安全工程師們必看：加強網路環境的9條建議

在過去半個月中，WannaCry已經讓那些網路安全系統管理員的顏面盡掃，只能事後做一些小修小補，客觀地講，截至目前就連安全專家們也無法預料WannaCry將會出現何種變種。對於配有專門的安保專家的大公司來說，網路安全最起碼還有個基本的保障，但對個人用戶來說，就只能靠自己來進行防護了。

在這篇文章中，我們就為大家提供9條建議，來加固你的網路環境，這9條建議對組織和個人用戶來說，都非常有用，而且還易於操作。

建議1：簡化你的補丁管理

許多攻擊包括WannaCry的基本攻擊機制，都是針對未修補的系統。所以，不管你的網路是否對外開放，都應該定期更新操作系統和應用程序。雖然這個建議屬於老生常談，但從另一個側面也說明了該建議的重要性。許多攻擊就是利用未修復的漏洞和未更新的系統來大做文章。

對於Windows系統來說，利用Windows Server進行更新服務簡單而高效。利用WSUS部署更新程序時，WSUS易於設置，可以設置為自動或手動方式。而利用第三方軟體來管理更新就有點不靠譜了，比如一些商業插件就允許WSUS從其他供應商那裡修補軟體。還有一些比較小眾的工具，像Ninite這樣的第三方更新工具，既不是自動配置的，也不是免費使用的，但它允許用戶從其列表中選擇支持的應用程序和運行沒有完全選定的應用程序。 Flexera的企業軟體檢查器和Microsoft的系統中心配置管理器（SCCM）等工具也可以幫助管理第三方應用程序的修補。

Windows Server Update Services嚮導允許管理員選擇要管理的更新類型

使用WSUS，管理員可以自動批准補丁到質量檢查環境，或手動批准並分配它們

相關的第三方更新工具下載資源：

建議2：審核空白和默認密碼

Verizon發布的《2016年數據泄露調查報告》顯示「63%的已確認的數據泄露事件均涉及到密碼口令(password)的丟失、密碼口令安全性過低或默認密碼未更改」，所以這個建議是非常重要的。當用戶在首次使用設備時，應該先對默認的出廠密碼進行修改，如果沒有設置密碼的要先設置密碼，但往往人們會忽略這些關鍵的保護手段。攻擊者就是利用這些疏忽來進行攻擊的，因為一般的出廠默認密碼都可以在網路上查到。攻擊者可以利用網路設備，如交換機和接入點上的默認密碼來重定向流量，執行中間人攻擊，或對網路基礎設施執行拒絕服務攻擊。

更糟糕的是，內部系統所利用的Web控制台在包含敏感業務數據或系統配置的應用程序中通常使用的都是默認密碼。攻擊者利用網路釣魚和常見的惡意軟體的攻擊向量就可以繞過安全防護，並且有時候真正的威脅是來自內部人員的惡意行為，所以借著 「內部」這個借口來放鬆對密碼的管理，這個觀念是非常錯誤的。正確的做法應該是，審核所有登錄密碼，並進行必要的修改和設置。現在，許多設備和服務都支持雙因素身份驗證， 建議大家盡量開啟。

只是用Google搜索出來的一些默認密碼列表

建議3：使用LAPS保護你的本地管理員帳戶

密碼重用的常見原因是Windows工作站和伺服器上的本地管理員帳戶，這些密碼通常通過組策略設置為公用值，或者在構建系統映像時設置為標準值。因此，在一台機器上發現本地管理員密碼的攻擊者就可以利用這些值訪問網路上的所有計算機。

在2015年年中，微軟發布了一個解決這個該問題的工具，即本地管理員密碼解決方案（LAPS）。此方案是將本地管理員密碼存儲在LDAP上，作為計算機賬戶的一個機密屬性，配合GPO，實現自動定期修改密碼、設置密碼長度、強度等，更重要是該方案可以將該密碼作為計算機帳戶屬性存儲在Active Directory中。該屬性「ms-Mcs-AdmPwd」可以通過ACL鎖定，以確保只有經過批准的用戶，如控制台和系統管理員可以查看密碼。 LAPS還包括一個PowerShell模塊和一個後台客戶端，LAPS UI，以簡化管理和檢索過程。

