美国NSA 和 CISA 红蓝队分享十大网络安全错误配置-51CTO.COM

呼吁网络维护者和软件制造商解决常见问题。

执行摘要

美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 发布此联合网络安全咨询 (CSA)，以强调大型组织中最常见的网络安全错误配置，并详细说明参与者使用的策略、技术和程序 (TTP)利用这些错误配置。

通过 NSA 和 CISA 红蓝团队评估，以及 NSA 和 CISA Hunt 和事件响应团队的活动，这些机构确定了以下 10 种最常见的网络错误配置：

软件和应用程序的默认配置
用户/管理员权限分离不当
内网监控不足
缺乏网络分段
补丁管理不善
绕过系统访问控制
多重身份验证 (MFA) 方法薄弱或配置错误
网络共享和服务的访问控制列表 (ACL) 不足
凭证卫生状况不佳
不受限制的代码执行

这些错误配置说明了 (1) 许多大型组织（包括那些拥有成熟网络态势的组织）存在系统性弱点的趋势，以及 (2) 软件制造商采用设计安全原则以减轻网络防御者负担的重要性：

经过适当培训、配备人员和资金的网络安全团队可以针对这些弱点实施已知的缓解措施。
软件制造商必须通过将安全设计和默认原则和策略纳入其软件开发实践中，减少这些错误配置的发生率，从而加强客户的安全状况。[1]

NSA 和 CISA 鼓励网络防御者实施本通报“缓解措施”部分中的建议（包括以下建议），以降低恶意行为者利用已识别的错误配置的风险。

删除默认凭据并强化配置。
禁用未使用的服务并实施访问控制。
定期更新并自动修补，优先修补已知被利用的漏洞。[ 2 ]
减少、限制、审核和监控管理帐户和权限。

NSA 和 CISA 敦促软件制造商通过采用安全设计和默认策略来提高客户的安全成果，包括：

从开发之初到整个软件开发生命周期 (SDLC)，将安全控制嵌入到产品架构中。
消除默认密码。
免费向客户提供高质量的审核日志。
为特权用户强制执行 MFA（最好是防网络钓鱼），并使 MFA 成为默认功能而不是选择加入功能。[3]

下载本报告的 PDF 版本：PDF，660 KB

技术细节

注意：本通报使用MITRE ATT&CK ® for Enterprise架版本 13 和MITRE D3FEND™络安全对策框架。[4],[5] 请参阅附录：MITRE ATT&CK 策略和技术部分，获取总结威胁行为者活动的表格映射到 MITRE ATT&CK 策略和技术，以及 MITRE D3FEND 对策的缓解部分。

如需将恶意网络活动映射到 MITRE ATT&CK 框架的帮助，请参阅 CISA 和 MITRE ATT&CK 的MITRE ATT&CK 映射最佳实践和 CISA决策工具[6]、[7]

概述

多年来，以下 NSA 和 CISA 团队评估了国防部 (DoD) 内许多网络飞地的安全状况；联邦民事行政部门（FCEB）；州、地方、部落和领地 (SLTT) 政府；和私营部门：

根据评估的需要，NSA 防御网络运营 (DNO) 团队具有红队（对手模拟）、蓝队（战略漏洞评估）、狩猎（有针对性的狩猎）和/或定制缓解（防御对策开发）的功能。
CISA 漏洞管理 (VM) 团队已评估了 1,000 多个网络飞地的安全状况。CISA VM 团队包括风险和漏洞评估 (RVA)和 CISA 红队评估 (RTA)。[8] RVA 团队进行远程和现场评估服务，包括渗透测试和配置审查。RTA 与组织协调模拟网络威胁行为者，以评估该组织的网络检测和响应能力。
CISA Hunt 和事件响应团队分别对组织网络进行主动和被动参与，以识别和检测对美国基础设施的网络威胁。

在这些评估过程中，NSA 和 CISA 确定了 10 种最常见的网络错误配置，详情如下。这些错误配置（非优先级）是许多网络的系统性弱点。

许多评估都是针对 Microsoft ® Windows ®和 Active Directory ®环境进行的。此通报提供了有关这些评估期间发现的特定问题的详细信息以及缓解措施，因此主要关注这些产品。然而，应该指出的是，许多其他环境也包含类似的错误配置。即使在运行下面未特别提到的其他软件时，网络所有者和运营商也应检查其网络是否存在类似的错误配置。

1. 软件和应用程序的默认配置

系统、服务和应用程序的默认配置可能允许未经授权的访问或其他恶意活动。常见的默认配置包括：

默认凭据
默认服务权限和配置设置

默认凭证

许多软件制造商发布了商业现成 (COTS) 网络设备，这些设备通过应用程序或门户网站提供用户访问，其中包含其内置管理帐户的预定义默认凭据。[9] 恶意行为者和评估团队经常通过以下方式滥用默认凭据：

通过简单的网络搜索 [ T1589.001]查找凭据，并使用它们 [ T1078.001] 获得对设备的经过身份验证的访问。
通过可预测的忘记密码问题重置内置管理帐户 [ T1098 ]。利用默认虚拟专用网络 (VPN) 凭据进行内部网络访问 [ T1133]。利用公开的设置信息来识别 Web 应用程序的内置管理凭据，并获取对应用程序及其底层数据库的访问权限。
利用软件部署工具 [ T1072]上的默认凭据进行代码执行和横向移动。

除了提供网络访问的设备之外，打印机、扫描仪、安全摄像头、会议室视听 (AV) 设备、互联网协议语音 (VoIP) 电话和物联网 (IoT) 设备通常包含可用于也可以轻松地未经授权访问这些设备。使这个问题进一步复杂化的是，打印机和扫描仪可能加载了特权域帐户，以便用户可以轻松扫描文档并将其上传到共享驱动器或通过电子邮件发送。使用默认凭据访问打印机或扫描仪的恶意行为者可以使用加载的特权域帐户从设备横向移动并危害域 [ T1078.002]。

默认服务权限和配置设置

默认情况下，某些服务可能具有过于宽松的访问控制或易受攻击的配置。此外，即使提供商默认不启用这些服务，如果用户或管理员启用这些服务，恶意行为者也可以轻松滥用这些服务。

评估团队定期发现以下内容：

不安全的 Active Directory 证书服务
不安全的遗留协议/服务
不安全的服务器消息块 (SMB) 服务

不安全的 Active Directory 证书服务

Active Directory 证书服务 (ADCS) 是一项用于管理 Active Directory (AD) 环境内的公钥基础设施 (PKI) 证书、密钥和加密的功能。ADCS 模板用于为组织网络上的不同类型的服务器和其他实体构建证书。

恶意行为者可以利用 ADCS 和/或 ADCS 模板错误配置来操纵证书基础设施以颁发欺诈性证书和/或将用户权限升级为域管理员权限。这些证书和域升级路径可能会授予参与者对系统和关键数据进行未经授权的持久访问、冒充合法实体的能力以及绕过安全措施的能力。

评估团队观察到组织存在以下错误配置：

ADCS 服务器在启用 Web 注册的情况下运行。如果启用了 Web 注册，未经身份验证的参与者可以强制服务器向参与者控制的计算机进行身份验证，该计算机可以将身份验证中继到 ADCS Web 注册服务并获取服务器帐户的证书 [ T1649 ] 。些欺诈性的可信证书使攻击者能够使用中间对手技术 [ T1557] 伪装成网络上的可信实体。攻击者还可以使用 AD 身份验证的证书来获取 Kerberos 票证授予票证 (TGT) [ T1558.001]，他们可以使用该证书来危害服务器，通常是整个域。
ADCS 模板，其中低权限用户具有注册权限，并且注册者提供主题备用名称。subjectAltNameADCS 模板的各种元素配置错误可能会导致未经授权的用户进行域升级（例如，授予低特权用户证书注册权限、允许请求者在证书签名请求 [CSR] 中指定 a、不需要 CSR 的授权签名、授予或FullControl权限WriteDacl）给用户）。恶意行为者可以使用低特权用户帐户请求具有特定主题备用名称 (SAN) 的证书，并获取 SAN 与特权帐户的用户主体名称 (UPN) 匹配的证书。

