一種基於強制訪問控制的Windows系統進程防護方法與流程

2023-10-09 04:14:34 2

本發明涉及計算機技術領域，具體地說是一種基於強制訪問控制的windows系統進程防護方法。

背景技術：

windows系統是否安全，尤其是伺服器主機中windows系統是否安全將影響到整個網絡的安全，現有技術中的windows系統進程防護方法不足以保證windows系統的安全。

技術實現要素：

本發明的目的在於提供一種基於強制訪問控制的windows系統進程防護方法，用於提高windows的安全性。

本發明解決其技術問題所採取的技術方案是：

一種基於強制訪問控制的windows系統進程防護方法，具體包括以下步驟：

1)、分析並找出windows主機環境下易被攻擊的進程；

2)、對每一項易被攻擊的進程分別制定對應的防護策略；

3)、將各防護策略分別製成基於主機增強安全系統的防護策略模板，

4)、在需要進行防護的windows系統中安裝主機安全增強系統，在需要防護的windows系統與外網之間設置防火牆；

5)、根據需要進行防護的windows系統的具體情況，將windows系統需要的防護策略模板導入到對應的windows系統的主機安全增強系統中；

6)、主機安全增強系統根據導入的防護策略模板對windows進行防護。

進一步地，所述主機安全增強系統採用ssr。

進一步地，所述易被攻擊的進程包括system、smss.exe、lsass.exe、explorer.exe和csrss.exe。

進一步地，所述system的防護策略為，設置system進程對於所有進程均只有創建線程、操作內存、進程間繼承的權限。

進一步地，所述smss.exe的防護策略為，設置smss.exe進程對於所有進程只有創建線程、複製句柄、進程間繼承的權限。

進一步地，所述lsass.exe的防護策略為，設置lsass.exe進程對所有進程只有創建線程、複製句柄、進程間繼承的權限。

進一步地，所述explorer.exe的防護策略為，設置explorer.exe進程對所有進程只有複製句柄、進程間繼承權限。

進一步地，所述csrss.exe的防護策略為，設置csrss.exe進程對所有進程只有複製句柄、創建線程、進程間繼承權限。

進一步地，所述csrss.exe的防護策略為，設置csrss.exe進程對svchost.exe、wmiprvse.exe允許所有操作。

本發明的有益效果是：本發明提供的一種基於強制訪問控制的windows系統進程防護方法，能夠實現對系統中關鍵進程的保護。即使攻擊者突破了防火牆、ips、waf、殺毒軟體等防護設備，獲取了系統的管理員權限，準備上傳木馬或修改、破壞系統中的關鍵進程時，本發明會阻止其惡意行為，從而使主機環境不受破壞，同時贏得寶貴的漏洞修復和攻擊溯源時間。本發明基於百名單，與其他黑名單形式的防護手段形成互補，形成了windows系統防護體系的最後一道方向，保證了windows系統的安全穩定運行。

附圖說明

圖1為在對伺服器進行保護時的網絡拓撲；

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明的一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動的前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

一種基於強制訪問控制的windows系統進程防護方法，具體包括以下步驟：

1)、分析並找出windows主機環境下易被攻擊的進程，

2)、對每一項易被攻擊的進程分別制定對應的防護策略，

3)、將各防護策略分別製成基於主機增強安全系統的防護策略模板，

4)、在需要進行防護的windows系統中安裝主機安全增強系統，在需要防護的windows系統與外網之間設置防火牆；

5)、根據需要進行防護的windows系統的具體情況，將windows系統需要的防護策略模板導入到對應的windows系統的主機安全增強系統中；

6)、主機安全增強系統根據導入的防護策略模板對windows進行防護；

主機安全增強系統採用ssr。

易被攻擊的進程包括system、smss.exe、lsass.exe、explorer.exe和csrss.exe。

system的防護策略為，設置system進程對於所有進程均只有創建線程、操作內存、進程間繼承的權限。system是windows作業系統的一個重要內核程序文件，這可以保護系統中的system進程(ntoskrnl.exe在任務管理器中顯示為system進程)，防止其被惡意注入和終止，

smss.exe的防護策略為，設置smss.exe進程對於所有進程只有創建線程、複製句柄、進程間繼承的權限。smss.exe是會話管理進程，在能夠防止其被惡意注入和終止。

lsass.exe的防護策略為，設置lsass.exe進程對所有進程只有創建線程、複製句柄、進程間繼承的權限。lsass.exe是本地安全和登錄進程，這能夠防止其被惡意注入和終止。

explorer.exe的防護策略為，設置explorer.exe進程對所有進程只有複製句柄、進程間繼承權限。explorer.exe是資源管理器進程，這能夠防止其被惡意注入和終止。

csrss.exe的防護策略為，設置csrss.exe進程對所有進程只有複製句柄、創建線程、進程間繼承權限。csrss.exe是windows客戶端/服務端運行時子系統，這能夠防止其被惡意注入和終止。

csrss.exe的防護策略為，設置csrss.exe進程對svchost.exe、wmiprvse.exe允許所有操作。這能夠兼容作業系統，保證作業系統正常運行，。svchost.exe是從動態連結庫中運行的服務的通用主機進程名稱；wmiprvse.exe是用來處理wmi操作的進程。

如圖1所示，在使用本發明對伺服器中的windows系統進行防護的時候，按照上述步驟進行操作，主機安全增強系統採用ssr,伺服器和防火牆之間通過三層交換機進行連接，伺服器通過三層交換機與一pc連接，該pc配置有ssr控制端，ssr控制端用於編輯基於ssr的防護策略模板，並將該防護策略模板導入到伺服器中。

本發明提供的一種基於強制訪問控制的windows系統進程防護方法，能夠實現對系統中關鍵進程的保護。即使攻擊者突破了防火牆、ips、waf、殺毒軟體等防護設備，獲取了系統的管理員權限，準備上傳木馬或修改、破壞系統中的關鍵進程時，本發明會阻止其惡意行為，從而使主機環境不受破壞，同時贏得寶貴的漏洞修復和攻擊溯源時間。本發明基於百名單，與其他黑名單形式的防護手段形成互補，形成了windows系統防護體系的最後一道方向，保證了windows系統的安全穩定運行。