摘要
在企业终端安全治理体系中,进程监控、服务管控、脚本执行限制共同构成终端运行时安全的核心三道防线。进程是操作系统资源调度的基本单元,其启停、运行状态直接反映终端安全态势;Windows 服务属于后台常驻特殊进程,运行状态决定系统安全基线与稳定性;VBScript、批处理等脚本工具操控能力强、使用门槛低,长期被恶意载荷当作主要攻击载体。本文结合互成软件终端安全管理系统实践,围绕违规进程实时检测与动态处置、服务关键词过滤管控、Windows Script Host 及批处理脚本执行限制三大方向,解析内核进程回调、SCM 服务枚举过滤、脚本引擎注册表管控等关键技术实现,为企业搭建终端运行时安全防护体系提供技术参考。
一、引言:终端运行时安全的三大治理维度
1.1 进程级安全的战略意义
进程是操作系统实现资源分配、运行隔离的基础单元,拥有独立虚拟内存、权限上下文与系统资源。它既是正常业务软件的运行载体,也是恶意代码执行的核心环境。恶意进程一旦成功运行,可通过内存注入、权限提升、恶意外联等方式,威胁数据安全与系统完整性。
传统终端安全多依赖文件扫描、特征比对等静态防御手段,面对无文件攻击、内存驻留恶意程序、滥用系统原生工具等新型攻击方式,防护效果大幅下降。因此,将安全管控延伸至进程运行全生命周期,实现动态监控与实时干预,已成为终端安全架构升级的必然方向。
1.2 服务管控的必要性
Windows 服务由**服务控制管理器(SCM)**统一调度,开机后台自启、无需用户交互、普遍拥有高系统权限,具备双重属性。
一方面,系统核心服务(系统更新、后台传输、打印服务等)保障操作系统正常运转,异常停止会直接造成业务功能故障;另一方面,攻击者常通过新建恶意服务、篡改合法服务路径实现持久化驻留。由于服务多以 SYSTEM 等高权限账户运行,一旦被劫持,攻击者将获取整机控制权。
由此可见,精细化服务管控十分关键:既要保护核心服务不被恶意终止,也要拦截未授权服务创建与运行,筑牢系统持久化安全防线。
1.3 脚本执行面的风险敞口
VBScript、批处理等脚本依托系统原生解释器运行,无需编译、上手简单,在运维工作中应用广泛,同时也成为高频攻击载体。
VBScript 依靠 Windows Script Host(WSH)执行,可直接操作文件、注册表、网络接口,双击即可运行,传播与执行门槛极低;BAT/CMD 批处理依托命令行解释器运行,可串联调用 PowerShell、WMI 等工具实现复杂恶意行为,极易通过钓鱼诱导执行。
在完整攻击链中,脚本常被用作钓鱼附件、提权工具、持久化配置载体,威胁链路贯穿入侵、驻留、外联全环节。
针对以上风险,互成软件终端安全管理系统打造进程监控—服务管控—脚本限制一体化运行时防护体系,下文对整套技术架构逐一展开分析。
二、违规进程监控:实时检测与动态处置
2.1 进程监控的技术架构
系统基于 Windows 多层原生接口搭建监控体系,采用内核回调为主、WMI/ETW 为辅的混合架构,兼顾实时性、完整性与稳定性。
进程创建内核回调
通过注册 PsSetCreateProcessNotifyRoutine 内核回调函数,在驱动层捕获系统内所有进程创建、终止事件,实时获取进程 ID、父进程 ID、启动参数等核心数据,可在进程初始化阶段完成策略判定,阻断时效最强。
WMI 进程事件订阅 用户态依托 WMI 订阅进程启停事件,部署简单、无需驱动适配,适合基础行为审计,缺点是响应存在轻微延迟,不适合高实时阻断场景。
ETW 事件跟踪 订阅内核进程跟踪日志,采集进程创建、线程加载、镜像文件加载等全量细节信息,系统资源占用低,多用于行为溯源、日志审计与威胁分析,采用异步处理模式,不用于即时拦截。
2.2 违规进程的识别策略
系统支持多维度规则匹配,组合识别各类违规、恶意进程,提升防绕过能力:
- 进程名匹配:对可执行文件名做精确匹配或通配符匹配,配置简单,易通过改名绕过。
- 路径匹配:基于程序完整运行路径管控,例如禁止用户下载目录内程序直接运行。
- 哈希匹配:校验程序文件 SHA-256/MD5 哈希值,不受文件名、路径修改影响,识别精度最高。
