许多企业在网络中拥有不同的组成部分,包括Windows Defender防火墙、GPO和AD基础设施。网络中的任何部分都可能存在漏洞,这些漏洞可能引发多米诺效应。一旦第一个多米诺出现问题,整个链条都会受到牵连,可能会对您的网络造成无法挽回的损害。
Windows Defender
一、网络中的弱点以及如何减少
您的基础设施中为何存在漏洞?实际上,这些漏洞只是基础设施的一部分,是自然而然的。例如,当您安装VPN时,它会默认配置一些设置,例如用于加密数据的加密算法。如果您所安装的VPN默认使用密码套件进行加密,您可能需要更新加密方式,选择AES或其他更安全的密码套件,而不要依赖默认设置。
默认设置和配置错误都可能存在安全漏洞,但您可以通过纠正它们来提高安全性。
二、利用Group Policy Object修复网络漏洞
Group Policy Object (GPO) 可以应用权限和访问控制到AD对象。简而言之,您可以使用GPO规定AD对象可以访问什么内容,以及在网络中可以拥有多少权限。举个例子,如果您不希望用户卸载您在其计算机上安装的威胁检测应用程序,您可以通过GPO来限制用户卸载该应用程序。
Group Policy Object
三、Windows Defender防火墙的配置问题和GPO
Windows Defender防火墙会以默认设置进行安装,但这些默认设置并不够安全。此外,在安装过程中,可能会忽略或错误配置许多设置。这些配置问题可能导致Windows Defender防火墙受到攻击,进而可能危及AD。不过,通过使用GPO,这些配置问题是可以修复和处理的。以下是一些常见的配置问题以及它们的修复方法。
Windows Defender防火墙的配置问题:关键系统允许使用ICMP异常并响应ping请求
GPO修复方法:通过配置GPO来限制关键系统对ping请求的响应。由于TCP端口445通常默认为打印机和文件共享而启用,因此您的关键系统仍可能会响应ping请求。因此,在配置GPO后,您需要显式启用Windows防火墙的"允许文件和打印
机共享例外"以及"允许远程管理例外"设置,以停止ping请求的传入。
Windows Defender防火墙的配置问题:允许使用MMC和WMI协议对关键系统进行远程访问
GPO修复方法:您应该减少网络中对关键系统的远程访问。为实现这一目标,您可以创建一个自定义的基于Windows Defender防火墙的GPO,通过导航到计算机配置 > Windows设置 > 安全设置 > 带高级安全性的Windows防火墙来实现。创建一个自定义规则,以避免特定IP地址上的远程访问。
如果您希望允许受信任的管理软件对关键系统进行远程访问,您可以配置一个特定的Windows Defender防火墙的GPO,打开用于远程管理的端口,但只允许特定软件访问这些端口。
Windows Defender防火墙的配置问题:本地防火墙策略比域策略宽松;默认情况下,本地防火墙策略在系统级别可用。
GPO修复方法:GPO可以帮助您在本地级别实施域防火墙策略。导航到计算机配置 > 管理模板 > 网络 > 网络连接 > Windows防火墙 > (域配置文件或标准配置文件)/ Windows防火墙:保护所有网络连接。启用此设置后,创建一个包含所需域防火墙设置的GPO,并将其应用到包含需要应用域防火墙设置的用户组中。
SIEM
此外,您还可以使用SIEM日志管理解决方案获取关键的报告进行日志分析和网络分析,包括远程访问、GPO更改、Windows Defender防火墙策略的修改以及其他Windows Defender防火墙活动。您还可以使用SIEM工具来监视网络的整体健康情况。首先,您可以尝试使用ManageEngine Log360的免费30天试用版,这是一款综合性的SIEM工具,具有全面的网络监控和威胁检测与纠正功能。
