作為長期關(guān)注系統(tǒng)安全的廠商，安天一直跟進(jìn)著Windows 7 停服后的安全問題，積極協(xié)助相關(guān)部門和政企用戶做了大量工作（相關(guān)鏈接可在文末查看）。

01 Window 7 系統(tǒng)正式停服

?

2020年1月14日起，微軟已正式停止對 Windows 7 和 Windows Server 2008 的維護(hù)，用戶需要額外購買ESU（付費(fèi)外延擴(kuò)展支持）才能獲得上述兩個系統(tǒng)的補(bǔ)丁更新和系統(tǒng)升級服務(wù)。如今三年過去了，微軟已于2023年1月10日停止ESU服務(wù)，這意味著企業(yè)和個人用戶再也無法獲得微軟針對 Windows 7 操作系統(tǒng)的安全服務(wù)。

?

Windows 7 系統(tǒng)停服帶來最大的安全風(fēng)險(xiǎn)就是一旦有曝出的新系統(tǒng)漏洞，用戶將無法獲得官方補(bǔ)丁進(jìn)行修復(fù)。根據(jù) Windows 代碼的繼承關(guān)系，Windows 10 等更高版本系統(tǒng)中新發(fā)現(xiàn)的漏洞，有較大概率在 Windows 7 時(shí)代就已存在。那么就可能出現(xiàn)高版本的Windows安全更新，反而給 Windows 7 的用戶帶來新風(fēng)險(xiǎn)這一窘迫現(xiàn)象，攻擊者通過分析新的安全補(bǔ)丁，得到 Windows 7 上新的無法防范的漏洞。

02 面對 Windows 7 系統(tǒng)的防護(hù)建議

?

停服后對于依然需要 Windows 系統(tǒng)環(huán)境的用戶，安天建議您升級到最新版本的操作系統(tǒng)，也可以考慮替換為國產(chǎn)化操作系統(tǒng)，目前我國的國產(chǎn)化操作系統(tǒng)在終端應(yīng)用和性能配置方面，已經(jīng)有了非常大的提高。

?

對于仍需繼續(xù)使用 Windows 7 系統(tǒng)的用戶，建議您通過以下幾個方面進(jìn)行安全防護(hù)：

?

1．安裝專業(yè)的終端防病毒產(chǎn)品

攻擊者會利用攻擊載荷、漏洞利用工具在終端進(jìn)行破壞或竊密行為，這些惡意代碼均在終端環(huán)境內(nèi)執(zhí)行，攻擊的目標(biāo)對象主要是終端內(nèi)的系統(tǒng)或重要數(shù)據(jù)，因此建議通過部署專業(yè)的防病毒產(chǎn)品對企業(yè)終端資產(chǎn)進(jìn)行保護(hù)，實(shí)現(xiàn)對各類惡意代碼的全面查殺與攻擊行為的及時(shí)監(jiān)控和遏制。

?

2.通過安全加固提升系統(tǒng)安全性

?

系統(tǒng)安全加固的目的是最大化發(fā)揮操作系統(tǒng)本身的配置能力和內(nèi)置安全機(jī)理的價(jià)值，以提升系統(tǒng)安全性，讓攻擊者無法獲得入侵或執(zhí)行惡意代碼的機(jī)會。

?

安天通過對大量的攻擊事件與樣本分析進(jìn)行攻擊技術(shù)枚舉，并基于 ATT&CK 威脅框架技術(shù)動作的映射形成累計(jì)統(tǒng)計(jì)分析，發(fā)現(xiàn)在大量的攻擊中，攻擊者利用終端的暴露面（端口、開放服務(wù)等）尋找攻擊入口，并基于終端脆弱性（系統(tǒng)漏洞、系統(tǒng)配置不當(dāng)?shù)龋﹣磉_(dá)成攻擊目的。例如：利用系統(tǒng)開放端口的漏洞，遠(yuǎn)程執(zhí)行惡意代碼；對系統(tǒng)遠(yuǎn)程訪問服務(wù)進(jìn)行遠(yuǎn)程爆破攻擊或撞庫攻擊等。其中很多攻擊依靠系統(tǒng)本身的安全優(yōu)化可實(shí)現(xiàn)有效預(yù)防。終端安全防御產(chǎn)品通過病毒查殺、白名單驗(yàn)證、系統(tǒng)防護(hù)、安全管控、分布式防火墻、介質(zhì)管控等手段雖然可以提高終端對攻擊和惡意代碼的防護(hù)能力，但如果終端系統(tǒng)缺乏良好的安全加固，將會使終端始終存在可被攻擊者利用的資源，將導(dǎo)致終端安全防御產(chǎn)品變成用來看守沒窗沒門大樓的“保安”。

?

關(guān)于如何進(jìn)行操作系統(tǒng)安全加固，建議您可以參考由CCIA中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟推出的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—Windows 7 操作系統(tǒng)安全加固指引》（以下簡稱“《實(shí)踐指南》”）中所述方法進(jìn)行操作。

?

