今年5月的WannaCry（勒索軟件）已經(jīng)讓大家嘗盡苦頭也讓網(wǎng)絡(luò)安全系統(tǒng)管理員的顏面盡掃。目前來說，安全專家們?nèi)匀粺o法預(yù)料WannaCry（勒索軟件）將會(huì)出現(xiàn)何種變種。對于擁有專門的安全專家的大公司來說，網(wǎng)絡(luò)安全最起碼還有個(gè)基本的保障，但對個(gè)人用戶來說，就只能靠自己來進(jìn)行防護(hù)了。

在這里為大家提供6條加強(qiáng)你的網(wǎng)絡(luò)環(huán)境的建議，這6條建議對組織和個(gè)人用戶來說，都非常有用，且易于操作。

密碼重用的常見原因是Windows工作站和服務(wù)器上的本地管理員帳戶，這些密碼通常通過組策略設(shè)置為公用值，或者在構(gòu)建系統(tǒng)映像時(shí)設(shè)置為標(biāo)準(zhǔn)值。因此，在一臺(tái)機(jī)器上發(fā)現(xiàn)本地管理員密碼的攻擊者就可以利用這些值訪問網(wǎng)絡(luò)上的所有計(jì)算機(jī)。

在2015年年中，微軟發(fā)布了一個(gè)解決這個(gè)該問題的工具，即本地管理員密碼解決方案（LAPS）。此方案是將本地管理員密碼存儲(chǔ)在LDAP上，作為計(jì)算機(jī)賬戶的一個(gè)機(jī)密屬性，配合GPO，實(shí)現(xiàn)自動(dòng)定期修改密碼、設(shè)置密碼長度、強(qiáng)度等，更重要是該方案可以將該密碼作為計(jì)算機(jī)帳戶屬性存儲(chǔ)在Active Directory中。該屬性“ms-Mcs-AdmPwd”可以通過ACL鎖定，以確保只有經(jīng)過批準(zhǔn)的用戶，如控制臺(tái)和系統(tǒng)管理員可以查看密碼。 LAPS還包括一個(gè)PowerShell模塊和一個(gè)后臺(tái)客戶端，LAPS UI，以簡化管理和檢索過程。

可以提供Microsoft LAPS UI Thick Client來支持可能需要訪問本地管理員帳戶的人員

LAPS實(shí)現(xiàn)起來非?？焖俸唵危恍枰笙到y(tǒng)管理員創(chuàng)建一個(gè)定義密碼策略和本地帳戶名稱的GPO來管理，可以直接將單個(gè)文件AdmPwd.dll添加到Windows上。

攻擊者對具有漏洞的賬戶進(jìn)行控制一樣可以獲得該設(shè)備的管理權(quán)限，比如用戶有時(shí)會(huì)為了某種訪問的需要，進(jìn)行一些臨時(shí)訪問，但在訪問完畢后，用戶有時(shí)會(huì)忘了對這些訪問進(jìn)行刪除或監(jiān)控，以至于被黑客利用。根據(jù)我們的經(jīng)驗(yàn)，很少有用戶會(huì)把這些臨時(shí)訪問權(quán)限進(jìn)行刪除。

敏感帳戶，如具有管理員權(quán)限的帳戶應(yīng)與普通賬戶，如員工的賬戶在查看電子郵件和瀏覽網(wǎng)頁時(shí)進(jìn)行帳戶區(qū)分。如果用戶帳戶被惡意軟件或網(wǎng)絡(luò)釣魚進(jìn)行了攻擊，或者在密碼已被泄密的情況下，帳戶區(qū)分將有助于防止對管理員的權(quán)限造成進(jìn)一步損壞。

具有域管理員或企業(yè)管理員資格的帳戶應(yīng)受到高度限制，比如只能用于登錄域控制器，具有這些權(quán)限的帳戶不應(yīng)再在其他系統(tǒng)上進(jìn)行登錄了。在此，我們建議大家可以基于不同的管理功能來為每個(gè)賬戶設(shè)置不同的權(quán)限的管理賬戶，比如 “工作站管理”和“服務(wù)器管理”組，這樣每個(gè)管理員就不具有訪問整個(gè)域的權(quán)限了，這將有助于對整個(gè)域的權(quán)限保護(hù)。

許多攻擊包括WannaCry的基本攻擊機(jī)制，都是針對未修補(bǔ)的系統(tǒng)。所以，不管你的網(wǎng)絡(luò)是否對外開放，都應(yīng)該定期更新操作系統(tǒng)和應(yīng)用程序。雖然這個(gè)建議屬于老生常談，但從另一個(gè)側(cè)面也說明了該建議的重要性。許多攻擊就是利用未修復(fù)的漏洞和未更新的系統(tǒng)來大做文章。

