本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，具體地說(shuō)是一種基于強(qiáng)制訪(fǎng)問(wèn)控制的windows系統(tǒng)進(jìn)程防護(hù)方法。

背景技術(shù)：

windows系統(tǒng)是否安全，尤其是服務(wù)器主機(jī)中windows系統(tǒng)是否安全將影響到整個(gè)網(wǎng)絡(luò)的安全，現(xiàn)有技術(shù)中的windows系統(tǒng)進(jìn)程防護(hù)方法不足以保證windows系統(tǒng)的安全。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種基于強(qiáng)制訪(fǎng)問(wèn)控制的windows系統(tǒng)進(jìn)程防護(hù)方法，用于提高windows的安全性。

本發(fā)明解決其技術(shù)問(wèn)題所采取的技術(shù)方案是：

一種基于強(qiáng)制訪(fǎng)問(wèn)控制的windows系統(tǒng)進(jìn)程防護(hù)方法，具體包括以下步驟：

1)、分析并找出windows主機(jī)環(huán)境下易被攻擊的進(jìn)程；

2)、對(duì)每一項(xiàng)易被攻擊的進(jìn)程分別制定對(duì)應(yīng)的防護(hù)策略；

3)、將各防護(hù)策略分別制成基于主機(jī)增強(qiáng)安全系統(tǒng)的防護(hù)策略模板，

4)、在需要進(jìn)行防護(hù)的windows系統(tǒng)中安裝主機(jī)安全增強(qiáng)系統(tǒng)，在需要防護(hù)的windows系統(tǒng)與外網(wǎng)之間設(shè)置防火墻；

5)、根據(jù)需要進(jìn)行防護(hù)的windows系統(tǒng)的具體情況，將windows系統(tǒng)需要的防護(hù)策略模板導(dǎo)入到對(duì)應(yīng)的windows系統(tǒng)的主機(jī)安全增強(qiáng)系統(tǒng)中；

6)、主機(jī)安全增強(qiáng)系統(tǒng)根據(jù)導(dǎo)入的防護(hù)策略模板對(duì)windows進(jìn)行防護(hù)。

進(jìn)一步地，所述主機(jī)安全增強(qiáng)系統(tǒng)采用ssr。

進(jìn)一步地，所述易被攻擊的進(jìn)程包括system、smss.exe、lsass.exe、explorer.exe和csrss.exe。

進(jìn)一步地，所述system的防護(hù)策略為，設(shè)置system進(jìn)程對(duì)于所有進(jìn)程均只有創(chuàng)建線(xiàn)程、操作內(nèi)存、進(jìn)程間繼承的權(quán)限。

進(jìn)一步地，所述smss.exe的防護(hù)策略為，設(shè)置smss.exe進(jìn)程對(duì)于所有進(jìn)程只有創(chuàng)建線(xiàn)程、復(fù)制句柄、進(jìn)程間繼承的權(quán)限。

進(jìn)一步地，所述lsass.exe的防護(hù)策略為，設(shè)置lsass.exe進(jìn)程對(duì)所有進(jìn)程只有創(chuàng)建線(xiàn)程、復(fù)制句柄、進(jìn)程間繼承的權(quán)限。

進(jìn)一步地，所述explorer.exe的防護(hù)策略為，設(shè)置explorer.exe進(jìn)程對(duì)所有進(jìn)程只有復(fù)制句柄、進(jìn)程間繼承權(quán)限。

進(jìn)一步地，所述csrss.exe的防護(hù)策略為，設(shè)置csrss.exe進(jìn)程對(duì)所有進(jìn)程只有復(fù)制句柄、創(chuàng)建線(xiàn)程、進(jìn)程間繼承權(quán)限。

進(jìn)一步地，所述csrss.exe的防護(hù)策略為，設(shè)置csrss.exe進(jìn)程對(duì)svchost.exe、wmiprvse.exe允許所有操作。

本發(fā)明的有益效果是：本發(fā)明提供的一種基于強(qiáng)制訪(fǎng)問(wèn)控制的windows系統(tǒng)進(jìn)程防護(hù)方法，能夠?qū)崿F(xiàn)對(duì)系統(tǒng)中關(guān)鍵進(jìn)程的保護(hù)。即使攻擊者突破了防火墻、ips、waf、殺毒軟件等防護(hù)設(shè)備，獲取了系統(tǒng)的管理員權(quán)限，準(zhǔn)備上傳木馬或修改、破壞系統(tǒng)中的關(guān)鍵進(jìn)程時(shí)，本發(fā)明會(huì)阻止其惡意行為，從而使主機(jī)環(huán)境不受破壞，同時(shí)贏得寶貴的漏洞修復(fù)和攻擊溯源時(shí)間。本發(fā)明基于百名單，與其他黑名單形式的防護(hù)手段形成互補(bǔ)，形成了windows系統(tǒng)防護(hù)體系的最后一道方向，保證了windows系統(tǒng)的安全穩(wěn)定運(yùn)行。

附圖說(shuō)明

圖1為在對(duì)服務(wù)器進(jìn)行保護(hù)時(shí)的網(wǎng)絡(luò)拓?fù)洌?/p>

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明的一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

