最近的一篇安全文章警告说,固件攻击正在上升。文章引用了英国、美国、德国、日本和中国多个行业的1000名企业网络安全决策者的调查数据。调查结果显示;80%的受访公司至少经历过一次固件攻击。然而,只有29%的安全预算分配给了固件保护。据微软称,固件攻击的解决方案是安全核心PC,它提供“开箱即用的强大保护,具有虚拟化安全、CredentialGuard和内核DMA保护等功能。”然而,并非所有的工作站都需要这些类型的保护,我们也不应该将有限的资源投入其中。这甚至不是固件更新如此重要的原因。此外,当被问及过去几年他们处理过哪些固件攻击时,IT管理员表示需要修复防火墙或VPN软件,不一定是计算机的固件。虽然一些恶意软件利用固件漏洞来获取网络访问权限,但它通常与其他类型的攻击相结合。例如,Robbinhood勒索软件使用暴力破解远程桌面协议(RDP)侵入网络,建立立足点并利用技嘉易受攻击的内核驱动程序。好钢要用在刀刃上,安全预算也要用在最值得的地方。如果将资源花在购买带有安全固件的计算机上,您就会错过许多可以更快地修复安全漏洞的更经济的解决方案。安全重点应该放在基于风险的安全解决方案上,而不是针对罕见攻击的解决方案上。以下几点值得考虑:?拦截包含Office宏的文件在互联网上拦截包含Office宏的文件并不麻烦,但可以预防常见的风险。此选项在最新版本的Office中可用。您可以按照以下步骤在组策略中实施此设置:在域环境中,从Web下载组策略管理模板。打开组策略管理控制台。右键单击要配置的组策略对象,然后选择编辑。在组策略管理编辑器中,导航到用户配置。单击管理模板。导航到“MicrosoftWord2016”。导航到“单词选项”。导航到“安全”。导航到信任中心。从Internet设置中打开“防止宏在Office文件中运行”,配置并启用此选项。如果公司的某个部门需要宏,则可以将这些组策略设置应用于该特定部门,而不会影响整个公司。分析“Web标记”功能的运行机制,有助于调整安全状态,更有效地保护系统安全。报告,还要确保网络设计适用于这些设置。确保开发人员完全理解禁用或调整文件Web标志状态的后果。?设置攻击面减少规则您可以使用Windows10中的攻击面减少(ASR)规则来保护工作站。ASR规则可以提供额外的攻击保护,但管理员通常不使用ASR规则。一些ASR规则不应该影响用户的日常生活。例如,ASR规则“阻止所有Office应用程序创建子进程”不会给大多数用户带来麻烦。?更新固件和驱动程序您仍然需要固件部署解决方案,但原因可能与您想象的略有不同。部署Windows10功能版本后,通常需要更新驱动程序,尤其是视频或音频驱动程序。如果没有合适的视频或音频驱动程序,功能版本升级过程通常无法启动。还有驱动程序漏洞的问题。一旦获得对系统的访问权限,攻击者就会使用各种方法横向移动或提升权限。即使对于现有系统,具有管理和维护驱动程序的能力也是一项关键要求。微软最近将提供驱动程序的能力纳入了Windows更新过程,不再置于操作系统之外。如果您作为网络??管理员工作了几年,您可能会有点厌倦并且不愿意批准驱动程序安装,尤其是通过Windows软件更新服务(WSUS)。很多管理员都有过因为Windows提供的某个驱动不能正常运行而导致系统回滚的悲惨经历。一些计算机供应商提供监控和安装固件和驱动程序更新的应用程序。这些供应商应用程序使配置和安装驱动程序变得容易且不易出错。Windows更新过程可能需要一些时间才能达到此类供应商应用程序的级别。在Ignite会议上,Microsoft宣布将开始一个新流程来测试系统的驱动程序部署。该过程将作为私人预览版开放,并在2021年下半年为Intune和MicrosoftGraph提供新的部署服务。ConfigurationManager管理员将从中受益,而无需改变Windows更新与WSUS一起交付的方式。微软鼓励探索者注册其InsiderExperience计划。通过在WindowsCustomerConnectionProgram中的工程社区注册来跟进该计划。如需更多信息,请登录社区并选择问题5中的选项“驱动程序和固件更新的个人预览”。即使您没有参与公共预览或测试,这是了解最新信息的好方法。
