不要讓勒索軟件攻擊者輕易得逞?，F(xiàn)在檢查一下您的Windows網(wǎng)絡(luò)是否有這些漏洞。您可能會(huì)對(duì)發(fā)現(xiàn)的結(jié)果感到驚訝。

勒索軟件再次成為新聞。據(jù)報(bào)道，攻擊者以醫(yī)療保健工作者為目標(biāo)，并利用偽裝成會(huì)議邀請(qǐng)或發(fā)票的文件進(jìn)行具有針對(duì)性的網(wǎng)絡(luò)釣魚行為，這些文件包含指向谷歌文檔的鏈接，然后跳轉(zhuǎn)至含有簽名的可執(zhí)行文件鏈接的PDF文件，這些可執(zhí)行文件的名稱帶有“預(yù)覽（preview）”和“測(cè)試（test）”等特殊詞。

一旦勒索軟件進(jìn)入某一系統(tǒng)，攻擊者就會(huì)找到我們網(wǎng)絡(luò)中那些唾手可得的信息，以進(jìn)行橫向移動(dòng)，造成更大的破壞。這樣的簡(jiǎn)單入侵行為是可以避免的，而且可能是由于舊的和被遺忘的設(shè)置或過(guò)期的策略所導(dǎo)致。以下將介紹您應(yīng)如何來(lái)檢查Windows網(wǎng)絡(luò)的七個(gè)常見漏洞，以及如何防止勒索軟件攻擊者讓您和您的團(tuán)隊(duì)陷入尷尬。

1. 密碼存儲(chǔ)在組策略首選項(xiàng)中

您是否曾經(jīng)在組策略首選項(xiàng)中存儲(chǔ)過(guò)密碼？2014年，MS14-025公告修補(bǔ)了組策略首選項(xiàng)的漏洞，并刪除了這種不安全地存儲(chǔ)密碼的功能，但并沒有刪除密碼。勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數(shù)來(lái)獲取遺留的密碼。

查看您的組策略首選項(xiàng)，以確認(rèn)您的組織機(jī)構(gòu)是否曾經(jīng)以這種方式存儲(chǔ)密碼。想想您是否在某個(gè)時(shí)間將一些憑證留在腳本或批處理文件中。檢查您的管理流程，以了解在未受保護(hù)的記事本文件、便簽本位置等是否保存有密碼。

2. 使用遠(yuǎn)程桌面協(xié)議

您還在使用不安全且不受保護(hù)的遠(yuǎn)程桌面協(xié)議（RDP）嗎？我仍然看到一些報(bào)告，其中攻擊者利用暴力破解和所收集的憑證闖入在網(wǎng)絡(luò)中開放的遠(yuǎn)程桌面協(xié)議。通過(guò)遠(yuǎn)程桌面設(shè)置服務(wù)器、虛擬機(jī)甚至Azure服務(wù)器是非常容易的。啟用遠(yuǎn)程桌面而不采取最低限度的保護(hù)措施（例如制約或限制對(duì)特定靜態(tài)IP地址的訪問，不使用RDgateway防護(hù)措施來(lái)保護(hù)連接，或未設(shè)置雙因素身份驗(yàn)證），這意味著您面臨著攻擊者控制您網(wǎng)絡(luò)的極高風(fēng)險(xiǎn)。請(qǐng)記住，您可以將Duo.com等軟件安裝到本地計(jì)算機(jī)上，以更好地保護(hù)遠(yuǎn)程桌面。

3. 密碼重復(fù)使用

您或您的用戶多久重復(fù)使用一次密碼？攻擊者可以訪問在線數(shù)據(jù)轉(zhuǎn)儲(chǔ)位置來(lái)獲取密碼。了解到我們經(jīng)常重復(fù)使用密碼，攻擊者會(huì)使用這些憑證以各種攻擊序列來(lái)攻擊網(wǎng)站和帳戶，以及域和Microsoft 365 Access。