- 数字签名匹配:校验代码签名证书,可批量拦截无厂商签名、未知发布者的程序。
- 父进程关联匹配:基于父子进程关系做行为管控,例如禁止命令行拉起 PowerShell,防范横向移动。
- 动态行为匹配:结合进程网络外联、文件读写、注册表修改等运行行为,识别未知恶意程序异常特征。
2.3 动态处置:终止进程与弹窗告警
监测到违规进程后,系统可根据策略执行差异化处置动作。
进程强制终止 调用系统原生 API 结束违规进程,执行逻辑分为两层:优先发送关闭指令实现优雅退出,预留数据保存、资源释放时间;超时未关闭则执行强制终止。 终端代理默认以 SYSTEM 高权限运行,保证具备终止各类进程的权限;同时遍历整个进程树,同步终止违规进程派生的所有子进程,避免孤儿进程逃逸。
弹窗告警提示 针对仅审计、保留现场、临时放行等场景,客户端弹出标准化提示窗口,标注违规进程名称、拦截依据、管理员联系方式与例外申请入口,支持企业定制样式与多语言展示。
灵活处置策略 管理端可自定义动作优先级,支持“先终止、失败则告警”“仅告警不拦截”等多种组合模式,适配不同安全等级的终端场景。
三、服务管控:基于关键词的SCM服务过滤
3.1 Windows服务控制管理器(SCM)的技术架构
SCM 是 Windows 统一管理服务生命周期的核心组件,整体由服务数据库、状态机、标准 API 三部分构成。
SCM 服务数据库
所有服务配置统一存放在系统注册表 HKLM\SYSTEM\CurrentControlSet\Services 路径下,每条记录包含服务名、显示名称、程序路径、启动类型、运行账户、依赖组件等关键信息。
服务状态机 服务完整生命周期包含已停止、启动中、运行中、暂停、停止中等多个标准状态,由 SCM 统一调度状态切换,并处理执行超时、异常报错等问题。
SCM 标准API
上层程序通过 Advapi32.dll 提供的接口实现服务管理,包含打开服务数据库、枚举服务列表、查询状态、启停服务、修改配置等功能,也是终端管控服务的核心调用接口。
3.2 基于关键词的服务过滤机制
系统以服务名称、显示名称为核心,结合关键词规则实现统一管控,同时支持服务防护与状态加固。
服务枚举与信息采集 终端代理定时调用接口枚举全量服务,提取服务名、显示名、运行状态,按需读取程序路径、启动类型、运行账户等详细配置,作为规则匹配数据源。
关键词匹配规则 管理端配置关键词列表,支持精确匹配与通配符匹配,可针对系统关键服务、风险服务做定向管控。
| 关键词 | 匹配的服务名 | 服务描述 |
|---|---|---|
| wuauserv | wuauserv | Windows Update服务 |
| bits | bits | 后台智能传输服务 |
| spooler | spooler | 打印后台处理程序 |
状态干预与加固 匹配到违规运行的服务时,按流程执行停止操作;多次停止失败则记录高危告警并上报管理端。 针对禁止自启的服务,直接修改启动类型为禁用,规避重启后自动运行问题。 同时支持服务反向保护,对业务核心服务、安全代理服务开启防护,拦截恶意停止、配置篡改行为,并定期检测自动恢复异常停止的服务。
3.3 服务管控的工程价值
- 缩减攻击面:关停非必要系统服务,减少恶意利用入口;
- 检测持久化行为:监控新增服务、服务路径篡改,及时发现攻击者驻留动作;
- 满足合规要求:遵循最小运行原则,保障终端服务环境符合等保、关键信息基础设施等合规标准;
- 保障业务连续:防止核心业务服务被误操作或恶意关停,稳定业务运行。
四、脚本执行限制:WSH与批处理的双重管控
4.1 Windows Script Host(WSH)的技术架构与安全风险
WSH 是系统原生脚本执行环境,负责解析运行 VBScript、JScript 脚本,包含两个执行宿主:wscript.exe 图形界面宿主、cscript.exe 命令行宿主。
依托内置 COM 组件,脚本可自由操作文件系统、注册表、网络请求,运维实用性强,也成为攻击常用载体。典型风险场景包括钓鱼邮件脚本附件、U盘伪装脚本、Office 宏调用脚本等,利用用户疏忽实现恶意代码执行。
