社会工程或漏洞利用,下载并启动其他有效负载,用作攻击向量传播扩散 规则阻止Adobe Reader创建其他进程来防止攻击 |
15 | 阻止利用WMI事件订阅进行持久性攻击 | 某些威胁会滥用WMI存储库和事件模型,保持隐藏状态,避免在系统中被查看到,实现定期执行控制 规则可防止恶意软件滥用WMI以持久性控制设备 |