简化和优化您的补丁管理
许多攻击机制针对未打补丁的系统。因此，无论您的网络是否对公众开放，您都应该定期更新您的操作系统和应用程序。虽然这个提议是陈词滥调，但它也从另一个角度说明了该提案的重要性。
对于Windows系统，使用Windows Server进行更新服务非常简单有效。使用WSUS部署更新时，WSUS易于设置，可以设置为自动或手动模式，使用第三方软件管理更新有点不可靠。
查看默认密码
目前确认的数据泄露与密码密码丢失，密码密码安全性太低或默认密码没有变化有关，因此这个建议非常重要。当用户首次使用该设备时，应首先修改默认出厂密码。如果未设置密码，则应首先设置密码，但人们通常会忽略这些密钥保护方法。攻击者使用这些无意攻击，因为可以在网络上找到一般的工厂默认密码。攻击者可以使用网络设备（例如交换机和接入点上的默认密码）来重定向流量，执行中间人攻击或对网络基础架构执行拒绝服务攻击。更糟糕的是，内部系统使用的Web控制台通常在包含敏感业务数据或系统配置的应用程序中使用默认密码。攻击者可以使用网络钓鱼和常见恶意软件攻击媒介来绕过安全性。
加强内部保护，特别是供应链攻击
内部攻击有两种类型，一种是内部人员故意执行的恶意行为，另一种是供应链攻击的被动攻击行为。
在过去两年中，供应链攻击已成为最大的网络威胁。供应链攻击有多种形式。可能会对合作伙伴公司的员工进行网络钓鱼以获取公司的登录凭据，例如近年来两次最重要的数据泄露：美国零售商Target和美国办事处（OPM）数据泄露，登录凭证被盗由合作伙伴公司。也可能将恶意软件植入合法软件，例如着名的NotPetya勒索软件，这是由流行的乌克兰会计软件M.E.Doc感染引起的。英国国家网络安全中心（NCSC）总结了供应链攻击如下：如果做得好，供应链攻击很难被发现，有时甚至无法发现。网络监控可以检测异常或可疑行为，但仍难以确定是否故意引入安全漏洞（可能是后门），开发人员或制造商的无意疏忽，或者事实上是为了证明潜在的访问凭证是利用。它是。
使用LAPS管理本地管理员密码
在2015年中期，Microsoft发布了一个解决此问题的工具，即本地管理员密码解决方案（LAPS）。此方案将本地管理员密码存储在LDAP上，作为计算机帐户的机密属性。与GPO一起，它会自动并定期更改密码，设置密码长度，强度等。更重要的是，该方案可以使用密码作为计算机帐户属性。存储在Active Directory中。 ACL可以锁定属性“ms-Mcs-AdmPwd”，以确保只有经过批准的用户（如控制台和系统管理员）才能查看密码。 LAPS还包括PowerShell模块和后端客户端，LAPS UI以简化管理和检索过程。
LAPS非常快速且易于实施。它只需要系统管理员创建定义密码策略和本地帐户名称的GPO。您可以将单个文件AdmPwd.dll直接添加到Windows。
在保护漏洞时要注意关键细节
攻击者使用此信息来制定攻击策略，例如内部IP地址，敏感文件的本地路径，服务器名称和文件共享。通过此信息，您可以推断出其他操作环境特征，并帮助攻击者更清楚地了解您的操作环境。通常，用户将看到错误消息的详细原因很少。
禁用LLMNR和NetBIOS名称解析
链路本地多播名称解析（LLMNR）和NetBIOS名称服务（NBT-NS）都可能导致域名在启用时被快速攻击。当初始DNS查找失败并且默认启用时，这些协议最常用于查找请求的主机。在大多数网络中，由于存在DNS，LLMNR和NetBIOS名称解析根本不是必需的。例如，当向无法找到的主机发出请求时，尝试访问\\ dc-01的用户打算输入\\ dc01，LLMNR和NBT-NS将发送广播以查找主机。此时，攻击者将侦听LLMNR和NetBIOS广播，假装是用户（客户端）想要访问的目标设备，以便用户可以移交相应的登录凭据。接受连接后，攻击者可以使用Responder.py或Metasploit等工具将请求转发给执行身份验证过程的恶意服务（例如SMB TCP：137）。在身份验证过程中，用户将用于身份验证的NTLMv2哈希值发送到流氓服务器。此哈希值将保存到磁盘，然后您可以使用Hashcat或John Ripper（TJR）等工具脱机。破解，或直接用于传递哈希攻击。由于通常不需要这些服务，因此最简单的方法是完全禁用它们。每个人都可以按照计算机配置 - >
策略 - >
管理模板 - >
网络 - >
DNS客户端 - >
关闭多播名称解析以修改组策略并禁用LLMNR。
禁用NetBIOS名称解析并不是一件容易的事，因为我们必须手动禁用每个网络适配器中的“启用TCP/IP NetBIOS”选项。
检查当前帐户是否具有管理员权限
当攻击者控制帐户时，他或她将尽一切可能获得设备的管理权限。例如，用户有时会对某种访问进行临时访问，但在访问之后，用户有时会忘记访问该帐户。删除或监控，以便黑客使用它。根据实际监控，很少有用户会删除这些临时访问权限。
具有域管理员或企业管理员凭据的帐户应受到高度限制，例如仅登录到域控制器，具有这些权限的帐户不应再登录到其他系统。在这里，我们建议您可以根据不同的管理功能为每个帐户设置不同的管理帐户，例如“工作站管理”和“服务器管理”组，以便每个管理员都无权访问整个域。这有助于保护整个域的权限。
检查您的网络设备是否受到及时攻击
如果您已登陆https://www.shodan.io网站，您将会对所暴露的敏感漏洞和服务感到震惊。与Google不同，Shodan不会在网上搜索，而是直接访问互联网。 Shodan可以说是一个“黑暗”的谷歌，不断寻找与互联网相关的所有服务器，相机，打印机，路由器等。每个月，Shodan都会在大约5亿台服务器上全天候收集信息。
如果不需要，请勿将设备连接到网络
如果您不需要将设备连接到Internet，但需要知道网络上的哪些型号受到攻击，建议您尝试使用端口扫描王—— nmap进行扫描。端口扫描是指一些别有用心的人。发送一组端口扫描消息，试图入侵计算机并了解它提供的计算机网络服务的类型（这些网络服务都与端口号相关），但端口扫描不仅可以被黑客使用，还可以用于黑客也可以通过端口扫描或网络为安全工作者提供必要的工具，通过扫描端口，了解网站中的漏洞和端口的开放。例如，像“nmap -sV -Pn -top-ports 10000像1.2.3.4/24这样的简单扫描“允许我们快速了解攻击者可能看到的内容，并使用Shodan和Censys.io等工具自动搜索它。
尝试使用专有的设备管理网络
虽然扁平网络易于管理和使用，但攻击者攻击也非常方便。因此，为了加强设备的管理和安全防护，目前主流厂商销售的大多数服务器都使用专用硬件模块或专用远程管理卡来提供管理接口，并通过专用数据通道远程维护和管理设备。独立于设备操作系统，甚至可以在设备断电时对其进行远程监控和管理。
渗透测试
虽然执行渗透测试的成本可能很高，但我仍然觉得有必要为大型组织执行此操作。例如，当公司执行网络安全检测时，它可能更喜欢或使用某种方法。随着时间的推移，它将形成一种定性思维，忽略一些潜在的问题或某些类型的问题。聘请安全专家模拟攻击者攻击组织的行为将为您提供不同的防御并及时与最新的安全趋势进行交互。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 5G和AI将带来哪些新机遇？

• 分享到：