4.2 WSH执行限制的技术实现
采用注册表管控+文件关联重定向+例外规则多层机制,实现分级管控。
全局注册表禁用 修改系统对应注册表项,将 WSH 整体禁用。修改后系统原生拦截所有 VBS、JS 脚本执行,并弹出标准提示,该方式依托系统原生能力,稳定性强、不易被绕过。
文件关联重定向 精细化管控场景下,修改 VBS、JS 文件默认打开方式,将执行程序重定向至记事本。用户双击脚本仅打开文本查看,不会触发运行,兼顾安全与文件可读性。
脚本例外机制 针对合法运维脚本,配置多维度白名单放行:按目录路径放行、按代码签名放行、按脚本文件哈希精准放行,平衡管控强度与正常工作需求。
4.3 批处理脚本(BAT/CMD)的执行限制
BAT、CMD 批处理由 cmd.exe 解释执行,管控围绕解释器与文件关联双维度落地。
命令行程序管控
通过应用控制策略限制 cmd.exe 运行,支持路径、哈希、用户权限多维度规则,例如仅放行系统目录下的命令行、仅管理员可调用命令行。
批处理文件关联修改
修改注册表,将 .bat .cmd 文件默认打开程序改为记事本,杜绝双击直接执行的风险。
拦截模式与日志管控 提供两种运行模式:弹窗提醒模式,拦截后向用户展示原因;静默拦截模式,后台阻断并仅留存日志,适用于高安全环境。同时支持按需开关日志记录,适配不同保密要求场景。
4.4 脚本管控的纵深防御设计
整套脚本防护采用多层冗余防御,覆盖各类绕过手段。
| 攻击向量 | 防护层级 | 技术手段 |
|---|---|---|
| 双击VBS文件执行 | 应用层 | WSH注册表全局禁用 |
| 命令行调用cscript执行脚本 | 应用层 | cmd.exe运行权限管控 |
| 双击BAT/CMD批处理文件 | 应用层 | 文件关联重定向 |
| PowerShell调用执行VBS脚本 | 应用层 | PowerShell执行策略限制 |
| Office宏调用脚本宿主 | 应用层 | Office宏安全策略管控 |
| 绕过文件关联强行调用执行 | 内核层 | 文件系统过滤驱动兜底拦截 |
五、三类能力的协同与整合
5.1 统一策略引擎
进程监控、服务管控、脚本执行限制三大能力集成在同一终端安全代理,共享一套统一策略引擎。引擎支持复杂规则逻辑组合、分组策略、时间策略等高级配置,规则统一下发、解析与执行。
5.2 事件关联与威胁狩猎
管理端对三类安全事件做关联分析,还原完整攻击链路,构建终端行为画像:
- 进程+脚本关联:识别“进程下载脚本→脚本执行恶意操作”的典型攻击链;
- 服务+进程关联:捕捉“停止安全服务→拉起恶意进程”的规避防护行为;
- 脚本+网络关联:监测脚本执行后发起的外联行为,识别脚本下载器、远控载荷。
5.3 与现有安全体系的联动
运行时安全能力可深度融入企业现有安全架构:
- EDR/端点检测响应:全量进程、服务、脚本事件接入EDR平台,支撑行为分析与威胁狩猎;
- SIEM/SOC安全运营中心:日志统一汇总,实现跨终端关联分析与自动化响应;
- NAC网络准入:将终端进程、服务、脚本合规状态作为网络准入校验条件;
- ITSM工单系统:高危告警自动生成IT工单,实现问题上报、处置、归档闭环。
六、结语
终端进程监控、服务管控、脚本执行限制,是企业终端运行时安全的基础核心能力,深度涉及 Windows 内核回调、服务管理机制、脚本引擎、注册表管控等底层技术。
互成软件终端安全管理系统践行实时监控、动态处置、纵深防御的设计理念,依靠内核进程回调实现全量进程感知与阻断,依托 SCM 接口完成服务状态管控与加固,通过注册表与文件关联实现脚本执行限制,有效弥补传统静态防御的短板。同时结合 EDR、SIEM、NAC 等平台联动,搭建起覆盖进程—服务—脚本全维度的运行时防护体系。
当下无文件攻击、系统原生工具滥用、脚本类恶意载荷愈发普遍,终端运行时安全管控已从可选功能转变为企业安全必备基线。企业在规划整体安全架构时,需将进程、服务、脚本管控纳入统一设计,构建从静态文件防御到动态行为管控、再到持久化驻留防护的完整闭环,保障终端运行环境持续可控、可信、可审计。