本章为该系列的第6篇，也是事前准备阶段的第6篇。除了直接面对互联网的系统，另一个容易受到攻击的就是办公环境了，这一节让我们聊聊办公环境的风险收敛。

一、上网机风险治理

对于有条件的企业，办公网络最好关闭互联网访问的权限，比如金融、能源的企业，办公网络都是与互联网隔离的，员工的上网需求通常会设置上网机来解决，针对上网机的加固，可以考虑从以下几方面开展工作：

搭建隔离的上网区。设置一个专门的网段用于上网，有条件的单位可使用上网沙箱来解决上网需求，安全性更高；
理清现状。看看我们都有哪些上网机，可以结合上网机申请工单进行梳理，也可结合上网区终端IP的数据进行梳理；
权限收敛。有了上网机清单后，可以评估是否有保留的必要，可以借此机会下线一批上网机；
为上网机穿上铠甲。防病毒、EDR、DLP等终端安全安全产品，结合自身的实际情况进行安装，保证安全监控能力100%覆盖上网机；
文件清理。删除终端上的敏感文件，有条件的可以对系统进行重装，并格式化硬盘；
打安全补丁。特别是Windows机器，要把补丁更新到最新，对于微软已经不维护的windows版本，尽量升级windows版本，升级不了的一定要记录下清单，演习期间要对上述清单中的机器进行重点监控；

病毒查杀。除了开启实时防护外，演习前和演习中，提高全盘查杀的频率。

当然大部分企业无法做到办公网隔离，针对上网机的风险更多的还是要靠终端安全来抗，比如部署EDR、防病毒等产品，上述工作要点也可酌情参考。

二、共享服务器风险治理

针对资料共享的办公场景，配置文件共享服务器是简单好用的解决方案，但是文件共享服务器自身也成为了被攻击的对象，可能会给办公网络带来漏洞和资料泄露的风险。
在治理方面，和上文上网机管控类似，首先要梳理一份共享服务器清单，针对清单中的文件共享能下线的下线，不能下线的做好安全加固和监控。有条件的企业，可以考虑使用文件交换系统来替代文件共享服务器。

三、打印机风险治理

曾经跟着大佬去给客户做渗透测试，看着他对着打印机一顿操作，也真是让我开了眼，原来打印机也有安全风险，可以作为攻击队刷分的一个途径。

针对打印机主要有以下风险：

未授权访问。很多打印机的http服务和打印服务是未授权访问的，或者使用的是默认账密，只要网络通，就能使用其服务。

安全漏洞。一些打印机自身就有安全漏洞，如果在域环境下，还有可能通过打印机的票据接管域控。
准入绕过。打印机接入内网通常是通过绑定ip和mac实现的，如果有机会近源到内部，通过管理后台未授权获取打印机的ip和mac，给自己的电脑配置上，拔下网线怼在自己电脑上，就可以绕过准入进入内网。

针对打印机安全风险，我们可以将其固件升级到最新版本，为管理后台设置强密码，加固方面能做的只有这么多。其风险治理更多的是依靠事中监控，可以在态势感知上配置专有规则，将源ip来自打印机的告警提高威胁级别重点关注，如果发现打印机开始触发各种安全告警，八成是有异常，需要启动应急响应。

四、账号密码风险治理

和小伙伴闲聊的时候，听到一个观点：“攻击队很容易就能获得账号密码。”今天先抛开获取账号密码到底容不容易这个话题，站在防守方角度看看我们如何保障账号安全。

攻击方通过获取账号密码突破业务系统的真实案例确实很多，对防守方来说，针对账号风险进行专项治理是很有必要的，在账号风险收敛方面，提供以下工作思路供参考：

现状梳理。梳理现有的账号体系，是否有域账号、是否有统一身份认证、哪些系统是用户自管理账号……还是那句话，要了解现状才能针对性地开展风险治理工作。

默认密码清理。企业内如有通用的默认密码，一定要清理掉，还要注意源头治理，在各类账号开通的时候就要避免通用口令的出现。

消灭弱口令。结合目前的账户体系，针对性地进行弱口令检查，重点针对域账号和集权系统组织专项的治理工作，发现风险及时通知到人，即查即改。

僵尸账号清理。半年甚至更久时间都没登录过的账户需要“特别照顾”一下，看看这些账号是不是需要禁用。域控上可以查看最后一次登录时间，集权系统的后台一般也能查看账号登录时间，可以把登录日志导出，找出僵尸账号清单，逐一跟进清理。

