实战攻防演习总结.pdf

简介：
本PDF文档详细记录并分析了一次全面的安全实战攻防演习，包括攻击与防御策略、技术应用及团队协作经验分享。适合安全技术人员参考学习。 ### 攻防实战演习总结关键知识点 #### 一、安全隔离与访问控制策略 - **安全隔离**：通过技术手段防止内部网络直接与外部网络通信，以阻止非法入侵者发起攻击。 - **访问控制原则**：“明细允许，默认拒绝”，即除非明确授权，否则所有访问请求默认均不予许可。 - **内外网访问控制**： - 内网到互联网：除特殊协议外，其余需限制目的IP地址。 - 互联网到内网：严格管控提供服务的服务器。 #### 二、办公环境的安全管理 - **办公终端与服务器**： - 办公终端：除非特殊情况，一般不允许直接访问互联网；可通过分配专用上网设备或使用虚拟浏览器解决特定需求。 - 办公服务器：默认拒绝所有特殊请求，需经过审批方可例外。 - **生产环境**： - 生产终端：禁止直接访问互联网。 - 生产服务器：同样遵循“默认拒绝”原则，并且特殊需求需要单独审批。 #### 三、互联网访问内网的安全控制 - 对于向互联网提供服务的服务器，应实施严格的访问策略以确保关键系统的安全性。 #### 四、基础设施的安全防护 - **重要系统访问控制**：包括AD（活动目录）、邮件系统等核心设施，需实行多层次安全措施。 - **终端安全管理**：采用自动化运维工具进行集中管理，提升整体安全水平。 - **后台登录限制**：对后台登录实施源IP地址管控以增强安全性。 #### 五、AD防护策略 - **准备阶段**： - 重装DC（域控制器），使黄金票据失效，并更换krbtgt密码。收集并分析DC的Security日志，监测异常验证行为。 - 配置Sysmon监控在所有域控和服务器上，检测黑客工具活动。 - 在办公终端部署EDR（端点检测与响应）系统以提高防御能力。 - **加固阶段**： - 缩减攻击面：对DC进行流量审查及网络访问控制。 - 权限提升防护：审核并强化高权限账号的DACL设置，确保其安全性。 - 补丁更新：按顺序安装Windows补丁以修补已知漏洞。 - LDAP Relay攻击防御：在域控上启用LDAP强制签名和LDAPS通道绑定功能。关闭WPAD服务防范LLMNR/NBT中毒攻击。 - **检测阶段**： - 对敏感共享目录访问进行监控，识别异常凭证提取行为及权限维持手段（如mimikatz、Kerberos弱加密等）。 - **主机防护**：监测并阻止免杀技术利用（例如白滥用和不落地执行样本），具体包括powershell异常操作、wmic白利用等。 - **账户与权限对抗策略**： - 清理高权限账号，限制其使用范围；防御瞬间死亡路径攻击。 #### 六、终端安全管控及自动化运维 - **终端安全管理**：强化对办公设备的管理和控制以提高防护能力。 - **自动化运维工具应用**：利用AD活动目录等工具提升工作效率，并确保网络安全。 #### 七、网络管理员与安全管理员角色定位 - **网络管理员**：负责管理网络拓扑结构和访问权限，具备较高网络权限。 - **安全管理员**：专注于制定防御计划及监控系统告警信息，是维护网络安全的核心力量。 #### 八、常见攻击路径与注意事项 - 常见的入侵途径包括互联网到DMZ再到内网核心区域或直接通过办公终端进入服务器等。 - 注意事项： - 必须迅速应对紧急情况。 - 确保业务正常运行不受影响。 - 避免信息过载导致研判困难。 - 处理争议时需谨慎。 #### 九、缩小暴露面与知己知彼 - **减少风险**：通过关闭不必要的系统和服务来降低潜在威胁的风险； - **了解自身弱点**：充分掌握内部系统的脆弱性，合理设置访问权限以防范攻击。 #### 十、按资产分类进行安全防护 - 根据互联网资源、分支机构和子公司等不同类别对资产进行划分，并依据特性实施相应的保护措施。 - 关注域名、IP地址、端口（尤其是高危端口）、中间件或框架版本等方面，确保所有环节的安全性。 总结显示，在复杂网络环境中采用多层防御策略至关重要，涵盖安全隔离技术、访问控制机制以及终端与基础设施的防护等各个方面，这不仅有助于提升整体安全性水平，还能有效抵御各类网络威胁。