Windows网络做到这几点，再牛逼的勒索软件也拿你没方法

知名汽车制造商本田近日收到勒索软件袭击，其客户服务以及金融服务均受到不同程度影响。有安全公司对此次勒索软件袭击事件进行了调查，依据在VirusTotal数据库中发现的样本显示，该公司似乎已经成为Snake勒索软件的袭击目标。通过这一事件，咱们可以进行一些思考，用户应当怎么更好地维护Windows网络免受勒索软件袭击。

依据安全专家介绍，该歹意软件是通过一个名为nmon.bat的文件发起的。调用扩大名为.bat的歹意文件象征着警报工具将看到网络中使用了脚本或批处理文件。在许多环境中，这将是一个被允许的文件。文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

袭击者使用了一个名为KB3020369.exe的文件进行袭击。这颇有趣，由于微软知识库号3020369是用于Windows 7服务栈补钉的。然而，实际补钉的文件名不是KB3020369.exe,而是Windows6.1-KB3020369-x64.msu。袭击者将歹意文件命名为一种模式，在技术专业人员眼前进行暗藏。文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

Snake勒索软件从受沾染的系统中移除了卷影副本，然后杀死与虚拟机、工业节制系统、远程管理工具以及网络管理软件相关的过程。第三方钻研人员在一份袭击分析讲演中指出，袭击序列是为了解决本田域内的域。这表明袭击者的目标是本田网络。文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

袭击者常常会选择薄弱环节下手，那就是人员。他们会暗藏在网络中，直到他们筹备好袭击，这个进程也许长达数月之久。这还不包含袭击者在网络基础设施上进行侦查所花费的时间。文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

以本田遭遇的勒索软件为案例，用户该怎么更好地维护Windows网络:文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

注意未授权的工具、脚本以及组策略设置文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

网络安全专家介绍，有些袭击是使用了一个预定的任务。用户可以在事件日志中查看相似的未经授权的活动。依照下列步骤检查本机Windows事件日志:文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

1、运行eventvwr.msc文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

2、进入“Windows日志”。文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

3、右键单击“安全日志”，然后单击选择“属性”。文章源自微观生活（93wg.com）微观生活-https://93wg.com/13093.html

4、确保选择了“启用日志记录(Enable logging)”。

5、将日志大小增添到至少1 GB。

6、查谋事件4698事件ID以查找最新的规划任务。

您可以设置一个PowerShell任务，以便在创立以及运行新的规划任务时发送电子邮件通知。您可能需要第三方SMTP服务(如smtp2go.com)来设置警报。另外您可使用其他办法来设置通知，或者查看您的审计软件是不是提供这样的内置服务。

辨认容易受到钓鱼袭击的员工

给关键用户(尤其是域管理员)的有趣的自定义电子邮件可以为袭击者提供进入网络内部的途径。特别是在家办公，象征着使用更多的远程走访技术。相比操作系统的漏洞，标识符是2020年容易实现的目标。

检查您提供给关键员工的许可以及工具。用户可以在公司内部混合以及匹配Microsoft 365许可，以便不是每一个人都需要使用相同的许可或相同级别的维护。回顾包括高档要挟防护(ATP)的Microsoft 365 E5许可证的需求，该服务最近在启用ATP的机器中包括了UEFI歹意软件检测器。正如微软最近指出的，“新的UEFI扫描器在运行时通过与主板芯片组交互读取固件文件系统。“Microsoft Defender ATP也提供了一个可执行的操作列表:

检查组策略域以及脚

袭击者通常会从管理员用来管理网络的位置发起袭击。花点时间来验证您保留的文件以及脚本位置。检查添加到用于管理的文件夹中的任何新文件。检查文件夹的适量权限，以确保只有经由授权的用户才能添加或调剂这些管理脚本。

对特权帐户使用多因素身份验证

最为重要的是，要确保域管理员在需要远程走访时启用了多因素身份验证(MFA)。同时也为Microsoft 365帐户启用MFA。检查你的网络中在什么位置使用了哪些账号。

查看备份策略

具有一个优良的备份，你可以恢复被勒索软件锁定的文件且无需支付赎金。按期进行自动备份，并确保备份受到维护。执行备份进程的用户帐户不应与登录的用户相同。最后，在你的旋转中有一个离线备份进程，这样媒体就能够离线或离线，避免袭击者删除了备份文件。再次强调:具有备份是从勒索软件袭击中恢复的关键。

以上就是微观生活（93wg.com）关于“Windows网络做到这几点，再牛逼的勒索软件也拿你没方法”的详细内容，希望对大家有所帮助！