注意：有关已知升级路径（包括PetitPotam NTLM 中继技术）更多信息，请参阅：域升级：PetitPotam NTLM 中继到 ADCS 端点经过认证的二手、Active Directory 证书服务[10]、[11]、[12]

不安全的遗留协议/服务

许多易受攻击的网络服务是默认启用的，评估团队观察到它们在生产环境中启用。具体来说，评估团队观察了链路本地多播名称解析 (LLMNR) 和 NetBIOS 名称服务 (NBT-NS)，它们是用作主机识别替代方法的 Microsoft Windows 组件。如果在网络中启用了这些服务，参与者可以使用欺骗、中毒和中继技术 [ T1557.001] 来获取域哈希、系统访问和潜在的管理系统会话。恶意行为者经常利用这些协议来危害整个 Windows 环境。

恶意行为者可以通过响应传递的流量来欺骗目标网络上名称解析的权威源，从而有效地毒害服务，以便目标计算机将与行为者控制的系统而不是预期的系统进行通信。如果所请求的系统需要识别/验证，则目标计算机会将用户的用户名和哈希发送到参与者控制的系统。然后，攻击者收集哈希值并离线破解它以获得纯文本密码 [ T1110.002]。

不安全的服务器消息块 (SMB) 服务

服务器消息块服务是一个主要用于文件共享的 Windows 组件。其默认配置（包括在最新版本的 Windows 中）不需要签署网络消息来确保真实性和完整性。如果 SMB 服务器不强制执行 SMB 签名，恶意行为者就可以使用中间机器技术，例如 NTLM 中继。此外，恶意行为者可以将缺乏 SMB 签名与名称解析中毒问题（见上文）结合起来，以获得对远程系统 [ T1021.002] 的访问权限，而无需捕获和破解任何哈希值。

2. 用户/管理员权限分离不当

管理员经常为一个帐户分配多个角色。这些帐户可以访问多种设备和服务，允许恶意行为者使用一个受感染的帐户快速通过网络，而不会触发横向移动和/或权限升级检测措施。

评估团队观察到以下常见的帐户分离错误配置：

帐户权限过多
提升服务帐户权限
非必要使用高权限帐户

过多的帐户权限

帐户权限旨在控制用户对主机或应用程序资源的访问，以限制对敏感信息的访问或强制执行最小权限安全模型。当帐户权限过于宽松时，用户可以看到和/或执行他们不应该执行的操作，这会成为一个安全问题，因为它会增加风险暴露和攻击面。

不断扩张的组织可能会在帐户管理、人员和访问要求方面经历大量变化。这些更改通常会导致权限蔓延，即授予过多的访问权限和不必要的帐户权限。通过对主题和嵌套 AD 组的分析，恶意行为者可以找到已被授予超出其需要知道或最低权限功能的帐户权限的用户帐户 [ T1078 ]。部访问可能会导致未经授权的数据和资源访问以及目标域中的权限升级。

提升的服务帐户权限

应用程序通常使用用户帐户来访问资源。这些用户帐户（称为服务帐户）通常需要提升的权限。当恶意行为者使用服务帐户破坏应用程序或服务时，他们将拥有与服务帐户相同的权限和访问权限。

恶意行为者可以利用域内提升的服务权限来获得对关键系统的未经授权的访问和控制。服务帐户对于恶意行为者来说是诱人的目标，因为由于服务的性质，此类帐户通常会在域内被授予更高的权限，并且任何有效的域用户都可以请求使用该服务的访问权限。由于这些因素，kerberoasting（一种通过破解服务帐户凭据实现的凭据访问形式）是用于控制服务帐户目标的常用技术 [ T1558.003]。

非必要使用高权限帐户

由于其固有的提升权限，IT 人员使用域管理员和其他管理员帐户进行系统和网络管理。当管理员帐户登录到受感染的主机时，恶意行为者可以窃取并使用该帐户的凭据和 AD 生成的身份验证令牌 [ T1528 ]以使用提升的权限在整个域 [ T1550.001] 中移动。使用提升的帐户执行正常的日常非管理任务会增加帐户的风险，从而增加其受到损害的风险及其对网络的风险。

恶意行为者在获得网络访问权限后会优先获取有效的域凭据。使用有效域凭据进行身份验证允许执行辅助枚举技术，以获得目标域和 AD 结构的可见性，包括发现提升的帐户以及使用提升的帐户的位置 [T1087 ]

针对执行日常活动的提升帐户（例如域管理员或系统管理员）提供了实现域升级的最直接途径。目标提升帐户访问的系统或应用程序显着增加了对手可用的攻击面，提供了额外的路径和升级选项。

通过具有管理权限的帐户获得初始访问权限后，评估团队在一个工作日内就入侵了一个域名。该团队首先通过网络钓鱼 [ T1566]获得对系统的初始访问权限，通过这种方式，他们诱使最终用户下载 [ T1204] 并执行恶意负载。目标最终用户帐户具有管理权限，使团队能够快速危害整个域。

3、内网监控不足

一些组织没有对主机和网络传感器进行最佳配置以进行流量收集和终端主机日志记录。这些不充分的配置可能会导致未被发现的对抗性妥协。此外，不正确的传感器配置限制了增强基线开发所需的流量收集能力，并妨碍了对异常活动的及时检测。

评估团队利用监控不足来获取对评估网络的访问权限。例如：

评估团队观察到一个组织具有基于主机的监控，但没有网络监控。基于主机的监控向防御团队通报单个主机上的不良活动，网络监控则通报穿越主机的不良活动[ TA0008]。在此示例中，组织可以识别受感染的主机，但无法识别感染的来源，因此无法阻止未来的横向移动和感染。
评估团队获得了对具有成熟网络态势的大型组织的持续深入访问。该组织没有检测到评估团队的横向移动、持久性以及命令和控制 (C2) 活动，包括团队尝试进行噪音活动以触发安全响应的时间。有关此活动的更多信息，请参阅 CSA CISA 红队分享改善网络监控和强化的关键发现。[13]

4. 缺乏网络分段

网络分段通过安全边界分隔网络的各个部分。由于缺乏网络分段，用户、生产和关键系统网络之间没有安全边界。网络分段不充分，使得破坏网络资源的行为者可以毫无争议地在各种系统之间横向移动。缺乏网络隔离还使组织更容易受到潜在勒索软件攻击和后利用技术的影响。

IT 和运营技术 (OT) 环境之间缺乏分隔，导致 OT 环境面临风险。例如，评估团队经常通过查找特殊目的、被遗忘的甚至意外的网络连接来访问 OT 网络，尽管事先保证网络完全气隙，不可能连接到 IT 网络 [T1199 ]

5. 补丁管理不善

供应商发布补丁和更新来解决安全漏洞。不良的补丁管理和网络卫生实践通常会使攻击者发现开放的攻击媒介并利用关键漏洞。不良的补丁管理包括：

缺乏定期修补
使用不受支持的操作系统 (OS) 和过时的固件

缺乏定期修补

未能应用最新补丁可能会使系统容易受到公开可用漏洞的攻击。由于它们易于发现（通过漏洞扫描 [ T1595.002] 和开源研究 [ T1592]）和利用，这些系统成为对手的直接目标。允许关键漏洞保留在生产系统上而不应用相应的补丁会显着增加攻击面。组织应优先修复其环境中已知的被利用漏洞。[2]

评估团队观察到威胁行为者在面向公众的应用程序中利用许多 CVE [ T1190]，包括：

在 Microsoft IIS 服务器上运行的Telerik ® UI for ASP.NET的未修补实例中存在 CVE-2019-18935 。[14]
未修补的 VMware ® Horizon 服务器中的 CVE-2021-44228 (Log4Shell) 。[15]
CVE-2022-24682、CVE-2022-27924 和 CVE-2022-27925 与未修补的 Zimbra ®协作套件中的 CVE-2022-37042 或 CVE-2022-30333 链接。[16]

