今年5月的WannaCry（勒索軟件）已經讓大家嘗盡苦頭也讓網絡安全系統管理員的顏面盡掃。目前來說，安全專家們仍然無法預料WannaCry（勒索軟件）將會出現何種變種。對于擁有專門的安全專家的大公司來說，網絡安全最起碼還有個基本的保障，但對個人用戶來說，就只能靠自己來進行防護了。

在這里為大家提供6條加強你的網絡環境的建議，這6條建議對組織和個人用戶來說，都非常有用，且易于操作。

密碼重用的常見原因是Windows工作站和服務器上的本地管理員帳戶，這些密碼通常通過組策略設置為公用值，或者在構建系統映像時設置為標準值。因此，在一臺機器上發現本地管理員密碼的攻擊者就可以利用這些值訪問網絡上的所有計算機。

在2015年年中，微軟發布了一個解決這個該問題的工具，即本地管理員密碼解決方案（LAPS）。此方案是將本地管理員密碼存儲在LDAP上，作為計算機賬戶的一個機密屬性，配合GPO，實現自動定期修改密碼、設置密碼長度、強度等，更重要是該方案可以將該密碼作為計算機帳戶屬性存儲在Active Directory中。該屬性“ms-Mcs-AdmPwd”可以通過ACL鎖定，以確保只有經過批準的用戶，如控制臺和系統管理員可以查看密碼。 LAPS還包括一個PowerShell模塊和一個后臺客戶端，LAPS UI，以簡化管理和檢索過程。

可以提供Microsoft LAPS UI Thick Client來支持可能需要訪問本地管理員帳戶的人員

LAPS實現起來非常快速簡單，只需要要求系統管理員創建一個定義密碼策略和本地帳戶名稱的GPO來管理，可以直接將單個文件AdmPwd.dll添加到Windows上。

攻擊者對具有漏洞的賬戶進行控制一樣可以獲得該設備的管理權限，比如用戶有時會為了某種訪問的需要，進行一些臨時訪問，但在訪問完畢后，用戶有時會忘了對這些訪問進行刪除或監控，以至于被黑客利用。根據我們的經驗，很少有用戶會把這些臨時訪問權限進行刪除。

敏感帳戶，如具有管理員權限的帳戶應與普通賬戶，如員工的賬戶在查看電子郵件和瀏覽網頁時進行帳戶區分。如果用戶帳戶被惡意軟件或網絡釣魚進行了攻擊，或者在密碼已被泄密的情況下，帳戶區分將有助于防止對管理員的權限造成進一步損壞。

具有域管理員或企業管理員資格的帳戶應受到高度限制，比如只能用于登錄域控制器，具有這些權限的帳戶不應再在其他系統上進行登錄了。在此，我們建議大家可以基于不同的管理功能來為每個賬戶設置不同的權限的管理賬戶，比如 “工作站管理”和“服務器管理”組，這樣每個管理員就不具有訪問整個域的權限了，這將有助于對整個域的權限保護。

許多攻擊包括WannaCry的基本攻擊機制，都是針對未修補的系統。所以，不管你的網絡是否對外開放，都應該定期更新操作系統和應用程序。雖然這個建議屬于老生常談，但從另一個側面也說明了該建議的重要性。許多攻擊就是利用未修復的漏洞和未更新的系統來大做文章。

對于Windows系統來說，利用Windows Server進行更新服務簡單而高效。利用WSUS部署更新程序時，WSUS易于設置，可以設置為自動或手動方式。而利用第三方軟件來管理更新就有點不靠譜了，比如一些商業插件就允許WSUS從其他供應商那里修補軟件。還有一些比較小眾的工具，像Ninite這樣的第三方更新工具，既不是自動配置的，也不是免費使用的，但它允許用戶從其列表中選擇支持的應用程序和運行沒有完全選定的應用程序。 Flexera的企業軟件檢查器和Microsoft的系統中心配置管理器（SCCM）等工具也可以幫助管理第三方應用程序的修補。

