别让勒索病毒从内部蔓延
前几天邻居老李家的电脑中了勒索病毒,整个公司局域网里的文件全被加密,最后花了好几千才勉强恢复部分数据。其实问题不只出在杀毒软件上,更关键的是——压根没做访问控制。
很多人以为装个杀毒软件就万事大吉,但现在的勒索病毒早就学会“横向移动”了。一台机器中毒,如果不加限制,它能顺着共享文件夹、默认权限,一路爬到财务、人事这些核心部门的服务器。
最小权限原则:别给每个用户开绿灯
最常见的错误就是所有人都是管理员,或者随便谁都能访问\server\data这个共享盘。正确的做法是按需分配权限。比如行政人员不需要读研发代码,实习生也不该碰财务报表。
在Windows环境中,可以通过本地组策略或域控设置用户权限。比如禁止普通用户使用远程桌面连接其他主机,关闭不必要的SMB共享,尤其是C$、ADMIN$这类默认共享。
net share C$ /delete
net share ADMIN$ /delete这条命令可以在确认无必要后关闭系统默认共享。当然,执行前得确保不影响正常运维。
网络分段:把办公室划分成不同区域
就像小区有门禁和楼栋锁一样,内网也得分区。财务部、研发部、访客Wi-Fi应该在不同的子网里,中间用防火墙规则隔开。即使前台接待用的电脑中毒,病毒也很难跳到核心业务网络。
家用路由器也能简单实现隔离。比如你家里有智能摄像头、孩子的平板,还有工作用的笔记本,可以启用“访客网络”功能,把这些设备分开。企业环境则建议使用VLAN+ACL来细化控制。
关掉445端口,除非你真需要它
SMB协议走的就是445端口,WannaCry就是靠这个端口到处传染。如果你不是专门做文件共享,这端口完全可以关掉。
netsh advfirewall firewall add rule name="Block TCP 445" dir=in action=block protocol=TCP localport=445
netsh advfirewall firewall add rule name="Block UDP 445" dir=in action=block protocol=UDP localport=445这两条命令会阻止外部通过445端口连入你的电脑。如果公司确实要用共享文件夹,那就只对特定IP开放,而不是全网放行。
定期检查谁在访问什么
有时候权限是一步步失控的。一开始只是临时给某人开了个读取权限,结果一年都没收回。建议每个月导出一次共享文件夹的访问列表,看看有没有异常账号。
在服务器上运行这条命令可以查看当前有哪些连接:
net session如果看到陌生IP或用户名,就得查一查是不是有人违规接入,或者已经被植入恶意进程。
访问控制不是一次性设置完就高枕无忧的事。它像家里的防盗门锁,得时常检查有没有松动,钥匙有没有交给不该给的人。病毒不怕杀毒软件,但它怕被卡在门口进不来。