使用不受支持的操作系统和过时的固件

使用供应商不再支持的软件或硬件会带来重大的安全风险，因为新的和现有的漏洞不再得到修补。恶意行为者可以利用这些系统中的漏洞来获得未经授权的访问、泄露敏感数据并扰乱操作 [ T1210]。

评估团队经常观察使用不受支持的 Windows 操作系统且没有更新MS17-010MS08-67 的织。这些几年前发布的更新解决了关键的远程代码执行漏洞。[17]、[18]

6. 绕过系统访问控制

恶意行为者可以通过破坏环境中的替代身份验证方法来绕过系统访问控制。如果恶意行为者可以在网络中收集哈希值，他们就可以使用哈希值通过非标准方式进行身份验证，例如传递哈希值 (PtH) [T1550.002 ]通过模仿没有明文密码的帐户，攻击者可以在不被发现的情况下扩展和强化其访问权限。Kerberoasting 也是提升权限和在组织网络中横向移动的最省时的方法之一。

7. MFA 方法薄弱或配置错误

智能卡或令牌配置错误

某些网络（通常是政府或国防部网络）要求帐户使用智能卡或令牌。多因素要求可能配置错误，因此帐户的密码哈希永远不会改变。尽管不再使用密码本身（因为需要智能卡或令牌），但帐户的密码散列仍然可以用作身份验证的替代凭据。如果密码哈希值永远不会改变，那么一旦恶意行为者拥有帐户的密码哈希值 [ T1111]，只要该帐户存在，该行为者就可以通过 PtH 技术无限期地使用它。

缺乏防网络钓鱼的 MFA

某些形式的 MFA 容易受到网络钓鱼、“推送轰炸”[ T1621]、7 号信令系统 (SS7) 协议漏洞和/或“SIM 交换”技术的利用。这些尝试如果成功，可能会允许威胁参与者访问 MFA 身份验证凭据或绕过 MFA 并访问受 MFA 保护的系统。（有关更多信息，请参阅 CISA实施防网络钓鱼 MFA 的情况说明书。）[3]

例如，评估团队使用语音网络钓鱼来说服用户提供缺失的 MFA 信息 [ T1598]。在一个实例中，评估团队知道用户的主要凭据，但他们的登录尝试被 MFA 要求阻止。然后，该团队伪装成 IT 员工，说服用户通过电话提供 MFA 代码，从而允许团队完成登录尝试并获得对用户电子邮件和其他组织资源的访问权限。

8. 网络共享和服务的 ACL 不足

数据共享和存储库是恶意行为者的主要目标。网络管理员可能会错误地配置 ACL，从而允许未经授权的用户访问共享驱动器上的敏感或管理数据。

攻击者可以使用命令、开源工具或自定义恶意软件来查找共享文件夹和驱动器 [ T1135]。

在一次妥协中，团队观察到参与者使用该net share命令（显示有关本地计算机上共享资源的信息）以及ntfsinfo搜索受感染计算机上的网络共享的命令。在同一妥协中，攻击者使用了自定义工具CovalentStealer，该工具旨在识别系统上的文件共享、对文件进行分类 [ T1083]，并将文件上传到远程服务器 [ TA0010]。[19],[20 ]
勒索软件攻击者使用 SoftPerfect ® Network Scanner netscan.exe（可以 ping 计算机 [ T1018]、扫描端口 [ T1046] 并发现共享文件夹）和 SharpShares 来枚举域中可访问的网络共享。[21]、[22]

然后，恶意行为者可以从共享驱动器和文件夹中收集和窃取数据。然后，他们可以将这些数据用于各种目的，例如勒索组织或在制定入侵计划以进一步破坏网络时作为情报。评估团队通常会发现有关网络共享 [ T1039] 的敏感信息，这些信息可能有助于后续活动或提供勒索机会。团队定期查找包含服务帐户、Web 应用程序甚至域管理员的明文凭据 [ T1552 ] 的驱动器。即使无法直接从文件共享中的凭据获得进一步的访问权限，也可能存在用于提高目标网络态势感知的信息宝库，包括网络拓扑、服务票据或漏洞扫描数据。此外，团队定期识别共享驱动器上的敏感数据和 PII（例如扫描文档、社会安全号码和纳税申报表），这些数据和 PII 可用于对组织或个人进行勒索或社会工程。

9. 凭证卫生状况不佳

不良的凭证卫生状况会促使威胁行为者获取用于初始访问、持久性、横向移动和其他后续活动的凭证，特别是在未启用防网络钓鱼 MFA 的情况下。凭证卫生状况不佳包括：

容易破解的密码
明文密码泄露

容易破解的密码

易于破解的密码是恶意行为者可以使用相对便宜的计算资源在短时间内猜出的密码。网络上存在容易破解的密码通常源于密码长度不足（即短于 15 个字符）和随机性（即不是唯一的或可以猜测的）。这通常是由于组织策略和用户培训中对密码的要求不严格。仅需要简短密码的策略使用户密码容易被破解。组织应提供或允许员工使用密码管理器，以便为每个帐户生成并轻松使用安全的随机密码。

通常，当获取凭证时，它是密码的哈希（单向加密），而不是密码本身。尽管某些哈希值可以直接与 PtH 技术一起使用，但许多哈希值需要破解才能获得可用的凭证。破解过程采用捕获的用户明文密码的哈希值，并利用字典单词列表和规则集，通常使用包含数十亿个先前泄露的密码的数据库，试图找到匹配的明文密码[T1110.002 ]

破解密码的主要方法之一是使用开源工具 Hashcat，结合从公开发布的密码泄露事件中获取的密码列表。一旦恶意行为者获得了明文密码，他们通常仅受到帐户权限的限制。在某些情况下，攻击者也可能受到先进的纵深防御和零信任实施的限制或检测，但迄今为止，这在评估中是罕见的发现。

评估团队已经破解了 NTLM 用户的密码哈希、Kerberos 服务帐户票证、NetNTLMv2 和 PFX 存储 [ T1555]，使团队能够提升权限并在网络内横向移动。在 12 小时内，一个团队破解了 Active Directory 中超过 80% 的用户密码，从而获得了数百个有效凭据。

明文密码泄露

以明文形式存储密码存在严重的安全风险。有权访问包含明文密码 [ T1552.001] 的文件的恶意行为者可以使用这些凭据以合法用户的身份登录受影响的应用程序或系统。在这种情况下，责任就会丢失，因为任何系统日志都会记录访问应用程序或系统的有效用户帐户。

恶意行为者搜索文本文件、电子表格、文档和配置文件，希望获得明文密码。评估团队经常发现明文密码，从而使他们能够快速将模拟入侵从常规域用户帐户的入侵升级到特权帐户（例如域管理员或企业管理员）的入侵。用于定位明文密码的常用工具是开源工具Snaffler[23]

10. 不受限制的代码执行

如果允许未经验证的程序在主机上执行，则威胁参与者可以在网络内运行任意恶意负载。

恶意行为者通常在获得系统的初始访问权限后执行代码。例如，在用户陷入网络钓鱼诈骗后，攻击者通常会说服受害者在其工作站上运行代码以获得对内部网络的远程访问权限。该代码通常是未经验证的程序，没有合法目的或商业原因在网络上运行。

评估团队和恶意行为者经常利用可执行文件、动态链接库 (DLL)、HTML 应用程序和宏（办公自动化文档中使用的脚本）[T1059.005] 形式的不受限制的代码执行来建立初始访问、持久性和横向访问移动。此外，参与者经常使用脚本语言 [ T1059] 来掩盖他们的行为 [ T1027.010] 并绕过白名单——组织默认限制应用程序和其他形式的代码，只允许那些已知和可信的代码。此外，攻击者可能会加载易受攻击的驱动程序，然后利用驱动程序的已知漏洞以最高级别的系统权限在内核中执行代码，从而完全破坏设备[ T1068。

缓解措施

网络卫士

NSA和CISA建议网络维护者实施以下建议，以缓解本通报中发现的问题。这些缓解措施符合CISA和美国国家标准与技术研究所 (NIST) 制定的跨部门网络安全绩效目标 (CPG)，以及 MITRE ATT&CK 企业缓解措施MITRE D3FEND架。

