作为长期关注系统安全的厂商，安天一直跟进着Windows 7 停服后的安全问题，积极协助相关部门和政企用户做了大量工作。

1.Window 7 系统正式停服

2020年1月14日起，微软已正式停止对 Windows 7 和 Windows Server 2008 的维护，用户需要额外购买ESU（付费外延扩展支持）才能获得上述两个系统的补丁更新和系统升级服务。如今三年过去了，微软已于2023年1月10日停止ESU服务，这意味着企业和个人用户再也无法获得微软针对 Windows 7 操作系统的安全服务。

Windows 7 系统停服带来最大的安全风险就是一旦有曝出的新系统漏洞，用户将无法获得官方补丁进行修复。根据 Windows 代码的继承关系，Windows 10 等更高版本系统中新发现的漏洞，有较大概率在 Windows 7 时代就已存在。那么就可能出现高版本的Windows安全更新，反而给 Windows 7 的用户带来新风险这一窘迫现象，攻击者通过分析新的安全补丁，得到 Windows 7 上新的无法防范的漏洞。

2.面对 Windows 7 系统的防护建议

停服后对于依然需要 Windows 系统环境的用户，安天建议您升级到最新版本的操作系统，也可以考虑替换为国产化操作系统，目前我国的国产化操作系统在终端应用和性能配置方面，已经有了非常大的提高。

对于仍需继续使用 Windows 7 系统的用户，建议您通过以下几个方面进行安全防护：

1.安装专业的终端防病毒产品

攻击者会利用攻击载荷、漏洞利用工具在终端进行破坏或窃密行为，这些恶意代码均在终端环境内执行，攻击的目标对象主要是终端内的系统或重要数据，因此建议通过部署专业的防病毒产品对企业终端资产进行保护，实现对各类恶意代码的全面查杀与攻击行为的及时监控和遏制。

2.通过安全加固提升系统安全性

系统安全加固的目的是最大化发挥操作系统本身的配置能力和内置安全机理的价值，以提升系统安全性，让攻击者无法获得入侵或执行恶意代码的机会。

威胁框架技术动作的映射形成累计统计分析，发现在大量的攻击中，攻击者利用终端的暴露面（端口、开放服务等）寻找攻击入口，并基于终端脆弱性（系统漏洞、系统配置不当等）来达成攻击目的。例如：利用系统开放端口的漏洞，远程执行恶意代码；对系统远程访问服务进行远程爆破攻击或撞库攻击等。其中很多攻击依靠系统本身的安全优化可实现有效预防。终端安全防御产品通过病毒查杀、白名单验证、系统防护、安全管控、分布式防火墙、介质管控等手段虽然可以提高终端对攻击和恶意代码的防护能力，但如果终端系统缺乏良好的安全加固，将会使终端始终存在可被攻击者利用的资源，将导致终端安全防御产品变成用来看守没窗没门大楼的“保安”。

安天通过对大量的攻击事件与样本分析进行攻击技术枚举，并基于 ATT&CK 关于如何进行操作系统安全加固，建议您可以参考由CCIA中国网络安全产业联盟推出的《网络安全标准实践指南—Windows 7 操作系统安全加固指引》（以下简称“《实践指南》”）中所述方法进行操作。

Windows 7 需要加固的项目较多，并且部分项目可能配置步骤较为复杂，如《实践指南》中建议非必要情况关闭3389端口，如果使用 Windows 系统功能防火墙需要执行多个步骤的操作，分别是：

1）使用控制面板进入防火墙配置界面；

2）打开规则向导界面；

3）规则类型页选择“端口”；

4）协议和端口页选择“TCP”,填写“特定本地端口”（如：3389）；

5）操作页选择“阻止连接”；

6）配置文件页勾选“域”、“专用”、“公用”；

7）设置规则名称。

由人工完成对大量终端的安全加固工作将需要付出极大的人力成本，并且效率和加固准确性也难以保证，针对此问题，安天智甲终端防御系统可以帮助您一键完成检测和加固操作，并且对加固结果可持续监控。

安天智甲终端防御系统也是第一批入选 CCIA Windows 7 操作系统安全防护产品目录的防病毒产品。

3.安天智甲面向 Windows 7 防护方案

智甲产品家族系列产品是基于UES（统一端点安全）理念研发，将病毒查杀、主动防御、安全加固、可信环境验证、分布式防火墙/HIPDS、介质管控、WEB SERVER防护等能力，进行模块积木化组合，覆盖包括桌面办公机、工作站、服务器、虚拟化、容器和移动智能设备等场景的安全需求，为 Windows、Linux、Android 以及欧拉、麒麟、统信等国产操作系统提供内核层防御以实现有效防护的安全目标。

面向 Windows 7 终端，智甲可通过多种终端安全加固和行为管控能力，全面提升资产安全性，让攻击者无法获得攻击资源或者执行机会；使用安天自主研发的下一代威胁检测引擎对各类恶意代码实现精准查杀；通过内核主动防御能力以及虚拟补丁手段，对持久化、提权、窃密、数据破坏、篡改、漏洞利用等多种攻击动作可在生效前及时拦截。

