Windows应急响应手册-善后阶段

善后阶段

0x01 定损 ¶

定损过程就是确定受害范围的过程,此过程主要是与网络安全负责人、系统管理员、应用管理员、网络管理员等进行沟通交流

  • 统计出与受害系统使用了相同密码的服务器
  • 统计出与受害系统部署了相同存在漏洞或特有服务的服务器, 例如负载均衡下的服务器
  • 统计出与受害系统同一管理人员管理下的服务器, 主要是系统管理员和应用管理员
  • 统计出受害系统可以使用 ssh 密钥直接登录的服务器
  • 统计出受害系统可以使用 RDP 已保存信息直接登录的服务器
  • 统计出受害系统受害期间频繁交互的服务器

0x02 针对性排查处理 ¶

  • 如果服务器数量不多,可以按照常规安全检查章节对服务器进行安全检查
  • 若服务器数量较多,可以通过安全设备查看是否存在来自这些服务器发起的攻击, 对内发起攻击 对外发起攻击
  • 修改这些服务器的密码,尽量保证每一台服务器密码均不同,且为强口令