自管账号收敛。尽量减少自管账号的情况，依托前期对账号体系的现状梳理，找到自管账号的系统，推动对接域控或者统一身份认证，集中管理后，针对一些高风险场景可开启多因素认证的方式，进一步增强账号安全等级。
异常登录告警。在态势感知平台上制定专门的告警规则，当发现账户有异地登录的情况则触发告警，同时还可以给当事人发送风险提醒，比如短信提醒、微信机器人提醒等。

五、办公wifi风险治理

办公wifi，是近源攻击重点关注的对象，根据历史上在客户现场做红蓝对抗的经验，打wifi基本上是攻击队的必选项，通过wifi可以方便的进入内网，能免去熬人的边界突破。

针对wifi的加固，可以从以下几个方面入手：

能关就关了，对于那些有几十层办公楼财大气粗的单位，1楼通常也不是办公区，可以考虑只关闭低楼层的wifi，这样不会大范围影响办公，攻击队也无法连接wifi。

演习前最好改一次wifi连接密码，并且设置为强密码。
有些提供wifi功能的网络设备，portal自身就有认证绕过和RCE漏洞，在曾经做过的红蓝对抗项目中，有过多次通过wifi portal漏洞突破内网的案例，有些portal甚至还有0day。及时对wifi服务器进行固件和系统升级，部署主机防护产品，防止因为portal的漏洞被攻击者利用。

六、远程办公风险治理

如果可以，演习期间就把vpn关了吧，不怕账号被盗，也不怕vpn服务器有漏洞。
对于无法关闭vpn的，可以对vpn账号进行风险治理，首先要梳理我们有哪些vpn账号，对于能清理的就清理掉，针对在用用户，统一进行一次密码重制。
对于有条件和预算的企业，推荐使用零信任架构替代vpn，零信任在安全防护和服务器自身的安全性上，使用过之后我个人觉得比vpn更安全。

七、安保

给大家讲一个真实案例。为了突破目标企业物理隔离的网络环境，某攻击队派出一个长相甜美的小姑娘去踩点，发现该企业有班车接送上下班，然后就混上了车，进到了办公区，拿出准备好的树莓派插到了内部网络里做跳板机，就这样顺利打进了内网。当时防守方直接一脸懵逼，物理隔离的环境怎么蹦出来这么多告警。
所以，演习前别忘了和保卫人员宣贯工作要求，如果可以的话，最好把保卫部门一同纳进演习工作组中，让其有参与感，守住所有进入单位的入口，该上锁的上锁，对形迹可疑的人员要特别警惕，在内部红蓝期间，我们真遇到过带着网线和电脑到处溜达的攻击队人员，他们真是看见网口就插。

八、安全意识宣贯

人是纵深防御体系里最薄弱的环节，根据历史数据，每次钓鱼演练和红蓝对抗都有人中招，所以在演习前搞一次安全意识培训还是很有必要的，培训结束后再联动安全意识考试和钓鱼邮件演练，效果会更好。
关于钓鱼邮件演练可以采购安全公司的服务，有能力的企业也可以自己搭建钓鱼平台，推荐使用Gophish+Postfix。

九、小结

办公安全可从上网机、文件共享、打印机、账号安全、办公wifi、远程办公、安保、安全意识等领域开展风险收敛工作，这些工作要点都是基于历史红蓝和演习中遇到的实际问题整理汇总的，虽然轻描淡写的几句话，但每一项工作拿出来都是大工程，有一些体系化整改的事项甚至需要作为长期任务去推进，仅靠临战阶段磨枪很难有效解决实际问题，做防守方的朋友们应该都能感同身受。
演习也是一个看见自己好机会，通过备战发现自身不足，也为后续的安全工作指引方向，很多功夫应该下在平时，而不是演习前。
以上仅供抛砖引玉，防守单位可根据自身的情况，制定符合自己的办公安全工作方案，如果这篇文章你只能记住一件事的话，那请记住：技术上封堵风险，意识上全员皆兵。

原创 十九线菜鸟学安全