前言

2018年11月8日，我们举办了一场系统管理员与安全人员的"AA式"交流会，探讨了企业环境中进展缓慢的关键事项：补丁管理、定期扫描以及资产清单维护。

幻灯片下载链接

五项关键实践

1. 网络基线化：使用Nmap/Masscan进行网络测绘与学习
2. 资产清单控制：建立可控的资产管理体系
3. 更新与补丁：系统升级与漏洞修复策略
4. 服务加固：重新审视基线并强化明文服务
5. 组策略优化：采用让渗透测试者头疼的组策略配置

问答精选

Q：是否建议定期扫描RFC1918地址段以发现未知设备？ A：强烈建议使用Masscan扫描，但需注意网络权限。若控制网络设备，可通过SNMPv3检测端口多MAC地址情况（可能存在NAT设备或关键网络节点）。

Q：OpenVAS的缺陷？ A：OpenVAS作为入门工具尚可，但速度较慢。商业产品如Nessus在成本效益比上更优，特别是需要快速响应的场景。

Q：15字符密码策略为何被审计拒绝？ A：合规标准滞后（仍参照1987年的NIST标准）。15字符可规避AD默认的Lanman哈希存储缺陷，建议参考斯坦福密码策略采用动态有效期机制。

Nmap常用命令：

1
2
3
4
5

-F  # 扫描Top100端口
-p- # 全TCP端口扫描
-A  # 操作系统和服务探测
-sV # 服务版本检测
--script vuln # 漏洞检测脚本

Q：中小企业安全框架建议？ A：推荐CIS-20框架，虽实施困难但适合资源有限的组织，需注意IT与高管的沟通协调。

Cisco Smart Install风险： TCP/4786端口默认开启的智能安装功能可能导致配置泄露，建议禁用vstack功能并避免使用Type 7可逆加密。

工具推荐

• 镜像管理：推荐免费工具FOG进行系统镜像部署
• 漏洞评估：Nessus Manager提供直观的漏洞缓解跟踪
• 资产管控：采购环节必须登记设备联系人以接收安全通告

特别提示：关键漏洞修复不应等待30天周期，攻击者不会遵循修补窗口。