CPG 提供了 CISA 和 NIST 建议所有组织实施的一套最低限度的实践和保护。CISA 和 NIST 基于现有网络安全框架和指南制定 CPG，以防范最常见和最有影响力的威胁、策略、技术和程序。请访问 CISA 的跨部门网络安全绩效目标，了解有关 CPG 的更多信息，包括其他建议的基线保护。[24]

减少软件和应用程序的默认配置

表 1：针对网络防御者缓解软件和应用程序默认配置的建议

配置错误	对网络防御者的建议
软件和应用程序的默认配置	在生产环境中部署之前修改应用程序和设备的默认配置[ M1013]、[ D3-ACH]。请参阅供应商提供的强化指南和相关网络安全指南（例如DISA 的安全技术实施指南(STIG) 和配置指南）。[25]、[26]、[27]
软件和应用程序的默认配置：默认凭证	在安装或调试时更改或禁用供应商提供的服务、软件和设备的默认用户名和密码[ CPG 2.A ]。重置密码时，强制使用“强”密码（即超过 15 个字符的随机密码 [ CPG 2.B ]），并遵循供应商、STIG、NSA 和/或NIST提供的强化指南[ M1027],[ D3-SPP].[25],[26],[28],[29]
默认服务权限和配置设置：不安全的 Active Directory 证书服务	确保 ADCS 实施的安全配置。定期更新和修补控制基础设施（例如，CVE-2021-36942），采用监控和审核机制，并实施强大的访问控制来保护基础设施。为客户端授权 Web 注册启用身份验证扩展保护 (EPA)。这是通过选择“必需”选项来完成的。有关指导，请参阅 Microsoft：KB5021989：身份验证的扩展保护[31] 在 ADCS 服务器上启用“需要 SSL” 。如果不需要，请在 ADCS 服务器中禁用 Web 注册。请参阅 Microsoft：Uninstall-AdcsWebEnrollment (ADCSDeployment)获取指导。[30] 如果 ADCS 服务器上需要 Web 注册：在所有 ADCS 服务器上禁用 NTLM 。有关指导，请参阅 Microsoft：网络安全限制此域中的 NTLM - Windows 安全 \| Microsoft Learn网络安全限制 NTLM 传入 NTLM 流量 - Windows 安全[32]、[33] 禁用 SAN 的 UPN 映射。有关指导，请参阅 Microsoft：如何禁用 SAN 进行 UPN 映射 - Windows Server相反，智能卡身份验证可以使用该`altSecurityIdentities`属性更安全地将证书显式映射到帐户。[34] 查看适用服务器上 ADCS 模板的所有权限。仅将注册权限限制给需要的用户或组。从模板中禁用该`CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT`标志以防止用户在这些模板中提供和编辑敏感的安全设置。强制经理批准所请求的证书。删除低特权组（例如域用户）对证书模板对象的、和属性`FullControl`权限`WriteDacl`。`Write`
默认服务权限和配置设置：不安全的旧协议/服务	确定基本业务运营是否需要 LLMNR 和 NetBIOS。如果不需要，请在本地计算机安全设置中或通过组策略禁用 LLMNR 和 NetBIOS。
默认服务权限和配置设置：不安全的 SMB 服务	所有系统上的 SMB 客户端和服务器都需要 SMB 签名。[25] 这应该可以防止某些中间对手和传递哈希技术。有关 SMB 签名的更多信息，请参阅 Microsoft：服务器消息块签名概述[35]注意：从Microsoft Windows 11 Insider Preview Build 25381始，Windows 要求对所有通信进行 SMB 签名。[36]

减少用户/管理员权限的不当分离

表 2：针对网络防御者缓解用户/管理员权限不当分离的建议

配置错误	对网络防御者的建议
用户/管理员权限分离不当：帐户权限过多，提升的服务帐户权限，以及非必要使用高权限帐户	实施身份验证、授权和计费 (AAA) 系统[ M1018] 以限制用户可以执行的操作，并审查用户操作日志以检测未经授权的使用和滥用。将最小权限原则应用于用户帐户和组，仅允许执行授权操作。定期审核用户帐户并删除那些不活动或不必要的帐户 [ CPG 2.D ]。限制用户帐户创建其他帐户的能力。限制使用特权帐户执行一般任务，例如访问电子邮件和浏览互联网 [ CPG 2.E ]、[ D3-UAP]。有关详细信息，请参阅 NSA 网络安全信息表 (CSI)捍卫特权和帐户。[37] 限制组织内具有管理员权限的身份和访问管理 (IAM) 角色的用户数量。努力减少所有永久特权角色分配，并对 IAM 用户、角色和策略进行定期权利审查。对特权帐户实施基于时间的访问。例如，即时访问方法在需要时提供特权访问，并且可以通过设置网络范围策略自动禁用 Active Directory 中的管理员帐户来支持执行最小特权原则（以及零信任模型）等级。根据需要，个人用户可以通过自动化流程提交请求，该流程允许在设定的时间范围内访问系统。在云环境中，即时提升也是合适的，并且可以使用每会话联合声明或特权访问管理工具来实现。限制域用户属于多个系统上的本地管理员组。尽可能使用非管理员帐户运行守护程序应用程序（服务）。仅使用其控制的服务运行所需的权限来配置服务帐户。禁用未使用的服务并实施ACL来保护服务。

缓解内部网络监控不足的情况

表 3：针对网络防御者缓解内部网络监控不足的建议

配置错误	对网络防御者的建议
内网监控不足	建立应用程序和服务的基线，并定期审核其访问和使用，特别是管理活动 [ D3-ANAA]。例如，管理员应定期审核所有 Web 应用程序和服务的访问列表和权限 [ CPG 2.O ]、[ M1047]。寻找可疑帐户，对其进行调查，并酌情删除帐户和凭据，例如前员工的帐户。[39] 建立代表组织正常流量活动、网络性能、主机应用程序活动和用户行为的基线；研究与基线 [ D3-NTCD]、[ D3-CSPP]、[ D3-UBA 的任何偏差。[ 40 ] 使用能够检测企业内系统上的特权和服务滥用机会并纠正它们的审核工具[ M1047]。实施安全信息和事件管理 (SIEM) 系统，以提供来自网络端点、日志记录系统、端点和检测响应 (EDR) 系统以及入侵检测系统 (IDS) 的日志聚合、关联、查询、可视化和警报 [CPG 2 . T ]，[ D3-NTA]。

缓解网络分段的不足

表 4：针对网络防御者缓解网络分段缺失问题的建议

配置错误	对网络防御者的建议
缺乏网络分段	实施下一代防火墙来执行深度数据包过滤、状态检查和应用程序级数据包检查 [ D3-NTF]。拒绝或丢弃与网络上允许的特定于应用程序的流量不一致的格式不正确的流量。这种做法限制了参与者滥用允许的应用程序协议的能力。将网络应用程序列入白名单的做法不依赖通用端口作为过滤标准，从而增强了过滤保真度。有关应用程序感知防御的更多信息，请参阅 NSA CSI分段网络和部署应用程序感知防御。[41] 设计网段以隔离关键系统、功能和资源[ CPG 2.F ]、[ D3-NI]。建立物理和逻辑分段控制，例如基础设施设备上的虚拟局域网 (VLAN) 配置和正确配置的访问控制列表 (ACL) [ M1030]。应对这些设备进行基线设置和审核，以防止访问潜在的敏感系统和信息。利用正确配置的非军事区 (DMZ) 来减少对 Internet 的服务暴露。[42]、[43]、[44] 实施单独的虚拟私有云 (VPC) 实例以隔离重要的云系统。在可能的情况下，实施虚拟机 (VM) 和网络功能虚拟化 (NFV)，以实现虚拟化环境和云数据中心中的网络微分段。将安全虚拟机防火墙配置与宏分段结合使用。

