什么是 Windows 文件完整性监控？

恶意行为者如果获得对您系统的访问权限，可能会对您的企业、员工和客户造成很大损害。除了窃取和泄露数据之外，他们还可以更改您的配置、应用程序和系统文件，并删除日志以掩盖其踪迹。

文件完整性监控 (FIM) 可以帮助您保护您的业务。通过跟踪文件更改以确定文件是否已被删除或篡改的 IT 安全技术和安全流程，FIM 可以帮助您防止和减少未经授权的系统文件更改。

请继续阅读，了解有关 FIM 的更多信息、其重要性、其工作原理以及评估 FIM 解决方案时应重点关注的内容。

什么是文件完整性监控 (FIM)？

FIM 解决方案是更改跟踪和入侵检测软件，用于检查数据库、操作系统和 Windows 文件，以确定它们是否已被修改，如果修改了，修改者是谁以及何时修改。

为什么需要使用 FIM 解决方案？

FIM 帮助组织：

• 检测并解决威胁：FIM 检测系统文件的更改并发送有关有害修改的警报。然后，您的网络安全团队可以阻止未经授权的访问并将修改后的文件恢复到原始状态。
• 确保文件完整性：FIM 工具通过将当前版本与可信基线进行比较来验证关键文件。然后它会确定任何差异是否具有潜在的破坏性。
• 满足合规性要求：许多合规性法规都包含 FIM 要求，包括支付卡行业数据安全标准 (PCI DSS)、SOX、2002 年联邦信息安全管理法案 (FISMA) 和健康保险可移植性和责任法案 (HIPAA)。
• 强化系统配置：FIM 可以帮助您为 Windows 服务器和其他 IT 系统建立适当的配置设置，以减少攻击面。

Windows 文件完整性检查应多久进行一次？

PCI DSS 等安全合规标准要求每周检查文件完整性。然而，每周检查可能不足以防止严重的数据安全漏洞。近年来，威胁行为者变得更加危险——他们现在只需要几个小时或几天就可以造成严重损害。

这就是为什么您需要具有连续检测功能的实时文件监控解决方案。如果您每周只运行一次文件完整性检查，威胁可能会被您忽视，直到为时已晚。

Windows 文件完整性监控应涵盖哪些数据？

您的 FIM 解决方案应监控以下内容：

Windows 文件夹和文件

至少，您应该将文件完整性监控用于：

• 程序文件 (x86)
• 程序文件
• 系统32
• 系统哇64

您还应该考虑将 FIM 应用到 Windows 系统驱动器 (C:Windows)。然而，与注册表监控一样，这可能会导致大量误报。因此，您需要排除定期更改的文件，包括数据库和实时日志文件，例如 C:WindowsLogs。

如果必须手动执行，则包含和排除要监视的文件可能会很困难。投资 FIM 工具是明智之举，该工具可让您使用按文件类型和扩展名进行过滤以及正则表达式 (regex) 快速定位文件，正则表达式是定位包含特定字符的文件和文件夹的搜索模式。此外，寻找可以识别意外变化和其他真正威胁的智能变化检测。

所有文件夹和文件的属性和内容

您的 FIM 工具应跟踪所有文件夹和文件属性，包括以下属性：

• 当前状态
• 权限、权限和其他安全设置
• 核心尺寸和属性
• 证书
• 配置值

一些 FIM 解决方案还跟踪文件内容。这通常是不切实际的，尤其是对于大文件。更好的方法是跟踪元数据，例如：

• 名称和路径
• 加密哈希值
• 尺寸和长度
• 创建和访问日期

Windows 注册表项、配置单元和值

此外，您应该将 FIM 应用于 Windows 注册表项、配置单元和值，因为它们控制 Windows 配置设置。请务必监控：

• 安装的程序和更新
• 本地审核和安全策略，包括从 Windows 防火墙设置到屏幕保护程序的所有内容
• 本地用户帐户

请注意，注册表由数百万个值组成，其中许多值在 Windows 操作期间经常更改。为了减少误报警报的数量，您将需要细粒度的包含和排除功能，如上所述。

Windows FIM 如何检测威胁？

为了检测更改，Windows 文件完整性监控解决方案应使用通过安全哈希算法（例如 MD5、SHA1、SHA256 或 SHA512）生成的加密哈希值。这种方法为每个文件提供了独特的“DNA 指纹”，即使是微小的更改也能被检测到，因为即使对文件内容或组成进行最轻微的修改也会极大地影响哈希值。

