marissa-reed/blue-team-portfolio

# 蓝队网络安全作品集 **Marissa Reed** | 现役 Secret 涉密资质 | CompTIA Security+ 华盛顿特区都会区 | marissa.reed112@gmail.com ## 已完成的实验室 | # | 实验室 | 使用的工具 | 状态 | |---|-----|-----------|--------| | 01 | Nessus 漏洞扫描 — SMB 签名 | Nessus Essentials, Windows | ✅ 完成 | | 02 | Wireshark PCAP 分析 | Wireshark | ✅ 完成 | | 03 | Windows 事件日志分析 | Event Viewer | 🔄 即将推出 | | 04 | LetsDefend 事件响应 | LetsDefend.io | 🔄 即将推出 | # 实验 01 — Nessus Essentials 漏洞扫描 ## 环境 - **扫描器：** Nessus Essentials (Windows) - **目标：** 本地网络主机 - **扫描类型：** 基础网络扫描 - **日期：** 2026年6月 - **分析师：** Marissa Reed ## 扫描结果摘要 | 严重程度 | 数量 | |----------|-------| | 🔴 严重 | 0 | | 🟠 高危 | 0 | | 🟡 中危 | 1 | | 🟢 低危 / 信息 | 24 | ## 发现 01 — 未要求 SMB 签名 | 字段 | 详情 | |-------|--------| | **严重程度** | 中危 | | **CVSS v3.0 基础得分** | 5.3 | | **CVSS v3.0 向量** | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | | **CVSS v3.0 时间得分** | 4.6 | | **CVSS v2.0 基础得分** | 5.0 | | **CVSS v2.0 时间得分** | 3.7 | ### 这意味着什么 SMB (Server Message Block) 是 Windows 用来在网络中共享文件、打印机和其他资源的协议。当不要求 SMB 签名时，服务器会接受未签名的 SMB 流量。这使得未经身份验证的远程攻击者可以发起**中间人攻击 (MITM)** — 在客户端和服务器双方均不知情的情况下拦截并可能修改它们之间的 SMB 通信。 ### 攻击场景 同一网络中的攻击者拦截了工作站和文件服务器之间的 SMB 流量。如果没有签名，攻击者可以转发凭据、冒充服务器，或者将恶意数据注入到通信中 — 所有这些都不需要密码。 ### CVSS 得分分解 | 指标 | 取值 | 含义 | |--------|-------|---------| | 攻击途径 (AV) | 网络 | 可以通过网络远程利用 | | 攻击复杂度 (AC) | 低 | 不需要特殊条件 | | 所需权限 (PR) | 无 | 不需要身份验证 | | 用户交互 (UI) | 无 | 不需要用户操作 | | 机密性 (C) | 无 | 没有数据泄露 | | 完整性 (I) | 低 | 可能存在有限的数据修改 | | 可用性 (A) | 无 | 对可用性没有影响 | ### 修复方案 **Windows 修复：** 1. 打开组策略编辑器 (`gpedit.msc`) 2. 导航至：`计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项` 3. 找到 **“Microsoft 网络服务器：对通信进行数字签名（始终）”** 4. 将其设置为 **已启用** 5. 应用设置并重启服务器 **Samba 修复：** 将以下内容添加到您的 `smb.conf` 文件中： ``` [global] server signing = mandatory ``` 然后重启 Samba 服务。 ### 验证 应用修复后，对同一目标重新运行 Nessus 扫描。“未要求 SMB 签名”这一发现应该不再出现，从而确认修复成功。 ## 我学到了什么 - 如何在 Windows 上安装和配置 Nessus Essentials - 如何运行基础网络扫描并解读结果 - CVSS v3.0 得分的含义以及如何分解每个指标 - SMB 签名是什么以及它对网络安全为何重要 - 如何在 Windows 上使用组策略修复真实的漏洞 - 中间人攻击在协议层面是如何运作的 ## 使用的工具 | 工具 | 用途 | 费用 | |------|---------|------| | Nessus Essentials | 漏洞扫描 | 免费 | | VirtualBox | 虚拟机托管 | 免费 | | Windows | 扫描主机 | — | | NIST NVD (nvd.nist.gov) | CVE 研究和上下文 | 免费 | ## 参考资料 - [Nessus 插件 — SMB 签名已禁用](https://www.tenable.com/plugins/nessus/57608) - [Microsoft 文档 — SMB 签名](https://docs.microsoft.com/en-us/windows-server/storage/file-server/smb-signing-overview) - [NIST NVD — CVSS v3.0 评分](https://nvd.nist.gov/vuln-metrics/cvss) - [CISA — 已知被利用的漏洞](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) *本实验室是正在进行的网络安全技能培养作品集的一部分。会定期添加新的实验室。*

标签：库, 应急响应, 网络安全实验