缓解不良的补丁管理

表 5：针对网络防御者缓解补丁管理不善的建议

配置错误	对网络防御者的建议
补丁管理不善：缺乏定期补丁	确保组织实施并维护高效的补丁管理流程，强制使用最新、稳定版本的操作系统、浏览器和软件 [ M1051]、[ D3-SU]。[45] 通过对外部公开的应用程序、内部企业端点和服务器采用补丁管理来定期更新软件。优先修补已知被利用的漏洞。[2] 尽可能自动化更新过程并使用供应商提供的更新。考虑使用自动补丁管理工具和软件更新工具。如果由于限制而无法修补，请对网络进行分段以限制易受攻击的系统或主机的暴露。
补丁管理不善：使用不受支持的操作系统和过时的固件	评估不受支持的硬件和软件的使用情况并尽快停止使用。如果无法停止，请实施额外的网络保护以降低风险。[45] 修补基本输入/输出系统 (BIOS)和其他固件，以防止利用已知漏洞。

减少系统访问控制的绕过

表 6：针对网络防御者缓解系统访问控制绕过问题的建议

配置错误	对网络防御者的建议
绕过系统访问控制	限制系统间的凭证重叠，以防止凭证泄露并降低恶意行为者在系统之间横向移动的能力 [ M1026]，[ D3-CH]。实现一种通过主机日志监控来监控非标准登录事件的方法[ CPG 2.G ]。实施有效且常规的补丁管理流程。通过将补丁KB2871997用于 Windows 7 及更高版本来限制本地管理员组中帐户的默认访问权限，从而缓解 PtH 技术 [ M1051]、[ D3-SU]。[46] 启用 PtH 缓解措施，以在网络登录时将用户帐户控制 (UAC) 限制应用于本地帐户 [ M1052]、[ D3-UAP]。拒绝域用户成为多个系统上的本地管理员组的能力 [ M1018]、[ D3-UAP]。限制工作站到工作站的通信。所有工作站通信都应通过服务器进行，以防止横向移动[ M1018]，[ D3-UAP]。仅在需要这些权限的系统上使用特权帐户[ M1018]、[ D3-UAP]。考虑为特权帐户使用专用的特权访问工作站，以更好地隔离和保护它们。[37]

缓解薄弱或配置错误的 MFA 方法

表 7：针对网络防御者缓解薄弱或配置错误的 MFA 方法的建议

配置错误	对网络防御者的建议
MFA 方法薄弱或配置错误：智能卡或令牌配置错误	在 Windows 环境中：禁用新技术 LAN Manager (NTLM) 和其他旧版身份验证协议，这些协议由于使用密码散列 [ M1032]、[ D3-MFA ，因此容易受到 PtH 的影响。有关指导，请参阅 Microsoft：网络安全限制此域中的 NTLM - Windows 安全 \| Microsoft Learn网络安全限制 NTLM 传入 NTLM 流量 - Windows 安全[32]、[33] 通过 Windows Hello 企业版或组策略对象 (GPO)使用内置功能定期重新随机化与需要智能卡的帐户关联的密码哈希。确保哈希值的更改频率至少与组织策略要求更改密码的频率相同 [ M1027]、[ D3-CRO]。优先升级无法使用此内置功能的任何环境。作为一项长期工作，使用现代开放标准实施云主身份验证解决方案。有关详细信息，请参阅 CISA 的安全云业务应用程序 (SCuBA) 混合身份解决方案架构。[47] 注意：本文档是 CISA安全云业务应用程序 (SCuBA) 项目的一部分，该项目为 FCEB 机构提供指导，以保护其云业务应用程序环境并保护在这些环境中创建、访问、共享和存储的联邦信息。尽管该项目的指南是针对 FCEB 机构量身定制的，但它适用于所有组织。[48]
MFA 方法薄弱或配置错误：缺乏防网络钓鱼的 MFA	普遍实施防网络钓鱼 MFA，以访问敏感数据以及尽可能多的其他资源和服务 [ CPG 2.H ].[3]、[49]

缓解网络共享和服务上 ACL 不足的情况

表 8：针对网络防御者缓解网络共享和服务 ACL 不足问题的建议

配置错误	对网络防御者的建议
网络共享和服务的 ACL 不足	对所有存储设备和网络共享实施安全配置，仅向授权用户授予访问权限。对重要信息资源应用最小权限原则，以降低未经授权的数据访问和操纵的风险。对文件和目录应用限制性权限，并防止对手修改 ACL [ M1022]、[ D3-LFP 。对包含敏感私钥的文件和文件夹设置限制性权限，以防止意外访问 [ M1022]、[ D3-LFP 。启用 Windows 组策略安全设置“不允许匿名枚举安全帐户管理器 (SAM) 帐户和共享”以限制可以枚举网络共享的用户。

缓解凭证卫生不良的情况

表 9：针对网络防御者缓解不良凭证卫生问题的建议

配置错误	对网络防御者的建议
凭证卫生状况不佳：密码容易被破解	创建密码策略时遵循美国国家标准与技术研究所 (NIST)指南，强制使用无法破解的“强”密码 [ M1027 ]、[ D3-SPP ]。[29] 考虑使用密码管理器来生成和存储密码。不要跨系统重复使用本地管理员帐户密码。确保密码“强”且唯一 [ CPG 2.B ]、[ M1027]、[ D3-SPP]。对私钥使用“强”密码会导致破解资源密集。不要将凭据存储在 Windows 系统的注册表中。建立禁止在文件中存储密码的组织策略。确保 Windows 服务帐户有足够的密码长度（最好超过 25 个字符）和复杂性要求，并对这些帐户实施定期过期的密码 [ CPG 2.B ]、[ M1027]、[ D3-SPP]。如果可能，请使用托管服务帐户自动管理服务帐户密码。
凭证卫生状况不佳：明文密码泄露	对文件和系统实施审查流程以查找明文帐户凭据。找到凭据后，删除、更改或加密它们 [ D3-FE]。使用自动化工具定期扫描服务器计算机，以确定是否存储敏感数据（例如个人身份信息、受保护的健康信息）或凭证。权衡在密码存储和 Web 浏览器中存储凭据的风险。如果系统、软件或 Web 浏览器凭证泄露是一个重大问题，技术控制、策略和用户培训可能会阻止将凭证存储在不适当的位置。使用国家安全系统政策委员会 (CNSSP)-15和商业国家安全算法套件(CNSA) 批准的算法存储哈希密码。[50]、[51] 考虑使用组托管服务帐户 (gMSA) 或第三方软件来实施安全密码存储应用程序。

减少不受限制的代码执行

表 10：针对网络防御者缓解不受限制的代码执行的建议

配置错误	对网络防御者的建议
不受限制的代码执行	启用系统设置，阻止运行从不受信任的来源下载的应用程序。[52] 使用默认情况下限制程序执行的应用程序控制工具，也称为白名单[ D3-EAL]。确保这些工具检查数字签名和其他关键属性，而不仅仅是依赖文件名，特别是因为恶意软件经常试图伪装成常见的操作系统（OS）实用程序[M1038 ]明确允许某些 .exe 文件运行，同时默认阻止所有其他文件。阻止或阻止执行已知的易受攻击的驱动程序，攻击者可能会利用这些驱动程序在内核模式下执行代码。在审核模式下验证驱动程序块规则，以确保生产部署之前的稳定性 [ D3-OSM]。限制脚本语言以防止恶意活动，审核脚本日志，并限制环境中未使用的脚本语言[ D3-SEA]。请参阅联合网络安全信息表：保留 PowerShell：使用和拥抱的安全措施。[53] 尽可能使用只读容器和最小图像来防止命令运行。定期分析边界和主机级保护，包括垃圾邮件过滤功能，以确保其在阻止恶意软件的传递和执行方面持续有效[ D3-MA]。评估 HTML 应用程序 (HTA) 文件是否在您的环境中用于商业目的；如果未使用 HTA，请将打开它们的默认程序从 mshta.exe 重新映射到 notepad.exe。

软件厂商

NSA 和 CISA 建议软件制造商实施表 11 中的建议，以减少本通报中确定的错误配置的发生率。这些缓解措施与联合指南《转变网络安全风险平衡：设计和默认安全的原则和方法》中提供的策略相一致。NSA 和 CISA 强烈鼓励软件制造商应用这些建议，以确保其产品“开箱即用”安全，并且不需要客户花费额外的资源进行配置更改、执行监控和进行例行更新以确保其系统安全。[1 ]