Windows 7 需要加固的項(xiàng)目較多，并且部分項(xiàng)目可能配置步驟較為復(fù)雜，如《實(shí)踐指南》中建議非必要情況關(guān)閉3389端口，如果使用 Windows 系統(tǒng)功能防火墻需要執(zhí)行多個步驟的操作，分別是：

?

1）使用控制面板進(jìn)入防火墻配置界面；

2）打開規(guī)則向?qū)Ы缑妫?/span>

3）規(guī)則類型頁選擇“端口”；

4）協(xié)議和端口頁選擇“TCP”,填寫“特定本地端口”（如：3389）；

5）操作頁選擇“阻止連接”；

6）配置文件頁勾選“域”、“專用”、“公用”；

7）設(shè)置規(guī)則名稱。

?

由人工完成對大量終端的安全加固工作將需要付出極大的人力成本，并且效率和加固準(zhǔn)確性也難以保證，針對此問題，安天智甲終端防御系統(tǒng)可以幫助您一鍵完成檢測和加固操作，并且對加固結(jié)果可持續(xù)監(jiān)控。

?

安天智甲終端防御系統(tǒng)也是第一批入選 CCIA?Windows 7 操作系統(tǒng)安全防護(hù)產(chǎn)品目錄的防病毒產(chǎn)品。

?

03安天智甲面向 Windows 7 防護(hù)方案

?

智甲產(chǎn)品家族系列產(chǎn)品是基于UES（統(tǒng)一端點(diǎn)安全）理念研發(fā)，將病毒查殺、主動防御、安全加固、可信環(huán)境驗(yàn)證、分布式防火墻/HIPDS、介質(zhì)管控、WEB SERVER防護(hù)等能力，進(jìn)行模塊積木化組合，覆蓋包括桌面辦公機(jī)、工作站、服務(wù)器、虛擬化、容器和移動智能設(shè)備等場景的安全需求，為 Windows、Linux、Android 以及歐拉、麒麟、統(tǒng)信等國產(chǎn)操作系統(tǒng)提供內(nèi)核層防御以實(shí)現(xiàn)有效防護(hù)的安全目標(biāo)。

?

面向 Windows 7 終端，智甲可通過多種終端安全加固和行為管控能力，全面提升資產(chǎn)安全性，讓攻擊者無法獲得攻擊資源或者執(zhí)行機(jī)會；使用安天自主研發(fā)的下一代威脅檢測引擎對各類惡意代碼實(shí)現(xiàn)精準(zhǔn)查殺；通過內(nèi)核主動防御能力以及虛擬補(bǔ)丁手段，對持久化、提權(quán)、竊密、數(shù)據(jù)破壞、篡改、漏洞利用等多種攻擊動作可在生效前及時(shí)攔截。

1.以安全加固結(jié)合多種管控全面提升資產(chǎn)安全性

?

基于終端安全加固、防護(hù)、管控的需求以及用戶業(yè)務(wù)場景，安天面向政企側(cè)打造的智甲產(chǎn)品在加固方面不僅全面覆蓋了本次《實(shí)踐指南》中所要求的加固項(xiàng)目，還基于 STIG 等規(guī)范增加了上百項(xiàng)增強(qiáng)配置點(diǎn)。

?

用戶網(wǎng)絡(luò)中通常會有數(shù)量較大的終端資產(chǎn)，不同資產(chǎn)之間安全防護(hù)需求存在差異，比如辦公機(jī)和服務(wù)器之間、重要資產(chǎn)和常規(guī)資產(chǎn)之間，這就導(dǎo)致不同資產(chǎn)之間的安全加固需求會產(chǎn)生差異。針對此情況，智甲管理中心提供原廠配置模板管理、配置模板定制、配置情況分析、配置調(diào)整指令下發(fā)等功能，讓安全運(yùn)維人員可針對不同群組制定不同的配置模板，針對特定的工作需求，制定個性化的配置方案：例如安全運(yùn)維人員可設(shè)置不同的加固策略，例如：

?

1）在普通辦公機(jī)場景下，針對“遠(yuǎn)程桌面服務(wù)”配置的加固策略是關(guān)閉；

2）在普通服務(wù)器場景下，針對“遠(yuǎn)程桌面服務(wù)”配置的加固策略是開啟“網(wǎng)絡(luò)級別身份驗(yàn)證”，禁止使用默認(rèn)端口“3389”，端口由用戶自定義；

3）在關(guān)鍵業(yè)務(wù)服務(wù)器場景下，繼承普通服務(wù)器場景策略，并在 WEB 管理端提供即時(shí)開關(guān)“遠(yuǎn)程桌面服務(wù)”功能，按需開啟和關(guān)閉機(jī)器的“遠(yuǎn)程桌面服務(wù)”；

4）在涉密終端場景下，如必須使用遠(yuǎn)程管理功能，配置的策略是，禁用系統(tǒng)本身的“遠(yuǎn)程桌面服務(wù)”，并阻斷一切開啟“遠(yuǎn)程桌面服務(wù)”的行為，同時(shí)按需，安裝安天多層加密遠(yuǎn)程協(xié)助組件，進(jìn)行實(shí)際的運(yùn)營管理。

?