前幾天有人說(shuō)：“攻擊者在這些日子不會(huì)發(fā)動(dòng)攻擊，而是會(huì)進(jìn)行登錄?！贝_保在組織機(jī)構(gòu)中已啟用多因素身份驗(yàn)證，這是阻止這種攻擊方式的關(guān)鍵。使用密碼管理器程序可以鼓勵(lì)用戶使用更好和更獨(dú)特的密碼。此外，許多密碼管理器會(huì)在用戶重復(fù)使用用戶名和密碼組合時(shí)進(jìn)行提示。

4. 權(quán)限升級(jí)漏洞未進(jìn)行修補(bǔ)

您是否使攻擊者橫向移動(dòng)變得容易？近期，攻擊者一直在使用多種方式進(jìn)行橫向移動(dòng)，例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些沒有安裝8月份（或更新版本）安全補(bǔ)丁程序的域控制器的權(quán)限。微軟公司最近表示，攻擊者目前正試圖利用此漏洞。

5. 啟用SMBv1協(xié)議

即使您為已知的服務(wù)器消息塊版本1（SMBv1）漏洞安裝了所有補(bǔ)丁程序，攻擊者也可能會(huì)利用其他漏洞。當(dāng)您安裝了Windows 10 1709或更高版本時(shí)，默認(rèn)情況下不啟用SMBv1協(xié)議。如果SMBv1客戶端或服務(wù)器在15天內(nèi)未被使用（不包括計(jì)算機(jī)關(guān)閉的時(shí)間），則Windows 10會(huì)自動(dòng)卸載該協(xié)議。

SMBv1協(xié)議已有30多年的歷史，您應(yīng)該放棄使用了。有多種方法可以從網(wǎng)絡(luò)中禁用和刪除SMBv1協(xié)議，例如組策略、PowerShell和注冊(cè)表鍵值。

6. 電子郵件保護(hù)措施不足

您是否已竭盡所能確保電子郵件（攻擊者的關(guān)鍵入口）免受威脅？攻擊者經(jīng)常通過(guò)垃圾郵件進(jìn)入網(wǎng)絡(luò)。所有組織機(jī)構(gòu)都應(yīng)使用電子郵件安全服務(wù)來(lái)掃描和檢查進(jìn)入您網(wǎng)絡(luò)的信息。在電子郵件服務(wù)器前設(shè)置一個(gè)過(guò)濾流程。無(wú)論該過(guò)濾器是Office 365高級(jí)威脅防護(hù)（ATP）還是第三方解決方案，在電子郵件之前設(shè)置一項(xiàng)服務(wù)來(lái)評(píng)估電子郵件發(fā)件人的信譽(yù)，掃描鏈接和檢查內(nèi)容。檢查之前已設(shè)置的所有電子郵件的安全狀況。如果您使用的是Office / Microsoft 365，請(qǐng)查看安全分?jǐn)?shù)和ATP設(shè)置。

7. 用戶未經(jīng)培訓(xùn)

最后但并非最不重要的一點(diǎn)是，請(qǐng)確保您的員工擁有足夠的認(rèn)識(shí)。即使進(jìn)行了所有適當(dāng)?shù)腁TP設(shè)置，惡意電子郵件也經(jīng)常進(jìn)入我的收件箱。稍有偏執(zhí)和受過(guò)良好教育的終端用戶可以成為您最后一道防火墻，以確保惡意攻擊不會(huì)進(jìn)入您的系統(tǒng)。ATP包含一些測(cè)試，以了解您的用戶是否會(huì)遭受網(wǎng)絡(luò)釣魚攻擊。

特洛伊·亨特（Troy Hunt）最近寫了一篇文章，關(guān)于瀏覽器中使用的字體如何常常讓人們難以判斷哪一個(gè)是好網(wǎng)站和壞網(wǎng)站。他指出，密碼管理器將自動(dòng)驗(yàn)證網(wǎng)站，并只會(huì)為那些與您數(shù)據(jù)庫(kù)匹配的網(wǎng)站填寫密碼。
責(zé)編AJX