表 11：针对软件制造商减轻已发现的错误配置的建议

配置错误	对软件制造商的建议
软件和应用程序的默认配置	遵循 NIST 安全软件开发框架 (SSDF) SP 800-218中的最佳实践，将安全控制从开发一开始就嵌入到整个 SDLC 中。[54] 为软件提供“开箱即用”启用的安全功能，并附有“宽松”指南，而不是强化指南。“宽松”指南应以简单易懂的语言解释决策的业务风险。
软件和应用程序的默认配置：默认凭据	消除默认密码：不要向软件提供普遍共享的默认密码。要消除默认密码，要求管理员在安装和配置期间设置“强”密码 [ CPG 2.B ]。
软件和应用程序的默认配置：默认服务权限和配置设置	考虑安全设置对用户体验的影响：每个新设置都会增加最终用户的认知负担，应结合其带来的业务收益进行评估。理想情况下，设置不应该存在；相反，最安全的设置应该默认集成到产品中。当需要配置时，默认选项应该能够广泛防御常见威胁。
用户/管理员权限分离不当：帐户权限过多，提升的服务帐户权限，以及非必要使用高权限帐户	设计产品时应确保单个安全控制的泄露不会导致整个系统的泄露。例如，确保默认情况下严格配置用户权限并采用 ACL 可以减少帐户受损的影响。此外，软件沙箱技术可以隔离漏洞，以限制整个应用程序受到损害。自动生成报告：非活动帐户的管理员。提示管理员设置最长不活动时间并自动暂停超过该阈值的帐户。具有管理员权限的帐户管理员，并提出减少权限蔓延的方法。自动向管理员发出不常用服务的警报，并提供禁用这些服务或实施 ACL 的建议。
内网监控不足	免费向客户提供高质量的审核日志。审核日志对于检测和升级潜在安全事件至关重要。它们在调查可疑或已确认的安全事件期间也至关重要。考虑最佳实践，例如通过使用协调世界时 (UTC)、标准时区格式和强大的文档技术的应用程序编程接口 (API) 访问，提供与安全信息和事件管理 (SIEM) 系统的轻松集成。
缺乏网络分段	确保产品与分段网络环境兼容并经过测试。
补丁管理不善：缺乏定期补丁	遵循 NIST SSDF、 SP 800-218中的最佳实践，从开发之初以及整个 SDLC 中将安全控制嵌入到产品架构中，采取措施消除整类漏洞。[54] 请特别注意：遵循安全编码实践[ SSDF PW 5.1 ]。尽可能使用内存安全的编程语言、参数化查询和 Web 模板语言。根据同行编码标准进行代码审查[ SSDF PW 7.2、RV 1.2 ]，检查后门、恶意内容和逻辑缺陷。测试代码以识别漏洞并验证是否符合安全要求 [ SSDF PW 8.2 ]。确保发布的 CVE 包含根本原因或常见弱点枚举 (CWE)，以便能够在全行业范围内对软件安全设计缺陷进行分析。
补丁管理不善：使用不受支持的操作系统和过时的固件	用简单易懂的语言传达使用不受支持的操作系统和固件的业务风险。
绕过系统访问控制	在审计记录中提供足够的详细信息，以检测系统控制和查询的绕过，以监视审计日志以查找此类可疑活动的痕迹（例如，当缺少身份验证或授权流程的重要步骤时）。
MFA 方法薄弱或配置错误：智能卡或令牌配置错误	完全支持所有用户的 MFA，使 MFA 成为默认功能而不是选择加入功能。利用身份验证断言和备用凭据的威胁建模来检查如何滥用它们来绕过 MFA 要求。
MFA 方法薄弱或配置错误：缺乏防网络钓鱼的 MFA	为特权用户强制执行MFA（最好是防网络钓鱼），并使 MFA 成为默认功能而不是选择加入功能。[3]
网络共享和服务的 ACL 不足	强制使用 ACL，其中默认 ACL 仅允许所需的最低访问权限，并使用易于使用的工具来定期审核 ACL 并将其调整为所需的最低访问权限。
凭证卫生状况不佳：密码容易被破解	允许管理员配置符合 NIST指南的密码策略— 不需要适得其反的限制，例如强制字符类型或定期轮换密码。[29] 允许用户使用密码管理器在产品中轻松生成和使用安全的随机密码。
凭证卫生状况不佳：明文密码泄露	使用计算成本较高的安全散列算法对密码进行加盐和散列，使暴力破解变得更加困难。
不受限制的代码执行	默认情况下，“开箱即用”地支持操作系统和应用程序内的执行控制，所有客户无需额外付费，以限制恶意行为者在未经管理员或知情用户批准的情况下滥用功能或启动异常应用程序的能力。

验证安全控制

除了应用缓解措施之外，NSA 和 CISA 建议针对本通报中映射到 MITRE ATT&CK for Enterprise 框架的威胁行为来演练、测试和验证组织的安全计划。NSA 和 CISA 建议测试您现有的安全控制清单，以评估它们针对本通报中描述的 ATT&CK 技术的性能。

开始：

选择本通报中描述的 ATT&CK 技术（参见表 12–表 21）。
使您的安全技术与技术保持一致。
根据技术测试您的技术。
分析您的检测和预防技术的性能。
对所有安全技术重复这个过程，得到一组综合性能数据。
根据此流程生成的数据调整您的安全计划，包括人员、流程和技术。

CISA 和 NSA 建议在生产环境中持续大规模测试您的安全程序，以确保针对本通报中确定的 MITRE ATT&CK 技术实现最佳性能。

从历史中学习

上述错误配置在评估中非常常见，并且列出的技术是多个恶意行为者利用的标准技术，导致许多实际的网络妥协。学习他人的弱点并正确实施上述缓解措施，以保护网络、其敏感信息和关键任务。

