本申请涉及网络安全技术领域,特别涉及一种阻断smb横向移动的方法;还涉及一种阻断smb横向移动的装置、设备以及计算机可读存储介质。
背景技术:
smb(servermessageblock,服务器消息块)是一种网络文件共享和数据结构协议。采用各种操作系统(包括windows、macos、ios、linux和android)的设备几乎都使用smb。客户端可使用smb访问服务器上的数据,由此可以共享文件、集中数据管理和降低移动设备的存储容量需求。横向移动是指网络攻击者在获得初始访问权限后使用的技术,可深入到网络中以搜索敏感数据和其他高价值资产。进入网络后,攻击者可以通过在受感染的环境中移动并使用各种工具来获得权限,并且将控制权限持久化。
目前,对smb横向移动的阻断依赖于windows发布的升级补丁,然而补丁具有时效性,其会被新出现的技术绕过,因此依赖升级补丁进行阻断防御的方法相对片面,无法可靠的阻断smb横向移动,存在危害扩大的风险。
有鉴于此,提供一种可靠的阻断smb横向移动的方案已成为本领域技术人员亟待解决的技术问题。
技术实现要素:
本申请的目的是提供一种阻断smb横向移动的方法,能够可靠有效的阻断smb横向移动。本申请的另一个目的是提供一种阻断smb横向移动的装置、设备以及计算机可读存储介质,均具有上述技术效果。
为解决上述技术问题,本申请提供了一种阻断smb横向移动的方法,包括:
对服务器进行分级;其中,工作站为最低等级;
禁止等级高于所述工作站的服务器登录到所述工作站;
关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;
为第一类别服务器创建denysmb策略;
为第二类别服务器创建asr规则。
可选的,所述对服务器进行分级包括:
将域控服务器划分为最高等级,将所述工作站划分为最低等级,将除所述域控服务器与所述工作站外的其他服务器划分为中间等级;
相应的,禁止等级高于所述工作站的服务器登录到所述工作站包括:
禁止所述域控服务器与所述其他服务器登录到所述工作站。
可选的,所述关闭所述工作站的服务器端口包括:
关闭所述工作站的139端口与445端口。
可选的,还包括:
将允许本地登录的权限分配给所述工作站的管理员组与用户组;
将允许本地登录的权限分配给所述域控服务器的管理员组。
可选的,还包括:
为所述其他服务器设置管理员以及备份操作员。
为解决上述技术问题,本申请还提供了一种阻断smb横向移动的装置,包括:
分级模块,用于对服务器进行分级;其中,工作站为最低等级;
禁止模块,用于禁止等级高于所述工作站的服务器登录到所述工作站;
关闭模块,用于关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;
第一创建模块,用于为第一类别服务器创建denysmb策略;
第二创建模块,用于为第二类别服务器创建asr规则。
可选的,所述分级模块具体用于将域控服务器划分为最高等级,将所述工作站划分为最低等级,将除所述域控服务器与所述工作站外的其他服务器划分为中间等级;
相应的,所述禁止模块具体用于禁止所述域控服务器与所述其他服务器登录到所述工作站。
可选的,所述关闭模块具体用于关闭所述工作站的139端口与445端口。
为解决上述技术问题,本申请还提供了一种阻断smb横向移动的设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述的阻断smb横向移动的方法的步骤。
为解决上述技术问题,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述阻断smb横向移动的方法的步骤。
本申请所提供的阻断smb横向移动的方法,包括:对服务器进行分级;其中,工作站为最低等级;禁止等级高于所述工作站的服务器登录到所述工作站;关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;为第一类别服务器创建denysmb策略;为第二类别服务器创建asr规则。
可见,较之依赖于windows发布的升级补丁阻断smb横向移动的传统技术方案,本申请所提供的阻断smb横向移动的方法,在多个维度进行smb横向移动的阻断,通过对服务器进行分级并禁止上下级服务器之间的smb横向移动,通过关闭工作站的服务器端口,以及通过为服务器创建denysmb策略与asr规则,可以可靠有效的阻断smb横向移动,防止smb在内网中大规模横向移动而带来的危害。
本申请所提供的阻断smb横向移动的装置、设备以及计算机可读存储介质均具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种阻断smb横向移动的方法的流程示意图;
图2为本申请实施例所提供的一种阻断smb横向移动的装置的示意图;
图3为本申请实施例所提供的一种阻断smb横向移动的设备的示意图。
具体实施方式
本申请的核心是提供一种阻断smb横向移动的方法,能够可靠有效的阻断smb横向移动。本申请的另一个核心是提供一种阻断smb横向移动的装置、设备以及计算机可读存储介质,均具有上述技术效果。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种阻断smb横向移动的方法的流程示意图,参考图1所示,该方法包括:
