随着微软结束对Windows 7系统的支持,同时也包括结束对Windows Server 2008和Windows Server 2008 R2的技术支持,未来用户将会受到更多针对该类系统的安全威胁。
现在已经到了该认真考虑采取什么措施来威胁的时候了。也许采取这些措施并不一定能使您100%免受攻击,但加强防范之后可能在某种程度上会让攻击者“望而却步”。
1. 保护远程访问和访问管理
MITER发布的ATT&CK框架列出了通常用于管理对服务器和工作站的访问方式和端口。当然,攻击者也清楚这些访问方式,并会揣测您进入网络的方式来作为攻击目标。例如,如果您使用了以下任意端口并将其暴露于互联网,则接下来应当考虑将其关闭、阻止或启用双因素身份验证(2FA)。
SSH (22/TCP)
Telnet (23/TCP)
FTP (21/TCP)
NetBIOS / SMB / Samba (139/TCP & 445/TCP)
LDAP (389/TCP)
Kerberos (88/TCP)
RDP / Terminal Services (3389/TCP)
HTTP/HTTP Management Services (80/TCP & 443/TCP)
MSSQL (1433/TCP)
Oracle (1521/TCP)
MySQL (3306/TCP)
VNC (5900/TCP)
例如,针对远程桌面协议(RDP)的密码喷洒(Password Spraying)攻击是攻击者试图获得访问权限的一种方式。诸如Duo.com之类的第三方平台可以添加2FA,可帮助阻止这些该类攻击。
检查内部传输,例如LDAP(Lightweight Directory Access Protocol,轻型目录访问协议),以确保其设置的安全性。微软近期宣布将在2020年3月强制执行LDAP签名,因此用户应立即查看相关设置,以确保您是否做好了准备。
检查是否需要重置Kerberos密码,特别是如果您认为单位中存在重复使用的凭证,并且在较旧的操作系统中使用域控制器来控制域的。如果您最近淘汰了旧的操作系统(例如Windows Server 2008或Windows Server 2008 R2),则还要为所有读/写域控制器(RWDC)和只读域控制器(RODC)重置密码。
2. 保护凭证:选用更好的密码并加以保护
攻击者用来获得访问权限的一种典型方式是,向用户发送网络钓鱼电子邮件并获得服务器的访问权限。如果网络中存在将本地管理员密码设置成与网络上相同的值,则攻击者可以获得该台计算机的哈希值,并将其利用于整个网络中。您可以通过多种方式来让这种“通过哈希”技术的攻击更难实现。
首先,禁用网络中的LM哈希和NTLMv1。
查看您的密码策略,并确保让员工选择更强壮的密码。请注意,如果要求用户经常更改密码的话,他们往往会选择使用更多不安全的密码,而不是更强的密码。
注意多久更换一次密码。使用密码管理器程序可以选择复杂的密码。查看允许的密码最大长度。如果发现供应商仅提供短密码,那就要询问他们为何阻止您使用更长的密码。
使用LAPS工具包在本地管理员帐户上设置唯一密码,这样可以确保攻击无法在网络中横向移动。
确保在管理员帐户和尽可能多的用户帐户上启用多因素身份验证(MFA)。通常,用户和攻击者之间的距离只有一个密码。这让攻击更加专注于此。最后,通过审核网络中是否保留有哈希值、共享密码或其他不安全设置,检查网络中是否存在未安全设置的帐户。
3.浏览器和电子邮件是新的攻击切入点
用户是整个企业组织防护体系中的薄弱环节。攻击者往往会通过诱骗用户单击非法内容的方式进行渗透。而浏览器和电子邮件作为进入网络的主要入口点,成为攻击者的重要目标。对于电子邮件来说,请注意诸如“ruler”之类的工具的使用,这些工具可能会滥用客户端的Outlook功能并远程获取Shell。为了应对此类攻击,可以使用诸如“notruler”之类的工具进行本地部署,以检查您的Exchange环境是否受到威胁。对于Office 365,可以进行PowerShell审核和检查。
对于浏览器来说,可以查看其安全策略或为用户在浏览器中下载和安装的内容来设置边界。使用组策略或Intune设置对用户在其浏览器中安装的内容进行限制。随着基于Chromium的Edge于2020年1月推出,我们需要预先做好准备,在组策略设置中也能够控制Edge策略。