由于用戶對于終端資產(chǎn)具有自主操作權(quán)限，這就可能導(dǎo)致用戶對已加固項(xiàng)目進(jìn)行修改，而如何確保終端資產(chǎn)的安全加固狀態(tài)以及防止終端使用者或者攻擊者違規(guī)修改安全配置，也是運(yùn)維工作中的一大難點(diǎn)。智甲系統(tǒng)提供的管理中心可集中展示網(wǎng)內(nèi)所管控終端的安全加固狀態(tài)，并通過自動安全巡檢、風(fēng)險(xiǎn)終端提示等方式讓管理員及時(shí)掌握終端安全情況，并對發(fā)現(xiàn)的配置風(fēng)險(xiǎn)一鍵下發(fā)安全加固任務(wù)，實(shí)現(xiàn)快速完成對全網(wǎng)終端的安全加固，針對部分重要項(xiàng)目，系統(tǒng)支持進(jìn)行鎖定防止使用者進(jìn)行修改。

?

另外智甲系統(tǒng)還支持通過終端防火墻、介質(zhì)管控、弱口令檢測等多種方式進(jìn)一步對終端環(huán)境進(jìn)行塑造，對非授信行為進(jìn)行攔截。

?

2.以下一代威脅檢測引擎支撐基礎(chǔ)威脅對抗

?

智甲集成了安天自主研發(fā)的下一代威脅檢測引擎AVL-SDK 5.0，AVL SDK可以精準(zhǔn)檢測包括感染式病毒、蠕蟲、木馬、黑客工具、風(fēng)險(xiǎn)軟件、流氓軟件等八大類別，近四萬個家族，超過1200萬的病毒變種（覆蓋百億級樣本HASH），還可給出包括病毒類型、活躍平臺、家族名、變種號、典型行為等精準(zhǔn)信息。AVL SDK基于深度預(yù)處理機(jī)制，對壓縮包、自解壓包、各種殼進(jìn)行解包、脫殼處理，同時(shí)基于虛擬執(zhí)行等機(jī)制，能有效對抗各種免殺處理方式。通過啟發(fā)式掃描、決策森林等機(jī)制可有效檢測發(fā)現(xiàn)未知樣本。智甲使用AVL SDK對終端系統(tǒng)的扇區(qū)、驅(qū)動、服務(wù)、內(nèi)核對象等進(jìn)行安全檢查、對全盤文件進(jìn)行定時(shí)掃描、對以各種方式到達(dá)終端的文件進(jìn)行安全檢測，使智甲的安全檢查和主動防御機(jī)制能精準(zhǔn)識別和攔截威脅。

?

3.以強(qiáng)主防內(nèi)核與虛擬補(bǔ)丁技術(shù)有效攔截阻斷攻擊鏈

?

智甲產(chǎn)品通過內(nèi)核驅(qū)動，構(gòu)建了面向端點(diǎn)側(cè)全攻擊周期的主動防御能力。在進(jìn)程行為、敏感文件/API調(diào)用、網(wǎng)絡(luò)流量、注冊表修改、PowerShell 調(diào)用等攻擊者的利用點(diǎn)上，構(gòu)建了全面的監(jiān)控和攔截能力，并為提升主動防護(hù)點(diǎn)的覆蓋度和驗(yàn)證防護(hù)能力，進(jìn)行了對大量實(shí)戰(zhàn)案例的分析。從防御有效性、執(zhí)行效率、防護(hù)成本等多種因素考慮，智甲在初始訪問、執(zhí)行、持久化、提權(quán)、防御規(guī)避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、命令與控制等多個階段都建立了防護(hù)或感知能力。

并且基于安天對 Windows 漏洞持續(xù)跟蹤研究，針對文檔溢出漏洞、SMB 遠(yuǎn)程代碼執(zhí)行漏洞等這類高風(fēng)險(xiǎn)漏洞，智甲為用戶提供了虛擬補(bǔ)丁防護(hù)機(jī)制。所謂虛擬補(bǔ)丁是一程序或者代碼，它不直接修復(fù)受影響軟件漏洞，而是采用外圍的方式，通過控制受影響軟件的輸入或者輸出。當(dāng)發(fā)現(xiàn)漏洞利用攻擊行為時(shí)，可通過內(nèi)核級主防模塊對攻擊行為進(jìn)行攔截，以此來達(dá)到緩解漏洞風(fēng)險(xiǎn)的目的。

?

04結(jié)語

Windows 7 系統(tǒng)在我國企事業(yè)單位存量依然較大，由于微軟停止安全服務(wù)，這將導(dǎo)致后期 Windows 7 系統(tǒng)上安全漏洞始終存在，而這些漏洞對攻擊者來說將是非常有利的攻擊資源。攻擊者不僅可以利用這些漏洞投放如勒索病毒、挖礦木馬、竊密木馬等高危病毒，甚至可能會以這些終端為跳板，實(shí)現(xiàn)對網(wǎng)內(nèi)其他資產(chǎn)的攻擊，擴(kuò)大攻擊范圍。因此對于仍在使用的 Windows 7 終端，建議用戶務(wù)必提高安全意識，及時(shí)建立安全防護(hù)措施。

?