1.以安全加固结合多种管控全面提升资产安全性

基于终端安全加固、防护、管控的需求以及用户业务场景，安天面向政企侧打造的智甲产品在加固方面不仅全面覆盖了本次《实践指南》中所要求的加固项目，还基于 STIG 等规范增加了上百项增强配置点。

用户网络中通常会有数量较大的终端资产，不同资产之间安全防护需求存在差异，比如办公机和服务器之间、重要资产和常规资产之间，这就导致不同资产之间的安全加固需求会产生差异。针对此情况，智甲管理中心提供原厂配置模板管理、配置模板定制、配置情况分析、配置调整指令下发等功能，让安全运维人员可针对不同群组制定不同的配置模板，针对特定的工作需求，制定个性化的配置方案：例如安全运维人员可设置不同的加固策略，例如：

1）在普通办公机场景下，针对“远程桌面服务”配置的加固策略是关闭；

2）在普通服务器场景下，针对“远程桌面服务”配置的加固策略是开启“网络级别身份验证”，禁止使用默认端口“3389”，端口由用户自定义；

3）在关键业务服务器场景下，继承普通服务器场景策略，并在 WEB 管理端提供即时开关“远程桌面服务”功能，按需开启和关闭机器的“远程桌面服务”；

4）在涉密终端场景下，如必须使用远程管理功能，配置的策略是，禁用系统本身的“远程桌面服务”，并阻断一切开启“远程桌面服务”的行为，同时按需，安装安天多层加密远程协助组件，进行实际的运营管理。

由于用户对于终端资产具有自主操作权限，这就可能导致用户对已加固项目进行修改，而如何确保终端资产的安全加固状态以及防止终端使用者或者攻击者违规修改安全配置，也是运维工作中的一大难点。智甲系统提供的管理中心可集中展示网内所管控终端的安全加固状态，并通过自动安全巡检、风险终端提示等方式让管理员及时掌握终端安全情况，并对发现的配置风险一键下发安全加固任务，实现快速完成对全网终端的安全加固，针对部分重要项目，系统支持进行锁定防止使用者进行修改。

另外智甲系统还支持通过终端防火墙、介质管控、弱口令检测等多种方式进一步对终端环境进行塑造，对非授信行为进行拦截。

图1：智甲配置加固功能界面

图2：安天智甲 Windows 系统专项加固界面

2.以下一代威胁检测引擎支撑基础威胁对抗

智甲集成了安天自主研发的下一代威胁检测引擎AVL-SDK 5.0，AVL SDK可以精准检测包括感染式病毒、蠕虫、木马、黑客工具、风险软件、流氓软件等八大类别，近四万个家族，超过1200万的病毒变种（覆盖百亿级样本HASH），还可给出包括病毒类型、活跃平台、家族名、变种号、典型行为等精准信息。AVL SDK基于深度预处理机制，对压缩包、自解压包、各种壳进行解包、脱壳处理，同时基于虚拟执行等机制，能有效对抗各种免杀处理方式。通过启发式扫描、决策森林等机制可有效检测发现未知样本。智甲使用AVL SDK对终端系统的扇区、驱动、服务、内核对象等进行安全检查、对全盘文件进行定时扫描、对以各种方式到达终端的文件进行安全检测，使智甲的安全检查和主动防御机制能精准识别和拦截威胁。

3.以强主防内核与虚拟补丁技术有效拦截阻断攻击链

智甲产品通过内核驱动，构建了面向端点侧全攻击周期的主动防御能力。在进程行为、敏感文件/API调用、网络流量、注册表修改、PowerShell 调用等攻击者的利用点上，构建了全面的监控和拦截能力，并为提升主动防护点的覆盖度和验证防护能力，进行了对大量实战案例的分析。从防御有效性、执行效率、防护成本等多种因素考虑，智甲在初始访问、执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制等多个阶段都建立了防护或感知能力。

并且基于安天对 Windows 漏洞持续跟踪研究，针对文档溢出漏洞、SMB 远程代码执行漏洞等这类高风险漏洞，智甲为用户提供了虚拟补丁防护机制。所谓虚拟补丁是一程序或者代码，它不直接修复受影响软件漏洞，而是采用外围的方式，通过控制受影响软件的输入或者输出。当发现漏洞利用攻击行为时，可通过内核级主防模块对攻击行为进行拦截，以此来达到缓解漏洞风险的目的。

4.结语

Windows 7 系统在我国企事业单位存量依然较大，由于微软停止安全服务，这将导致后期 Windows 7 系统上安全漏洞始终存在，而这些漏洞对攻击者来说将是非常有利的攻击资源。攻击者不仅可以利用这些漏洞投放如勒索病毒、挖矿木马、窃密木马等高危病毒，甚至可能会以这些终端为跳板，实现对网内其他资产的攻击，扩大攻击范围。因此对于仍在使用的 Windows 7 终端，建议用户务必提高安全意识，及时建立安全防护措施。