Windows Server Update Services向導允許管理員選擇要管理的更新類型

使用WSUS，管理員可以自動批準補丁到質量檢查環境，或手動批準并分配它們

Verizon發布的《2016年數據泄露調查報告》顯示“63%的已確認的數據泄露事件均涉及到密碼口令(password)的丟失、密碼口令安全性過低或默認密碼未

更改”，所以這個建議是非常重要的。當用戶在首次使用設備時，應該先對默認的出廠密碼進行修改，如果沒有設置密碼的要先設置密碼，但往往人們會忽

略這些關鍵的保護手段。攻擊者就是利用這些疏忽來進行攻擊的，因為一般的出廠默認密碼都可以在網絡上查到。攻擊者可以利用網絡設備，如交換機和接

入點上的默認密碼來重定向流量，執行中間人攻擊，或對網絡基礎設施執行拒絕服務攻擊。

更糟糕的是，內部系統所利用的Web控制臺在包含敏感業務數據或系統配置的應用程序中通常使用的都是默認密碼。攻擊者利用網絡釣魚和常見的惡意軟

件的攻擊向量就可以繞過安全防護，并且有時候真正的威脅是來自內部人員的惡意行為，所以借著 “內部”這個借口來放松對密碼的管理，這個觀念是非

常錯誤的。正確的做法應該是，審核所有登錄密碼，并進行必要的修改和設置。現在，許多設備和服務都支持雙因素身份驗證， 建議大家盡量開啟。

只是用Google搜索出來的一些默認密碼列表 

鏈路本地組播名稱解析（LLMNR）和NetBIOS名稱服務（NBT-NS）都可以導致在啟用時快速對域名進行攻擊。這些協議最常用在初始DNS查找失敗時查找所請求的主機，并且會在默認情況下啟用。在大多數網絡中，由于DNS的存在，所以LLMNR和NetBIOS名稱解析根本就沒有必要再用了。當對無法找到的主機發出請求時，例如嘗試訪問 dc-01的用戶打算輸入 dc01，LLMNR和NBT-NS就會發送廣播，尋找該主機。這時攻擊者就會通過偵聽LLMNR和NetBIOS廣播，偽裝成用戶（客戶端）要訪問的目標設備，從而讓用戶乖乖交出相應的登陸憑證。在接受連接后，攻擊者可以使用Responder.py或Metasploit等工具將請求轉發到執行身份驗證過程的流氓服務（如SMB TCP：137）。 在身份驗證過程中，用戶會向流氓服務器發送用于身份認證的NTLMv2哈希值，這個哈希值將被保存到磁盤中，之后就可以使用像Hashcat或John Ripper（TJR）這樣的工具在線下破解，或直接用于 pass-the-hash攻擊。

由于這些服務通常不是必需的，因此最簡單的措施是完全禁用它們。大家可以順著計算機配置 – >策略 – >管理模板 – >網絡 – > DNS客戶端 – >關閉組播名稱解析來修改組策略，禁用LLMNR。

禁用NetBIOS名稱解析并不是一件簡單的事情，因為我們必須在每個網絡適配器中手動禁用“啟用TCP / IP NetBIOS”選項，或者運行包含以下wmic命令的腳本：

wico nicconfig其中TcpipNetbiosOptions = 0調用SetTcpipNetbios 2
wmic nicconfig其中TcpipNetbiosOptions = 1調用SetTcpipNetbios 2
不過要注意的是，雖然這些服務通常不是必需的，但一些過去的老軟件仍然可以依靠NetBIOS名稱解析來正常運行。在運行GPO之前，請務必測試以下禁用這些服務會對你的運行環境有哪些影響。

如果你登陸過//www.shodan.io這個網站，你一定會被其中所曝光的敏感漏洞和服務而震驚。與谷歌不同的是，Shodan不是在網上搜索網址，而是直接進入互聯網的背后通道。Shodan可以說是一款“黑暗”谷歌，一刻不停的在尋找著所有和互聯網關聯的服務器、攝像頭、打印機、路由器等等。

Shodan所搜集到的信息是極其驚人的。凡是鏈接到互聯網的紅綠燈、安全攝像頭、家庭自動化設備以及加熱系統等等都會被輕易的搜索到。Shodan的使用者曾發現過一個水上公園的控制系統，一個加油站，甚至一個酒店的葡萄酒冷卻器。而網站的研究者也曾使用Shodan定位到了核電站的指揮和控制系統及一個粒子回旋加速器。

Shodan真正值得注意的能力就是能找到幾乎所有和互聯網相關聯的東西。而Shodan真正的可怕之處就是這些設備幾乎都沒有安裝安全防御措施，其可以隨意進入。

所以如果沒有必要就不要把你的設備連接到互聯網，不過要知道網絡上有哪些型號的設備已經被攻擊了，建議大家嘗試使用端口掃描之王——nmap進行掃描，端口掃描是指某些別有用心的人發送一組端口掃描消息，試圖以此侵入某臺計算機，并了解其提供的計算機網絡服務類型(這些網絡服務均與端口號相關)，但是端口掃描不但可以為黑客所利用，同時端口掃描還是網絡安全工作者的必備的利器，通過對端口的掃描，了解網站中出現的漏洞以及端口的開放情況。比如，像“nmap -sV -Pn -top-ports 10000 1.2.3.4/24”這樣的簡單掃描可以讓我們快速了解攻擊者可能看到的內容，利用Shodan和Censys.io這樣的工具就可以做到自動搜索這些內容。

你知道你設備在網絡上的運行狀態嗎？例如，你是否運行了IPv6，更重要的是，該運行狀態是你打開的還是黑客打開的？ SMBv1是否在你的環境中啟用了一個設備？當你對這些運行情況有一個清晰地了解之后，請考慮一下你是否有必要禁用這些監控服務。

試用、下載、了解更多產品信息請點擊""