减少勒索病毒传播途径风险的办法

影者东升

石家庄 王春海 楚小彬 赵志波　　最近发现一些单位的服务器感染勒索病毒，然后通过共享文件夹等方式方法继续传播感染及局域网中的其他服务器，导致这些服务器上重要的文件都被加密，给单位造成重大的损失，带来比较严重的后果。
　　经过分析，勒索病毒一般是通过但不限于RDP或其他漏洞感染，通过共享文件夹传播。为了减少感染勒索病毒的风险，建议以下几点。
　　（1）不在服务器上访问局域网以外的网络。如果有必要，设置防火墙策略，禁止服务器访问外部网络。如果服务器需要安装最新的补丁，可以配置内部的WSUS升级服务器，让服务器从内部的WSUS服务器更新。
　　（2）服务器卸载不必要的软件，只安装需要的服务，关闭或禁用不必要的服务。不使用的服务不安装。例如只用FTP服务器时则不要安装IIS服务。
　　（3）不在服务器上安装不必要的软件，例如第三方的输入法和下载等工具软件。一些输入法例如搜狗输入法，一些常用软件例如快压、WinRAR等工具可能带有广告插件，当服务器能连接外网时可能会在服务器上弹出广告，这些广告有的来源不可控，可能有一定的风险。不在服务器上下载软件和视频，例如安装迅雷等软件在服务器上下载资源。
　　（4）在服务器日常管理或维护时，在控制台登录或者通过远程登录时，使用普通权限用户账户登录。如果需要特权操作用到Administrator账户时，使用Run AS方式再以管理员账户执行指定的程序。如果服务器需要通过远程桌面服务远程登录，将远程登录账户设置为具体的帐户，但也不建议设置为管理员权限的账户。需要管理的时候，实现二次认证。
　　（5）修改默认的管理员账户Administrator的名称，但不要删除Administrator账户。管理员账户密码定期修改。
　　（6）禁止Windows操作系统系统自动登录到桌面。需要有些服务器需要自动登录然后执行指定的批处理，则在自动登录之后，设置屏保超时时间，设置1分钟超时并锁定屏幕。
　　（7）对于非Active Directory服务器、Exchange服务器、文件共享服务器，关闭IPC共享。关闭139端口（Netbios服务）和445等端口。
　　（8）关闭Windows自动播放功能。在服务器上使用U盘时，使用资源管理器在左侧打开，不要双击打开U盘。
下面一一介绍。
1 在防火墙只开放必要的端口

　　对于OA、ERP、网站等对外提供服务的服务器只开放必要的端口，其他不需要的端口一律关闭。在OA、ERP等对外提供的服务器上，启用操作系统自带的防火墙，并且只开放应用程序端口，例如OA、ERP服务端口。同时在防火墙上创建拒绝策略，禁止文件和打印共享服务的入站连接、出站连接。如果该服务器需要远程管理，例如RDP或SSH，需要在操作系统防火墙入站规则中对远程客户端IP地址进行限制，只允许指定的IP地址连接，如图1所示。


图2 堡垒机
3 备份服务器的管理。

　　对所有的重要数据进行备份，最好是定期做离线备份。出了问题，备份就是用来救命的东西。备份服务器管理策略建议：
　　（1）进入策略：不建议通过远程方式管理备份服务器，尤其是不建议使用远程桌面、SSH方式登录服务器，这台服务器也不对外提供共享文件夹服务。建议在控制台登录。
　　（2）对外访问策略：只允许备份服务器（例如服务器A）访问需要被备份的服务器，例如vCenter、ESXi主机和Hyper-V主机。如果要备份物理服务器（例如服务器B），也只允许备份服务器A访问物理服务器B，不允许B访问A。
（3）定期检查，检查备份是否工作，备份是否成功。对于备份服务器，最长的间隔时间不超过1周。
4 做好重要服务器系统与数据备份

　　不管多好的安全产品、多好的安全制度，总是有漏洞。在企业网络中增加安全产品、减少安全漏洞但无法绝对的避免病毒感染，此时备份就是最后一道安全的保证。
　　对于企业重要的服务器做好系统与数据的备份。要避免备份服务器感染病毒。做好对备份数据的保存和二次备份。如果备份系统与其他服务器一同感染病毒并且数据被加密，此时备份的数据也失去了备份的意义。如果网络中服务器是Windows操作系统比较多，建议使用运行在非Windows操作系统中的备份软件，例如可以使用Linux版本的NBU备份软件，如图3所示。


　　图4 复制的虚拟机


　　图6 选中所有规则
　　（2）在“操作”对话框中选择“阻止连接”，配置之后如图7所示。


图8 创建之后
6 修改远程桌面服务端口

　　远程桌面默认端口是TCP的3389，建议修改此端口，例如将TCP的3389修改为30020，主要步骤如下。
　　（1）运行 regedit 进入注册表编辑器，修改以下两处
　　\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，右击PortNumber，选择修改，默认端口为3389，修改为 30020
　　（2）修改第二处，进入
　　\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，同上，设置为同样的端口：30020
　　（3）修改防火墙配置，开启入站，允许TCP的30020。
（4）然后重新启动服务器。
7 使用普通用户远程登录服务器

　　在默认情况下，Windows 操作系统允许administrators和Remote Desktop Users用户组的账户使用远程桌面方式登录，可以修改服务器本地安全策略，在“安全设置→本地策略→用户权限分配”中，修改“允许通过远程桌面服务登录”，删除administrators和Remote Desktop Users用户组，添加指定用户登录，例如指定一个普通权限账户（例如w1），只允许这个普通账户登录，如图9所示。


　　图10 以其他用户身份运行
　　＝＝＝＝＝＝＝＝＝＝＝
　　最新图书
　　VMware Horizon虚拟桌面应用指南
　　https://item.jd.com/13038424.html
　　VMware vSAN超融合企业应用实战
　　https://item.jd.com/12842654.html
　　VMware vSphere 6.5企业运维实战
　　https://item.jd.com/12329944.html
　　==========视频==================
　　VMware ESXi与vCenter Server安装与升级实验视频课程
　　https://edu.51cto.com/sd/e1e6b
　　使用NVIDIA RTX8000配置GPU的虚拟桌面
　　https://edu.51cto.com/sd/952a9
　　VMware vSphere 6.7虚拟化入门视频课程
　　https://edu.51cto.com/sd/22fe0
　　VMware vSAN 6.7实战演练
　　https://edu.51cto.com/sd/c6449
　　深入学习VMware Horizon View7虚拟桌面
　　https://edu.51cto.com/sd/225f2
　　中小企业vSphere虚拟化数据中心规划设计与产品选型
　　https://edu.51cto.com/sd/04e53
　　VMware服务器虚拟化提高篇之虚拟化基础架构配置视频课程
　　https://edu.51cto.com/sd/b9594
　　忘记VMware ESXi与vCenter Server密码的解决方法视频教程
https://edu.51cto.com/sd/993e5