无忧启动论坛

 找回密码
 注册
搜索
最纯净的「微PE装机优盘」UEPON大师作品系统gho:最纯净好用系统下载站数据恢复、数据保护、视频编辑
Win To Go 极致利器(IXUNCIS固态U盘)虚位以待广告联系 QQ:184822951 微信:wuyouceo
楼主: lhc0688

[讨论] 勒索病毒的系统因素

    [复制链接]
发表于 2019-8-5 11:00:30 | 显示全部楼层
本帖最后由 liuzhaoyzz 于 2019-8-5 11:07 编辑
懒精灵 发表于 2019-8-5 08:25
所以要保持administrator账户默认禁用


        默认administrator禁用对于WIN7可以,但是对于WIN10来说不太现实,因为自己新建的administrators组的用户,看起来也算是管理员,但是与内置administrator超管比起来,权限还是低很多,如果用内置administrator,系统不会有太多权限问题,win10的ACL权限太烦人了,还是超管用户爽啊。勒索病毒补丁可能有一定的作用,就好像疫苗一样,但是还有更多的病毒变种可能会突破已知的疫苗,而且变种发展速度很快,远远超越疫苗的发展速度,但是疫苗也有一定的作用,就这样。
        勒索病毒确实很恐怖,就像中了之后电脑所有资料一夜回到解放前。是比较致命的病毒,对于办公的电脑还是要注意点。
        楼主所用的LTSB2016打了勒索病毒补丁没有?
回复

使用道具 举报

发表于 2019-8-5 11:08:09 | 显示全部楼层
liuzhaoyzz 发表于 2019-8-5 06:18
微软的远程桌面确实是个漏洞,administrator空密码被作为“肉鸡”扫描到之后,可以远程执行病毒代码 ...


我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使保留,也是可以选择禁用的,如果担心因远程桌面服务中毒,而本身又不需要这个功能,那完全可以自主选择禁用服务。
2、远程桌面服务可能有些人用不上,但对有用的人来说,是个很重要的系统功能,第三方软件大多数场景下都没有系统自带的更方便好用。
3、这2种需求比较来说,对第1种不需要远程桌面服务的需求来说,即使保留这个功能,无论是封装时设为默认禁止还是后期手动禁止服务,都可以达到与完全去掉这个服务相当的安全效果。而对第2中需求来说,一旦去掉这个服务,从目前发布的各种版本来看,不是补几个文件就行的,几乎都没法修复这个功能,对这种需求来说,这种精简系统就只能舍弃。
4、所以,建议做精简系统时,还是保留远程桌面服务,你可以设为默认禁止服务,来达到所需要的默认安全效果,而不是完全去掉。
5、精简系统用途有很大一部分是用于不用经常更新或使用功能确定的用途,就希望放着那一般不用去动,例如HTPC或下载机或家庭文件共享专用机等,复杂的操作和更新内容通过远程桌面可以很方便的完成,所以这个功能是很必要的。

点评

不能太小看病毒的能力,病毒能够做到很多难以想象的事情,什么意思呢?你能够手工开启关闭远程桌面服务,难道病毒就不能开启了吗?只要获得了administrator远程执行的权限,开启关闭服务不就是一个命令而已  详情 回复 发表于 2019-8-5 13:18
并非怪罪远程桌面功能,是说这五种设置同时存在,则安全性为0,我也说了单独只是空密码或使用远程桌面并不一定导致中毒。不过从安全角度讲,这5个使用习惯都是安全隐患,如果没有很必要的需求,尽量不要开启。  详情 回复 发表于 2019-8-5 11:39
回复

使用道具 举报

发表于 2019-8-5 11:20:02 | 显示全部楼层
另外自从蠕虫病毒之后,windows系统的默认安全策略很早就禁止了空密码的网络登录,如果你不手动修改这个安全策略的话,空密码账户是无法从网络访问的。
有1个例外情况是,目前测试了几个封装系统,如果是首次安装后识别新硬件的启动,这个时候空密码是可以从网络访问的,估计是因为首次安装启动识别新硬件,安全策略服务等刚配置完成并没有生效。不过第2次启动后就无法空密码从网络访问了。

也就是说现在的windows系统本身基本是没有空密码访问容易中毒这个情况了,如果你自己去设定了空密码,并又取消了这个系统安全策略,反过来怪空密码导致远程桌面服务不安全或SMB服务不安全,岂不可笑。
回复

使用道具 举报

发表于 2019-8-5 11:28:16 | 显示全部楼层
管理员我基本不用空密码
回复

使用道具 举报

 楼主| 发表于 2019-8-5 11:39:14 | 显示全部楼层
emutemp 发表于 2019-8-5 11:08
我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使 ...

并非怪罪远程桌面功能,是说这五种设置同时存在,则安全性为0,我也说了单独只是空密码或使用远程桌面并不一定导致中毒。不过从安全角度讲,这5个使用习惯都是安全隐患,如果没有很必要的需求,尽量不要开启。
回复

使用道具 举报

发表于 2019-8-5 11:46:13 | 显示全部楼层
关闭默认共享,关闭远程桌面
回复

使用道具 举报

发表于 2019-8-5 13:18:25 来自手机 | 显示全部楼层
emutemp 发表于 2019-8-5 11:08
我觉得把精简系统是否保留远程桌面和是否应去掉远程桌面防止中毒完全是2个概念。
1、远程桌面服务即使 ...

