应急响应与系统加固（护网蓝初面试干货）

目录

一、应急响应的基本流程

1、收集信息

2、判断类型

3、深入分析

4、清理处置

5、产出报告

二、Windows应急响应时排查分析的相关细节

三、系统加固

---

一、应急响应的基本流程

1、收集信息

收集客户信息和中毒主机信息，包括样本

2、判断类型

是否是安全事件，是何种安全事件（比如勒索、挖矿、DOS等）

3、深入分析

日志分析、进程分析、启动项分析、样本分析

4、清理处置

直接杀掉进程，删除文件，打补丁或修复文件

5、产出报告

整理并输出完整的安全事件报告

二、Windows应急响应时排查分析的相关细节

1、检查服务器是否有弱口令（比如空口令或密码复杂度不够）

2、检查高危端口是否对外开放（比如SSH服务22端口）

3、利用D顿等工具检测隐藏账号

4、结合日志分析eventvwr.msc，查看管理员登陆时间，相关事件是否有异常

三、系统加固

1、Windows

比如设置登陆时不显示上次登录的用户名，防止弱口令爆破

2、Linux

禁用root之外的超级用户：password -I <用户名> 来锁定用户（-u解锁）

还可以限制su命令切换到root用户或者限制提权的范围