不要让勒索软件攻击者得逞。现在检查您的Windows网络是否存在以下问题,您可能会对您的发现感到惊讶。近日,勒索软件再次上了头条。据报道,攻击者使用伪装成会议邀请或发票的文件(包含指向Google文档的链接)的文件,然后跳转到已签名的可执行文件链接的PDF文件,这些可执行文件的名称中带有特殊单词,例如“预览”和“测试”.一旦勒索软件进入系统,攻击者就可以捕获我们留在网络上的那些宝贵的机密信息,以横向移动并造成更大的破坏。这种容易触及的非法访问行为实际上是可以避免的,并且可能是由旧的和被遗忘的设置或过时的策略引起的。下面介绍了如何检查Windows中的七个常见不良习惯,并防止勒索软件攻击者让您和您的团队难堪。七个坏习惯1.密码存储在组策略首选项中首先问问自己,你有没有在组策略首选项中存储过密码?2014年,MS14-025修补了组策略首选项的漏洞,移除了这种不安全存储密码的能力,但密码并没有被删除。随后,勒索软件攻击者利用PowerShell脚本的Get-GPPPassword函数获取遗留密码。安全建议:检查您的组策略首选项,看看您的组织是否曾经以这种方式存储过密码。想一想您在脚本或批处理文件中留下一些凭据的任何其他时间。检查您在记事本文件、便签本位置和其他未受保护文件中遗留密码的管理过程。2.使用远程桌面协议(RDP)你还在使用不安全和不受保护的远程桌面协议(RDP)吗?今天,我们仍然看到攻击者使用暴力破解并获取凭据闯入网络上开放的远程桌面协议的报告。通过远程桌面设置服务器、虚拟机,甚至Azure服务器都很容易。在没有最低限度安全措施(例如限制或限制对特定静态IP地址的访问)的情况下启用远程桌面,不使用RDgateway安全措施来保护连接,或不设置双因素身份验证意味着您容易受到攻击或控制网络风险。安全提示:请记住,您可以在本地计算机上安装Duo.com等软件,以更好地保护您的远程桌面。3.密码重用您或您的用户多久重用一次密码?攻击者可以访问在线数据转储位置中收集的密码。知道我们重复使用密码的频率,攻击者使用这些凭据以各种攻击序列攻击网站和帐户,以及域和Microsoft365Access。安全建议:确保在您的组织中启用多重身份验证是阻止此攻击媒介的关键。使用密码管理器程序可以鼓励用户使用更好、更独特的密码。此外,许多密码管理器在重复使用用户名和密码组合时会提示用户。4.未修补的提权漏洞您是否在某种程度上促进了攻击者的横向移动?最近,攻击者一直在使用各种方法进行横向移动,例如名为ZeroLogon的CVE-2020-1472NetLogon漏洞,以提升未安装“8月”2020(或更新版本)安全补丁的域控制器的权限。微软最近表示,攻击者现在正试图利用该漏洞。安全建议:及时安装补丁,使软件保持最新。5.启用SMBv1协议即使您安装了已知服务器消息块版本1(SMBv1)漏洞的所有补丁,攻击者仍然可以利用其他漏洞。当您安装Windows10版本1709系列或更高版本时,默认情况下不启用SMBv1协议。如果SMBv1客户端或服务器15天未使用(计算机关闭时除外),Windows10会自动卸载该协议。安全建议:SMBv1协议已有30多年的历史,您应立即停止使用它。有多种方法可以从网络中禁用和删除SMBv1协议,例如组策略、PowerShell和注册表项。6.电子邮件保护不足您是否正在尽一切可能确保电子邮件(攻击者的关键入口点)得到妥善保护免受威胁?攻击者经常通过垃圾邮件进入网络。根据安全公司的调查数据,垃圾邮件/钓鱼邮件主要不是用来窃取用户信息,而是用来传播勒索病毒,进而勒索受害者。出现这种趋势的原因是勒索软件越来越容易发送,攻击者可以获得更快的投资回报。基于网络钓鱼电子邮件的网络攻击需要更多时间才能获利。例如,被盗的信用卡号码必须在信用卡被注销前出售和使用,而被盗的身份需要更长的时间才能恢复。安全建议:所有组织都应使用电子邮件安全服务来扫描和检查进入您网络的电子邮件。在电子邮件服务器前面设置一个过滤进程。无论该过滤器是Office365高级威胁防护(ATP)还是第三方解决方案,在发送电子邮件之前设置服务以评估电子邮件发件人的信誉、扫描链接和检查内容。检查之前设置的所有电子邮件的安全状况。如果您使用的是Office/Microsoft365,请查看安全分数和ATP设置。7.未经培训的用户最后但同样重要的是,确保您的员工不是“最薄弱的环节”。即使所有适当的ATP设置到位,恶意电子邮件通常也能找到进入我的收件箱的方式。轻度偏执/强迫症和受过良好教育的最终用户可能是您的最后一道防火墙,以确保恶意攻击不会进入您的系统。ATP包括用于查看您的用户是否容易受到网络钓鱼攻击的测试。(TroyHunt最近写了一篇文章,内容是关于浏览器中使用的字体如何常常让人难以分辨哪个是好网站,哪个是坏网站。他指出,密码管理器会自动验证网站,并且只会为您填写的网站创建密码在与数据库匹配的网站的密码中..html
