Day-099-Windows 系统安全进阶

# Day 102: Windows 系统安全进阶

> 系统安全系列第 7 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ Windows 系统安全进阶 - Day 102     │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。Windows 系统安全进阶是系统安全的核心——核心不稳，系统不稳。

---

## 清单 目录

1. [Windows 安全进阶概述](#windows 安全进阶概述)
2. [组策略安全进阶](#组策略安全进阶)
3. [Windows Defender 进阶](#windows-defender 进阶)
4. [事件日志进阶](#事件日志进阶)
5. [入侵检测进阶](#入侵检测进阶)
6. [恶意软件检测](#恶意软件检测)
7. [安全加固进阶](#安全加固进阶)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## Windows 安全进阶概述

### Windows 安全演进

> ▎ Windows 安全不是静态的——是演进的。不演进，就被淘汰。

**安全阶段**：
```
阶段 1: 基础安全
- 用户管理
- 文件权限
- 服务加固

阶段 2: 高级安全
- 组策略
- Windows Defender
- 事件日志

阶段 3: 深度防御
- 入侵检测
- 恶意软件检测
- 持续监控
```

**安全趋势**：
```
趋势 1: 零信任
- 持续验证
- 微隔离
- 动态授权

趋势 2: 云安全
- Azure AD
- 云身份
- 云监控

趋势 3: 智能化
- AI 辅助
- 异常检测
- 自动响应
```

---

## 组策略安全进阶

### 组策略配置

> ▎ 组策略是 Windows 安全的核心。核心不稳，Windows 不稳。

**安全策略**：
```
账户策略：
- 密码策略
- 账户锁定策略
- Kerberos 策略

本地策略：
- 审核策略
- 用户权限分配
- 安全选项
```

**密码策略配置**：
```powershell
# 查看密码策略
net accounts

# 配置密码策略（组策略）
# 计算机配置 → Windows 设置 → 安全设置 → 账户策略 → 密码策略
# 密码长度最小值：14
# 密码必须符合复杂性要求：启用
# 强制密码历史：24
# 最长使用期限：90
# 最短使用期限：7
```

**账户锁定策略**：
```powershell
# 查看锁定策略
net accounts

# 配置锁定策略（组策略）
# 账户锁定阈值：5 次失败登录
# 账户锁定时间：30 分钟
# 重置账户锁定计数器：30 分钟
```

### 审核策略

**审核配置**：
```powershell
# 查看审核策略
auditpol /get /category:*

# 配置审核策略
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Management" /success:enable /failure:enable
auditpol /set /subcategory:"Privilege Use" /success:enable /failure:enable
```

**高级审核**：
```powershell
# 配置高级审核
# 计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置

# 命令行配置
auditpol /set /subcategory:"Security Group Management" /success:enable
auditpol /set /subcategory:"User Account Management" /success:enable
```

---

## Windows Defender 进阶

### Defender 配置

> ▎ Windows Defender 是 Windows 安全的第一道防线。防线破了，后面就难了。

**实时保护**：
```powershell
# 查看状态
Get-MpComputerStatus

# 启用实时保护
Set-MpPreference -DisableRealtimeMonitoring $false

# 启用云保护
Set-MpPreference -MAPSReporting 2

# 启用行为监控
Set-MpPreference -DisableBehaviorMonitoring $false
```

**排除配置**：
```powershell
# 添加排除路径
Set-MpPreference -ExclusionPath "C:\Excluded"

# 添加排除进程
Set-MpPreference -ExclusionProcess "C:\Excluded\process.exe"

# 添加排除扩展
Set-MpPreference -ExclusionExtension ".log"
```

### 高级配置

**扫描配置**：
```powershell
# 配置计划扫描
Set-MpPreference -ScanScheduleDay 0
Set-MpPreference -ScanScheduleTime 120
Set-MpPreference -ScanType 2

# 配置扫描操作
Set-MpPreference -ScanAvgCPULoadFactor 50
```

**更新配置**：
```powershell
# 配置更新
Set-MpPreference -SignatureUpdateInterval 4
Set-MpPreference -DisableSignatureUpdate $false

# 手动更新
Update-MpSignature
```

---

## 事件日志进阶

### 日志配置

> ▎ 日志是 Windows 安全的眼睛。没有眼睛，就是瞎子。

**日志大小配置**：
```powershell
# 配置日志大小
Limit-EventLog -LogName Security -MaximumSize 1GB

# 配置覆盖策略
Limit-EventLog -LogName Security -OverflowAction OverwriteAsNeeded
```

**日志导出**：
```powershell
# 导出日志
Get-WinEvent -LogName Security -MaxEvents 1000 | Export-Csv security.csv

# 导出为 XML
Get-WinEvent -LogName Security -MaxEvents 1000 | Export-Clixml security.xml
```

