減小勒索病毒傳播途徑風險的辦法

石家莊 王春海 楚小彬 趙志波

最近發現一些單位的服務器感染勒索病毒，而後經過共享文件夾等方式方法繼續傳播感染及局域網中的其餘服務器，致使這些服務器上重要的文件都被加密，給單位形成重大的損失，帶來比較嚴重的後果。
通過分析，勒索病毒通常是經過但不限於RDP或其餘漏洞感染，經過共享文件夾傳播。爲了減小感染勒索病毒的風險，建議如下幾點。
（1）不在服務器上訪問外網。若是有必要，設置防火牆策略，禁止服務器訪問外網。若是服務器須要安裝最新的補丁，能夠配置內部的WSUS升級服務器，讓服務器從內部的WSUS服務器更新。
（2）服務器卸載沒必要要的軟件，只安裝須要的服務，關閉或禁用沒必要要的服務。不使用的服務不安裝。例如只用FTP服務器時則不要安裝IIS服務。
（3）不在服務器上安裝沒必要要的軟件，例如第三方的輸入法和下載等工具軟件。一些輸入法例如搜狗輸入法，一些經常使用軟件例如快壓、WinRAR等工具可能帶有廣告插件，當服務器能鏈接外網時可能會在服務器上彈出廣告，這些廣告有的來源不可控，可能有必定的風險。不在服務器上下載軟件和視頻，例如安裝迅雷等軟件在服務器上下載資源。
（4）在服務器平常管理或維護時，在控制檯登陸或者經過遠程登陸時，使用普通權限用戶帳戶登陸。若是須要特權操做用到Administrator帳戶時，使用Run AS方式再以管理員帳戶執行指定的程序。若是服務器須要經過遠程桌面服務遠程登陸，將遠程登陸帳戶設置爲具體的賬戶，但也不建議設置爲管理員權限的帳戶。須要管理的時候，實現二次認證。
（5）修改默認的管理員帳戶Administrator的名稱，但不要刪除Administrator帳戶。管理員帳戶密碼按期修改。
（6）禁止Windows操做系統系統自動登陸到桌面。須要有些服務器須要自動登陸而後執行指定的批處理，則在自動登陸以後，設置屏保超時時間，設置1分鐘超時並鎖定屏幕。
（7）對於非Active Directory服務器、Exchange服務器、文件共享服務器，關閉IPC共享。關閉139端口（Netbios服務）和445等端口。
（8）關閉Windows自動播放功能。在服務器上使用U盤時，使用資源管理器在左側打開，不要雙擊打開U盤。
下面一一介紹。

1 在防火牆只開放必要的端口

對於OA、ERP、網站等對外提供服務的服務器只開放必要的端口，其餘不須要的端口一概關閉。在OA、ERP等對外提供的服務器上，啓用操做系統自帶的防火牆，而且只開放應用程序端口，例如OA、ERP服務端口。同時在防火牆上建立拒絕策略，禁止文件和打印共享服務的入站鏈接、出站鏈接。若是該服務器須要遠程管理，例如RDP或SSH，須要在操做系統防火牆入站規則中對遠程客戶端IP地址進行限制，只容許指定的IP地址鏈接，如圖1所示。

圖1 添加容許的IP地址段

2 遠程管理堡壘機策略

若是經過Internet，以遠程管理的方式登陸到內網服務器，通常有一臺用於「中轉」的服務器，這臺服務器起到了堡壘機或跳板機的做用（如圖2所示）。對於這臺中轉管理的服務器，應該設置在單獨的網段，與其餘業務服務器不在同一個網段。對於這臺遠程管理的服務器，一樣啓用操做系統防火牆，在防火牆設置中，配置如下規則。
（1）禁止這臺服務器以共享文件文件夾的方式，訪問其餘的服務器。
（2）在出站規則中，只容許使用RDP或SSH登陸其餘的服務器。
（3）若是條件容許，可使用身份防火牆。
（4）在登陸到這臺服務器時，建議使用普通權限的帳戶登陸。

圖2 堡壘機

3 備份服務器的管理。

對全部的重要數據進行備份，最好是按期作離線備份。出了問題，備份就是用來救命的東西。備份服務器管理策略建議：
（1）進入策略：不建議經過遠程方式管理備份服務器，尤爲是不建議使用遠程桌面、SSH方式登陸服務器，這臺服務器也不對外提供共享文件夾服務。建議在控制檯登陸。
（2）對外訪問策略：只容許備份服務器（例如服務器A）訪問須要被備份的服務器，例如vCenter、ESXi主機和Hyper-V主機。若是要備份物理服務器（例如服務器B），也只容許備份服務器A訪問物理服務器B，不容許B訪問A。
（3）按期檢查，檢查備份是否工做，備份是否成功。對於備份服務器，最長的間隔時間不超過1周。