一種基于強(qiáng)制訪(fǎng)問(wèn)控制的windows系統(tǒng)進(jìn)程防護(hù)方法，具體包括以下步驟：

1)、分析并找出windows主機(jī)環(huán)境下易被攻擊的進(jìn)程，

2)、對(duì)每一項(xiàng)易被攻擊的進(jìn)程分別制定對(duì)應(yīng)的防護(hù)策略，

3)、將各防護(hù)策略分別制成基于主機(jī)增強(qiáng)安全系統(tǒng)的防護(hù)策略模板，

4)、在需要進(jìn)行防護(hù)的windows系統(tǒng)中安裝主機(jī)安全增強(qiáng)系統(tǒng)，在需要防護(hù)的windows系統(tǒng)與外網(wǎng)之間設(shè)置防火墻；

5)、根據(jù)需要進(jìn)行防護(hù)的windows系統(tǒng)的具體情況，將windows系統(tǒng)需要的防護(hù)策略模板導(dǎo)入到對(duì)應(yīng)的windows系統(tǒng)的主機(jī)安全增強(qiáng)系統(tǒng)中；

6)、主機(jī)安全增強(qiáng)系統(tǒng)根據(jù)導(dǎo)入的防護(hù)策略模板對(duì)windows進(jìn)行防護(hù)；

主機(jī)安全增強(qiáng)系統(tǒng)采用ssr。

易被攻擊的進(jìn)程包括system、smss.exe、lsass.exe、explorer.exe和csrss.exe。

system的防護(hù)策略為，設(shè)置system進(jìn)程對(duì)于所有進(jìn)程均只有創(chuàng)建線(xiàn)程、操作內(nèi)存、進(jìn)程間繼承的權(quán)限。system是windows操作系統(tǒng)的一個(gè)重要內(nèi)核程序文件，這可以保護(hù)系統(tǒng)中的system進(jìn)程(ntoskrnl.exe在任務(wù)管理器中顯示為system進(jìn)程)，防止其被惡意注入和終止，

smss.exe的防護(hù)策略為，設(shè)置smss.exe進(jìn)程對(duì)于所有進(jìn)程只有創(chuàng)建線(xiàn)程、復(fù)制句柄、進(jìn)程間繼承的權(quán)限。smss.exe是會(huì)話(huà)管理進(jìn)程，在能夠防止其被惡意注入和終止。

lsass.exe的防護(hù)策略為，設(shè)置lsass.exe進(jìn)程對(duì)所有進(jìn)程只有創(chuàng)建線(xiàn)程、復(fù)制句柄、進(jìn)程間繼承的權(quán)限。lsass.exe是本地安全和登錄進(jìn)程，這能夠防止其被惡意注入和終止。

explorer.exe的防護(hù)策略為，設(shè)置explorer.exe進(jìn)程對(duì)所有進(jìn)程只有復(fù)制句柄、進(jìn)程間繼承權(quán)限。explorer.exe是資源管理器進(jìn)程，這能夠防止其被惡意注入和終止。

csrss.exe的防護(hù)策略為，設(shè)置csrss.exe進(jìn)程對(duì)所有進(jìn)程只有復(fù)制句柄、創(chuàng)建線(xiàn)程、進(jìn)程間繼承權(quán)限。csrss.exe是windows客戶(hù)端/服務(wù)端運(yùn)行時(shí)子系統(tǒng)，這能夠防止其被惡意注入和終止。

csrss.exe的防護(hù)策略為，設(shè)置csrss.exe進(jìn)程對(duì)svchost.exe、wmiprvse.exe允許所有操作。這能夠兼容操作系統(tǒng)，保證操作系統(tǒng)正常運(yùn)行，。svchost.exe是從動(dòng)態(tài)鏈接庫(kù)中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱(chēng)；wmiprvse.exe是用來(lái)處理wmi操作的進(jìn)程。

如圖1所示，在使用本發(fā)明對(duì)服務(wù)器中的windows系統(tǒng)進(jìn)行防護(hù)的時(shí)候，按照上述步驟進(jìn)行操作，主機(jī)安全增強(qiáng)系統(tǒng)采用ssr,服務(wù)器和防火墻之間通過(guò)三層交換機(jī)進(jìn)行連接，服務(wù)器通過(guò)三層交換機(jī)與一pc連接，該pc配置有ssr控制端，ssr控制端用于編輯基于ssr的防護(hù)策略模板，并將該防護(hù)策略模板導(dǎo)入到服務(wù)器中。

本發(fā)明提供的一種基于強(qiáng)制訪(fǎng)問(wèn)控制的windows系統(tǒng)進(jìn)程防護(hù)方法，能夠?qū)崿F(xiàn)對(duì)系統(tǒng)中關(guān)鍵進(jìn)程的保護(hù)。即使攻擊者突破了防火墻、ips、waf、殺毒軟件等防護(hù)設(shè)備，獲取了系統(tǒng)的管理員權(quán)限，準(zhǔn)備上傳木馬或修改、破壞系統(tǒng)中的關(guān)鍵進(jìn)程時(shí)，本發(fā)明會(huì)阻止其惡意行為，從而使主機(jī)環(huán)境不受破壞，同時(shí)贏得寶貴的漏洞修復(fù)和攻擊溯源時(shí)間。本發(fā)明基于百名單，與其他黑名單形式的防護(hù)手段形成互補(bǔ)，形成了windows系統(tǒng)防護(hù)體系的最后一道方向，保證了windows系統(tǒng)的安全穩(wěn)定運(yùn)行。