网络攻防学习笔记 Day135

上网行为管理产品的主要作用总结如下：

（1）符合法律法规要求：禁止访问违法网站、禁止非法言论、阻止非法网站。

（2）防止企业信息泄露：阻止单位的敏感信息通过邮件、论坛、网盘、社交软件等方式传播泄露。

（3）符合企业安全管理规定：不合规的计算机禁止上网，禁止私接无线 AP 等。

（4）防止恶意网站及软件：防止恶意网站的访问及恶意软件的传播。

（5）解决工作效率低下问题：防止员工在工作期间沉溺网络游戏、无节制聊天、频繁网络购物、炒股等行为；

（6）避免带宽资源浪费：限制 P2P 下载及大文件传输速度、网络直播视频等。

在工作组环境中，每台计算机都有自己的“本机安全账户数据库”，称为 SAM 数据库。SAM 数据库是干什么用的呢？平时我们登录计算机时，输入账户和密码，计算机就会去 SAM 数据库验证，如果输入的账户存在 SAM 数据库中，则 SAM 数据库会通知系统允许登录。SAM 数据库默认存储在 C：/WINDOWS/system32/config 文件夹中，这便是工作组环境中的登录验证过程。

活动目录必须与 DNS 集成在一起，可基于策略进行管理。可以理解为活动目录是 Windows 网络中的一种目录服务，其存储了整个网络上的资源，方便管理员和用户快速查询。活动目录是由组织单元、域（domain）、域树（tree）、森林（forest）构成的层次结构。组织单元（OU）是活动目录中的一个特殊容器，它可把用户、组、计算机和打印机等对象组织起来。

两个域之间必须创建信任关系（Trust Relationship），才可以访问对方域内的资源。而任何一个新域加入域树后，这个域会自动信任其前一层父域，同时父域也会自动信任这个新子域，并且这些信任关系具备双向传递性（Two-wayTransitive）。

域控防御如下：

（1）严格控制域控制器组策略的设置：由于域控制器共享域的同一个账户数据库，因此必须在所有域控制器上统一设置某些安全设置。

（2）在域 DC.服务器和办公终端安装安全检测软件：定期查杀病毒能够有效防御系统的安全。

（3）域内安装防病毒软件、WAF 等：避免黑客进入域内进行攻击，出现攻击情况能够及时发现预。

（4）重装 DC 预防域控已经被控等问题：出现安全提问时可以重装 DC。

（5）配置 SMB 签名：使用已启用远程直接内存访问（RDMA）的网络适配器。启用服务器消息块（SMB）签名或 SMB 加密后，SMB Direct 与网络适配器的网络性能会显著降低，但可抵御 SMB-Relay 攻击。

（6）关闭域内 WPAD 服务：对抗 LLMNR/NBT Poisoning 攻击。

（7）对域控进行流量梳理和网络访问控制：可以缩小攻击面。

（8）对域账号进行权限梳理，加固高权限账号：检测高权限账号可以用 bloodhound 黑客工具，也可以通过 System Internal Tools 的 ADExplorer 来进行。

（9）域内禁止无限制委派：对抗权限提升，凭证提取。

（10）Windows 和 Exchange 补丁：防止 MS14-068、ExchangeSSRF 等公开漏洞攻击。

（11）根据情况禁用 powershell：攻击者通常喜欢 powershell。