s101:对服务器进行分级;其中,工作站为最低等级;
具体的,本步骤旨在进行服务器分级,具体可依据服务器本身在内网中发挥的作用进行分级。其中,工作站为最低一级的服务器。
在一种具体的实施方式中,对服务器进行分级的方式可以如下:将域控服务器划分为最高等级,将工作站划分为最低等级,将除域控服务器与工作站外的其他服务器划分为中间等级。
具体而言,本实施例中服务器包括域控服务器、工作站以及除域控服务器与工作站外的其他服务器三层。并且将域控服务器划分为最高等级0级,将工作站划分为最低等级2级,以及将出域控服务器与工作站外的其他服务器划分为中间等级,即位于0级与2级之间的1级。其他服务器可以包括文件服务器、日志记录服务器等。
s102:禁止等级高于工作站的服务器登录到工作站;
具体的,通过对服务器进行分级,明确了各服务器之间的上下机关系,并在此基础上,禁止等级高于工作站的服务器登录到工作站。由此,当某一个工作站被网络攻击者入侵,并进一步入侵到此工作站的上级服务器后,通过禁止等级高于工作站的服务器登录到工作站,可以阻断网络攻击者通过等级高于工作站的服务器进一步入侵其他的工作站,从而阻断smb横向移动。
在上述将域控服务器划分为最高等级,将工作站划分为最低等级,将除域控服务器与工作站外的其他服务器划分为中间等级的实施方式的基础上,相应的,禁止等级高于工作站的服务器登录到工作站的方式为:禁止域控服务器与其他服务器登录到工作站。
例如,以工作站为3台为例,工作站1受到网络攻击者入侵且通过工作站1进一步入侵到其他服务器后,由于禁止其他服务器登录到工作站,因此即使网络攻击者入侵了其他服务器,也无法进一步通过其他服务器入侵工作站2与工作站3,从而有效阻断了smb横向移动。
s103:关闭工作站的服务器端口,以拒绝smb流量流入工作站;
具体的,本步骤旨在拒绝流入工作站的smb流量。具体而言,可以使用windows防火墙关闭工作站的部分服务器端口,以拒绝流入工作工作站的smb流量。
其中,在一种具体的实施方式中,上述关闭工作站的服务器端口可以包括:关闭工作站的139端口与445端口。
具体而言,本实施例中,所关闭的工作站的服务器端口具体为139端口与445端口,可以通过下发组策略而使用windows防火墙拒绝139端口与445端口的所有入站流量。
s104:为第一类别服务器创建denysmb策略;
具体的,本步骤旨在为第一类别服务器创建denysmb策略。所谓第一类别服务器是指被入侵的风险一般的服务器。具体而言,筛选出与工作站通信的域控服务器、文件服务器以及日志记录服务器,并在域控服务器、文件服务器以及日志记录服务器的组策略路径下创建denysmb策略,由此实现拒绝大多数smb从工作站到域控服务器、文件服务器等。其中,组策略路径为:组策略管理编辑器/计算机配置/首选项/windows设置/注册表。
s105:为第二类别服务器创建asr规则。
具体的,本步骤旨在为第二类别服务器创建asr(attacksurfacereduction,攻击面减少)规则。所谓第二类别服务器是指被入侵的风险较高的服务器,即高风险服务器。通过为高风险服务器创建asr规则有助于阻止恶意软件用于危害设备或网络的操作,阻断主机层的smb横向移动。
具体而言,打开组策略路径:组策略管理编辑器/策略/管理模板/windows组件/microsoftdefender防病毒/windowsdefender漏洞防护/攻击面减少/配置攻击面减少规则,并在此配置具体的asr规则id,然后通过组策略下发asr规则,以阻断psexec和wmi命令的流程创建,阻断从windows本地安全授权子系统(lsass.exe)窃取凭据,阻断javascript或vbscript启动下载的可执行内容以及阻断所有office应用程序创建子进程。
在上述实施例的基础上,还包括:将允许本地登录的权限分配给工作站的管理员组与用户组;将允许本地登录的权限分配给域控服务器的管理员组;以及为其他服务器设置管理员以及备份操作员。
具体而言,对于域控服务器,仅将允许本地登录的用户权限分配给administrators组,即管理员组。对于其他类型服务器,除了管理员以外,可以添加备份操作员。对于工作站,除将允许本地登录的用户权限分配给管理员组外,还将允许本地登录的用户权限分配给用户组。
综上所述,本申请所提供的阻断smb横向移动的方法,包括:对服务器进行分级;其中,工作站为最低等级;禁止等级高于所述工作站的服务器登录到所述工作站;关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;为第一类别服务器创建denysmb策略;为第二类别服务器创建asr规则。较之依赖于windows发布的升级补丁阻断smb横向移动的传统技术方案,本申请所提供的阻断smb横向移动的方法,在多个维度进行smb横向移动的阻断,通过对服务器进行分级并禁止上下级服务器之间的smb横向移动,通过关闭工作站的服务器端口,以及通过为服务器创建denysmb策略与asr规则,可以可靠有效的阻断smb横向移动,防止smb在内网中大规模横向移动而带来的危害。
本申请还提供了一种阻断smb横向移动的装置,下文描述的该装置可以与上文描述的方法相互对应参照。请参考图2,图2为本申请实施例所提供的一种阻断smb横向移动的装置的示意图,结合图2所示,该装置包括:
分级模块10,用于对服务器进行分级;其中,工作站为最低等级;
