需檢查Windows七個常見漏洞，防止勒索軟件攻擊

勒索軟件最近再次出現(xiàn)在新聞中。據(jù)報道，黑客們的目標(biāo)是醫(yī)療服務(wù)提供者，他們通過偽裝成會議邀請或發(fā)票的釣魚活動，將谷歌文件鏈接到pdf文件中，這些文件鏈接到簽名的可執(zhí)行文件，這些可執(zhí)行文件的名稱帶有“ preview”和“ test”等特殊單詞。

一旦勒索軟件進(jìn)入系統(tǒng)，攻擊者就會追捕我們網(wǎng)絡(luò)上留下的低垂的果實，以橫向移動并造成更大的破壞。這種簡單的訪問是可以避免的，并且可能是由于過時的設(shè)置、被遺忘的設(shè)置或過時的策略而導(dǎo)致的。你可以通過以下方法檢查Windows的七個常見漏洞，防止勒索軟件攻擊者使你和你的團(tuán)隊難堪。

1. 密碼存儲在組策略選項中

你是否曾經(jīng)在組策略首選項中存儲密碼？2014年，MS14-025修補了組策略首選項，并刪除了不安全地存儲密碼的功能，但沒有刪除密碼。勒索軟件攻擊者使用PowerShell腳本Get-GPPPassword獲取遺留的密碼。

查看你的組策略首選項，以查看你的組織是否曾經(jīng)以這種方式存儲密碼。想想你在腳本或批處理文件中留下憑據(jù)的任何其他時間。查看管理過程、記事本文件、暫存器位置和其他不受保護(hù)的文件中遺留的密碼。

2. 使用遠(yuǎn)程桌面協(xié)議

你仍然使用不安全且不受保護(hù)的遠(yuǎn)程桌面協(xié)議（RDP）嗎？有報告顯示，攻擊者使用蠻力和收集的憑據(jù)闖入了開放網(wǎng)絡(luò)的RDP。使用遠(yuǎn)程桌面設(shè)置服務(wù)器，虛擬機(jī)甚至Azure服務(wù)器非常容易。啟用遠(yuǎn)程桌面時至少沒有最低限度的保護(hù)，例如限制對特定靜態(tài)IP地址的訪問，不使用RDgateway保護(hù)來保護(hù)連接或未設(shè)置雙因素身份驗證，這意味著你面臨著遭受攻擊者控制網(wǎng)絡(luò)的風(fēng)險。

3. 密碼重復(fù)使用

你或你的用戶經(jīng)常重復(fù)使用密碼嗎？攻擊者可以訪問在線數(shù)據(jù)轉(zhuǎn)儲位置中已獲取的密碼。知道我們經(jīng)常重復(fù)使用密碼，攻擊者會以各種攻擊序列的形式對網(wǎng)站和帳戶以及域和Microsoft 365訪問使用這些憑據(jù)。

確保已在組織中啟用多因素身份驗證是阻止此類攻擊的關(guān)鍵。使用密碼管理器程序可以鼓勵使用更好和更獨特的密碼。另外，許多密碼管理器會在用戶名和密碼重復(fù)組合時進(jìn)行標(biāo)記。

4. 未修補的特權(quán)升級漏洞

你能讓攻擊者輕松地橫向移動嗎？最近，攻擊者一直在使用幾種方式進(jìn)行橫向移動，比如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升域控制器上的特權(quán)，這些域控制器缺乏最新的安全補丁。微軟最近表示，攻擊者正在試圖利用這個漏洞。

5. 啟用SMBv1

即使您已經(jīng)為已知的服務(wù)器消息塊版本1 （SMBv1）漏洞應(yīng)用了所有補丁，攻擊者也可能有其他漏洞可以利用。當(dāng)安裝Windows 10 1709或更高版本時，默認(rèn)情況下SMBv1是不啟用的。如果SMBv1客戶端或服務(wù)器15天不使用（不包括計算機(jī)關(guān)閉的時間），Windows 10會自動卸載該協(xié)議。

SMBv1協(xié)議已經(jīng)有30多年的歷史了，你應(yīng)該放棄使用它。有多種方法可以從網(wǎng)絡(luò)禁用和刪除SMBv1，從組策略到PowerShell和注冊表鍵。

6. 電子郵件保護(hù)不足

你是否已經(jīng)竭盡所能確保你的電子郵件（攻擊者的關(guān)鍵入口）免受威脅？攻擊者經(jīng)常通過垃圾郵件進(jìn)入網(wǎng)絡(luò)。所有的組織都應(yīng)該使用電子郵件安全服務(wù)來掃描和審查進(jìn)入你網(wǎng)絡(luò)的信息。在你的電子郵件服務(wù)器前有一個過濾過程。無論這個過濾器是office365高級威脅保護(hù)（ATP）還是第三方解決方案，都應(yīng)該在你的電子郵件前提供一項服務(wù)，以評估郵件發(fā)送者的聲譽、掃描鏈接和評論內(nèi)容。檢查你以前設(shè)置的電子郵件安全情況。如果你使用Office/Microsoft 365，請查看安全分?jǐn)?shù)和ATP設(shè)置。

7. 未經(jīng)培訓(xùn)的用戶

最后也是非常重要的一點，確保對你的用戶進(jìn)行培訓(xùn)。惡意郵件經(jīng)常進(jìn)入我的收件箱，即使有所有適當(dāng)?shù)腁TP設(shè)置。稍微有點偏執(zhí)和受過教育的終端用戶都可以成為你的最終防火墻，以確保惡意攻擊不會進(jìn)入你的系統(tǒng)。ATP包括通過測試來看你的用戶是否會受到釣魚攻擊。

Troy Hunt最近寫了一篇文章，關(guān)于瀏覽器中如何通過使用的字體判斷是好網(wǎng)站還是惡意網(wǎng)站。他指出，密碼管理器將自動驗證網(wǎng)站，并提議只為那些與你的數(shù)據(jù)庫匹配的網(wǎng)站填寫密碼。
責(zé)編AJX