<<企业安全建设指南>> 读书笔记
开源的HIDS OSSEC:
主要功能: 日志分析\文件\注册表完整性检测\rootkit检测\实时报警\动态响应
自带一些规则检测:ssh破解\windows登录失败\账号添加修改
检测rootkit采用netstat
分析Windows 安全日志 :sysmon,适用于windows
采用sysmon + evtsys收集日志汇总到SOC
常见的webshell检测思路:
文件内容扫描:查看高危函数
结合文件变化及属性,文件夹其他文件
网络流量:主动外连检测
脚本执行的底层函数
优秀的开源蜜罐 :
honeyd
优秀的开源IDS :
SNORT BRO
服务器安全加固:
Windows 服务器:
安装磁盘分区选用NTFS
禁用TCP/IP上的NetBIOS
服务器加入域,便于统一管理
安全策略需要包括账户策略(密码策略 账户锁定策略 kerberos策略)以及本地策略(审核策略 用户权限分配 安全选项)等
事件日志,需要统一管理,修改默认存储大小,以及覆写模式
系统服务配置, 禁用不必要的服务(如Alexer, Browser, Messenger等)
开启高级审核策略, 对账户登录 注销 账号管理 策略更改特权使用等进行配置
关闭自动播放, 启用密码保护的屏幕保护, 关闭自动产生互联网流量的功能, 安装防病毒等安全软件
Linux服务器:
物理安全相关配置, 禁用USB设备, 添加GRUB密码, 禁止快捷键重启等
文件系统挂载设备, 对/var /tmp分区添加 nodev和nosuid选项, 对/home分区添加nosuid选项
对一些系统文件设置权限, 如 /etc/crontab /etc/securetty /boot/grub/grub.conf /etc/inittab /etc/login.defs ...
关闭一些不必要的服务, 如cups postfix pcscd smartd alsasound iscsitarget smb acpid
开启命令记录时间戳, 并将一些与命令记录相关的参数设为只读
开启日志及审计功能,配置监控规则, 将日志实时传到SOC
口令策略配置, 包括复杂度 有效期 超时退出 密码最大尝试次数等
对SSHD进行安全配置(最大重试次数, 禁用Rhosts认证, 指定密码类型, 指定MAC算法) 删除RHOST相关文件
调整内核参数, 禁用LKM, 限制/dev/mem 开启ALSR 禁用NAT
部分配置Windows与Linux相通,互相参照即可
Windows域控敏感事件:
安全日志:
1105 日志归档
1102 日志清除
账户管理
4720 账户创建
4722 账户启用
4723 修改账户密码
4724 重置账户密码
4725 账户禁用
4726 账户删除
4738 账户修改
4740 账户锁定
4764 账户解锁
4768 Kerberos验证成功
4771 Kerberos验证失败
4781 账户改名
4794 重置AD恢复模式密码
4741 计算机账户创建
4743 计算机账户删除
审核策略:
4719 修改系统审核策略
账户登录:
4624 账户登录成功
4625 账户登录失败
4776 账户验证成功
4777 账户验证失败
在一次对客户的日志审查中发现大量高频的4771事件,最后并未排查出具体原因?留待后续解决
域控被渗透后的响应:
重置krbtgt账户密码
重置DSRM账户密码
重置重要服务账号密码
检查账户SIDHistory属性
检查组策略配置以及SYSVOl目录权限
检查AdminSDHolder相关安全账号
BEST=>废弃DC,同步数据