禁止模块20,用于禁止等级高于所述工作站的服务器登录到所述工作站;
关闭模块30,用于关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;
第一创建模块40,用于为第一类别服务器创建denysmb策略;
第二创建模块50,用于为第二类别服务器创建asr规则。
在上述实施例的基础上,作为一种具体的实施方式,所述分级模块10具体用于将域控服务器划分为最高等级,将所述工作站划分为最低等级,将除所述域控服务器与所述工作站外的其他服务器划分为中间等级;
相应的,所述禁止模块20具体用于禁止所述域控服务器与所述其他服务器登录到所述工作站。
在上述实施例的基础上,作为一种具体的实施方式,所述关闭模块30具体用于关闭所述工作站的139端口与445端口。
在上述实施例的基础上,作为一种具体的实施方式,还包括:
第一分配模块,用于将允许本地登录的权限分配给所述工作站的管理员组与用户组;
第二分配模块,用于将允许本地登录的权限分配给所述域控服务器的管理员组。
在上述实施例的基础上,作为一种具体的实施方式,还包括:
设置模块,用于为所述其他服务器设置管理员以及备份操作员。
本申请还提供了一种阻断smb横向移动的设备,参考图3所示,该设备包括存储器1和处理器2。
存储器1,用于存储计算机程序;
处理器2,用于执行计算机程序实现如下的步骤:
对服务器进行分级;其中,工作站为最低等级;禁止等级高于所述工作站的服务器登录到所述工作站;关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;为第一类别服务器创建denysmb策略;为第二类别服务器创建asr规则。
对于本申请所提供的设备的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下的步骤:
对服务器进行分级;其中,工作站为最低等级;禁止等级高于所述工作站的服务器登录到所述工作站;关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;为第一类别服务器创建denysmb策略;为第二类别服务器创建asr规则。
该计算机可读存储介质可以包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请所提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备以及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的阻断smb横向移动的方法、装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围。
1.一种阻断smb横向移动的方法,其特征在于,包括:
对服务器进行分级;其中,工作站为最低等级;
禁止等级高于所述工作站的服务器登录到所述工作站;
关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;
为第一类别服务器创建denysmb策略;
为第二类别服务器创建asr规则。
2.根据权利要求1所述的阻断smb横向移动的方法,其特征在于,所述对服务器进行分级包括:
将域控服务器划分为最高等级,将所述工作站划分为最低等级,将除所述域控服务器与所述工作站外的其他服务器划分为中间等级;
相应的,禁止等级高于所述工作站的服务器登录到所述工作站包括:
禁止所述域控服务器与所述其他服务器登录到所述工作站。
3.根据权利要求1所述的阻断smb横向移动的方法,其特征在于,所述关闭所述工作站的服务器端口包括:
关闭所述工作站的139端口与445端口。
4.根据权利要求1所述的阻断smb横向移动的方法,其特征在于,还包括:
将允许本地登录的权限分配给所述工作站的管理员组与用户组;
将允许本地登录的权限分配给所述域控服务器的管理员组。
5.根据权利要求1所述的阻断smb横向移动的方法,其特征在于,还包括:
为所述其他服务器设置管理员以及备份操作员。
6.一种阻断smb横向移动的装置,其特征在于,包括:
分级模块,用于对服务器进行分级;其中,工作站为最低等级;
禁止模块,用于禁止等级高于所述工作站的服务器登录到所述工作站;
关闭模块,用于关闭所述工作站的服务器端口,以拒绝smb流量流入所述工作站;
第一创建模块,用于为第一类别服务器创建denysmb策略;
第二创建模块,用于为第二类别服务器创建asr规则。
7.根据权利要求6所述的阻断smb横向移动的装置,其特征在于,所述分级模块具体用于将域控服务器划分为最高等级,将所述工作站划分为最低等级,将除所述域控服务器与所述工作站外的其他服务器划分为中间等级;
相应的,所述禁止模块具体用于禁止所述域控服务器与所述其他服务器登录到所述工作站。
8.根据权利要求7所述的阻断smb横向移动的装置,其特征在于,所述关闭模块具体用于关闭所述工作站的139端口与445端口。
9.一种阻断smb横向移动的设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述的阻断smb横向移动的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述阻断smb横向移动的方法的步骤。
技术总结