可以提供Microsoft LAPS UI Thick Client來支持可能需要訪問本地管理員帳戶的人員

LAPS實現起來非常快速簡單，只需要要求系統管理員創建一個定義密碼策略和本地帳戶名稱的GPO來管理，可以直接將單個文件AdmPwd.dll添加到Windows上。

本地管理員密碼解決方案允許系統管理員定義符合其公司策略的密碼

建議4：限制漏洞信息披露

查找過度冗長的錯誤消息可能是攻擊者的攻擊手段之一，雖然這些查找過程可能看起來是好的，但是詳細的錯誤消息可能會泄漏信息，讓攻擊者利用這些信息制定攻擊策略，例如內部IP地址，敏感文件的本地路徑，伺服器名稱和文件共享。從這些信息可以推斷出其他的運行環境特徵，並可以幫助攻擊者更清楚地了解你的操作環境。一般情況下，很少有用戶會查看錯誤信息的詳細原因，而是簡單地看一下簡單的錯誤報告消息。

對於攻擊者來說，只需要通過顯示的軟體版本即可研究出對應的攻擊策略。例如，披露Tomcat 8.0.30版本 時，就很詳細的披露了十五個已發布的漏洞，其中一些漏洞還附有漏洞證明。例如，顯示phpinfo（）的頁面可能會顯示主機信息，運行服務的本地用戶和組，伺服器的配置選項以及其他信息。

顯示phpinfo（）的頁面公開了信息有可能導致進一步有針對性的攻擊

在設置應用程序時，一定要檢查一下默認顯示的漏洞信息是否就是你需要看到的信息。如果不是，請重新設置。

建議5：禁用LLMNR和NetBIOS名稱解析

鏈路本地組播名稱解析（LLMNR）和NetBIOS名稱服務（NBT-NS）都可以導致在啟用時快速對域名進行攻擊。這些協議最常用在初始DNS查找失敗時查找所請求的主機，並且會在默認情況下啟用。在大多數網路中，由於DNS的存在，所以LLMNR和NetBIOS名稱解析根本就沒有必要再用了。當對無法找到的主機發出請求時，例如嘗試訪問 dc-01的用戶打算輸入 dc01，LLMNR和NBT-NS就會發送廣播，尋找該主機。這時攻擊者就會通過偵聽LLMNR和NetBIOS廣播，偽裝成用戶（客戶端）要訪問的目標設備，從而讓用戶乖乖交出相應的登陸憑證。在接受連接後，攻擊者可以使用Responder.py或Metasploit等工具將請求轉發到執行身份驗證過程的流氓服務（如SMB TCP：137）。 在身份驗證過程中，用戶會向流氓伺服器發送用於身份認證的NTLMv2哈希值，這個哈希值將被保存到磁碟中，之後就可以使用像Hashcat或John Ripper（TJR）這樣的工具在線下破解，或直接用於 pass-the-hash攻擊。

攻擊者中斷了一個LLMNR請求，並捕獲了user01的密碼哈希值

由於這些服務通常不是必需的，因此最簡單的措施是完全禁用它們。大家可以順著計算機配置 – >策略 – >管理模板 – >網路 – > DNS客戶端 – >關閉組播名稱解析來修改組策略，禁用LLMNR。

啟用「關閉組播名稱解析」的組策略選項禁用LLMNR

禁用NetBIOS名稱解析並不是一件簡單的事情，因為我們必須在每個網路適配器中手動禁用「啟用TCP / IP NetBIOS」選項，或者運行包含以下wmic命令的腳本：

wico nicconfig其中TcpipNetbiosOptions = 0調用SetTcpipNetbios 2

wmic nicconfig其中TcpipNetbiosOptions = 1調用SetTcpipNetbios 2

不過要注意的是，雖然這些服務通常不是必需的，但一些過去的老軟體仍然可以依靠NetBIOS名稱解析來正常運行。在運行GPO之前，請務必測試以下禁用這些服務會對你的運行環境有哪些影響。

建議6：查看當前賬戶是否具備管理員許可權

攻擊者對具有漏洞的賬戶進行控制一樣可以獲得該設備的管理許可權，比如用戶有時會為了某種訪問的需要，進行一些臨時訪問，但在訪問完畢後，用戶有時會忘了對這些訪問進行刪除或監控，以至於被黑客利用。根據我們的經驗，很少有用戶會把這些臨時訪問許可權進行刪除。