参考文献

[1] 联合指南：改变网络安全风险的平衡：设计安全和默认安全的原则和方法（2023），https://www.cisa.gov/sites/default/files/2023-06/principles_approaches_for_security -by-design-default_508c.pdf
[2] CISA，已知被利用的漏洞目录，https: //www.cisa.gov/known-exploited-vulnerability-catalog
[3] CISA，实施防网络钓鱼 MFA，https:// www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-pressive-mfa-508c.pdf
[4] MITRE、ATT&CK 企业版， https: //attack.mitre.org/versions/ v13/matrices/enterprise/[5] MITRE、D3FEND、https://d3fend.mitre.org/[6] CISA，MITRE ATT&CK 映射最佳实践，https://www.cisa.gov/news-events/news/best-practices-mitre-attckr-mapping[7] CISA，决策工具，https://github.com/cisagov/Decider/[8] CISA，网络评估情况说明书， https: //www.cisa.gov/sites/default/files/publications/VM_Assessments_Fact_Sheet_RVA_508C.pdf
[9] 联合 CSA：首次访问时经常利用的薄弱安全控制和实践，https://media.defense .gov/2022/May/17/2002998718/-1/-1/0/CSA_WEAK_SECURITY_CONTROLS_PRACTICES_EXPLOITED_FOR_INITIAL_ACCESS.PDF
[10] Microsoft KB5005413：缓解对 Active Directory 证书服务 (AD CS) 的 NTLM 中继攻击，https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429[ 11] Raj Chandel，域升级：PetitPotam NTLM 中继到 ADCS 端点，https://www.hackingarticles.in/domain-escalation-petitpotam-ntlm-relay-to-adcs-endpoints/[12] SpecterOps - Will Schroeder，已认证二手，https://posts.specterops.io/certified-pre-owned-d95910965cd2[13] CISA、CSA：CISA 红队分享了改进网络监控和强化的关键发现，https://www.cisa。gov/news-events/cybersecurity-advisories/aa23-059a
[14] 联合 CSA：威胁行为者利用多个美国政府 IIS 服务器中的 Progress Telerik 漏洞，https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-074a
[15] 联合 CSA：伊朗政府资助的 APT 行为者危害联邦网络，部署加密矿工、凭证收割机，https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-074a cisa.gov/news-events/cybersecurity-advisories/aa22-320a
[16] 联合 CSA：威胁行为者利用多个 CVE 攻击 Zimbra 协作套件， https: //www.cisa.gov/news-events/cybersecurity-advisories/aa22 -228a
[17] Microsoft，如何验证是否安装了 MS17-010，https://support.microsoft.com/en-us/topic/how-to-verify-that-ms17-010-is-installed-f55d3f13 -7a9c-688c-260b-477d0ec9f2c8[18] Microsoft，Microsoft 安全公告 MS08-067 – 服务器服务中的严重漏洞可能允许远程执行代码 (958644)，https://learn.microsoft.com/en-us/security-updates/SecurityBulletins/2008/ms08-067[19] 联合 CSA：用于窃取国防工业基地组织敏感信息的装包和渗透工具，https:// www.cisa.gov/news-events/cybersecurity-advisories/aa22-277a
[20] CISA，恶意软件分析报告：10365227.r1.v1， https: //www.cisa.gov/sites/default/files/2023- 06/mar-10365227.r1.v1.clear_.pdf
[21] 联合 CSA：#StopRansomware：BianLian 勒索软件组织， https: //www.cisa.gov/news-events/cybersecurity-advisories/aa23-136a
[22] CISA 分析报告：FiveHands 勒索软件，https://www.cisa.gov/news-events/analysis-reports/ar21-126a
[23] Snaffler， https: //github.com/SnaffCon/Snaffler[24] CISA，跨部门网络安全绩效目标，https://www.cisa.gov/cross-sector-cybersecurity-performance-goals
[25] 国防信息系统局 (DISA)，安全技术实施指南 (STIG)，https://public.cyber.mil/stigs/
[26] NSA，网络基础设施安全指南，https: //media.defense.gov/2022/Jun/15/2003018261/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20220615。PDF
[27] NSA，主动管理系统和配置，https://media.defense.gov/2019/Sep/09/2002180326/-1/-1/0/Actively%20Manage%20Systems%20and%20Configurations.docx% 20-%20Copy.pdf
[28] NSA，网络安全咨询和指南，https://www.nsa.gov/cybersecurity-guidance
[29] 美国国家标准与技术研究所 (NIST)，NIST SP 800-63B：数字身份指南：身份验证和生命周期管理， https: //csrc.nist.gov/pubs/sp/800/63/b/upd2/最终版
[30] Microsoft，Uninstall-AdcsWebEnrollment，https: //learn.microsoft.com/en-us/powershell/module/adcsdeployment/uninstall-adcswebenrollment[31] Microsoft，KB5021989：身份验证扩展保护，https://support .microsoft.com/en-au/topic/kb5021989-extended-protection-for-authentication-1b6ea84d-377b-4677-a0b8-af74efbb243f[32] Microsoft，网络安全：限制 NTLM：此域中的 NTLM 身份验证，https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain[33] 微软，网络安全：限制 NTLM：传入 NTLM 流量，https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-incoming-ntlm-流量[34] Microsoft，如何禁用 UPN 映射的主题备用名称，https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/disable-subject-alternative-name-upn -mapping[35] Microsoft，服务器消息块签名概述，https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/overview-server-message-block-signing[36] Microsoft，Windows Insider 默认要求 SMB 签名，https://aka.ms/SmbSigningRequired[37] NSA，捍卫特权和帐户，https: //media.defense.gov/2019/Sep/09/2002180330 /-1/-1/0/Defend%20Privileges%20and%20Accounts%20-%20Copy.pdf
[38] NSA，在整个用户支柱中推进零信任成熟度， https: //media.defense.gov/2023/Mar /14/2003178390/-1/-1/0/CSI_Zero_Trust_User_Pillar_v1.1.PDF
[39] NSA，持续搜寻网络入侵，https: //media.defense.gov/2019/Sep/09/2002180360/-1/ -1/0/Continuously%20Hunt%20for%20Network%20Intrusions%20-%20Copy.pdf
[40] 联合 CSI：检测和预防 Web Shell 恶意软件，https://media.defense.gov/2020/Jun/09/2002313081/-1/-1/0/CSI-DETECT-AND-PREVENT-WEB-SHELL-MALWARE-20200422.PDF
[41] NSA，分段网络和部署应用程序感知防御，https://media.defense.gov/2019/Sep/09/2002180325/-1/-1/0/Segment%20Networks%20and%20Deploy%20Application%20Aware%20Defenses%20-% 20Copy.pdf
[42] CSA 联合：NSA 和 CISA 建议立即采取行动，减少所有操作技术和控制系统的暴露，https: //media.defense.gov/2020/Jul/23/2002462846/-1/-1/ 0/OT_ADVISORY-DUAL-OFFICIAL-20200722.PDF
[43] NSA，停止针对互联操作技术的恶意网络活动，https: //media.defense.gov/2021/Apr/29/2002630479/-1/-1/0 /CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF
[44] NSA，执行带外网络管理，https://media.defense.gov/2020/Sep/17/2002499616/-1/-1/0/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF
[45] NSA，更新和立即升级软件，https://media.defense.gov/2019/Sep/09/2002180319/-1/-1/0/Update%20and%20Upgrade%20Software%20Immediately.docx%20-%20Copy.pdf
[46 ] Microsoft，Microsoft 安全通报 2871997：改进凭据保护和管理的更新，https://learn.microsoft.com/en-us/security-updates/SecurityAdvisories/2016/2871997[47] CISA，安全云业务应用程序混合身份解决方案架构，https://www.cisa.gov/sites/default/files/2023-03/csso-scuba-guidance_document-hybrid_identity_solutions_architecture-2023.03.22-final.pdf
[48] CISA，安全云业务应用程序 (SCuBA) 项目，https ://www.cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project
[49] NSA，过渡到多重身份验证，https://media.defense.gov/2019/ Sep/09/2002180346/-1/-1/0/Transition%20to%20Multi-factor%20Authentication%20-%20Copy.pdf [50
] 国家安全系统委员会 (CNSS)，CNSS 政策 15，https:// www.cnss.gov/CNSS/issuances/Policies.cfm
[51] NSA，NSA 发布国家安全系统未来抗量子 (QR) 算法要求，https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3148990/nsa-releases-future-quantum-pressive-qr-algorithm-requirements-for-national-se/
[52] 美国国家安全局，强制执行签名软件执行策略，https://media.defense.gov/2019/Sep/09/2002180334/-1/-1/0/Enforce%20Signed%20Software%20Execution%20Policies%20-%20Copy.pdf
[ 53] 联合 CSI：保留 PowerShell：使用和拥抱的安全措施，https
://media.defense.gov/2022/Jun/22/2003021689/-1/-1/0/CSI_KEEPING_POWERSHELL_SECURITY_MEASURES_TO_USE_AND_EMBRACE_20220622.PDF [54] NIST、NIST SP 800-218：安全软件开发框架 (SSDF) 版本 1.1：降低软件漏洞风险的建议，https: //csrc.nist.gov/publications/detail/sp/800-218/final

免责声明

本文档中包含的信息和意见“按原样”提供，不附带任何保证或保证。本文通过商品名称、商标、制造商或其他方式引用任何特定商业产品、流程或服务，并不构成或暗示美国政府对其的认可、推荐或青睐，并且本指南不得用于广告或产品认可目的。

商标

Active Directory、Microsoft 和 Windows 是 Microsoft Corporation 的注册商标。
MITRE ATT&CK 是 MITRE Corporation 的注册商标，MITRE D3FEND 是 MITRE Corporation 的商标。
SoftPerfect 是 SoftPerfect Proprietary Limited Company 的注册商标。
Telerik 是 Progress Software Corporation 的注册商标。
VMware 是 VMWare, Inc. 的注册商标
。Zimbra 是 Synacor, Inc. 的注册商标。

