基于D3FEND安全矩陣的Windows網絡加固

Mitre公司不久前發布了D3FEND安全矩陣，一種幫助企業用戶更好應對網絡安全威脅的策略圖譜，它提供了一種強化網絡、檢測和隔離威脅的方法，以及從網絡中欺騙和驅逐攻擊者的方法。本文重點討論Windows系統管理員如何依照D3FEND指南來加固網絡。

01、應用強化

Mitre D3FEND建議使用以下流程來強化應用程序：

• 死代碼消除
• 異常處理程序指針驗證
• 流程段執行預防
• 段地址偏移隨機化
• 棧幀canary驗證
• 指針認證

作為大型組織的CSO，雖然可能會影響企業用戶的軟件選型，但可能無法影響實際的軟件編碼。用戶可以與軟件供應商討論這些概念，并向他們詢問安全流程。用戶可以聘請顧問來審查企業內部的代碼項目，以確保企業的應用程序在設計時考慮到了安全性。

02、憑證強化

憑證強化從證書固定開始，包括端到端證書固定以及證書和公鑰固定。根據Mitre的說法，就是通過將證書或公鑰的可信副本與服務器相關聯，從而降低經常訪問的站點遭受中間人攻擊的可能性。證書或公鑰可以在建立可信連接后固定，或者固定到可以預加載的應用程序中，這是移動應用程序的首選方法。

下一個憑據強化建議是多因素身份驗證 (MFA)。MFA部署可以采用令牌、密鑰卡、手機應用程序或撥打指定電話號碼的形式，它通常要求用戶確定大多數關鍵高風險應用程序支持的通用身份驗證平臺，通常這些平臺包括Microsoft Authenticator、Google Authenticator等應用程序或Duo.com等第三方平臺。諸如Yubikey之類的密鑰卡可以提供額外的身份驗證級別。

如果用戶使用手機和應用程序作為身份驗證器，那么企業可能需要為員工部署商務電話或報銷員工個人電話作為身份驗證設備的費用。通常，IT部門必須使用多個電話平臺測試MFA，并確保向最終用戶提供清晰的說明、設置幫助臺以在MFA推出時處理詢問。

一次性密碼部署是另一種選擇，但這需要與SIM交換、密碼不安全交付和其他攻擊風險進行平衡。我們經常會看到一次性密碼用于在兩方之間傳輸文件或信息，而不是在辦公環境中永久部署。

強密碼策略以及有關構成強密碼的內容的通信是保持網絡安全的關鍵。僅使用組合策略來設置強密碼策略是不夠的，正確選擇密碼保存程序，以及對用戶進行安全意識教育，避免用戶在潛在的網絡釣魚中泄漏密碼也十分重要。

03、消息強化

消息強化可能是一種難以實施的防御技術。除非用戶所在的行業需要加密，否則電子郵件將以明文形式發送。加密通常與第三方加密消息傳遞系統一起添加。就像密碼一樣，消息強化也需要在實際實施中對用戶進行安全意識培訓。

傳輸代理身份驗證的難易程度有很大差異，如果用戶唯一的電子郵件流程依賴于Gmail或Office 365等第三方郵件平臺，則供應商會提供必要的DMARC、DKIM 和 SPF設置。如果用戶在發送過程中使用其他電子郵件平臺，那可能就需要在SPF和DNS記錄中進行多項設置，以識別將使用的電子郵件平臺類型。通常，用戶必須查看電子郵件標題以確保設置符合個人預期。

04、平臺強化

平臺強化是我們在網絡安全上花費大量時間和資源的地方。從磁盤加密開始，這可以確保如果資產被盜，攻擊者將無法讀取硬盤驅動器上的數據。驅動程序加載完整性檢查可確保設備在啟動過程中具有完整性。如果設備需要射頻屏蔽，請確保此類系統具有適當的保護性。

TPM啟動完整性是微軟的Windows 11平臺力推的一個功能。正如微軟所指出的：在引導過程中，BIOS引導塊（TPM安全模式下的核心信任root）測量引導組件（固件、ROM）。TPM對這些被測量的組件進行散列并將散列值存儲在平臺配置寄存器 (PCR) 中。在后續啟動時，這些散列值被提供給驗證器，該驗證器將存儲的測量值與新的啟動測量值進行比較。如果它們匹配，就可以確保引導組件的完整性。結合引導加載程序身份驗證，這可確保在引導過程開始之前系統不會被篡改。

最后，CSO需要制定一個計劃來管理頻繁的軟件變更。替換計算機系統組件上的舊軟件是保持系統安全的關鍵方法，修補漏洞則能確保攻擊者無法使用持久性或特權升級來接管用戶的系統。