### 关键事件 ID

**登录事件**：
```
4624: 成功登录
4625: 失败登录
4634: 账户注销
4647: 用户发起注销
4672: 特殊权限分配
4678: 克隆的会话
4778: 会话重新连接
4779: 会话断开
```

**账户管理**：
```
4720: 创建用户
4726: 删除用户
4732: 添加到本地组
4733: 从本地组删除
4740: 账户锁定
4767: 账户解锁
```

**进程创建**：
```
4688: 进程创建
4696: 分配给进程的令牌
4697: 安装服务
4698: 创建计划任务
```

---

## 入侵检测进阶

### Sysmon 配置

> ▎ Sysmon 是 Windows 入侵检测的核心。核心不稳，检测不稳。

**Sysmon 安装**：
```powershell
# 下载 Sysmon
https://docs.microsoft.com/sysinternals/downloads/sysmon

# 安装
sysmon -accepteula -i

# 导入配置
sysmon -c sysmon-config.xml

# 卸载
sysmon -u
```

**配置示例**：
```xml

<Sysmon schemaversion="4.70">
  <EventFiltering>
    
    <RuleGroup name="ProcessCreate" groupRelation="or">
      <ProcessCreate onmatch="include">
        <CommandLine condition="contains">powershell</CommandLine>
        <CommandLine condition="contains">cmd.exe</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    
    
    <RuleGroup name="NetworkConnect" groupRelation="or">
      <NetworkConnect onmatch="include">
        <DestinationPort condition="is">443</DestinationPort>
        <DestinationPort condition="is">80</DestinationPort>
      </NetworkConnect>
    </RuleGroup>
  </EventFiltering>
</Sysmon>
```

### Windows 事件转发

**WEF 配置**：
```powershell
# 配置 Windows 事件转发
wecutil qc

# 创建订阅
wecutil cs subscription.xml

# 查看订阅
wecutil gs
```

**订阅配置**：
```xml

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>SecurityEvents</SubscriptionId>
  <SubscriptionType>SourceInitiated</SubscriptionType>
  <DeliveryMode>Push</DeliveryMode>
  <Query>
    <![CDATA[
      <QueryList>
        <Query Id="0" Path="Security">
          <Select Path="Security">*</Select>
        </Query>
      </QueryList>
    ]]>
  </Query>
</Subscription>
```

---

## 恶意软件检测

### 静态分析

> ▎ 静态分析是恶意软件检测的基础。基础不稳，检测不稳。

**文件分析**：
```powershell
# 查看文件信息
Get-Item C:\malware.exe | Format-List *

# 查看文件哈希
Get-FileHash C:\malware.exe

# 查看 PE 信息
Sigcheck C:\malware.exe
```

**字符串提取**：
```powershell
# 提取字符串
strings C:\malware.exe > strings.txt

# 搜索可疑字符串
Select-String -Path strings.txt -Pattern "cmd.exe"
Select-String -Path strings.txt -Pattern "powershell"
```

### 动态分析

**沙箱分析**：
```
沙箱环境：
- Any.Run
- Hybrid Analysis
- Joe Sandbox
- VirusTotal
```

**行为监控**：
```powershell
# 监控进程
Get-Process | Where-Object {$_.CPU -gt 50}

# 监控网络连接
Get-NetTCPConnection | Where-Object {$_.State -eq "Established"}

# 监控文件变化
Watch-Directory -Path C:\ -Filter *.exe
```

---

## 安全加固进阶

### 系统加固

> ▎ 系统加固是 Windows 安全的基石。基石不稳，系统不稳。

**CIS Benchmark**：
```powershell
# 使用 CIS-CAT
# 下载 CIS-CAT Pro
# 运行评估
.\CIS-CAT_Pro.exe

# 查看报告
# 查看 HTML 报告
```

**安全基线**：
```powershell
# 导入安全基线
# 下载 Microsoft Security Baseline
# 导入 LGPO

# 应用基线
LGPO.exe /g SecurityBaseline
```

### 应用白名单

**AppLocker 配置**：
```powershell
# 创建 AppLocker 规则
# 计算机配置 → Windows 设置 → 安全设置 → 应用程序控制策略 → AppLocker

# 可执行规则
# 发布者规则
# 路径规则
# 哈希规则
```

**WDAC 配置**：
```powershell
# Windows Defender Application Control
# 创建策略
New-CIPolicy -Level PcaCertificate -FilePath C:\policy.xml

# 部署策略
# 组策略部署
```

---

## 实战案例分析

### 案例 1: 勒索软件攻击

> ▎ 勒索软件是最常见的 Windows 安全事件。最常见，也最危险。

**漏洞描述**：
```
时间：2017 年
攻击：WannaCry
漏洞：EternalBlue (MS17-010)
影响：全球 20 万 + 系统
后果：数十亿美元损失
```

**攻击流程**：
```
1. 漏洞扫描
   - 扫描 MS17-010
   - 发现易感系统

2. 漏洞利用
   - EternalBlue
   - 远程代码执行

3. 载荷投递
   - WannaCry
   - 加密文件

4. 勒索
   - 显示勒索信息
   - 要求比特币
```