4 作好重要服務器系統與數據備份

無論多好的安全產品、多好的安全制度，老是有漏洞。在企業網絡中增長安全產品、減小安全漏洞但沒法絕對的避免病毒感染，此時備份就是最後一道安全的保證。
對於企業重要的服務器作好系統與數據的備份。要避免備份服務器感染病毒。作好對備份數據的保存和二次備份。若是備份系統與其餘服務器一同感染病毒而且數據被加密，此時備份的數據也失去了備份的意義。若是網絡中服務器是Windows操做系統比較多，建議使用運行在非Windows操做系統中的備份軟件，例如可使用Linux版本的NBU備份軟件，如圖3所示。

圖3 NBU備份軟件
若是所用的備份軟件只有Windows版本，例如Veeam，但能夠將備份存儲庫保存在Linux操做系統中。Veeam備份軟件安裝在Windows操做系統，但備份保存在Linux操做系統。
考慮如今大多數的服務器都已經運行在虛擬機中，可使用備份一體機、備份軟件對整個虛擬機進行備份或者複製，將虛擬機總體備份或複製到另外的存儲。若是虛擬機感染病毒，能夠經過備份或複製的虛擬機進行恢復，如圖4和圖5所示。

圖4 複製的虛擬機

圖5 複製後虛擬機快照
在有條件的時候，能夠將備份數據上傳到公有云，並啓用版本控制功能。

5 Windows防火牆禁止文件和打印共享端口

對於Windows操做系統，在防火牆上配置入站與出站規則，禁止使用文件和打印共享服務。主要步驟以下。
（1）在「管理工具」中選擇「高級安全Windows防火牆」，在「入站規則」中用鼠標右鍵單擊，在彈出的對話框中選擇「新建規則」，在「規則類型」對話框中的「預約義」下拉列表中選擇「文件和打印機共享」，在「預約義規則」對話框中選擇全部規則，如圖6所示。

圖6 選中全部規則
（2）在「操做」對話框中選擇「阻止鏈接」，配置以後如圖7所示。

圖7 建立以後
而後建立出站規則，步驟以下。
（3）在「出站規則」中用鼠標右鍵單擊，在彈出的對話框中選擇「新建規則」，在「規則類型」對話框中的「預約義」下拉列表中選擇「文件和打印機共享」，在「預約義規則」對話框中選擇全部規則，在「操做」對話框中選擇「阻止鏈接」，配置以後如圖8所示。

圖8 建立以後

6 修改遠程桌面服務端口

遠程桌面默認端口是TCP的3389，建議修改此端口，例如將TCP的3389修改成30020，主要步驟以下。
（1）運行 regedit 進入註冊表編輯器，修改如下兩處
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，右擊PortNumber，選擇修改，默認端口爲3389，修改成 30020
（2）修改第二處，進入
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，同上，設置爲一樣的端口：30020
（3）修改防火牆配置，開啓入站，容許TCP的30020。
（4）而後從新啓動服務器。

7 使用普通用戶遠程登陸服務器

在默認狀況下，Windows 操做系統容許administrators和Remote Desktop Users用戶組的帳戶使用遠程桌面方式登陸，能夠修改服務器本地安全策略，在「安全設置→本地策略→用戶權限分配」中，修改「容許經過遠程桌面服務登陸」，刪除administrators和Remote Desktop Users用戶組，添加指定用戶登陸，例如指定一個普通權限帳戶（例如w1），只容許這個普通帳戶登陸，如圖9所示。

圖9 只容許指定用戶登陸
使用普通用戶w1登陸以後能夠檢查服務器的狀態，也可使用此服務器爲堡壘機，繼續登陸其餘的服務器。若是要以本地管理員權限在當前登陸的這臺計算機進行操做，能夠按住Shift鍵，用鼠標右鍵單擊要執行的程序，選擇「以其餘用戶身份運行」，在彈出的「Windows安全」對話框中輸入管理員帳戶和密碼，將以本地管理員的權限執行該程序。如圖10所示

圖10 以其餘用戶身份運行

＝＝＝＝＝＝＝＝＝＝＝
最新圖書
VMware Horizon虛擬桌面應用指南
https://item.jd.com/13038424.html

VMware vSAN超融合企業應用實戰
https://item.jd.com/12842654.html

VMware vSphere 6.5企業運維實戰
https://item.jd.com/12329944.html

==========視頻==================
VMware ESXi與vCenter Server安裝與升級實驗視頻課程
https://edu.51cto.com/sd/e1e6b

使用NVIDIA RTX8000配置GPU的虛擬桌面
https://edu.51cto.com/sd/952a9

VMware vSphere 6.7虛擬化入門視頻課程
https://edu.51cto.com/sd/22fe0

VMware vSAN 6.7實戰演練
https://edu.51cto.com/sd/c6449

深刻學習VMware Horizon View7虛擬桌面
https://edu.51cto.com/sd/225f2

中小企業vSphere虛擬化數據中心規劃設計與產品選型
https://edu.51cto.com/sd/04e53

VMware服務器虛擬化提升篇之虛擬化基礎架構配置視頻課程
https://edu.51cto.com/sd/b9594

忘記VMware ESXi與vCenter Server密碼的解決方法視頻教程
https://edu.51cto.com/sd/993e5