第四章：系统安全——构建主机防护的铜墙铁壁-CSDN博客

# 示例：禁用危险服务 Stop-Service -Name "Telnet" -Force Set-Service -Name "Telnet" -StartupType Disabled Get-Service | Where-Object { $_.Name -in @("RemoteRegistry","LLTD","SSDP") } | Stop-Service -PassThru | Set-Service -StartupType Disabled

注册表加固：
- 禁用匿名SID枚举（HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous=1）
- 关闭自动运行（HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun=255）

Linux系统加固规范：

文件权限控制：

# 关键文件权限设置 chmod 750 /etc/cron.* chmod 600 /etc/ssh/sshd_config chattr +i /etc/passwd /etc/shadow # 查找SUID/SGID危险文件 find / -perm -4000 -o -perm -2000 -type f -exec ls -ld {} \;

SSH安全配置：

# /etc/ssh/sshd_config 关键配置 PermitRootLogin no MaxAuthTries 3 ClientAliveInterval 300 Ciphers aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512,hmac-sha2-256

4.1.2 安全审计配置方案

Windows事件日志策略：

日志类型	大小限制	保留策略	关键事件ID
安全日志	≥128MB	覆盖30天以上日志	4624/4625(登录)、4768/4769(Kerberos)
系统日志	≥64MB	覆盖30天日志	7036(服务控制)
应用日志	≥32MB	按需保留	无

Linux auditd规则示例：

# 监控用户提权行为 -a always,exit -F arch=b64 -S execve -F euid=0 -k ROOT_EXEC # 跟踪文件修改 -w /etc/passwd -p wa -k IDENTITY -w /etc/group -p wa -k IDENTITY # 审计网络配置变更 -w /etc/sysconfig/network-scripts/ -p wa -k NETWORK

4.2 漏洞全生命周期管理

4.2.1 漏洞扫描技术对比

主流扫描技术分析：

类型	检测方式	优点	缺点	代表工具
主动扫描	发送探测包	覆盖面广	可能影响业务	Nessus
被动扫描	流量分析	无侵入性	覆盖率有限	Zeek
认证扫描	凭证登录	结果精确	需要权限	OpenVAS
无认证扫描	远程探测	快速实施	误报率高	Nmap

4.2.2 漏洞优先级评估模型

风险评分公式：

风险值 = 威胁系数 × 脆弱性系数 × 资产价值 
 
其中：
- 威胁系数 = 利用可能性 × 攻击路径复杂度 
- 脆弱性系数 = CVSS基础分 × 环境修正因子

处置优先级矩阵：

可利用性	影响程度	处置时限
有公开EXP	远程代码执行	24小时内
有PoC代码	权限提升	72小时内
理论可行	信息泄露	14天内
需物理接触	拒绝服务	30天内

4.3 恶意代码防护体系

4.3.1 恶意软件分类图谱

graph TD A[恶意代码] --> B[病毒] A --> C[蠕虫] A --> D[木马] A --> E[勒索软件] A --> F[间谍软件] A --> G[无文件攻击] B --> H[感染型病毒] B --> I[宏病毒] D --> J[远控木马] D --> K[银行木马] E --> L[加密型勒索] E --> M[数据窃取型]

4.3.2 新一代终端防护技术

EDR核心能力矩阵：

行为监控：
- 进程树分析
- API调用序列
- 注册表持久化
内存检测：
- 堆栈钩子扫描
- 反射型DLL注入检测
- 凭证转储攻击识别
威胁狩猎：
- MITRE ATT&CK映射
- 异常行为基线
- 威胁情报关联

终端防护策略示例：

# 示例：YAML格式防护策略 policy: name: "高安全级别终端防护" components: - signature: # 特征检测 update_interval: 1h engines: [ML, YARA, SIGMA] - behavior: # 行为防护 process_monitor: strict ransomware_protection: enabled exploit_mitigation: max - isolation: # 隔离策略 auto_contain_threat: medium+ network_quarantine: on_detect

4.4 特权账号安全管理

4.4.1 PAM系统架构设计

核心功能模块：

密码保险库：
- 自动轮换机制（SSH密钥/数据库密码）
- 密码复杂度策略
- 紧急破玻流程

会话管理：

# 特权会话审批流程示例 
def request_privileged_access(user, target): 
if risk_engine.check(user) > THRESHOLD: 
require_mfa(user) notify_security_team(user) 
session = vault.checkout_credential(target) 
record = start_recording(session) 
return 
SessionProxy(session, record)

行为审计：
- 命令级操作记录
- 视频录像回放
- 变更diff比对

4.4.2 服务器安全加固清单

通用加固步骤：

补丁管理：
- 建立自动化更新机制
- 关键补丁72小时内部署
- 保留回滚方案

服务最小化：

# Linux服务禁用示例 systemctl disable cups bluetooth avahi-daemon

内核参数调优：

# /etc/sysctl.conf 安全配置 net.ipv4.conf.all.rp_filter=1 net.ipv4.icmp_echo_ignore_broadcasts=1 kernel.kptr_restrict=2

文件完整性监控：

# AIDE基础配置示例 /etc/.* CONTENT_EX /sbin/.* PERMS+CONTENT !/etc/mtab

4.5 容器与云主机安全

4.5.1 容器安全防护模型

全生命周期防护要点：

graph LR A[镜像构建] --> B[运行时防护] B --> C[编排安全] C --> D[合规审计] subgraph 关键控制点 A -->|扫描漏洞| E[镜像扫描] B -->|行为监控| F[容器防火墙] C -->|网络策略| G[服务网格] end

Docker安全配置示例：

# 安全基础镜像构建 FROM alpine:latest RUN apk add --no-cache openssl && \ adduser -D -u 10001 appuser USER appuser COPY --chown=appuser:appuser app /app WORKDIR /app 
# 运行时限制 CMD ["/app/main"]

4.5.2 云主机安全最佳实践

三大云平台安全服务对比：

功能	AWS	Azure	GCP
漏洞扫描	Inspector	Defender for Cloud	Security Command Center
主机防护	GuardDuty	Defender for Endpoint	Chronicle
密钥管理	KMS	Key Vault	Cloud KMS
日志分析	CloudTrail	Sentinel	Cloud Audit Logs