基于D3FEND安全矩阵的Windows网络加固

Mitre公司不久前发布了D3FEND安全矩阵，一种帮助企业用户更好应对网络安全威胁的策略图谱，它提供了一种强化网络、检测和隔离威胁的方法，以及从网络中欺骗和驱逐攻击者的方法。本文重点讨论Windows系统管理员如何依照D3FEND指南来加固网络。

01、应用强化

Mitre D3FEND建议使用以下流程来强化应用程序：

• 死代码消除
• 异常处理程序指针验证
• 流程段执行预防
• 段地址偏移随机化
• 栈帧canary验证
• 指针认证

作为大型组织的CSO，虽然可能会影响企业用户的软件选型，但可能无法影响实际的软件编码。用户可以与软件供应商讨论这些概念，并向他们询问安全流程。用户可以聘请顾问来审查企业内部的代码项目，以确保企业的应用程序在设计时考虑到了安全性。

02、凭证强化

凭证强化从证书固定开始，包括端到端证书固定以及证书和公钥固定。根据Mitre的说法，就是通过将证书或公钥的可信副本与服务器相关联，从而降低经常访问的站点遭受中间人攻击的可能性。证书或公钥可以在建立可信连接后固定，或者固定到可以预加载的应用程序中，这是移动应用程序的首选方法。

下一个凭据强化建议是多因素身份验证 (MFA)。MFA部署可以采用令牌、密钥卡、手机应用程序或拨打指定电话号码的形式，它通常要求用户确定大多数关键高风险应用程序支持的通用身份验证平台，通常这些平台包括Microsoft Authenticator、Google Authenticator等应用程序或Duo.com等第三方平台。诸如Yubikey之类的密钥卡可以提供额外的身份验证级别。

如果用户使用手机和应用程序作为身份验证器，那么企业可能需要为员工部署商务电话或报销员工个人电话作为身份验证设备的费用。通常，IT部门必须使用多个电话平台测试MFA，并确保向最终用户提供清晰的说明、设置帮助台以在MFA推出时处理询问。

一次性密码部署是另一种选择，但这需要与SIM交换、密码不安全交付和其他攻击风险进行平衡。我们经常会看到一次性密码用于在两方之间传输文件或信息，而不是在办公环境中永久部署。

强密码策略以及有关构成强密码的内容的通信是保持网络安全的关键。仅使用组合策略来设置强密码策略是不够的，正确选择密码保存程序，以及对用户进行安全意识教育，避免用户在潜在的网络钓鱼中泄漏密码也十分重要。

03、消息强化

消息强化可能是一种难以实施的防御技术。除非用户所在的行业需要加密，否则电子邮件将以明文形式发送。加密通常与第三方加密消息传递系统一起添加。就像密码一样，消息强化也需要在实际实施中对用户进行安全意识培训。

传输代理身份验证的难易程度有很大差异，如果用户唯一的电子邮件流程依赖于Gmail或Office 365等第三方邮件平台，则供应商会提供必要的DMARC、DKIM 和 SPF设置。如果用户在发送过程中使用其他电子邮件平台，那可能就需要在SPF和DNS记录中进行多项设置，以识别将使用的电子邮件平台类型。通常，用户必须查看电子邮件标题以确保设置符合个人预期。

04、平台强化

平台强化是我们在网络安全上花费大量时间和资源的地方。从磁盘加密开始，这可以确保如果资产被盗，攻击者将无法读取硬盘驱动器上的数据。驱动程序加载完整性检查可确保设备在启动过程中具有完整性。如果设备需要射频屏蔽，请确保此类系统具有适当的保护性。

TPM启动完整性是微软的Windows 11平台力推的一个功能。正如微软所指出的：在引导过程中，BIOS引导块（TPM安全模式下的核心信任root）测量引导组件（固件、ROM）。TPM对这些被测量的组件进行散列并将散列值存储在平台配置寄存器 (PCR) 中。在后续启动时，这些散列值被提供给验证器，该验证器将存储的测量值与新的启动测量值进行比较。如果它们匹配，就可以确保引导组件的完整性。结合引导加载程序身份验证，这可确保在引导过程开始之前系统不会被篡改。

最后，CSO需要制定一个计划来管理频繁的软件变更。替换计算机系统组件上的旧软件是保持系统安全的关键方法，修补漏洞则能确保攻击者无法使用持久性或特权升级来接管用户的系统。