网络安全攻防实战总结：隔离与访问控制策略

在"攻防实战演习总结"文档中，关键点集中在了网络安全管理和防御措施上。首先，安全隔离网络层的访问控制策略是本次演习中的核心发现，它对于防止未经授权的内外部通信至关重要。这意味着，通过精细化的规则设置，确保内部网络只允许来自特定信任源的访问，并严格限制从内网到互联网的出站流量。 应用层控制虽然也重要，但实践表明网络层控制更为基础且有效。办公网终端的管理方面，除了少数无法限制目的IP的协议，其他应全面实施访问控制，以应对特殊访问需求。针对需要访问互联网的需求，提供了两种解决方案：一是单独配置上网终端，二是使用虚拟浏览器。 对于服务器，尤其是那些提供互联网服务的，它们的安全访问控制必须设置得尤为严密，通常采用默认拒绝策略，仅允许特定服务。生产网终端则严禁直接接入互联网，以确保核心系统的安全性。 在基础设施保护上，如Active Directory (AD) 和邮件系统，都需实施严格的访问控制，同时终端安全管控、自动化运维系统等后台管理也需要强化，限制来自不同来源的登录。系统层和应用层的限制措施结合使用，能够提供多重防护。 在安全准备阶段，应对域控可能的控制失陷，如重装域控制器(DC)、更新黄金票据、修复krbtgt漏洞、监控系统日志和工具，以及通过安装Windows补丁来防范MS14-068和MS17-010等攻击。此外，加强员工的安全意识培训，包括对抗钓鱼攻击和凭证安全存储。 进入加固阶段，演习关注如何应对权限提升的威胁，通过对域账号的权限DACL梳理来增强防御。同时，针对Exchange SSRF漏洞和LDAP relay攻击，通过配置相应的安全措施如LDAPS通道绑定，以抵抗LLMNR/NBTP中毒攻击。 检测阶段非常重要，包括检查敏感目录访问、凭证提取和权限维护，以及使用工具如mimikatz检测弱加密、异常注册表变更和ntdsutil滥用等。对于主机防护，特别强调了对免杀手段的识别，比如powershell的异常操作特征，包括文件下载和非落地执行。 这个攻防实战演习总结详细地阐述了在网络环境中实施全方位的安全策略，从网络隔离、访问控制、基础设施保护、安全审计到用户教育等多个层面，以确保组织的信息资产安全。