前情提要

在昨天的夢境（Ｘ 中，我們提到了 Secure boot, Audit 之類的，今天就針對 Windows Hardening 的主題做個簡單的分享。

Windows Hardening 白話版摘要

Secure Boot

Secure Boot 是作業系統開機時的第一道防線。它會驗證所有要載入的程式與驅動是否有合法簽章，避免惡意 bootloader 或 Rootkit 在系統尚未啟動完成前就植入。

例如，若有人試圖在開機流程塞入未簽章的惡意驅動，Secure Boot 就會阻擋，確保電腦從一開機就是乾淨狀態。

Secure Clean OS Installation

建立乾淨的安裝映像（常稱為 Golden Image），確保所有電腦都從相同的基準出發。這能避免廠商預裝軟體與不必要的應用，並讓後續補丁與維護更容易。

舉例來說，企業會在映像裡放入必備應用程式、經過測試的更新與安全設定，然後所有新電腦都用這個映像安裝，這樣才能確保一致性與可控性。

Updates & Patching

持續更新是避免已知漏洞被利用的最直接方式。Windows Update Orchestrator 會自動檢查並安裝更新，而在大型企業中，通常會透過 WSUS 集中控管，避免每台主機各自向外抓更新。

例如，有些公司會先在測試環境驗證更新，再分批推送到生產環境，避免因為一個補丁影響所有人工作。

Configuration Management

Windows 的組態管理主要透過 Group Policy (GPO) 來集中控管，能涵蓋從安全性設定到使用者桌布、瀏覽器偏好。

例如，管理者可以用 GPO 強制開啟 Windows 防火牆、設定密碼長度限制，甚至禁止 USB 裝置使用。這種集中化的控管方式，能確保所有電腦符合相同的安全基準，不會有人「忘了設定」而留下弱點。

User Management

帳號與權限管理對 Hardening 來說至關重要。必須限制管理員帳號數量、記錄所有登入嘗試（成功與失敗），並實施嚴格的密碼與驗證政策。

例如，可以規定密碼長度至少 12 碼，不得重複使用過去 6 次密碼，再搭配 雙因子驗證 (2FA)，讓駭客就算偷到密碼也無法直接登入。

同時要落實 最小權限原則。若一般使用者誤被加到 Domain Admins 群組，等於給了全公司最高權限，這將是極大風險。因此定期審查高權限群組成員，是不可或缺的安全措施。

Audit

定期審計能檢查系統是否持續維持在正確的安全狀態。常見方法是參考 DISA STIG、Microsoft SCT、ISO27001 等標準來逐條驗證。

舉例來說，審計可能會檢查密碼策略是否達標、是否關閉了不必要的服務。這能確保系統不會因長期忽略而出現漏洞。不過，審計只能驗證「有沒有做」，仍需要搭配滲透測試，才能檢查防禦在真實攻擊下是否有效。

Logging & Monitoring

日誌與監控是偵測異常的基礎。Sysmon 能增強 Windows 原生日誌功能，記錄進程建立、網路連線、檔案操作等細節，並將資訊集中送往 SIEM 分析。

例如，若某台電腦在半夜突然建立大量異常連線，透過 Sysmon + SIEM，就能第一時間被偵測出來。同時結合 IDS/IPS、網路流量監控工具（如 PacketBeat），能讓管理者同時掌握主機與網路層級的異常。

Key Hardening Measures

除了上述核心策略，還應該啟用並落實以下措施：

• BitLocker：磁碟加密，避免設備遺失時資料外洩。

• Device Guard / Credential Guard：保護程式完整性與憑證。

• 停用弱點技術：關閉 NTLMv1、SMBv1、WDigest 明文 Cache。

• 清理環境：刪除不必要的服務、移除多餘套件、清理 PowerShell 歷史。

• 嚴格路徑管理：所有排程任務與 script 都應指定絕對路徑，避免惡意程式被攔截替換。

這些措施看似瑣碎，但正是攻擊者最常利用的小縫隙。

小語

# Windows Hardening 的核心精神，是把攻擊者最容易下手的「低垂果實」摘掉，避免給他們任何輕易利用的機會。

# 透過 Secure Boot、乾淨安裝、持續補丁、集中組態、帳號控管、定期審計、完整日誌監控，加上 BitLocker 與 Credential Guard 等核心安全功能，能大幅降低本地提權與橫向移動的風險。

# 安全並不是一次性的工作，而是持續的過程 ~

參考資源

HTB Academy - Windows Privilege Escalation - Windows Hardening: https://academy.hackthebox.com/module/67/section/636