不要讓勒索軟件攻擊者輕易得逞?，F(xiàn)在檢查一下您的Windows網(wǎng)絡(luò)是否有這些漏洞。您可能會對發(fā)現(xiàn)的結(jié)果感到驚訝。

勒索軟件再次成為新聞。據(jù)報道，攻擊者以醫(yī)療保健工作者為目標(biāo)，并利用偽裝成會議邀請或發(fā)票的文件進行具有針對性的網(wǎng)絡(luò)釣魚行為，這些文件包含指向谷歌文檔的鏈接，然后跳轉(zhuǎn)至含有簽名的可執(zhí)行文件鏈接的PDF文件，這些可執(zhí)行文件的名稱帶有“預(yù)覽（preview）”和“測試（test）”等特殊詞。

一旦勒索軟件進入某一系統(tǒng)，攻擊者就會找到我們網(wǎng)絡(luò)中那些唾手可得的信息，以進行橫向移動，造成更大的破壞。這樣的簡單入侵行為是可以避免的，而且可能是由于舊的和被遺忘的設(shè)置或過期的策略所導(dǎo)致。以下將介紹您應(yīng)如何來檢查Windows網(wǎng)絡(luò)的七個常見漏洞，以及如何防止勒索軟件攻擊者讓您和您的團隊陷入尷尬。

1. 密碼存儲在組策略首選項中

您是否曾經(jīng)在組策略首選項中存儲過密碼？2014年，MS14-025公告修補了組策略首選項的漏洞，并刪除了這種不安全地存儲密碼的功能，但并沒有刪除密碼。勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數(shù)來獲取遺留的密碼。

查看您的組策略首選項，以確認(rèn)您的組織機構(gòu)是否曾經(jīng)以這種方式存儲密碼。想想您是否在某個時間將一些憑證留在腳本或批處理文件中。檢查您的管理流程，以了解在未受保護的記事本文件、便簽本位置等是否保存有密碼。

2. 使用遠程桌面協(xié)議

您還在使用不安全且不受保護的遠程桌面協(xié)議（RDP）嗎？我仍然看到一些報告，其中攻擊者利用暴力破解和所收集的憑證闖入在網(wǎng)絡(luò)中開放的遠程桌面協(xié)議。通過遠程桌面設(shè)置服務(wù)器、虛擬機甚至Azure服務(wù)器是非常容易的。啟用遠程桌面而不采取最低限度的保護措施（例如制約或限制對特定靜態(tài)IP地址的訪問，不使用RDgateway防護措施來保護連接，或未設(shè)置雙因素身份驗證），這意味著您面臨著攻擊者控制您網(wǎng)絡(luò)的極高風(fēng)險。請記住，您可以將Duo.com等軟件安裝到本地計算機上，以更好地保護遠程桌面。

3. 密碼重復(fù)使用

您或您的用戶多久重復(fù)使用一次密碼？攻擊者可以訪問在線數(shù)據(jù)轉(zhuǎn)儲位置來獲取密碼。了解到我們經(jīng)常重復(fù)使用密碼，攻擊者會使用這些憑證以各種攻擊序列來攻擊網(wǎng)站和帳戶，以及域和Microsoft 365 Access。

前幾天有人說：“攻擊者在這些日子不會發(fā)動攻擊，而是會進行登錄。”確保在組織機構(gòu)中已啟用多因素身份驗證，這是阻止這種攻擊方式的關(guān)鍵。使用密碼管理器程序可以鼓勵用戶使用更好和更獨特的密碼。此外，許多密碼管理器會在用戶重復(fù)使用用戶名和密碼組合時進行提示。

4. 權(quán)限升級漏洞未進行修補

您是否使攻擊者橫向移動變得容易？近期，攻擊者一直在使用多種方式進行橫向移動，例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些沒有安裝8月份（或更新版本）安全補丁程序的域控制器的權(quán)限。微軟公司最近表示，攻擊者目前正試圖利用此漏洞。

5. 啟用SMBv1協(xié)議

即使您為已知的服務(wù)器消息塊版本1（SMBv1）漏洞安裝了所有補丁程序，攻擊者也可能會利用其他漏洞。當(dāng)您安裝了Windows 10 1709或更高版本時，默認(rèn)情況下不啟用SMBv1協(xié)議。如果SMBv1客戶端或服務(wù)器在15天內(nèi)未被使用（不包括計算機關(guān)閉的時間），則Windows 10會自動卸載該協(xié)議。

SMBv1協(xié)議已有30多年的歷史，您應(yīng)該放棄使用了。有多種方法可以從網(wǎng)絡(luò)中禁用和刪除SMBv1協(xié)議，例如組策略、PowerShell和注冊表鍵值。

6. 電子郵件保護措施不足

您是否已竭盡所能確保電子郵件（攻擊者的關(guān)鍵入口）免受威脅？攻擊者經(jīng)常通過垃圾郵件進入網(wǎng)絡(luò)。所有組織機構(gòu)都應(yīng)使用電子郵件安全服務(wù)來掃描和檢查進入您網(wǎng)絡(luò)的信息。在電子郵件服務(wù)器前設(shè)置一個過濾流程。無論該過濾器是Office 365高級威脅防護（ATP）還是第三方解決方案，在電子郵件之前設(shè)置一項服務(wù)來評估電子郵件發(fā)件人的信譽，掃描鏈接和檢查內(nèi)容。檢查之前已設(shè)置的所有電子郵件的安全狀況。如果您使用的是Office / Microsoft 365，請查看安全分?jǐn)?shù)和ATP設(shè)置。

7. 用戶未經(jīng)培訓(xùn)

最后但并非最不重要的一點是，請確保您的員工擁有足夠的認(rèn)識。即使進行了所有適當(dāng)?shù)腁TP設(shè)置，惡意電子郵件也經(jīng)常進入我的收件箱。稍有偏執(zhí)和受過良好教育的終端用戶可以成為您最后一道防火墻，以確保惡意攻擊不會進入您的系統(tǒng)。ATP包含一些測試，以了解您的用戶是否會遭受網(wǎng)絡(luò)釣魚攻擊。

特洛伊·亨特（Troy Hunt）最近寫了一篇文章，關(guān)于瀏覽器中使用的字體如何常常讓人們難以判斷哪一個是好網(wǎng)站和壞網(wǎng)站。他指出，密碼管理器將自動驗證網(wǎng)站，并只會為那些與您數(shù)據(jù)庫匹配的網(wǎng)站填寫密碼。
責(zé)編AJX