不要让勒索软件攻击者得逞。立即检查您的Windows网络是否存在这些漏洞。您可能会对您的发现感到惊讶。勒索软件再次成为新闻。据报道,攻击者通过有针对性的网络钓鱼活动将医疗保健人员作为目标,使用伪装成会议邀请或包含Google文档链接的发票的文件,然后重定向到签名的可执行文件。文件链接的PDF,这些可执行文件的名称中有特殊的词,如“预览”和“测试”。一旦勒索软件进入系统,攻击者就会在我们的网络中找到唾手可得的果实横向移动并造成更大的破坏。像这样的简单入侵是可以避免的,并且可能是由旧的和被遗忘的设置或过时的策略引起的。以下是您应该如何检查Windows网络中的七个常见漏洞,以及如何防止勒索软件攻击者让您和您的团队难堪。1.密码存储在组策略首选项中您是否曾经将密码存储在组策略首选项中?2014年,公告MS14-025修补了组策略首选项漏洞并删除了这种不安全的密码存储。功能,但没有删除密码。勒索软件攻击者使用PowerShell脚本的Get-GPPPassword函数来检索遗留密码。检查您的组策略首选项,看看您的组织是否曾经以这种方式存储过密码。想一想您是否在某个时候在脚本或批处理文件中留下了一些凭据。检查您的管理流程,查看密码是否保存在未受保护的记事本文件、便签本位置等。2.使用远程桌面协议您是否仍在使用不安全且未受保护的远程桌面协议(RDP)?我仍然看到有关攻击者使用蛮力和获取凭据闯入开放式远程桌面协议的报告。通过远程桌面设置服务器、虚拟机甚至Azure服务器都非常容易。在没有最低安全措施的情况下启用远程桌面(例如限制或限制对特定静态IP地址的访问,不使用RDgateway安全措施来保护连接,或不设置双因素身份验证)意味着您对攻击者开放控制网络的高风险。请记住,您可以在本地计算机上安装Duo.com等软件,以更好地保护您的远程桌面。3.密码重用您或您的用户多久重用一次密码?攻击者可以访问在线数据转储位置以获取密码。知道我们重复使用密码的频率,攻击者在各种攻击序列中使用这些凭据来破坏网站和帐户,以及域和Microsoft365Access。前几天有人说:“现在攻击者不攻击,他们登录。”确保在您的组织中启用多重身份验证是阻止此类攻击的关键。使用密码管理器程序可以鼓励用户使用更好、更独特的密码。此外,许多密码管理器在重复使用用户名和密码组合时会提示用户。4.未修补的特权升级漏洞您是否让攻击者能够轻松地横向移动?最近,攻击者一直在使用各种横向移动方法,例如名为ZeroLogon的CVE-2020-1472NetLogon漏洞,以提升安装了8月(或更新版本)安全补丁的域控制器的权限。微软最近表示,攻击者目前正试图利用此漏洞。5.启用SMBv1协议即使您安装了已知服务器消息块版本1(SMBv1)漏洞的所有补丁,攻击者也可能利用其他漏洞。当您安装Windows101709或更高版本时,默认情况下不启用SMBv1协议。如果SMBv1客户端或服务器超过15天(不包括计算机关闭时间)未使用,Windows10会自动卸载该协议。SMBv1协议已有30多年历史,您应该放弃使用它。有多种方法可以从网络中禁用和删除SMBv1协议,例如组策略、PowerShell和注册表项。6.电子邮件保护不足您是否正在竭尽全力保护您的电子邮件(攻击者的关键入口点)免受威胁?攻击者经常通过垃圾邮件进入网络。所有组织都应使用电子邮件安全服务来扫描和检查进入您网络的信息。在电子邮件服务器前面设置一个过滤进程。无论该过滤器是Office365高级威胁防护(ATP)还是第三方解决方案,在发送电子邮件之前设置服务以评估电子邮件发件人的信誉、扫描链接和检查内容。检查之前设置的所有电子邮件的安全状况。如果您使用的是Office/Microsoft365,请查看安全分数和ATP设置。7.用户没有接受过培训最后但并非最不重要的一点是,确保你的员工有足够的意识。即使所有正确的ATP设置都已到位,恶意电子邮件仍经常进入我的收件箱。有点偏执和受过教育的最终用户可能是您的最后一道防火墙,以确保恶意攻击不会进入您的系统。ATP包括用于查看您的用户是否容易受到网络钓鱼攻击的测试。TroyHunt最近写了一篇关于浏览器中使用的字体如何经常让人难以分辨哪个是好网站,哪个是坏网站的文章。他指出,密码管理器会自动验证网站,只为那些与你的数据库相匹配的网站填写密码。
