关于《Windows 7 操作系统安全加固指引》的技术解读与运维思路
时间:
2022-06-03 00:55:54

  2020 年 1 月,微软宣布停止对 Windows 7 操作系统的更新服务,同时不再提供针对其的技术支持、软件更新、漏洞修复等,并提醒继续使用 Windows 7 操作系统的用户将面临较大的安全风险。

  而目前 Windows 7 操作系统在我国企事业单位存量极大。为积极预防相关风险,保障资产安全。全国信息化标准委员会于 5 月 26 日正式发布了《网络安全标准实践指南—— Windows 7 操作系统安全加固指引》(以下简称:《实践指南》)。这份文献起草工作始于 2021 年底,全国信息安全标准化技术委员会秘书处委托中国网络安全产业联盟(CCIA)进行组织,由安天科技集团股份有限公司、杭州安恒信息技术股份有限公司、中国电子技术标准化研究院、深信服科技股份有限公司、杭州迪普科技股份有限公司、三六零数字安全科技集团有限公司、天融信网络安全技术有限公司、北京山石网科信息技术有限公司 8 家单位组成了编写团队。克服疫情带来的不利影响,采用灵活多样的线上交流、线下封闭等形式,汇聚专项技术专家团队、凝聚业内产业最佳实践,历时半年,先后超过 50 多次讨论与修订,圆满完成了编制工作,并得到了主管单位领导、专家的高度认可。

  安天基于二十多年的威胁实战经验、以及对操作系统安全加固相关技术的持续工程实践积累,是本次工作的牵头单位之一,同时为本《实践指南》的形成提供了大量技术支持与经验素材。

  系统安全加固是最大化的发挥系统本身的配置能力和内置安全机理的价值,以提升系统的安全性。

  大部分网络攻击(例如勒索病毒、挖矿木马等)都是以各类主机系统(端、云)为最终攻击点。由于资产云化、远程办公等趋势造成用户的网络边界正在逐渐模糊,以及加密技术的广泛的使用,都进一步削弱了防火墙等安全边界设备的支撑价值。主机资产需要更多的直接面对攻击,安全的支点也正在毫无争议的向端点侧回归。

  安天通过对大量的攻击事件与样本分析进行攻击技术枚举,并基于 ATT&CK 威胁框架技术动作的映射形成累计统计分析。在大量的攻击中,攻击者利用主机的暴露面(端口、开放服务等)寻找攻击入口,并基于主机脆弱性(系统漏洞、系统配置不当等)来达成攻击目的。例如:利用系统开放端口的漏洞,远程执行恶意代码;对系统远程访问服务进行远程爆破攻击或撞库攻击等。其中很多攻击依靠系统本身的安全的优化就能有效预防。主机安全防护产品通过病毒查杀、白名单验证、系统防护、安全管控、分布式防火墙、介质管控等手段固然可以提高主机对攻击和恶意代码的防护能力,但如果不对主机进行良好的安全加固,将会使主机始终存在可被攻击者利用的资源,导致防御产品变成了用来看守没窗没门大楼的保安。

  因此可以说,进行良好的主机安全加固是网络安全管理中一项重要工作,也是安全的基础保障,通过收窄暴露面、降低脆弱性,可以极大提高攻击者攻击成本、降低入侵可能。

  本次《实践指南》中,主要对主机安全防护加固和主机安全配置加固两个方面,给出了相关加固操作方案,用户可以参考《实践指南》制定本单位的加固方案。与此同时,我们也考虑到了配置加固与系统稳定性、系统资源占用、系统的业务支撑等方面息息相关,因此《实践指南》主要用于涵盖针对 Windows 7 系统进行加固的共性关键点。

  对于有更高配置要求和细粒度配置要求的用户,还可以在《实践指南》基础上对外设介质、系统服务、开放端口、网络访问、用户账户、主机环境等多种对象制定更进一步的细化方案,同时,在安天的防御框架的 识别 和 塑造 环节中对我们认为应加固的内容和协议,以及需要支撑加固的工作进行了列举,可供参考。

  再比如使用 Windows 系统自带防火墙关闭 3389 等高危端口,需要执行多个步骤的操作,分别是:

  还有一些特殊的配置加固点,需要删除一些特定的文件,设置一些特定文件目录的权限和属性。

  配置加固工作本质就是对这样的一些 配置点 的修改。这些对专业用户来说是简单操作,但对普通用户来说则难以掌握。

  一台需要进行系统安全加固的主机中可配置点可达几十项甚至数百项。如果采用手工操作的方式,不仅极为繁琐占用时间,普通使用者也极难掌握。而如果全部由安全运维人员来完成,则成为了非常繁重的重复劳动。

  在紧急的情况下,网络管理者可以通过类似将主机策略编写为 .reg 文件,分发给用户点击生效,但对于规模型资产用户来说,不同部门和群组、不同等级的主机、其安全加固策略是有差异型的,分发和管理这些 .reg 策略本身就成为非常复杂的工作,而且还难以验证加固结果。

