Safe008一键安全加固 防止黑客横向攻击

前言

发现不少搞渗透的，个人防护能力非常差，以为自己很牛，不安装杀软就算了，HIPS也没装。杀软虽然不能防做了免杀的病毒，但起码能杀掉很多已知的木马病毒，对很多不具备手工查杀的人来说，还是有点用的。做渗透被个刚入门的菜鸟用已知漏洞入侵，是不应该也是非常丢脸的。比如公开了6年的MS17010，一个搞渗透的，连个基本防御都不会,复现了MS17010漏洞，自己的电脑都不懂防？使用网上的工具或浏览网站有可会中招，有可能是同事中招，上线后攻击者通过同事电脑横向移动，如果别人用牛逼技术手段或0day攻击这个没法说，但别人要是用个MS17010横向获取你的权限，这就非常说不过去了。

现在就算是刚入门两三天的脚本小子，至少也复现过MS17010漏洞吧，最起码给电脑安装补丁，别的攻击手法你不会，不懂原理不知道该如何修补说得过去，你入门两天都玩过的漏洞，自己的电脑不修补，你具备反制能力故意留漏洞？还是认为别人觉得这家伙是黑客哦，用MS17010和弱密码不可能攻击他的电脑？无论新手还是菜鸟，横向时都是用工具和弱密码搞一波，人家没控到你电脑根本不知道你是谁，可能是会计、行政、前台等不懂技术的人，根本不存在所谓“越危险就越安全的”说法，搞渗透连已知漏洞都防不住的人，一是水平差，二是安全意识差。人在江湖飘，哪能不挨刀。怎能让别人不费吹灰之力就搞你呢？

加固方案

1.使用虚拟机，物理机断网，在虚拟机里上网，来历不明程序、工具不能在工作或上网虚拟机使用，在临时虚拟机使用，测完还原虚拟机。

2.安装杀毒软件(如卡巴、Nod32、360)等，主程序和病毒库存及时更新到最新版本，可防止大部分已知病毒或漏洞攻击。对木马病毒原理及行为深度理解的可安装HIPS防御软件,如comodo，设置最高级别，只放行可信程序，针对未知程序完全阻止。渗透人员建议安装comodo，毕竟有很多工具有杀软在用不了，不会使用comodo的，可先用学习模式，慢慢学习适应它。值得一提的是默认配置是未知程序也允许执行，只是部分限制，好比在IIS或数据库允许你执行程序，但权限低，你很多事都做不了。但这种做法下场就是，别人可以提权到管理员或system做任何事。所以最安全的做法，必须在熟悉后针对未知程序完全阻止，而不是部分阻止。好比你拿到一个webshell不但是低权限，还不能执行命令。不能执行命令，又不具备权限写入注册表或往自启动目录添加程序，你就没机会提权，没机会直接内存上线CS等，不能执行命令，很多工具程序完全都没用，自己在webshell里实现各种工具的功能又不现实，而且很多人不会。所以最安全的做法是完全不给执行，而不是给部分限制执行。

3.按需安装软件，安装程序、使用软件使用官方渠道，下载后检测MD5、SHA1等官方提供的HASH值是否一致，不一致有就可能感染木马。

4.及时更新所安装程序、软件，及时打补丁。路由器及时更新固件，定期修改路由器登陆密码、WIFI密码。

5.定期修改密码，被攻击或高危漏洞时未能及时打补丁，需立即修改密码。

6.浏览器，浏览问可信的正常网站，安装noscript或同类插件，和HIPS一样阻止第3方站点JS脚本，防止网站挂马实施攻击。无法确认网站是否可信，在临时虚拟机里访问查看，用完还原虚拟机。

7.关闭无用的高危服务，如SMB、WMI、Winrm、打印机等大部分人根本用不到的服务或功能。直接从根上解决问题，假如爆出SMB最新漏洞，由于压根都没开启SMB，就算未能及时打补丁，黑客也无法攻击。就像把嘴巴和鼻子缝上，身上又没有其他伤口，就算出了个能让你发烧痛苦100天才好的新型新冠病毒，它也无法感染你，是一样原理。和提权一样，安全是完全不给你机会，而不是给一半，服务和端口开着，打补丁只能防住已知漏洞，对于新出的SMB漏洞，补丁和杀软可能就形同虚设了。

PS:单纯定期更新不定安全，假如18号爆出高危SMB漏洞，管理员按规定每月25号才更新，在更新前的7天时间里，可能不法份子早已偷走个人资产或企业商业秘密信息。没有被攻击或没有爆出高危漏洞，可定期更新。

