勒索软件最近再次成为新闻。据报道,黑客以伪装成会议邀请或发票的网络钓鱼活动为目标,将谷歌文档链接到PDF,这些PDF链接到以“预览”和“测试”等特殊词命名的签名可执行文件。一旦勒索软件进入系统,攻击者就会寻找留在我们网络上的唾手可得的果实,横向移动并造成更大的破坏。这种类型的轻松访问是可以避免的,并且可能是过时的设置、被遗忘的设置或过时的策略的结果。下面介绍了如何检查Windows中的七个常见漏洞,以防止勒索软件攻击者让您和您的团队难堪。1.密码存储在组策略选项中您是否曾经将密码存储在组策略首选项中?2014年,MS14-025修补了组策略首选项并移除了不安全存储密码的功能,但并未移除密码。勒索软件攻击者使用PowerShell脚本Get-GPPPassword获取旧密码。检查您的组策略首选项以查看您的组织是否曾经以这种方式存储密码。想一想您在脚本或批处理文件中留下凭据的任何其他时间。查看留在管理流程、记事本文件、暂存器位置和其他未受保护文件中的密码。2.使用远程桌面协议你还在使用不安全和不受保护的远程桌面协议(RDP)吗?有报道称,攻击者使用暴力破解和获取的凭据在开放网络上闯入RDP。使用远程桌面设置服务器、虚拟机甚至Azure服务器都非常容易。在没有至少最低保护的情况下启用远程桌面,例如限制对特定静态IP地址的访问,不使用RDgateway保护来保护连接,或不设置双因素身份验证意味着您面临攻击者控制您的网络的风险.3.密码重复使用您或您的用户是否经常重复使用密码?攻击者可以访问在线数据转储位置中收集的密码。知道我们重复使用密码的频率后,攻击者会在针对网站和帐户以及域和Microsoft365访问的各种攻击序列中使用这些凭据。确保在您的组织中启用多重身份验证是阻止此类攻击的关键。使用密码管理程序可以鼓励使用更好、更独特的密码。此外,许多密码管理器会在用户名和密码组合重复时进行标记。4.未修补的特权升级漏洞你能让攻击者轻松进行横向移动吗?最近,攻击者一直在使用多种方法进行横向移动,例如名为ZeroLogon的CVE-2020-1472NetLogon漏洞,以提升缺乏最新安全补丁的域控制器的域控制权限。微软最近表示,攻击者正试图利用此漏洞。5.启用SMBv1即使您已经为已知的服务器消息块版本1(SMBv1)漏洞应用了所有补丁,攻击者也可能有其他可以利用的漏洞。安装Windows10版本1709或更高版本时,默认情况下不启用SMBv1。如果SMBv1客户端或服务器15天(不包括计算机关闭的时间)未使用,Windows10会自动卸载该协议。SMBv1协议已有30多年的历史,您应该放弃使用它。有多种方法可以从网络中禁用和删除SMBv1,从组策略到PowerShell和注册表项。6.电子邮件保护不足您是否已尽一切努力确保您的电子邮件(攻击者的关键入口点)免受威胁?攻击者经常通过垃圾邮件进入网络。所有组织都应使用电子邮件安全服务来扫描和审查进入您网络的邮件。您的电子邮件服务器前面有一个过滤过程。无论此过滤器是Office365高级威胁防护(ATP)还是第三方解决方案,您的电子邮件前面都应该有一项服务来评估发件人的信誉、扫描链接和评论内容。检查您以前的电子邮件安全设置。如果您使用Office/Microsoft365,请检查SecureScore和ATP设置。7.未经培训的用户最后但并非最不重要的一点是,确保培训您的用户。恶意电子邮件经常进入我的收件箱,即使ATP设置正确。即使是有点偏执和受过教育的最终用户也可以成为您的终极防火墙,以确保恶意攻击不会进入您的系统。ATP包括测试以查看您的用户是否容易受到网络钓鱼攻击。TroyHunt最近写了一篇关于浏览器如何通过网站使用的字体判断网站好坏的文章。他指出,密码管理器会自动验证网站,并建议只为那些与你的数据库相匹配的网站填写密码。
