减小勒索病毒传播途径风险的办法

石家庄 王春海 楚小彬 赵志波html

最近发现一些单位的服务器感染勒索病毒,而后经过共享文件夹等方式方法继续传播感染及局域网中的其余服务器,致使这些服务器上重要的文件都被加密,给单位形成重大的损失,带来比较严重的后果。
通过分析,勒索病毒通常是经过但不限于RDP或其余漏洞感染,经过共享文件夹传播。为了减小感染勒索病毒的风险,建议如下几点。
(1)不在服务器上访问外网。若是有必要,设置防火墙策略,禁止服务器访问外网。若是服务器须要安装最新的补丁,能够配置内部的WSUS升级服务器,让服务器从内部的WSUS服务器更新。
(2)服务器卸载没必要要的软件,只安装须要的服务,关闭或禁用没必要要的服务。不使用的服务不安装。例如只用FTP服务器时则不要安装IIS服务。
(3)不在服务器上安装没必要要的软件,例如第三方的输入法和下载等工具软件。一些输入法例如搜狗输入法,一些经常使用软件例如快压、WinRAR等工具可能带有广告插件,当服务器能链接外网时可能会在服务器上弹出广告,这些广告有的来源不可控,可能有必定的风险。不在服务器上下载软件和视频,例如安装迅雷等软件在服务器上下载资源。
(4)在服务器平常管理或维护时,在控制台登陆或者经过远程登陆时,使用普通权限用户帐户登陆。若是须要特权操做用到Administrator帐户时,使用Run AS方式再以管理员帐户执行指定的程序。若是服务器须要经过远程桌面服务远程登陆,将远程登陆帐户设置为具体的账户,但也不建议设置为管理员权限的帐户。须要管理的时候,实现二次认证。
(5)修改默认的管理员帐户Administrator的名称,但不要删除Administrator帐户。管理员帐户密码按期修改。
(6)禁止Windows操做系统系统自动登陆到桌面。须要有些服务器须要自动登陆而后执行指定的批处理,则在自动登陆以后,设置屏保超时时间,设置1分钟超时并锁定屏幕。
(7)对于非Active Directory服务器、Exchange服务器、文件共享服务器,关闭IPC共享。关闭139端口(Netbios服务)和445等端口。
(8)关闭Windows自动播放功能。在服务器上使用U盘时,使用资源管理器在左侧打开,不要双击打开U盘。
下面一一介绍。ios

1 在防火墙只开放必要的端口

对于OA、ERP、网站等对外提供服务的服务器只开放必要的端口,其余不须要的端口一概关闭。在OA、ERP等对外提供的服务器上,启用操做系统自带的防火墙,而且只开放应用程序端口,例如OA、ERP服务端口。同时在防火墙上建立拒绝策略,禁止文件和打印共享服务的入站链接、出站链接。若是该服务器须要远程管理,例如RDP或SSH,须要在操做系统防火墙入站规则中对远程客户端IP地址进行限制,只容许指定的IP地址链接,如图1所示。
减小勒索病毒传播途径风险的办法
图1 添加容许的IP地址段安全

2 远程管理堡垒机策略

若是经过Internet,以远程管理的方式登陆到内网服务器,通常有一台用于“中转”的服务器,这台服务器起到了堡垒机或跳板机的做用(如图2所示)。对于这台中转管理的服务器,应该设置在单独的网段,与其余业务服务器不在同一个网段。对于这台远程管理的服务器,一样启用操做系统防火墙,在防火墙设置中,配置如下规则。
(1)禁止这台服务器以共享文件文件夹的方式,访问其余的服务器。
(2)在出站规则中,只容许使用RDP或SSH登陆其余的服务器。
(3)若是条件容许,可使用身份防火墙。
(4)在登陆到这台服务器时,建议使用普通权限的帐户登陆。
减小勒索病毒传播途径风险的办法
图2 堡垒机服务器

3 备份服务器的管理。

对全部的重要数据进行备份,最好是按期作离线备份。出了问题,备份就是用来救命的东西。备份服务器管理策略建议:
(1)进入策略:不建议经过远程方式管理备份服务器,尤为是不建议使用远程桌面、SSH方式登陆服务器,这台服务器也不对外提供共享文件夹服务。建议在控制台登陆。
(2)对外访问策略:只容许备份服务器(例如服务器A)访问须要被备份的服务器,例如vCenter、ESXi主机和Hyper-V主机。若是要备份物理服务器(例如服务器B),也只容许备份服务器A访问物理服务器B,不容许B访问A。
(3)按期检查,检查备份是否工做,备份是否成功。对于备份服务器,最长的间隔时间不超过1周。网络

