本文主要介紹如何給w10系統(tǒng)防火墻添加信任(如何給windows防火墻添加信任),下面一起看看如何給w10系統(tǒng)防火墻添加信任(如何給windows防火墻添加信任)相關(guān)資訊。
【福利】私信老胡免費(fèi)獲取檔案完整版!
最近,美國局(nsa)和網(wǎng)絡(luò)安全合作伙伴組織發(fā)布了一項(xiàng)提案,建議系統(tǒng)管理員使用powershell來防止和檢測windows計(jì)算機(jī)上的惡意活動(dòng)。
powershell常用于網(wǎng)絡(luò)攻擊,主要在后期利用階段。然而,嵌入在微軟自動(dòng)化和配置工具中的安全功能也可以使取證中的防御者受益,改善事件響應(yīng)并自動(dòng)執(zhí)行重復(fù)性任務(wù)。
美國局和美國(cisa)、紐西蘭(ncsc)和英國(ncsc英國)的網(wǎng)絡(luò)安全中心制定了一套建議,使用powershell來減輕網(wǎng)絡(luò)威脅,而不是刪除或禁用它,這會(huì)降低防御能力。
屏蔽powershell會(huì)妨礙當(dāng)前版本powershell所能提供的防御功能,并阻止windows操作系統(tǒng)的組件正常運(yùn)行。最新版本的powershell具有改進(jìn)的功能和選項(xiàng),可以幫助防御者對(duì)抗powershell的濫用。
降低濫用的風(fēng)險(xiǎn)
為了降低威脅參與者濫用powershell的風(fēng)險(xiǎn),有必要利用框架中的功能,例如powershell remoting,它在windows主機(jī)上遠(yuǎn)程執(zhí)行命令時(shí)不會(huì)公開純文本憑據(jù)。管理員應(yīng)該注意,在專用網(wǎng)絡(luò)上啟用此功能將自動(dòng)添加一個(gè)新規(guī)則,以允許windows防火墻中的所有連接。
將windows防火墻自定義為僅允許來自受信任的端點(diǎn)和網(wǎng)絡(luò)的連接,有助于降低攻擊者成功橫向移動(dòng)的機(jī)會(huì)。對(duì)于遠(yuǎn)程連接,這些組織建議使用powershell 7支持的安全外殼協(xié)議(ssh)來提高公鑰身份驗(yàn)證的便利性和安全性:
遠(yuǎn)程連接不需要有ssl證書和可信主機(jī)的https,通過winrm進(jìn)行域外遠(yuǎn)程處理需要通過ssh進(jìn)行安全的遠(yuǎn)程管理。windows和linux主機(jī)之間的powershell遠(yuǎn)程處理,無需所有命令和連接的密碼另一個(gè)建議是借助applocker或windows defender應(yīng)用程序控制(wdac)減少powershell操作,以將工具設(shè)置為在受限語言模式(clm)下運(yùn)行,從而拒絕管理員定義的策略之外的操作。
在windows 10上正確配置wdac或applocker有助于防止惡意參與者獲得對(duì)powershell會(huì)話和主機(jī)的訪問權(quán)限。完全控制
檢測惡意powershell使用記錄powershell活動(dòng)和監(jiān)控日志是幫助管理員發(fā)現(xiàn)潛在濫用跡象的兩個(gè)建議。
nsa及其合作伙伴建議啟用深度腳本塊日志記錄(dsbl)、模塊日志記錄和越位轉(zhuǎn)錄(ots)。
前兩個(gè)可以構(gòu)建一個(gè)全面的日志數(shù)據(jù)庫,可以用來發(fā)現(xiàn)可疑或惡意的powershell活動(dòng),包括隱藏的操作和過程中使用的命令和腳本。
使用ots,管理員可以獲得每個(gè)powershell輸入或輸出的記錄,這有助于確定攻擊者 環(huán)境中的意圖。
管理員可以使用下表來檢查各種powershell版本提供的功能,以幫助在其環(huán)境中實(shí)現(xiàn)更好的防御:
根據(jù)這份文件, powershell對(duì)于保護(hù)windows操作系統(tǒng)非常重要,尤其是那些處理先前限制的較新版本。如果配置和管理得當(dāng),powershell可以成為系統(tǒng)維護(hù)、取證、自動(dòng)化和安全性的可靠工具。
【福利】私信老胡免費(fèi)獲取檔案完整版!
了解更多如何給w10系統(tǒng)防火墻添加信任(如何給windows防火墻添加信任)相關(guān)內(nèi)容請關(guān)注本站點(diǎn)。