请允许我先为这个问题奠定基础。
我不是服务器或系统管理方面的专家,但最近我们公司的网络受到了 Emotet 病毒的袭击。
经过几天的研究,我终于能够找出病毒的工作原理并将其从我们网络上的机器中删除。
病毒的一个关键特征是它通过网络从一台机器传播到另一台机器。如果你从一台仍连接到网络的机器上删除该病毒,另一台受感染的机器将再次感染这台干净的机器。
现在来回答这个问题。
以下程序是否是防止此类病毒在网络上传播的有效方法?全部的网络?
如果是这样,通过如下方式更新我们的网络设置可以预见哪些负面结果?
本地白名单 IP 适用于服务器和打印机
非本地白名单 IP 适用于 microsoft.com 之类的网站
1:)阻止所有 PC 上除白名单 IP 之外的每个本地 IP 的出站连接。
(病毒从一台计算机传播到另一台计算机)
2:)阻止所有 PC 上来自每个本地 IP(白名单 IP 除外)的入站连接。
(病毒从一台计算机传播到另一台计算机)
3:)阻止从服务器到每个本地 IP 的出站连接,白名单 IP 除外。
(病毒从服务器跳到计算机)
(这会将病毒隔离在主机和服务器上。)
4:)阻止从服务器到每个非本地 IP 的出站连接,白名单 IP 除外。
(病毒无法与 cnc 服务器通信,但也失去了互联网功能)
5:)阻止来自非本地 IP 的入站连接,白名单 IP 除外。
(病毒无法与 cnc 服务器通信)
据我(尽管有限)理解,这种设置将允许此类病毒从计算机传播到服务器,并且只传播到服务器而不是网络中的每台机器。
我明白这并不防止病毒,而是减轻了病毒造成的损害。
答案1
忘掉所有这些疯狂的事情并做正确的事:
- 不要授予用户管理员权限。
- 保持 UAC 启用。
- 安装带有网页内容过滤器的防火墙。
- 随时了解 Windows 更新。
- 使用组策略禁用 Office 中的宏,或仅允许签名的宏。
- 在所有计算机上安装适当的防病毒/反恶意软件。
答案2
在这个许多有用的服务依赖于云提供商的时代,而 CDN 的白名单 IP 地址完全是一场噩梦。
我思考一般来说,当你必须在企业规模上维护基于主机的防火墙时,这是一个 PITA,但我从未尝试过这样做......
大多数组织确实通过以下方式做了你所建议的一些事情网络分区防火墙保护每个网络段的安全访问。
另一种常见的情况是直接互联网访问受到严格限制或直接被拒绝,用户和应用程序必须使用代理服务器。在代理服务器上将域名和 URL 列入白名单比维护 IP 地址白名单要容易得多。
答案3
有时这些措施可能过于严厉,使员工难以使用网络。他们无法完成工作,因为互联网访问被阻止,这反过来意味着公司投资的资产不再能提高生产力。重新使用铅笔和纸可以解决被病毒感染的风险,但你会失去技术带来的好处。
因此,您需要制定一个策略来确保您能够处理遇到的任何问题,而不会在管理访问和影响生产力方面给自己带来太多工作。
1. 假设您将遭受黑客攻击。
民族国家一直在囤积“零日漏洞”,以便有一天,他们可以随意进入您的系统。防病毒软件不会阻止这些漏洞。它们可能不会做任何事情(只是收集和泄露信息),它们可能会更改特定的键值,或者它们可能会造成很大的破坏(例如,如果您的公司正在离心铀,您可能会发现离心机由于某种奇怪的原因不断发生故障而无法修复……)。
因此,备份将是你的好朋友。你可以在短时间内恢复给定的系统(或所有系统)并单独操作它们(以避免再次感染),直到确定感染源为止。
另外,请将一些可用的备份保留在离线状态。一些勒索软件专门针对可访问的备份,因此您必须为这种情况做好准备。
2. 保持系统最新
“零日漏洞”很有价值,如果观察到这些漏洞并识别出软件中的漏洞,就可以修补它们。因此,坏人只有在必要时才会使用它们,因为它们的用处可能有限。所以他们通常会从更知名的漏洞开始。最简单的应对措施是确保所有软件都是最新版本。
这样做也有缺点 - 即软件制造商通常会收取费用来向客户提供最新版本,因此不更新可能会很诱人。他们还可能停止对正在使用的版本的支持,以便您升级到下一个(更昂贵的)主要版本。
一些解决方法是让旧版软件在强化的机器上运行,这样它们的安全漏洞就不会被利用。大多数情况下,这些漏洞不会产生可用的漏洞。
您必须运用自己的判断力来确定最佳权衡(或向管理层提供做出该决策的信息)。
3. 维护和防病毒程序
即使只是定期运行救援 CD,也必须确保自己确实能发现周围的恶意软件。 访问扫描程序的更新以及定期扫描应该会有所帮助。 如果该软件过多地干扰日常工作或成为烦恼,请切换到其他产品。
4. 尽量减少攻击方法和范围
了解恶意软件入侵的最常见方式(电子邮件附件、恶意网站、停车场中的 USB 记忆棒、试图从中国通过 SSH 进入您网络的脚本小子),并查看恶意软件如何从这些主机传播到网络的其余部分。不要使用 CNC 机器阅读电子邮件和查看附件 - 将它们放在单独的网络上,并使用访问列表或防火墙将穿越网络的协议限制为仅需要的协议。
虽然白名单是一种值得称赞的限制范围的方法,但它在管理上往往不可行(工作量太大,收获太少)。与主机或域级别限制相比,协议级别限制可能更容易实现。列出哪些方法最容易管理、对用户的影响最小、好处最多。如果时间允许,请进一步研究列表。