目的

本文件的制定是为了促进网络安全组织的使命，包括识别和传播威胁以及制定和发布网络安全规范和缓解措施的责任。该信息可以广泛共享以覆盖所有适当的利益相关者。

接触

网络安全报告反馈：CybersecurityReports@nsa.gov一般网络安全查询：Cybersecurity_Requests@nsa.gov
国防工业基地查询和网络安全服务：DIB_Defense@cyber.nsa.gov媒体查询/新闻台：443-634-0721，MediaRelations@nsa.gov

要报告可疑活动，请联系 CISA 的 24/7 运营中心：report@cisa.gov致电 (888) 282-0870。如果有的话，请提供有关事件的以下信息：事件的日期、时间和地点；活动类型；受影响人数；用于活动的设备类型；提交公司或组织的名称；以及指定的联络点。

附录：MITRE ATT&CK 策略和技术

请参阅表 12-表 21，了解本通报中所有引用的威胁行为者策略和技术。

表 12：企业 ATT&CK 技术 - 侦察

技术名称	ID	使用
主动扫描：漏洞扫描	T1595.002	恶意行为者扫描受害者以查找可用于初始访问的漏洞。
收集受害主机信息	T1592	恶意行为者通过漏洞扫描和搜索网络来收集有关受害者客户端配置和/或漏洞的信息。
收集受害者身份信息：凭证	T1589.001	恶意行为者通过搜索网络找到默认凭据。
网络钓鱼获取信息	T1598	恶意行为者伪装成 IT 员工，并说服目标用户通过电话提供其 MFA 代码，以获取对电子邮件和其他组织资源的访问权限。

表 13：企业 ATT&CK 技术 – 初始访问

技术名称	ID	使用
外部远程服务	T1133	恶意行为者使用默认凭据进行 VPN 访问内部网络。
有效帐户：默认帐户	T1078.001	恶意行为者通过搜索网络查找默认凭据来获得对设备的经过身份验证的访问。恶意行为者使用默认凭据进行 VPN 访问内部网络，并使用默认管理凭据来访问 Web 应用程序和数据库。
利用面向公众的应用程序	T1190	恶意行为者利用 Telerik UI、VM Horizon、Zimbra Collaboration Suite 和其他应用程序中的 CVE 来初始访问受害者组织。
网络钓鱼	T1566	恶意行为者通过网络钓鱼来吸引最终用户下载并执行恶意负载，从而获得对系统的初始访问权限。
信任关系	T1199	尽管事先保证网络完全气隙，不可能连接到 IT 网络，但恶意行为者仍会通过寻找特殊目的、被遗忘甚至意外的网络连接来访问 OT 网络。

表 14：企业 ATT&CK 技术 – 执行

技术名称	ID	使用
软件部署工具	T1072	恶意行为者使用软件部署工具上的默认或捕获的凭据来执行代码并横向移动。
用户执行	T1204	恶意行为者通过网络钓鱼来吸引最终用户下载并执行恶意负载或在其工作站上运行代码，从而获得对系统的初始访问权限。
命令和脚本解释器	T1059	恶意行为者使用脚本语言来掩盖他们的行为并绕过白名单。
命令和脚本解释器：Visual Basic	T1059.005	恶意行为者使用宏进行初始访问、持久性和横向移动。

表 15：企业 ATT&CK 技术 - 持久性

技术名称	ID	使用
账户操纵	T1098	恶意行为者通过可预测的、忘记的密码问题重置内置管理帐户。

表 16：企业 ATT&CK 技术 – 权限升级

技术名称	ID	使用
有效账户	T1078	恶意攻击者分析主题和嵌套的 Active Directory 组以查找目标特权帐户。
有效帐户：域帐户	T1078.002	恶意行为者从打印机和扫描仪获取加载的域凭据，并使用它们从网络设备横向移动。
利用权限升级	T1068	恶意行为者加载易受攻击的驱动程序，然后利用其已知漏洞以最高级别的系统权限在内核中执行代码，从而彻底破坏设备。

表 17：企业 ATT&CK 技术 – 防御规避

技术名称	ID	使用
混淆的文件或信息：命令混淆	T1027.010	恶意行为者经常使用脚本语言来掩盖他们的行为。

表 18：企业 ATT&CK 技术 – 凭证访问

技术名称	ID	使用
中间对手	T1557	恶意行为者迫使设备通过行为者控制的系统进行通信，以便他们可以收集信息或执行其他操作。
中间对手：LLMNR/NBT-NS 中毒和 SMB 中继	T1557.001	如果网络中启用了链路本地多播名称解析 (LLMNR)、NetBIOS 名称服务 (NBT-NS) 和服务器消息块 (SMB) 服务，恶意行为者就会执行欺骗、投毒和中继技术。
暴力破解：密码破解	T1110.002	恶意行为者捕获用户哈希值并利用字典单词列表和规则集来提取明文密码。
来自密码存储的凭证	T1555	恶意行为者可以访问并破解 PFX 商店的凭据，从而实现网络内特权的提升和横向移动。
多重身份验证拦截	T1111	恶意行为者可以通过智能代码或令牌获取启用 MFA 的帐户的密码哈希值，并通过 PtH 技术使用该哈希值。
多重身份验证请求生成	T1621	恶意行为者使用针对非网络钓鱼抵抗 MFA 的“推式轰炸”来诱导受害者“MFA 疲劳”，获取 MFA 身份验证凭据或绕过 MFA，并访问受 MFA 保护的系统。
窃取应用程序访问令牌	T1528	当帐户登录到受感染的主机时，恶意行为者可以窃取管理员帐户凭据和 Active Directory 生成的身份验证令牌。
窃取或伪造身份验证证书	T1649	未经身份验证的恶意攻击者会强制 ADCS 服务器向攻击者控制的服务器进行身份验证，然后将该身份验证转发到 Web 证书注册应用程序以获取受信任的非法证书。
窃取或伪造 Kerberos 票证：黄金票证	T1558.001	获得身份验证证书的恶意行为者可以使用该证书进行Active Directory身份验证来获取Kerberos TGT。
窃取或伪造 Kerberos 票证：Kerberoasting	T1558.003	恶意行为者获取并滥用有效的 Kerberos TGT 来提升权限并在组织的网络中横向移动。
不安全的凭证：文件中的凭证	T1552.001	恶意行为者会找到组织或个人用户存储在电子表格、配置文件和其他文档中的明文凭据。

表 19：企业 ATT&CK 技术 – 发现

技术名称	ID	使用
账户发现	T1087	具有有效域凭据的恶意行为者会枚举 AD 以发现提升的帐户及其使用位置。
文件和目录发现	T1083	恶意行为者使用命令（例如SoftPerfect Network Scanner 等开源工具）或CovalentStealer`net share`等自定义恶意软件来发现文件并对其进行分类。恶意行为者搜索文本文件、电子表格、文档和配置文件，希望获得所需的信息，例如明文密码。
网络共享发现	T1135	恶意行为者使用 net share 等命令、SoftPerfect Network Scanner 等开源工具或CovalentStealer等自定义恶意软件来查找共享文件夹和驱动器。

表 20：企业 ATT&CK 技术 – 横向移动

技术名称	ID	使用
远程服务的利用	T1210	恶意行为者可以利用操作系统和固件漏洞来获得未经授权的网络访问、泄露敏感数据并中断操作。
远程服务：SMB/Windows 管理员共享	T1021.002	如果不强制执行 SMB 签名，恶意行为者就可以使用名称解析中毒来访问远程系统。
使用备用身份验证材料：应用程序访问令牌	T1550.001	拥有被盗管理员帐户凭据和 AD 身份验证令牌的恶意行为者可以使用它们在整个域中以提升的权限进行操作。
使用备用身份验证材料：传递哈希值	T1550.002	恶意行为者收集网络中的哈希值并以用户身份进行身份验证，而无需访问用户的明文密码。

表 21：企业 ATT&CK 技术 – 集合

技术名称	ID	使用
来自网络共享驱动器的数据	T1039	恶意行为者会发现网络共享上的敏感信息，这些信息可能会促进后续活动或提供勒索机会。

本产品的提供遵循本通知和本隐私和使用政策。