无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
12
返回列表 发新帖
楼主: lhc0688

[讨论] 勒索病毒的系统因素

    [复制链接]
发表于 2019-8-5 14:59:24 | 显示全部楼层
liuzhaoyzz 发表于 2019-8-5 14:04
你理解的有问题。能够获取administrator的执行权限,并非已经中了病毒,获取到administrator权限之 ...

1、在windows的安全更新里面,所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新,是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。
2、安全是有代价的,所以安全要与需求的级别相对应。对大型网络来说,不同应用域之间是不同的安全域,同一应用域中不同的应用是不同的安全域,多用户系统中同一服务器的不同用户是不同的安全域。但对普通的个人用户来说,就两个安全域,从电脑个体来说,是系统外与系统内两个不同的安全域,扩展到网络,那就是家庭局域网和公网是两个不同的安全域,没有再在系统内在划分安全域的。安全的核心是在安全域边界做好控制,而不是在安全域内部进行控制。
3、精简系统的定位应该是普通个人用户的日常使用,安全级别够用就行,而不是大型网络重要服务器的绝对安全。个人用户的使用应该是简单,方便,好用,再加上相对安全,这个相对安全我认为是把公开已知的重要安全漏洞补丁打好就行,而不要去追求预防可能存在的未知漏洞的绝对安全,并且这个级别的安全不是光靠操作系统就能做到的,至少必须加上网络层的控制过滤。
4、为了有限的,效果难以估计的安全性提升,而牺牲影响更大的方便性,好用性,对精简系统的功能定位来说,似乎不太相符。
5、举个不恰当的例子,就如Intel的CPU漏洞补丁,在明知有性能损失的情况下,而且这个漏洞的影响对个人用户来说价值几乎就是0,那么作为个人日常使用的精简系统,愿意为这点安全性能提升打这个补丁的人,应该是极少的。
回复

使用道具 举报

发表于 2019-8-5 14:59:31 | 显示全部楼层
liuzhaoyzz 发表于 2019-8-5 14:04
你理解的有问题。能够获取administrator的执行权限,并非已经中了病毒,获取到administrator权限之 ...

1、在windows的安全更新里面,所有具有执行权限提升或远程执行权限的漏洞都是属于关键安全更新,是需要马上打上补丁的。有没有远程桌面对安全的影响不过是50步与100步的区别。
2、安全是有代价的,所以安全要与需求的级别相对应。对大型网络来说,不同应用域之间是不同的安全域,同一应用域中不同的应用是不同的安全域,多用户系统中同一服务器的不同用户是不同的安全域。但对普通的个人用户来说,就两个安全域,从电脑个体来说,是系统外与系统内两个不同的安全域,扩展到网络,那就是家庭局域网和公网是两个不同的安全域,没有再在系统内在划分安全域的。安全的核心是在安全域边界做好控制,而不是在安全域内部进行控制。
3、精简系统的定位应该是普通个人用户的日常使用,安全级别够用就行,而不是大型网络重要服务器的绝对安全。个人用户的使用应该是简单,方便,好用,再加上相对安全,这个相对安全我认为是把公开已知的重要安全漏洞补丁打好就行,而不要去追求预防可能存在的未知漏洞的绝对安全,并且这个级别的安全不是光靠操作系统就能做到的,至少必须加上网络层的控制过滤。
4、为了有限的,效果难以估计的安全性提升,而牺牲影响更大的方便性,好用性,对精简系统的功能定位来说,似乎不太相符。
5、举个不恰当的例子,就如Intel的CPU漏洞补丁,在明知有性能损失的情况下,而且这个漏洞的影响对个人用户来说价值几乎就是0,那么作为个人日常使用的精简系统,愿意为这点安全性能提升打这个补丁的人,应该是极少的。

点评

膜拜大佬!  发表于 2019-8-6 19:05
回复

使用道具 举报

发表于 2019-8-5 15:05:00 来自手机 | 显示全部楼层
本帖最后由 liuzhaoyzz 于 2019-8-5 15:09 编辑

       你这段辩论很精彩,说的很到位!特别是第3-5条,说的很有道理,我认同你的观点。确实是这个样子,CPU漏洞补丁确实没有人主动打上去,很多是被动打上去的。
回复

使用道具 举报

发表于 2019-8-5 15:25:42 | 显示全部楼层
无论是勒索病毒,永恒之蓝,预防的前提就是必须打远程桌面服务和SMB服务的几个安全更新补丁,这跟密码是否为空无关,不打这几个补丁,你再长的密码也没用。
相应的是,打了这几个补丁,病毒再怎么变种也没用,变种变的只是发作后的效果,利用的漏洞堵上了,他们就没有进入系统的机会。