Safe008一键安全加固工具

网上有很多一键脚本，但好像功能都不全,很多脚本有问题，使用了发现可能压根不生效，甚至好多只是单纯禁用端口,Safe008通过禁用服务+修改注册表+禁用端口等多种方式，确保关闭高危风险服务、端口，防止黑客利用漏洞或密码爆破攻击横向获取权限。对于个人电脑这种一般不安装WEB、数据库等其他功能的，加固可防止99%的黑客横向移动攻击，远比近几年炒的EDR、XDR等横向防护更有用。对于不熟悉安全配置的管理员或个人，它简单易用，一键从根上防止攻击。

使用该工具加固后，可从本质上防止以下黑客攻击行为，打个比方，病毒通过呼吸道传播，单纯戴口罩不安全，因为人经常会自己摘下口罩，但是把嘴巴和鼻子缝起来，是不是呼吸道病毒无法通过口鼻传播了?就算新出病毒也没用，漏洞也是一样，假设出了个新的SMB漏洞，是个0day杀软不拦，系统也没补丁，和当初的永恒之蓝病毒一样自动传播，即便身边电脑全都中招，它也没法通过SMB攻击被加固电脑。因为压根就没开启这服务啊，所以对于用不到共享的机器，可以100%关掉。有人可能会说，病毒也可以开启SMB服务啊，没有错，前提它得先进到电脑里啊，你通过SMB漏洞进我电脑，我电脑没有SMB这条路，你有资格开启SMB吗？"你坐马自达，你根本没资格开这个会哦"

1.关闭SMB服务，可防止Ladon等渗透工具利用SMB漏洞，如MS17010、SmbGhost，包含SMB未公开0day2.关闭SMB服务，可防止Ladon、Smbexec、Psexec、Atexec等SMB横向移动工具攻击3.关闭SMB服务，可防止Ladon等渗透工具通过密码或NTLMHASH爆破系统密码4.关闭SMB服务，可防止系统自带命令net use、at、schtask等命令横向移动5.关闭SMB服务，可防止NTLM中继攻击6.关闭SMB服务，可防止通过SMB传输文件7.关闭WMI服务，可防止Ladon、WmiExec相关渗透工具，漏洞CVE-2003-0352，包含WMI未公开0day8.关闭NBT服务，可防止Ladon等工具通过NBT探测信息，漏洞CVE-2003-0533，包含NBT未公开0day9.关闭WinRM服务，可防止Ladon等工具通过Winrm探测或横向移动10.关闭打印机服务，可防止PrintNightmareCVE-2021-1675等提权漏洞或远程漏洞攻击11.关闭驱动器播放，可防止U盘病毒传播12.定期更新系统补丁，升级杀毒软件，升级所使用的软件，特别是浏览器、Office、Word等必须打补丁

HIPS防护软件--更专业的人使用

Comodo配置，对于未知程序，设置为完全阻止，一般来说执行程序，默认使用沙盒打开，但是大家提过权应该知道，有命令执行权限，不管是user还是服务还是iis应用权限，但凡给执行命令，都有可能提到system权限。所以怎样的设置才安全，当然是完全不给执行机会啊。

PS：声明一点啊，不熟悉的人，可以先使用学习模式慢慢学习，很多所谓黑客并不熟悉木马病毒原理或行为不了解，可能软件提示有网络链接，他都点允许，这种情况下，使用codomo相当于形同虚设。所以这个要求使用还是很高，不然你用了只会非常烦这个工具。因为这个工具不是杀软，不能直接帮你查杀拦截已知病毒，不具备相关能力的，还是不要使用。杀毒软件无论普通人还是技术人员都随便装，但相关HIPS工具，不会虽然也可以装，但是不严格的配置，无法发挥最佳作用。

Comodo拦截未知木马病毒

不管是正常工具，还是非正常程序，不管是主动运行还是不小心运行的，都是拦截，不给执行。假设“亲朋好友”给我们发了一些文件不管是直接的EXE或是Word文档等文件，又或者是访问的一些网站被黑客挂马。大部分木马需要释放到相关目录，然后通过漏洞执行木马。

未知程序，全被拦截，如果确认可信，比如自己写的程序，系统自带程序，我们可以把程序添加为可信程序，不然程序就一直被拦截。如果我们不小心运行了有问题的Word文档，那么程序拦截的EXE肯定是木马。

Noscript插件--拦截恶意XSS 防止挂马

以CSDN为例，安装Noscrit插件后，访问网站，提示相关功能需要允许脚本访问权限，可以看到该网站挂了百度和Google的广告。试想一下如果网站挂的不是广告，执行脚本的域名都不是当前网站，但又非要加载一段JS，十有八九不是XSS攻击就是挂马。

总结