        不能太小看病毒的能力,病毒能够做到很多难以想象的事情,什么意思呢?你能够手工开启关闭远程桌面服务,难道病毒就不能开启了吗?只要获得了administrator远程执行的权限,开启关闭服务不就是一个命令而已?病毒都是以某一个漏洞为桥头堡,通过漏洞一步步获取越来越大的可执行权限,单独从隐患大小来讲,彻底精简远程桌面组件当然更加安全,至于你说到的远程桌面本身好用,不过是个习惯罢了,没有他照样有很多了替代软件,至少它不具备唯一性。做系统精简的也会考虑大众用户的需求,作者有选择权,用户当然也有选择权,双向选择,取舍问题罢了。

点评

这个逻辑很难理解,在已经中毒的情况下,再谈安全有意义吗? 并且很多木马自身就能远程控制,是否有这个远程桌面已经不是关键了。 安全是管好每个入口,防止别人非法进来,而不是讨论别人通过某个有漏洞的门进  详情 回复 发表于 2019-8-5 13:57
回复

使用道具 举报

发表于 2019-8-5 13:57:07 | 显示全部楼层
本帖最后由 emutemp 于 2019-8-5 14:02 编辑
liuzhaoyzz 发表于 2019-8-5 13:18
不能太小看病毒的能力,病毒能够做到很多难以想象的事情,什么意思呢?你能够手工开启关闭远程桌 ...


这个逻辑很难理解,在已经中毒的情况下,再谈安全有意义吗?

并且很多木马自身就能远程控制,是否有这个远程桌面已经不是关键了,实际上如果仅仅是为了非法获取数据或者上传数据,选择任何其它的通讯方式都比远程桌面这种通过鼠标键盘操作的方式更高效。

安全是管好每个入口,防止别人非法进来,而不是讨论别人通过某个有漏洞的门进来后,怎么去防止别人从内部再把其它关着的门打开。
回复

使用道具 举报

发表于 2019-8-5 14:04:55 | 显示全部楼层
本帖最后由 liuzhaoyzz 于 2019-8-5 14:59 编辑

        你理解的有问题。能够获取administrator的执行权限,并非已经中了病毒,获取到administrator权限之后,还要很多其他条件具备才会感染病毒。远程桌面放大了执行权限漏洞。你在网上用“勒索病毒 远程桌面”为关键字搜索下就知道怎么回事了,有很多人有分析的。

        另外很多人说到administrator密码为空的问题,看了勒索病毒的攻击过程,如果系统有永恒之蓝漏洞,即使administrator不是空白,也很容易被入侵,因为病毒利用的是系统漏洞拿到了system执行权限,高于administrator权限,扫描administrator为空的电脑,是认为这样的电脑防护力较差,比如没有打勒索补丁,打了补丁肯定有一定的防范作用,但不能全部防范,病毒是不断进化的,用administrator密码为空这一条来判定系统不安全,不全面。

点评

1、在windows的安全更新里面,所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新,是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。 2、安全是有代价的,所以安全要与需求  详情 回复 发表于 2019-8-5 14:59
1、在windows的安全更新里面,所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新,是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。 2、安全是有代价的,所以安全要与需求  详情 回复 发表于 2019-8-5 14:59
1、在windows的安全更新里面,所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新,是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。 2、安全是有代价的,所以安全要与需求  详情 回复 发表于 2019-8-5 14:58
回复

使用道具 举报

发表于 2019-8-5 14:58:47 | 显示全部楼层
liuzhaoyzz 发表于 2019-8-5 14:04
你理解的有问题。能够获取administrator的执行权限,并非已经中了病毒,获取到administrator权限之 ...

1、在windows的安全更新里面,所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新,是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。
2、安全是有代价的,所以安全要与需求的级别相对应。对大型网络来说,不同应用域之间是不同的安全域,同一应用域中不同的应用是不同的安全域,多用户系统中同一服务器的不同用户是不同的安全域。但对普通的个人用户来说,就两个安全域,从电脑个体来说,是系统外与系统内两个不同的安全域,扩展到网络,那就是家庭局域网和公网是两个不同的安全域,没有再在系统内在划分安全域的。安全的核心是在安全域边界做好控制,而不是在安全域内部进行控制。
3、精简系统的定位应该是普通个人用户的日常使用,安全级别够用就行,而不是大型网络重要服务器的绝对安全。个人用户的使用应该是简单,方便,好用,再加上相对安全,这个相对安全我认为是把公开已知的重要安全漏洞补丁打好就行,而不要去追求预防可能存在的未知漏洞的绝对安全,并且这个级别的安全不是光靠操作系统就能做到的,至少必须加上网络层的控制过滤。
4、为了有限的,效果难以估计的安全性提升,而牺牲影响更大的方便性,好用性,对精简系统的功能定位来说,似乎不太相符。
5、举个不恰当的例子,就如Intel的CPU漏洞补丁,在明知有性能损失的情况下,而且这个漏洞的影响对个人用户来说价值几乎就是0,那么作为个人日常使用的精简系统,愿意为这点安全性能提升打这个补丁的人,应该是极少的。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2020-9-23 11:23

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表