你可以看看关于这几个安全更新的说明,里面也提到了临时处置措施可以是关闭这几个服务,根本处理办法还是要打补丁。打了补丁后这几个服务就不受这个漏洞影响了。

同样可以说,这次是这2个服务爆出漏洞,如果不是这两个服务呢,比如其它的重要系统服务,这次可以说这2个服务对你的使用来说不重要,可以选择直接去掉,而不是选择打补丁方式,如果再有其它重要系统服务出漏洞,也能选择不打补丁,直接去掉那些服务吗?
回复

使用道具 举报

 楼主| 发表于 2019-8-5 17:02:32 | 显示全部楼层
emutemp朋友的分析非常专业并且很客观。

1、首先安全防护措施上,完善底层修复(厂家提供的针对补丁)一定还是首选,其次是尽可能采用安全的操作方式。安全补丁升级类似于加固城堡,但不安全的操作相当于打开城门撤掉卫兵。就我个人案例而言,系统补丁是到2018年11月(1607服务周期结束到2018年11月前),我觉得就本案例而言安全漏洞层级为:
1)、开启路由器DMZ,将防护能力薄弱的个人主机直接至于公网之上,绝大多数客户这项完全没必要;
2)、长期开机无人值守,勒索病毒虽然非常厉害,但其破坏过程却需要一定时间(而且是先从系统用户文件夹内的文件开始破坏),只要发现电脑cpu、硬盘高占用运行、文件夹内生成异常文件,马上关机即可制止其破坏;
3)、同时开启admin账号空秘密+smb1共享+远程桌面;
前两个是打开城门撤掉卫兵,第三项是给敌人提供攻城兵器。

2、安全性跟易用性选择上,这点非常赞同emutemp的论点。的确,明知系统内置账号+空秘密不安全,为什么还有这么多人选择这样,大部分精简系统也是采用这种方式,存在即有合理:
1)、个人电脑大多只本人使用,一个账号,使用内置高权限账户,无密码直接启动就进入桌面;
2)、系统优化设置很多是跟随用户的,做精简时候统一使用admin,可以达到统一的优化效果;
3)、无人值守的HTPC,有时需要远程重启,有登录密码则不能进入桌面,需要另行设置;
4)、smb1局域网共享,虽然多数电脑尽个人使用,但仍有较大部分对访问局域网共享文件有需求(如打印机共享等),如无查看局域网列表,和非admin+空密码,每次新连接都可能需要技术人员协助指导;

所以,我非常赞同安全性与方便性平衡,不能过于强调一方,我用过tor浏览器,这个应该是个人用户安全上考虑的非常高的了,但检测测试安全分大多也在60分之下,如果要更安全,包括中转次数、目的网站类型等等都要限制,最终就是使用范围缩小速度降低。

所以,绝大多数个人用户能达到基本的安全就可以了,尽量补上最新安全补丁,不开DMZ,如果没必要则关闭远程桌面。

最后,个人觉得造成破坏最多的,反倒是哪些大量国产软件特别是各种音视频网站软件还有各种盾、霸、数字等等。
回复

使用道具 举报

发表于 2019-8-5 18:58:40 | 显示全部楼层
本帖最后由 emutemp 于 2019-8-5 19:00 编辑

有几点不同意见:
1、内置帐号+空密码不等于不安全,而是内置帐号+空密码+允许空密码从网络访问,这才是不安全的,大部分精简系统虽然使用了空密码,但是默认的安全策略是禁止空密码从网络访问的,安全性并没有降低,除非手动修改禁止掉这条策略。
2、为了使用方便如免密自动登录桌面,局域网免输入密码,等等,而使用空密码,这不是好的解决办法,其实有其它方法可以达到类似的安全效果,而且不用过多降低安全性,不用增加使用复杂度。
一、有密码自动登录桌面。使用control userpasswords2,取消“必须输入密码”,设定默认登录帐号和密码,这样有密码时系统启动时同样可以自动登录到桌面;
二、局域网共享,只要局域网中的电脑使用同样的用户名和同样的密码,访问共享时默认会用当前的用户名和密码做认证,这样同样不用输入密码。
三、对密码不同或用户名不同的局域网共享,通过增加一个快捷方式net use \\192.168.1.1\d$ /user:administrator /pass:password的方式也可以很方便的访问。

只是为了登录方便或者SMB访问方便,使用空密码不是很好的方式,即使使用统一用户名和密码也比这样要安全,且并不增加使用时的方便性。
老实说,对于使用管理员权限账户+空密码+允许空密码从网络访问,对于这种情况,我认为完全没有跟其谈安全的必要,你大门都敞开在那,谈其它几个小门有没有关紧有什么意义。
除非你只对家庭局域网和公网两个安全域进行划分,在公网到内网的接口这里做好了足够的安全防范,那么从内部局域网到计算机之间不做防范也不是不行。不过,如果这样的话,远程桌面这个服务有没有对安全性又有何影响?

