内网防御配置实操命令清单

本清单覆盖Windows（含域环境）、Linux两大系统，包含权限加固、日志监控、服务防护等核心防御操作，可直接在靶机或生产环境执行（生产环境建议先测试）。

一、 Windows 系统防御配置

1. 账户与权限加固

1. 禁用默认管理员账户

   cmd

   net user administrator /active:no

2. 创建强密码策略（域环境需在 DC 执行）

   cmd

   # 设置密码长度最小8位、包含数字+字母+特殊字符、90天过期 net accounts /minpwlen:8 /maxpwage:90 /minpwage:1 /uniquepw:5

3. 禁止普通用户修改服务配置

   cmd

   # 以WinRM服务为例，限制仅管理员可修改 sc sdset WinRM D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)

4. 排查隐藏账户

   cmd

   # 列出所有账户（含带$的隐藏账户） net user # 查看域内隐藏账户 net user /domain | findstr "$"

2. 服务与端口防护

1. 禁用不必要的高危服务

   cmd

   # 禁用SMBv1（防范永恒之蓝等漏洞） sc config lanmanworkstation depend= bowser/mrxsmb20/nsi sc config mrxsmb10 start= disabled # 禁用不必要的远程服务（如WMI、Telnet） sc config winmgmt start= demand # 设为手动启动 sc config tlntsvr start= disabled

2. 防火墙限制端口访问

   cmd

   # 禁止外部访问445（SMB）、135（RPC）端口 netsh advfirewall set allprofiles state on netsh advfirewall firewall add rule name="Block SMB" dir=in action=block protocol=TCP localport=445 netsh advfirewall firewall add rule name="Block RPC" dir=in action=block protocol=TCP localport=135 # 仅允许管理网段访问3389（RDP） netsh advfirewall firewall add rule name="Allow RDP" dir=in action=allow protocol=TCP localport=3389 remoteip=192.168.56.0/24

3. 日志监控与备份

1. 开启日志审计策略

   cmd

   # 启用账户登录、账户管理、系统事件审计 auditpol /set /category:"账户登录事件" /success:enable /failure:enable auditpol /set /category:"账户管理" /success:enable /failure:enable auditpol /set /category:"系统事件" /success:enable /failure:enable

2. 将日志同步到远程服务器（防止本地删除）

   cmd

   # 1. 配置远程日志服务器（需开启事件日志收集服务） # 2. 本地服务器推送日志 wevtutil sl Security /e:true /rt:true /r:192.168.56.200 /u:admin /p:P@ssw0rd

3. 查看日志是否被篡改

   cmd

   # 检查安全日志大小和记录数 wevtutil gl Security

4. 域环境专项防御

1. 禁用 NTLM 认证，强制 Kerberos

   cmd

   # 在域控制器执行，修改组策略 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LmCompatibilityLevel /t REG_DWORD /d 5 /f

2. 定期轮换 KRBTGT 账户密码（防范黄金票据）

   cmd

   # 需执行两次，间隔至少24小时 ntdsutil "set dsrm password" "reset krbtgt password" quit quit

3. 监控域管理员登录行为

   cmd

   # 查询域管理员最近登录记录 net user administrator /domain | findstr "登录"

二、 Linux 系统防御配置

1. 账户与权限加固

1. 禁用 root SSH 登录

   bash

   运行

   # 编辑SSH配置文件 sed -i 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config systemctl restart sshd

2. 限制 sudo 权限（仅授权必要用户）

   bash

   运行

   # 编辑sudoers文件（必须用visudo，避免语法错误） visudo # 添加规则：仅允许user1执行指定命令 user1 ALL=(ALL) /usr/bin/ls, /usr/bin/cat

3. 清理不必要的 SUID/SGID 文件

   bash

   运行

   # 查找所有SUID文件 find / -perm -u+s -type f 2>/dev/null # 移除不必要的SUID权限（如find命令） chmod u-s /usr/bin/find

2. 服务与端口防护

1. 禁用不必要的服务

   bash

   运行

   # 查看开机自启服务 systemctl list-unit-files --type=service --state=enabled # 禁用无用服务（如rsync、telnet） systemctl disable rsyncd systemctl stop rsyncd

2. 使用 iptables 限制端口访问

   bash

   运行

   # 清空现有规则 iptables -F # 允许回环接口 iptables -A INPUT -i lo -j ACCEPT # 仅允许管理网段访问SSH（22端口） iptables -A INPUT -p tcp --dport 22 -s 192.168.56.0/24 -j ACCEPT # 拒绝所有其他入站流量 iptables -P INPUT DROP # 保存规则 iptables-save > /etc/iptables/rules.v4

3. 日志监控与备份

1. 开启 SSH 登录审计

   bash

   运行

   # 确保auth.log日志开启（默认开启） # 配置日志轮转，防止日志过大 vi /etc/logrotate.d/rsyslog # 添加规则：每周轮转，保留4周日志 /var/log/auth.log { weekly rotate 4 missingok notifempty compress }

2. 将日志同步到远程服务器

   bash

   运行

   # 1. 安装rsyslog客户端 apt install rsyslog -y # 2. 编辑配置文件，指向远程日志服务器 echo "*.* @192.168.56.200:514" >> /etc/rsyslog.conf systemctl restart rsyslog

3. 监控命令历史记录

   bash

   运行

   # 防止用户清空history（修改history文件权限） chmod 444 ~/.bash_history # 记录所有用户的命令执行日志 echo "export PROMPT_COMMAND='history -a;'" >> /etc/profile source /etc/profile

4. 恶意进程与后门检测

1. 查找异常进程

   bash

   运行

   # 查看进程树，识别未知进程 pstree -pu # 查找隐藏进程（对比ps和/proc目录） ls /proc | grep -v -E '^[0-9]+$'

2. 检查 SSH 公钥后门

   bash

   运行

   # 查看所有用户的authorized_keys文件 find /home -name authorized_keys -exec cat {} \;

三、 通用防御注意事项

1. 所有命令需以管理员 /root 权限执行，Windows 用管理员cmd，Linux 加sudo。
2. 生产环境修改配置前需备份，例如cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak。
3. 定期执行脚本自动化检查，可将上述命令写入 Shell/PowerShell 脚本，每周执行一次。