對于Windows系統(tǒng)來說，利用Windows Server進(jìn)行更新服務(wù)簡單而高效。利用WSUS部署更新程序時(shí)，WSUS易于設(shè)置，可以設(shè)置為自動(dòng)或手動(dòng)方式。而利用第三方軟件來管理更新就有點(diǎn)不靠譜了，比如一些商業(yè)插件就允許WSUS從其他供應(yīng)商那里修補(bǔ)軟件。還有一些比較小眾的工具，像Ninite這樣的第三方更新工具，既不是自動(dòng)配置的，也不是免費(fèi)使用的，但它允許用戶從其列表中選擇支持的應(yīng)用程序和運(yùn)行沒有完全選定的應(yīng)用程序。 Flexera的企業(yè)軟件檢查器和Microsoft的系統(tǒng)中心配置管理器（SCCM）等工具也可以幫助管理第三方應(yīng)用程序的修補(bǔ)。

Windows Server Update Services向?qū)г试S管理員選擇要管理的更新類型

使用WSUS，管理員可以自動(dòng)批準(zhǔn)補(bǔ)丁到質(zhì)量檢查環(huán)境，或手動(dòng)批準(zhǔn)并分配它們

Verizon發(fā)布的《2016年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示“63%的已確認(rèn)的數(shù)據(jù)泄露事件均涉及到密碼口令(password)的丟失、密碼口令安全性過低或默認(rèn)密碼未

更改”，所以這個(gè)建議是非常重要的。當(dāng)用戶在首次使用設(shè)備時(shí)，應(yīng)該先對默認(rèn)的出廠密碼進(jìn)行修改，如果沒有設(shè)置密碼的要先設(shè)置密碼，但往往人們會(huì)忽

略這些關(guān)鍵的保護(hù)手段。攻擊者就是利用這些疏忽來進(jìn)行攻擊的，因?yàn)橐话?的出廠默認(rèn)密碼都可以在網(wǎng)絡(luò)上查到。攻擊者可以利用網(wǎng)絡(luò)設(shè)備，如交換機(jī)和接

入點(diǎn)上的默認(rèn)密碼來重定向流量，執(zhí)行中間人攻擊，或?qū)W(wǎng)絡(luò)基礎(chǔ)設(shè)施執(zhí)行拒絕服務(wù)攻擊。

更糟糕的是，內(nèi)部系統(tǒng)所利用的Web控制臺(tái)在包含敏感業(yè)務(wù)數(shù)據(jù)或系統(tǒng)配置的應(yīng)用程序中通常使用的都是默認(rèn)密碼。攻擊者利用網(wǎng)絡(luò)釣魚和常見的惡意軟

件的攻擊向量就可以繞過安全防護(hù)，并且有時(shí)候真正的威脅是來自內(nèi)部人員的惡意行為，所以借著 “內(nèi)部”這個(gè)借口來放松對密碼的管理，這個(gè)觀念是非

常錯(cuò)誤的。正確的做法應(yīng)該是，審核所有登錄密碼，并進(jìn)行必要的修改和設(shè)置。現(xiàn)在，許多設(shè)備和服務(wù)都支持雙因素身份驗(yàn)證， 建議大家盡量開啟。

只是用Google搜索出來的一些默認(rèn)密碼列表 

鏈路本地組播名稱解析（LLMNR）和NetBIOS名稱服務(wù)（NBT-NS）都可以導(dǎo)致在啟用時(shí)快速對域名進(jìn)行攻擊。這些協(xié)議最常用在初始DNS查找失敗時(shí)查找所請求的主機(jī)，并且會(huì)在默認(rèn)情況下啟用。在大多數(shù)網(wǎng)絡(luò)中，由于DNS的存在，所以LLMNR和NetBIOS名稱解析根本就沒有必要再用了。當(dāng)對無法找到的主機(jī)發(fā)出請求時(shí)，例如嘗試訪問 dc-01的用戶打算輸入 dc01，LLMNR和NBT-NS就會(huì)發(fā)送廣播，尋找該主機(jī)。這時(shí)攻擊者就會(huì)通過偵聽LLMNR和NetBIOS廣播，偽裝成用戶（客戶端）要訪問的目標(biāo)設(shè)備，從而讓用戶乖乖交出相應(yīng)的登陸憑證。在接受連接后，攻擊者可以使用Responder.py或Metasploit等工具將請求轉(zhuǎn)發(fā)到執(zhí)行身份驗(yàn)證過程的流氓服務(wù)（如SMB TCP：137）。 在身份驗(yàn)證過程中，用戶會(huì)向流氓服務(wù)器發(fā)送用于身份認(rèn)證的NTLMv2哈希值，這個(gè)哈希值將被保存到磁盤中，之后就可以使用像Hashcat或John Ripper（TJR）這樣的工具在線下破解，或直接用于 pass-the-hash攻擊。