加密哈希值可以分配给任何文件类型，包括二进制文件（例如 .dll、.exe、.drv 和 .sys）和基于文本的配置文件（例如 .js、XML 和压缩档案）。

评估 Windows 的 FIM 解决方案时应重点关注什么？

在评估 Microsoft 文件完整性监控解决方案时，请询问以下关键问题：

该解决方案是否使用现代 FIM 方法？

传统的 FIM 解决方案通过创建包含所有文件哈希值和元数据的基线，并将这些基线值与文件的最新版本进行比较，来跟踪和验证所有文件和文件夹属性。但是，他们仅每天或每周检查更改。它们还极其消耗资源，并且缺乏实时监控、安全事件的集中存储以及有关系统文件更改原因的上下文等基本功能。这些缺点使得网络安全专家很难在大量可接受的修改中发现潜在危险的变化。

相比之下，Netwrix Change Tracker 等现代文件完整性解决方案使用 FIM 代理来持续检测更改并发出实时警报。它们还具有：

• 基于上下文的文件白名单和文件完整性监控，确保自动分析所有变更活动，区分好的变更和坏的变更，从而大大减少变更噪音和警报疲劳
• 经过认证的完整 DISA STIG 和 CIS 配置强化，确保所有系统始终安全配置

该解决方案支持 Microsoft Azure 吗？

如果您使用 Microsoft Azure，那么您的 FIM 解决方案支持它至关重要。 Azure 附带了 Microsoft Defender for Cloud，这是一种文件完整性监控解决方案，可帮助你保护数据。但是，尽管 Defender for Cloud 可以捕获许多异常情况，但仍可能漏掉大量威胁，因为它缺乏安全事件的集中存储、计划内与计划外变更检测以及实时监控等关键功能。这些缺点可能导致很难了解检测到的更改是恶意的还是可接受的。

因此，您应该投资 Netwrix Change Tracker 等第三方 FIM 工具，它可以检测 Microsoft Azure 云环境的每项更改，并实时向您发出有关未经授权的修改的警报，以便您可以快速响应云安全事件。

常问问题

1. Windows FIM 如何检测零日恶意软件？

Windows FIM 解决方案使用加密哈希值来跟踪系统中的每个文件。 当零日恶意软件进入您的系统时，关键文件的哈希值将发生变化，FIM 解决方案将向您的安全团队发出警报。此方法适用于任何文件类型，包括 .drv、.exe、.dll、.sys 和压缩存档文件。

2. Windows 文件完整性检查应该多久进行一次？

尽管 PCI 仅要求每周进行检查，但这可能不足以防止严重的数据安全漏洞。现代威胁行为者只需几个小时或几天即可对您的系统和数据造成严重破坏，这使得及时检测比以往任何时候都更加重要。任何延误都可能造成高昂代价。

3. Microsoft Defender for Cloud 是否提供 FIM？

是的，Microsoft Defender for Cloud 会检查 Windows 注册表、操作系统文件、Linux 系统文件、应用程序软件和其他文件是否存在可能表明网络攻击的更改。

但是，它无法区分计划内的更改和计划外的更改，因此安全团队可能会因警报而不知所措。此外，Defender for Cloud 不提供实时监控，因此威胁行为者可能有时间在发出警报之前完成攻击。因此，投资第三方 FIM 解决方案可能是一个明智的策略。