  改变目标主机的安全配置状态只是加固工作的一个环节,合理的加固策略是需要对主机加固前的安全策略进行检查、评估,对加固后的配置是否修改成功进行验证。这是因为为支撑有效的威胁分析、评估、溯源、猎杀等工作,对主机的安全策略状态需要进行全生命周期的管理,对系统配置点的变化时点和变化过程都需要进行记录与分析。

  而且系统配置策略也不是一成不变的,在重大漏洞和攻击风险出现时需要调整加固等级,以提升对抗风险能力,但此时也会采用一些临时性的强化配置点,这些一部分配置需要在风险过后、或补丁发布后进行复原,以减小对系统业务的潜在风险管理。这些工作都很难能通过纯手动完成的,需要有全面的自动化手段。例如为防范 7-zip 软件的 CHM 帮助文件执行漏洞,可以采取临时把帮助文件删掉的方法,但也会导致用户想要阅读帮助文件时无法找到文件。在补丁升级后,则就应将对应文件恢复。

  加固是主机安全的基础,但仅仅依靠系统本身的安全能力,则是远远不够的。例如加固可以通过关闭 RPC 相关端口,降低系统暴露面、削弱基于 RPC 攻击远程漏洞利用,但如果系统本身工作要求 RPC 端口必须开放,此时就需要分布式主机防火墙 /HIPDS 来拦截针对 RPC 端口的攻击。有效的将系统加固和主动安全防护能力结合,一直是安天开发智甲终端防御产品家族(以下简称:智甲)的重点。

  基于主机安全加固、防护、管控的需求以及用户业务场景,安天面向政企侧打造的智甲产品在加固方面不仅全面覆盖了本次《实践指南》中所要求的加固项目,还基于 STIG 等规范增加了上百项增强配置点。

  智甲产品的工作思路,是构建 多层防御,两重闭环 的防护解决方案,多层防御即系统加固、(主机)边界防御、扫描过滤、主动防御等防御层次;两重闭环是 EPP(端点防护)的实时防御闭环,和 EDR(端点检测和响应)的准实时 / 异步防御闭环。

  采集主机关键要素信息,包括主机环境、系统配置、安全漏洞、补丁情况、网络访问、服务、端口、账号等对象,比对安全策略模板发现配置风险,对系统和应用的配置策略进行调整,全面发挥操作系统本身的安全能力。针对不同群组进行差异化的配置管理。

  使用分布式主机防火墙对网络数据包进行检查,拦截攻击探测、横向移动,发现违规连接行为,管控应用网络行为;使用外设管控功能,拦截 U 盘、光盘等载体中的恶意代码或者违规介质使用行为。

  基于安天 AVL SDK 反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描,判断检测对象是否是已知病毒或者疑似病毒,从而实现精准判断查杀。基于安全的威胁情报引擎,对 Domain、URL、IP、GUID、HASH、PDB、Mutex、注册表位置,进行情报匹配,从而发现已知威胁和病毒,对落地到本地的恶意代码进行精准查杀。

  基于内核驱动持续监控进程等内存对象操作行为动作,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,并文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。另外通过主动防御能力可以控制进程运行权,防止利用系统配置不安全导致的越权行为,针对暂时无法修复的安全漏洞,通过虚拟补丁 / 热补丁等手段进行缓解。

  智甲管理中心提供原厂配置模板管理、配置模板定制、配置情况分析、配置调整指令下发等功能,让安全运维人员可对安全加固工作进行统一管理和统计,特别是针对不同群组制定不同的配置模板,针对特定的工作需求,制定个性化的配置方案:例如安全运维人员可设置不同的加固策略,例如:

  2. 在普通服务器场景下,针对 远程桌面服务 配置的加固策略是开启 网络级别身份验证 ,禁止使用默认端口 3389,端口由用户自定义;

  3. 在关键业务服务器场景下,继承普通服务器场景策略,并在 WEB 管理端提供即时开关 远程桌面服务 功能,按需开启和关闭机器的 远程桌面服务 ;

  4. 在涉密主机场景下,如必须使用远程管理功能,配置的策略是,禁用系统本身的 远程桌面服务 ,并阻断一切开启 远程桌面服务 的行为,同时按需,安装安天多层加密远程协助组件,进行实际的运营管理。

  通过智甲 多层防御,两重闭环 的防护解决方案,助力用户有效收窄主机暴露面,降低资产脆弱性。

  智甲产品家族基于 UES(统一端点安全)理念研发,将病毒查杀、配置加固、可信环境验证、主动防御、分布式防火墙 /HIPDS、介质管控、WEB SERVER 防护等模块积木化组合,可以有效覆盖包括传统桌面、工作站、服务器、虚拟化、容器等场景的安全需求,对包括 Windows、Linux、Android 以及欧拉、麒麟、统信等国产操作系统都能有效建构系统内核层防御。

  《网络安全标准实践指南— Windows 7 操作系统安全加固指引》.pdf