由于這些服務(wù)通常不是必需的，因此最簡單的措施是完全禁用它們。大家可以順著計(jì)算機(jī)配置 – >策略 – >管理模板 – >網(wǎng)絡(luò) – > DNS客戶端 – >關(guān)閉組播名稱解析來修改組策略，禁用LLMNR。

禁用NetBIOS名稱解析并不是一件簡單的事情，因?yàn)槲覀儽仨氃诿總€(gè)網(wǎng)絡(luò)適配器中手動(dòng)禁用“啟用TCP / IP NetBIOS”選項(xiàng)，或者運(yùn)行包含以下wmic命令的腳本：

wico nicconfig其中TcpipNetbiosOptions = 0調(diào)用SetTcpipNetbios 2
wmic nicconfig其中TcpipNetbiosOptions = 1調(diào)用SetTcpipNetbios 2
不過要注意的是，雖然這些服務(wù)通常不是必需的，但一些過去的老軟件仍然可以依靠NetBIOS名稱解析來正常運(yùn)行。在運(yùn)行GPO之前，請務(wù)必測試以下禁用這些服務(wù)會(huì)對你的運(yùn)行環(huán)境有哪些影響。

如果你登陸過//www.shodan.io這個(gè)網(wǎng)站，你一定會(huì)被其中所曝光的敏感漏洞和服務(wù)而震驚。與谷歌不同的是，Shodan不是在網(wǎng)上搜索網(wǎng)址，而是直接進(jìn)入互聯(lián)網(wǎng)的背后通道。Shodan可以說是一款“黑暗”谷歌，一刻不停的在尋找著所有和互聯(lián)網(wǎng)關(guān)聯(lián)的服務(wù)器、攝像頭、打印機(jī)、路由器等等。

Shodan所搜集到的信息是極其驚人的。凡是鏈接到互聯(lián)網(wǎng)的紅綠燈、安全攝像頭、家庭自動(dòng)化設(shè)備以及加熱系統(tǒng)等等都會(huì)被輕易的搜索到。Shodan的使用者曾發(fā)現(xiàn)過一個(gè)水上公園的控制系統(tǒng)，一個(gè)加油站，甚至一個(gè)酒店的葡萄酒冷卻器。而網(wǎng)站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統(tǒng)及一個(gè)粒子回旋加速器。

Shodan真正值得注意的能力就是能找到幾乎所有和互聯(lián)網(wǎng)相關(guān)聯(lián)的東西。而Shodan真正的可怕之處就是這些設(shè)備幾乎都沒有安裝安全防御措施，其可以隨意進(jìn)入。

所以如果沒有必要就不要把你的設(shè)備連接到互聯(lián)網(wǎng)，不過要知道網(wǎng)絡(luò)上有哪些型號的設(shè)備已經(jīng)被攻擊了，建議大家嘗試使用端口掃描之王——nmap進(jìn)行掃描，端口掃描是指某些別有用心的人發(fā)送一組端口掃描消息，試圖以此侵入某臺(tái)計(jì)算機(jī)，并了解其提供的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)類型(這些網(wǎng)絡(luò)服務(wù)均與端口號相關(guān))，但是端口掃描不但可以為黑客所利用，同時(shí)端口掃描還是網(wǎng)絡(luò)安全工作者的必備的利器，通過對端口的掃描，了解網(wǎng)站中出現(xiàn)的漏洞以及端口的開放情況。比如，像“nmap -sV -Pn -top-ports 10000 1.2.3.4/24”這樣的簡單掃描可以讓我們快速了解攻擊者可能看到的內(nèi)容，利用Shodan和Censys.io這樣的工具就可以做到自動(dòng)搜索這些內(nèi)容。

你知道你設(shè)備在網(wǎng)絡(luò)上的運(yùn)行狀態(tài)嗎？例如，你是否運(yùn)行了IPv6，更重要的是，該運(yùn)行狀態(tài)是你打開的還是黑客打開的？ SMBv1是否在你的環(huán)境中啟用了一個(gè)設(shè)備？當(dāng)你對這些運(yùn)行情況有一個(gè)清晰地了解之后，請考慮一下你是否有必要禁用這些監(jiān)控服務(wù)。

試用、下載、了解更多產(chǎn)品信息請點(diǎn)擊""