敏感帳戶，如具有管理員許可權的帳戶應與普通賬戶，如員工的賬戶在查看電子郵件和瀏覽網頁時進行帳戶區分。如果用戶帳戶被惡意軟體或網路釣魚進行了攻擊，或者在密碼已被泄密的情況下，帳戶區分將有助於防止對管理員的許可權造成進一步損壞。

具有域管理員或企業管理員資格的帳戶應受到高度限制，比如只能用於登錄域控制器，具有這些許可權的帳戶不應再在其他系統上進行登錄了。在此，我們建議大家可以基於不同的管理功能來為每個賬戶設置不同的許可權的管理賬戶，比如 「工作站管理」和「伺服器管理」組，這樣每個管理員就不具有訪問整個域的許可權了，這將有助於對整個域的許可權保護。

建議7：及時了解你的網路設備是否被攻擊

如果你登陸過Shodan這個網站，你一定會被其中所曝光的敏感漏洞和服務而震驚。與谷歌不同的是，Shodan不是在網上搜索網址，而是直接進入互聯網的背後通道。Shodan可以說是一款「黑暗」谷歌，一刻不停的在尋找著所有和互聯網關聯的伺服器、攝像頭、印表機、路由器等等。Shodan所搜集到的信息是極其驚人的。凡是鏈接到互聯網的紅綠燈、安全攝像頭、家庭自動化設備以及加熱系統等等都會被輕易的搜索到。Shodan的使用者曾發現過一個水上公園的控制系統，一個加油站，甚至一個酒店的葡萄酒冷卻器。而網站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統及一個粒子回旋加速器。

Shodan真正值得注意的能力就是能找到幾乎所有和互聯網相關聯的東西。而Shodan真正的可怕之處就是這些設備幾乎都沒有安裝安全防禦措施，其可以隨意進入。

所以如果沒有必要就不要把你的設備連接到互聯網，不過要知道網路上有哪些型號的設備已經被攻擊了，建議大家嘗試使用埠掃描之王——nmap進行掃描，埠掃描是指某些別有用心的人發送一組埠掃描消息，試圖以此侵入某台計算機，並了解其提供的計算機網路服務類型(這些網路服務均與埠號相關)，但是埠掃描不但可以為黑客所利用，同時埠掃描還是網路安全工作者的必備的利器，通過對埠的掃描，了解網站中出現的漏洞以及埠的開放情況。比如，像「nmap -sV -Pn -top-ports 10000 1.2.3.4/24」這樣的簡單掃描可以讓我們快速了解攻擊者可能看到的內容，利用Shodan和http://Censys.io這樣的工具就可以做到自動搜索這些內容。

Shodan提供了有關公共服務和埠的大量信息

你知道你設備在網路上的運行狀態嗎？例如，你是否運行了IPv6，更重要的是，該運行狀態是你打開的還是黑客打開的？ SMBv1是否在你的環境中啟用了一個設備？當你對這些運行情況有一個清晰地了解之後，請考慮一下你是否有必要禁用這些監控服務。

建議8：盡量使用專有的設備管理網路

扁平網路 （Flat Network）雖然易於管理和使用，但是對於攻擊者來說也一樣非常方便進行攻擊。所以為了加強對設備的管理和安全預防，目前，主流廠商售出的大部分伺服器都使用專用硬體模塊或特殊的遠程管理卡提供管理介面，通過專用的數據通道對設備進行遠程維護和管理，完全獨立於設備操作系統之外，甚至可以在設備關機狀態下進行遠程監控與管理。

主流廠商的設備都具備某些類型的外帶管理工具或護板管理控制器。或許，你已經使用過惠普的Integrated Lights-Out(iLO)，戴爾的Integrated Dell Remote Access Controller(iDRAC)或聯想的ThinkServer EasyManage。

建議9：進行滲透測試

雖然進行滲透測試的成本會很大，但是對於組織機構來說，我們還是覺得有必要這樣做。比如一家企業在執行網路安全檢測時，可能會傾向於或固定使用某一種方法，時間一長就會形成一種定性思維，對某些潛在問題或某一類問題忽略。僱用安全專家來模擬一個攻擊者的行為來對你的組織進行一次攻擊，會讓你產生不同的防禦思路，並及時和最新的安全趨勢進行對接。

本文翻譯自：Get Back to Basics Before You Get Pwned ，如若轉載，請註明來源於嘶吼： 安全工程師們必看：加強網路環境的9條建議

推薦閱讀：