<<企业安全建设指南>> 读书笔记

<<企业安全建设指南>> 读书笔记

开源的HIDS OSSEC:

主要功能: 　　　日志分析\文件\注册表完整性检测\rootkit检测\实时报警\动态响应

　　　　　　　  自带一些规则检测:ssh破解\windows登录失败\账号添加修改

　　　　　　　 检测rootkit采用netstat

分析Windows 安全日志 :sysmon,适用于windows

       采用sysmon + evtsys收集日志汇总到SOC

　　

常见的webshell检测思路:

       文件内容扫描:查看高危函数

       结合文件变化及属性,文件夹其他文件

       网络流量:主动外连检测

       脚本执行的底层函数

优秀的开源蜜罐 :

　　honeyd

优秀的开源IDS :

　　SNORT BRO

服务器安全加固:

　　Windows 服务器:

　　　　安装磁盘分区选用NTFS

　　　　禁用TCP/IP上的NetBIOS

　　　　服务器加入域,便于统一管理

　　　　安全策略需要包括账户策略(密码策略 账户锁定策略 kerberos策略)以及本地策略(审核策略 用户权限分配 安全选项)等

　　　　事件日志,需要统一管理,修改默认存储大小,以及覆写模式

　　　　系统服务配置, 禁用不必要的服务(如Alexer, Browser, Messenger等)

　　　　开启高级审核策略, 对账户登录 注销 账号管理 策略更改特权使用等进行配置

　　　　关闭自动播放, 启用密码保护的屏幕保护, 关闭自动产生互联网流量的功能, 安装防病毒等安全软件

　　Linux服务器:

　　　　物理安全相关配置, 禁用USB设备, 添加GRUB密码, 禁止快捷键重启等

　　　　文件系统挂载设备, 对/var /tmp分区添加 nodev和nosuid选项, 对/home分区添加nosuid选项

　　　　对一些系统文件设置权限, 如 /etc/crontab /etc/securetty /boot/grub/grub.conf /etc/inittab /etc/login.defs ...

　　　　关闭一些不必要的服务, 如cups postfix pcscd smartd alsasound iscsitarget smb acpid

　　　　开启命令记录时间戳, 并将一些与命令记录相关的参数设为只读

　　　　开启日志及审计功能,配置监控规则, 将日志实时传到SOC

　　　　口令策略配置, 包括复杂度 有效期 超时退出 密码最大尝试次数等

　　　　对SSHD进行安全配置(最大重试次数, 禁用Rhosts认证, 指定密码类型, 指定MAC算法) 删除RHOST相关文件

　　　　调整内核参数, 禁用LKM, 限制/dev/mem 开启ALSR 禁用NAT

部分配置Windows与Linux相通,互相参照即可

　　　　

　　　　

　　

Windows域控敏感事件:

安全日志:

　　1105　　　　日志归档

　　1102　　　　日志清除

账户管理

　　4720　　　　账户创建

　　4722　　　　账户启用

　　4723　　　　修改账户密码

　　4724　　　　重置账户密码

　　4725　　　　账户禁用

　　4726　　　　账户删除

　　4738　　　　账户修改

　　4740　　　　账户锁定

　　4764　　　　账户解锁

　　4768　　　　Kerberos验证成功

　　4771　　　　Kerberos验证失败

　　4781　　　　账户改名

　　4794　　　　重置AD恢复模式密码

　　4741　　　　计算机账户创建

　　4743　　　　计算机账户删除

审核策略:

　　4719　　　　修改系统审核策略

账户登录:

　　4624　　　　账户登录成功

　　4625　　　　账户登录失败

　　4776　　　　账户验证成功

　　4777　　　　账户验证失败

在一次对客户的日志审查中发现大量高频的4771事件,最后并未排查出具体原因?留待后续解决

域控被渗透后的响应:

　　重置krbtgt账户密码

　　重置DSRM账户密码

　　重置重要服务账号密码

　　检查账户SIDHistory属性

　　检查组策略配置以及SYSVOl目录权限

　　检查AdminSDHolder相关安全账号

BEST=>废弃DC,同步数据