**防护方案**：
```
1. 补丁管理
   - 安装 MS17-010
   - 及时更新

2. 网络隔离
   - 禁用 SMBv1
   - 限制 445 端口

3. 备份恢复
   - 定期备份
   - 离线备份
   - 测试恢复
```

### 案例 2: 凭证窃取

**漏洞描述**：
```
时间：2020 年
攻击：Mimikatz
漏洞：凭证窃取
影响：域凭证泄露
后果：域沦陷
```

**攻击流程**：
```
1. 初始访问
   - 钓鱼邮件
   - 漏洞利用

2. 凭证窃取
   - Mimikatz
   - LSASS 转储

3. 横向移动
   - Pass-the-Hash
   - Pass-the-Ticket

4. 域沦陷
   - DCSync
   - 黄金票据
```

**防护方案**：
```
1. 凭证保护
   - 启用 Credential Guard
   - 限制本地管理员

2. 监控检测
   - 监控 LSASS 访问
   - 监控 Mimikatz

3. 最小权限
   - 限制管理员
   - 分段管理
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——Windows 系统安全进阶这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**组策略**：
```
1. 账户策略
   - 密码策略
   - 锁定策略
   - Kerberos

2. 审核策略
   - 登录审核
   - 账户管理
   - 特权使用

3. 应用控制
   - AppLocker
   - WDAC
   - 白名单
```

**Windows Defender**：
```
1. 实时保护
   - 实时扫描
   - 云保护
   - 行为监控

2. 扫描配置
   - 计划扫描
   - 快速扫描
   - 全面扫描

3. 更新配置
   - 自动更新
   - 手动更新
   - 排除配置
```

**入侵检测**：
```
1. Sysmon
   - 进程监控
   - 网络监控
   - 文件监控

2. 事件日志
   - 日志配置
   - 关键事件
   - 日志分析

3. 恶意软件检测
   - 静态分析
   - 动态分析
   - 沙箱分析
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**零信任 Windows**：
```
1. 持续验证
   - 每次访问验证
   - 动态授权
   - 行为分析

2. 微隔离
   - 服务隔离
   - 网络隔离
   - 权限隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

**AI 辅助安全**：
```
1. 异常检测
   - 行为分析
   - 模式识别
   - 风险评分

2. 自动响应
   - 自动阻断
   - 自动修复
   - 自动告警

3. 威胁情报
   - 漏洞情报
   - 攻击情报
   - 威胁狩猎
```

**云原生 Windows**：
```
1. Azure AD
   - 云身份
   - 条件访问
   - MFA

2. Windows 365
   - 云桌面
   - 安全访问
   - 数据保护

3. 自动化安全
   - 基础设施即代码
   - 安全即代码
   - 持续合规
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**系统管理员**：
```
1. 安全配置
   - 组策略
   - Windows Defender
   - 审核策略

2. 持续监控
   - 日志分析
   - 入侵检测
   - 恶意软件检测

3. 定期更新
   - Windows Update
   - 补丁管理
   - 漏洞修复
```

**安全人员**：
```
1. 安全审计
   - 配置审计
   - 权限审计
   - 日志审计

2. 渗透测试
   - 漏洞扫描
   - 手工测试
   - 提权测试

3. 事件响应
   - 入侵检测
   - 快速响应
   - 溯源分析
```

**架构师**：
```
1. 安全设计
   - 最小权限
   - 网络隔离
   - 纵深防御

2. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训

3. 工具链
   - 安全工具
   - 自动化
   - 监控平台
```

---

## 参考资料

### 学习资源
```
- Microsoft Security
  https://www.microsoft.com/security

- Microsoft Docs
  https://docs.microsoft.com/windows/security/

- CIS Benchmarks
  https://www.cisecurity.org/benchmark/microsoft_windows
```

### 工具资源
```
- Sysinternals
  https://docs.microsoft.com/sysinternals/

- Windows Defender
  https://docs.microsoft.com/windows/security/

- Sysmon
  https://docs.microsoft.com/sysinternals/downloads/sysmon
```

### 书籍推荐
```
- 《Windows 安全手册》
- 《Windows 系统安全》
- 《Windows Security》
- 《Practical Windows Security》
```

### 在线资源
```
- OWASP Windows Security
  https://owasp.org/www-project-windows-security/

- Windows Hardening Guide
  https://github.com/CenterForInternetSecurity/CIS-Benchmarks

- Awesome Windows Security
  https://github.com/PaulSec/awesome-windows-domain-hardening
```

---

**标记 明日预告**：Day 103 - 容器安全进阶

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 102 篇，系统安全部分第 7 篇，精编版本*