记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

阻击攻击队

2021-04-19 01:48

防御目标1:缩短检测和响应攻击者的时间。

防御目标2:让进攻者花更多的时间来完成他们的目标。

1.防御提权:域管不允许登录服务器和工作站

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory

2.防御横向移动和内网漫游,部署LAPS

https://www.microsoft.com/en-us/download/details.aspx?id=46899

3.防御哈希传递:使用“受保护的用户安全组”,限制NTLMv1/v2

https://docs.microsoft.com/zh-cn/windows-server/security/credentials-protection-and-management/protected-users-security-group

4.防御凭据窃取:使用Credential Guard

https://docs.microsoft.com/zh-cn/windows/security/identity-protection/credential-guard/credential-guard

5.防御横向移动和内网漫游(端点隔离):Windows防火墙

https://medium.com/think-stack/preventing-lateral-movement-using-network-access-groups-7e8d539a9029)或私有VLAN/Private VLAN

 文末再讲个小故事,故事还得回到几年前,当时国内安全行业有过这么一个说法:“基于网络杀链(Cyber Kill Chain®)进行APT检测,主要思路是在网络杀链的每一个环节部署相关的检测设备”。笔者最近又听到了一种类似的说法:“APT检测,只需要在杀链的某个阶段检测对手就可以了”。这两种说法也不是说是错误的,不过笔者认为这里面有个大前提,你必须有“强悍”的检测能力。什么叫“强悍”呢?假设网络杀链上的某个点存在100中攻击手法,除非你能够检测95%的攻击手法,那么上面两种说法才勉勉强强说的通吧!


知识来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247484242&idx=1&sn=97f3fff77b0c6397219bded3cfaa9095

阅读:154042 | 评论:0 | 标签:攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“阻击攻击队”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