4 作好重要服务器系统与数据备份

无论多好的安全产品、多好的安全制度,老是有漏洞。在企业网络中增长安全产品、减小安全漏洞但没法绝对的避免病毒感染,此时备份就是最后一道安全的保证。
对于企业重要的服务器作好系统与数据的备份。要避免备份服务器感染病毒。作好对备份数据的保存和二次备份。若是备份系统与其余服务器一同感染病毒而且数据被加密,此时备份的数据也失去了备份的意义。若是网络中服务器是Windows操做系统比较多,建议使用运行在非Windows操做系统中的备份软件,例如可使用Linux版本的NBU备份软件,如图3所示。
减小勒索病毒传播途径风险的办法
图3 NBU备份软件
若是所用的备份软件只有Windows版本,例如Veeam,但能够将备份存储库保存在Linux操做系统中。Veeam备份软件安装在Windows操做系统,但备份保存在Linux操做系统。
考虑如今大多数的服务器都已经运行在虚拟机中,可使用备份一体机、备份软件对整个虚拟机进行备份或者复制,将虚拟机总体备份或复制到另外的存储。若是虚拟机感染病毒,能够经过备份或复制的虚拟机进行恢复,如图4和图5所示。
减小勒索病毒传播途径风险的办法
图4 复制的虚拟机
减小勒索病毒传播途径风险的办法
图5 复制后虚拟机快照
在有条件的时候,能够将备份数据上传到公有云,并启用版本控制功能。架构

5 Windows防火墙禁止文件和打印共享端口

对于Windows操做系统,在防火墙上配置入站与出站规则,禁止使用文件和打印共享服务。主要步骤以下。
(1)在“管理工具”中选择“高级安全Windows防火墙”,在“入站规则”中用鼠标右键单击,在弹出的对话框中选择“新建规则”,在“规则类型”对话框中的“预约义”下拉列表中选择“文件和打印机共享”,在“预约义规则”对话框中选择全部规则,如图6所示。
减小勒索病毒传播途径风险的办法
图6 选中全部规则
(2)在“操做”对话框中选择“阻止链接”,配置以后如图7所示。
减小勒索病毒传播途径风险的办法
图7 建立以后
而后建立出站规则,步骤以下。
(3)在“出站规则”中用鼠标右键单击,在弹出的对话框中选择“新建规则”,在“规则类型”对话框中的“预约义”下拉列表中选择“文件和打印机共享”,在“预约义规则”对话框中选择全部规则,在“操做”对话框中选择“阻止链接”,配置以后如图8所示。
减小勒索病毒传播途径风险的办法
图8 建立以后运维

6 修改远程桌面服务端口

远程桌面默认端口是TCP的3389,建议修改此端口,例如将TCP的3389修改成30020,主要步骤以下。
(1)运行 regedit 进入注册表编辑器,修改如下两处
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp,右击PortNumber,选择修改,默认端口为3389,修改成 30020
(2)修改第二处,进入
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,同上,设置为一样的端口:30020
(3)修改防火墙配置,开启入站,容许TCP的30020。
(4)而后从新启动服务器。tcp

7 使用普通用户远程登陆服务器

在默认状况下,Windows 操做系统容许administrators和Remote Desktop Users用户组的帐户使用远程桌面方式登陆,能够修改服务器本地安全策略,在“安全设置→本地策略→用户权限分配”中,修改“容许经过远程桌面服务登陆”,删除administrators和Remote Desktop Users用户组,添加指定用户登陆,例如指定一个普通权限帐户(例如w1),只容许这个普通帐户登陆,如图9所示。
减小勒索病毒传播途径风险的办法
图9 只容许指定用户登陆
使用普通用户w1登陆以后能够检查服务器的状态,也可使用此服务器为堡垒机,继续登陆其余的服务器。若是要以本地管理员权限在当前登陆的这台计算机进行操做,能够按住Shift键,用鼠标右键单击要执行的程序,选择“以其余用户身份运行”,在弹出的“Windows安全”对话框中输入管理员帐户和密码,将以本地管理员的权限执行该程序。如图10所示
减小勒索病毒传播途径风险的办法
图10 以其余用户身份运行编辑器

===========
最新图书
VMware Horizon虚拟桌面应用指南
https://item.jd.com/13038424.htmlide

VMware vSAN超融合企业应用实战
https://item.jd.com/12842654.html

VMware vSphere 6.5企业运维实战
https://item.jd.com/12329944.html

==========视频==================
VMware ESXi与vCenter Server安装与升级实验视频课程
https://edu.51cto.com/sd/e1e6b

使用NVIDIA RTX8000配置GPU的虚拟桌面
https://edu.51cto.com/sd/952a9

VMware vSphere 6.7虚拟化入门视频课程
https://edu.51cto.com/sd/22fe0

VMware vSAN 6.7实战演练
https://edu.51cto.com/sd/c6449

深刻学习VMware Horizon View7虚拟桌面
https://edu.51cto.com/sd/225f2

中小企业vSphere虚拟化数据中心规划设计与产品选型
https://edu.51cto.com/sd/04e53

VMware服务器虚拟化提升篇之虚拟化基础架构配置视频课程
https://edu.51cto.com/sd/b9594

忘记VMware ESXi与vCenter Server密码的解决方法视频教程
https://edu.51cto.com/sd/993e5

相关文章
相关标签/搜索