勒索軟件最近再次出現在新聞中。據報道，黑客們的目標是醫療服務提供者，他們通過偽裝成會議邀請或發票的釣魚活動，將谷歌文件鏈接到pdf文件中，這些文件鏈接到簽名的可執行文件，這些可執行文件的名稱帶有“ preview”和“ test”等特殊單詞。

一旦勒索軟件進入系統，攻擊者就會追捕我們網絡上留下的低垂的果實，以橫向移動并造成更大的破壞。這種簡單的訪問是可以避免的，并且可能是由于過時的設置、被遺忘的設置或過時的策略而導致的。你可以通過以下方法檢查Windows的七個常見漏洞，防止勒索軟件攻擊者使你和你的團隊難堪。

1. 密碼存儲在組策略選項中

你是否曾經在組策略首選項中存儲密碼？2014年，MS14-025修補了組策略首選項，并刪除了不安全地存儲密碼的功能，但沒有刪除密碼。勒索軟件攻擊者使用PowerShell腳本Get-GPPPassword獲取遺留的密碼。

查看你的組策略首選項，以查看你的組織是否曾經以這種方式存儲密碼。想想你在腳本或批處理文件中留下憑據的任何其他時間。查看管理過程、記事本文件、暫存器位置和其他不受保護的文件中遺留的密碼。

2. 使用遠程桌面協議

你仍然使用不安全且不受保護的遠程桌面協議（RDP）嗎？有報告顯示，攻擊者使用蠻力和收集的憑據闖入了開放網絡的RDP。使用遠程桌面設置服務器，虛擬機甚至Azure服務器非常容易。啟用遠程桌面時至少沒有最低限度的保護，例如限制對特定靜態IP地址的訪問，不使用RDgateway保護來保護連接或未設置雙因素身份驗證，這意味著你面臨著遭受攻擊者控制網絡的風險。

3. 密碼重復使用

你或你的用戶經常重復使用密碼嗎？攻擊者可以訪問在線數據轉儲位置中已獲取的密碼。知道我們經常重復使用密碼，攻擊者會以各種攻擊序列的形式對網站和帳戶以及域和Microsoft 365訪問使用這些憑據。

確保已在組織中啟用多因素身份驗證是阻止此類攻擊的關鍵。使用密碼管理器程序可以鼓勵使用更好和更獨特的密碼。另外，許多密碼管理器會在用戶名和密碼重復組合時進行標記。

4. 未修補的特權升級漏洞

你能讓攻擊者輕松地橫向移動嗎？最近，攻擊者一直在使用幾種方式進行橫向移動，比如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升域控制器上的特權，這些域控制器缺乏最新的安全補丁。微軟最近表示，攻擊者正在試圖利用這個漏洞。

5. 啟用SMBv1

即使您已經為已知的服務器消息塊版本1 （SMBv1）漏洞應用了所有補丁，攻擊者也可能有其他漏洞可以利用。當安裝Windows 10 1709或更高版本時，默認情況下SMBv1是不啟用的。如果SMBv1客戶端或服務器15天不使用（不包括計算機關閉的時間），Windows 10會自動卸載該協議。

SMBv1協議已經有30多年的歷史了，你應該放棄使用它。有多種方法可以從網絡禁用和刪除SMBv1，從組策略到PowerShell和注冊表鍵。

6. 電子郵件保護不足

你是否已經竭盡所能確保你的電子郵件（攻擊者的關鍵入口）免受威脅？攻擊者經常通過垃圾郵件進入網絡。所有的組織都應該使用電子郵件安全服務來掃描和審查進入你網絡的信息。在你的電子郵件服務器前有一個過濾過程。無論這個過濾器是office365高級威脅保護（ATP）還是第三方解決方案，都應該在你的電子郵件前提供一項服務，以評估郵件發送者的聲譽、掃描鏈接和評論內容。檢查你以前設置的電子郵件安全情況。如果你使用Office/Microsoft 365，請查看安全分數和ATP設置。

7. 未經培訓的用戶

最后也是非常重要的一點，確保對你的用戶進行培訓。惡意郵件經常進入我的收件箱，即使有所有適當的ATP設置。稍微有點偏執和受過教育的終端用戶都可以成為你的最終防火墻，以確保惡意攻擊不會進入你的系統。ATP包括通過測試來看你的用戶是否會受到釣魚攻擊。

Troy Hunt最近寫了一篇文章，關于瀏覽器中如何通過使用的字體判斷是好網站還是惡意網站。他指出，密碼管理器將自動驗證網站，并提議只為那些與你的數據庫匹配的網站填寫密碼。
責編AJX