点评

谢谢!受益匪浅。  发表于 2019-8-5 23:13
回复

使用道具 举报

发表于 2019-8-6 19:02:30 | 显示全部楼层
哈哈,很久很久没看见技术贴子了!!!前人栽树后人乘凉,感谢大佬无私分享奉献的精神!
回复

使用道具 举报

发表于 2019-8-7 10:35:56 | 显示全部楼层
好历害的毒
回复

使用道具 举报

发表于 2019-8-7 11:00:28 | 显示全部楼层
很精彩的讨论,受教了
回复

使用道具 举报

发表于 2019-8-7 11:03:01 | 显示全部楼层
反正我就是觉得微软的rdp协议有问题,从来不开远程,并封了共享的端口还没中过
回复

使用道具 举报

发表于 2019-8-7 12:24:44 | 显示全部楼层
本帖最后由 15126222223 于 2019-8-7 12:25 编辑
liuzhaoyzz 发表于 2019-8-5 06:18
微软的远程桌面确实是个漏洞,administrator空密码被作为“肉鸡”扫描到之后,可以远程执行病毒代码 ...


保留administrator账号是非常必要的,但一定要设置密码,这个很必要。我发现一个问题,就是一台电脑共享资料(设置密码),非administrator账号用户根本进不去,我从尝试很多方法没有解决,还有不用administrator账号,维尔指纹仪使用不来,这个问题很束手。其他远程什么,不保留没有问题,网上下载一个mstsc放入system32下就OK了。

点评

别人说的远程桌面是服务端,你说的mstsc是客户端,用于连接并显示服务端用的~~~  详情 回复 发表于 2019-8-12 22:40
回复

使用道具 举报

发表于 2019-8-7 17:04:52 | 显示全部楼层
我想问问LZ 如果这么说 禁用端口有用嘛? 封装系统的人 前提在虚拟机禁用高危端口 可以做到防护?

点评

之前好像未开通dmz,新装ltsb2016后同时开通了dmz,主贴描述可能有误。  发表于 2019-8-7 17:27
其实我对网络安全方面知识欠缺,主贴所述理解可能有误,导致中毒的因素现在分析估计应该是开通了DMZ端口映射,也就是说系统本身admin空密码导致防护为0,原来使用时候未开通DMZ所以未造成中毒,开通后即中毒。  发表于 2019-8-7 17:25
回复

使用道具 举报

发表于 2019-8-8 09:34:29 | 显示全部楼层
裸奔路过
回复

使用道具 举报

发表于 2019-8-12 22:40:25 | 显示全部楼层
15126222223 发表于 2019-8-7 12:24
保留administrator账号是非常必要的,但一定要设置密码,这个很必要。我发现一个问题,就是一台电脑共 ...

别人说的远程桌面是服务端,你说的mstsc是客户端,用于连接并显示服务端用的~~~
回复

使用道具 举报

发表于 2019-8-13 11:18:27 | 显示全部楼层
回复

使用道具 举报

发表于 2019-8-13 11:24:38 | 显示全部楼层
我禁用了administrator,密码也是空 的, 不过应该也没有问题,建议大家新建管理员账户,不要用admin。密码稍微复杂点,基本没问题,常年远程桌面,没任何问题,顺便3389改了,不,必须改,不然有大量的攻击
回复

使用道具 举报

发表于 2019-8-13 11:37:28 | 显示全部楼层
和系统没有任何关系 你的u盘 你的任一个操作都可能中勒索病毒,我就不怕中勒索病毒,我的资料分布在七台电脑上,不同时开机,定期同步
回复

使用道具 举报

发表于 2019-12-10 21:15:38 | 显示全部楼层
无意中翻到这个坟贴,请允许我挖个坟。

我常年开启远程桌面,总共5台服务器,并没有出现任何安全方面的问题。

路由器肯定不用3389端口直接进行映射,administrator账户必须设置复杂密码绝不能空密码,不用administrator工作只用于维护。安全软件方面只用了火绒。
回复

使用道具 举报

发表于 2019-12-10 22:35:31 | 显示全部楼层
零下5度 发表于 2019-12-10 21:15
无意中翻到这个坟贴,请允许我挖个坟。

我常年开启远程桌面,总共5台服务器,并没有出现任何安全方面的 ...

大型机构用火绒进行服务器防户,长姿势了。

评分

参与人数 1无忧币 +5 收起 理由
inoton + 5

查看全部评分

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 19:17

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表