一种基于强制访问控制的Windows系统进程防护方法与流程

本发明涉及计算机技术领域，具体地说是一种基于强制访问控制的windows系统进程防护方法。

背景技术：

windows系统是否安全，尤其是服务器主机中windows系统是否安全将影响到整个网络的安全，现有技术中的windows系统进程防护方法不足以保证windows系统的安全。

技术实现要素：

本发明的目的在于提供一种基于强制访问控制的windows系统进程防护方法，用于提高windows的安全性。

本发明解决其技术问题所采取的技术方案是：

一种基于强制访问控制的windows系统进程防护方法，具体包括以下步骤：

1)、分析并找出windows主机环境下易被攻击的进程；

2)、对每一项易被攻击的进程分别制定对应的防护策略；

3)、将各防护策略分别制成基于主机增强安全系统的防护策略模板，

4)、在需要进行防护的windows系统中安装主机安全增强系统，在需要防护的windows系统与外网之间设置防火墙；

5)、根据需要进行防护的windows系统的具体情况，将windows系统需要的防护策略模板导入到对应的windows系统的主机安全增强系统中；

6)、主机安全增强系统根据导入的防护策略模板对windows进行防护。

进一步地，所述主机安全增强系统采用ssr。

进一步地，所述易被攻击的进程包括system、smss.exe、lsass.exe、explorer.exe和csrss.exe。

进一步地，所述system的防护策略为，设置system进程对于所有进程均只有创建线程、操作内存、进程间继承的权限。

进一步地，所述smss.exe的防护策略为，设置smss.exe进程对于所有进程只有创建线程、复制句柄、进程间继承的权限。

进一步地，所述lsass.exe的防护策略为，设置lsass.exe进程对所有进程只有创建线程、复制句柄、进程间继承的权限。

进一步地，所述explorer.exe的防护策略为，设置explorer.exe进程对所有进程只有复制句柄、进程间继承权限。

进一步地，所述csrss.exe的防护策略为，设置csrss.exe进程对所有进程只有复制句柄、创建线程、进程间继承权限。

进一步地，所述csrss.exe的防护策略为，设置csrss.exe进程对svchost.exe、wmiprvse.exe允许所有操作。

本发明的有益效果是：本发明提供的一种基于强制访问控制的windows系统进程防护方法，能够实现对系统中关键进程的保护。即使攻击者突破了防火墙、ips、waf、杀毒软件等防护设备，获取了系统的管理员权限，准备上传木马或修改、破坏系统中的关键进程时，本发明会阻止其恶意行为，从而使主机环境不受破坏，同时赢得宝贵的漏洞修复和攻击溯源时间。本发明基于百名单，与其他黑名单形式的防护手段形成互补，形成了windows系统防护体系的最后一道方向，保证了windows系统的安全稳定运行。

附图说明

图1为在对服务器进行保护时的网络拓扑；

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于强制访问控制的windows系统进程防护方法，具体包括以下步骤：

1)、分析并找出windows主机环境下易被攻击的进程，

2)、对每一项易被攻击的进程分别制定对应的防护策略，

3)、将各防护策略分别制成基于主机增强安全系统的防护策略模板，

4)、在需要进行防护的windows系统中安装主机安全增强系统，在需要防护的windows系统与外网之间设置防火墙；

5)、根据需要进行防护的windows系统的具体情况，将windows系统需要的防护策略模板导入到对应的windows系统的主机安全增强系统中；

6)、主机安全增强系统根据导入的防护策略模板对windows进行防护；

主机安全增强系统采用ssr。

易被攻击的进程包括system、smss.exe、lsass.exe、explorer.exe和csrss.exe。

system的防护策略为，设置system进程对于所有进程均只有创建线程、操作内存、进程间继承的权限。system是windows操作系统的一个重要内核程序文件，这可以保护系统中的system进程(ntoskrnl.exe在任务管理器中显示为system进程)，防止其被恶意注入和终止，

smss.exe的防护策略为，设置smss.exe进程对于所有进程只有创建线程、复制句柄、进程间继承的权限。smss.exe是会话管理进程，在能够防止其被恶意注入和终止。

lsass.exe的防护策略为，设置lsass.exe进程对所有进程只有创建线程、复制句柄、进程间继承的权限。lsass.exe是本地安全和登录进程，这能够防止其被恶意注入和终止。

explorer.exe的防护策略为，设置explorer.exe进程对所有进程只有复制句柄、进程间继承权限。explorer.exe是资源管理器进程，这能够防止其被恶意注入和终止。

csrss.exe的防护策略为，设置csrss.exe进程对所有进程只有复制句柄、创建线程、进程间继承权限。csrss.exe是windows客户端/服务端运行时子系统，这能够防止其被恶意注入和终止。

csrss.exe的防护策略为，设置csrss.exe进程对svchost.exe、wmiprvse.exe允许所有操作。这能够兼容操作系统，保证操作系统正常运行，。svchost.exe是从动态链接库中运行的服务的通用主机进程名称；wmiprvse.exe是用来处理wmi操作的进程。

如图1所示，在使用本发明对服务器中的windows系统进行防护的时候，按照上述步骤进行操作，主机安全增强系统采用ssr,服务器和防火墙之间通过三层交换机进行连接，服务器通过三层交换机与一pc连接，该pc配置有ssr控制端，ssr控制端用于编辑基于ssr的防护策略模板，并将该防护策略模板导入到服务器中。

本发明提供的一种基于强制访问控制的windows系统进程防护方法，能够实现对系统中关键进程的保护。即使攻击者突破了防火墙、ips、waf、杀毒软件等防护设备，获取了系统的管理员权限，准备上传木马或修改、破坏系统中的关键进程时，本发明会阻止其恶意行为，从而使主机环境不受破坏，同时赢得宝贵的漏洞修复和攻击溯源时间。本发明基于百名单，与其他黑名单形式的防护手段形成互补，形成了windows系统防护体系的最后一道方向，保证了windows系统的安全稳定运行。