网站首页| 网站地图| RSS

中国网圈网| 加入收藏夹 设为首页

热门关键字: 中大博学院企业广州三星行业广东互联网品牌中国浼佷笟

更多
御美养生美容
利富塑电
金煌装饰
广州东尼照明科技有限公司

行业资讯

首页 > 行业资讯 > 详细内容

别让“共享”成为企业的病毒聚集地

2020/9/17 16:02:51 来源:中国企业新闻网

导言:Windows文件共享是不少企业日常办公的刚需。企业通常会在内网布置多个共享服务器,帮助部门员工之间及时、方便的共享各类文档材料,来提高工作效率。

  Windows文件共享是不少企业日常办公的刚需。企业通常会在内网布置多个共享服务器,帮助部门员工之间及时、方便的共享各类文档材料,来提高工作效率。但另一方面,正是因为共享功能的开放性,很容易引起一系列安全问题,比如数据共享后遭修改删除,比如共享文件成为蠕虫、感染型病毒反复传播的载体,甚至黑客也会重点寻找共享服务器投放勒索病毒进行加密勒索……

initpintu_鍓湰.jpg

  根据火绒帮助企业解决问题时发现,企业频繁遭遇共享安全问题往往由两个原因导致:一是企业内创建文件共享后,未能实行防范措施;二是系统本身存在共享功能,且默认开启,存在安全隐患。

  在此,我们也选出了几个典型的因“共享”文件或服务器未做防护而导致病毒、黑客入侵的案例进行分享,并提供了相应的排查方法和安全建议,希望帮助企业用户降低使用“共享”功能带来的风险。

  一、 共享文件成为病毒传播工具

  某企业内部共享文件中的文档无法打开,遂求助火绒。火绒工程师在检测存放该文档的共享服务器后发现,共享文档已被病毒感染,但病毒并未在该服务器上运行。由此推断为是企业内的员工终端中毒,继而感染了共享下的各类文档。最终通过全网部署火绒,完成了病毒清除。

1600139020542018101.jpg

  病毒通过共享感染其它终端

  火绒工程师经分析发现该文档被名为“Spreadoc”的感染型病毒感染,这种病毒可感染“PDF”“EXE”“DOC”“DOCX”多种格式的文件。值得一提的是,该病毒早于2013年就已经出现。在通过对多款国内外安全软件测试发现,目前只有火绒可以在不破坏原文件的情况下,彻底清除该病毒。

鍥剧墖12.jpg

  事实上,由于共享的存在,导致病毒可以利用员工互相传阅、交换文档的契机得以快速、反复传播,感染更多的服务器,成为困扰很多企业的一项难题。火绒工程师表示,如果感染蠕虫或感染型这类传播性极强的病毒,在不全网部署火绒等安全软件查杀情况下,很难将其“一网打尽”,导致最后出现共享服务器成为病毒传播的工具,且病毒屡杀不绝的现象。

  二、共享文件成为勒索病毒照顾目标

  火绒接到某企业求助,称其共享文件被勒索病毒加密。火绒工程师远程查看发现,黑客通过弱口令暴破等方式进入企业网络,在进一步渗透后,手动投放勒索病毒,从而加密了服务器和企业共享文件。

initpintu_鍓湰.jpg

  火绒查杀到的黑客工具

  火绒在为企业提供帮助时发现,很多黑客在运行勒索病毒加密文件前,为了加密更多服务器内文件,除了继续进行内网渗透登录更多服务器外,还使用工具扫描企业内的公用共享,映射到本地后运行勒索病毒,同时将文件共享内的文件加密。这样即使黑客没有登录共享服务器,也可用此方法加密企业内的重要文件,令企业造成损失。

  三、默认共享传播木马病毒

  某企业用户终端内反复被火绒拦截到"DTStealer"(又名永恒之蓝下载器)木马,而该病毒传播渠道之一就是通过Windows默认共享进行的。火绒工程师根据火绒中心内出现的攻击日志,发现用户企业内有中毒终端没有安装火绒。在用户全网部署火绒终端查杀后,问题得到了解决。

1600139225890007928.jpg

  为配合企业管理员进行远程管理,Windows默认开启了共享功能,一旦黑客通过远程暴破等方式获取账户名和密码并进入企业网络后,就可以直接查看、使用系统默认的共享目录下内容,实施投放病毒等行为。

  共享安全防护的加固建议:

  1.部署安全软件,员工在向共享内写入文件前,先查杀再上传。

  2.共享目录设置权限管理,如:对不需要上传文件的账户,给予只读权限即可,防止任意员工\终端都能写入共享目录。

  3.对无需对外共享文件\打印机的终端,可使用火绒“IP协议控制”功能,对139、445端口进行限制,防御利用SMB进行的攻击。

  4.修改如“admin”“User”等常见用户名,并禁用默认管理员账户,避免病毒对常见用户名进行暴破并获得密码后,利用默认共享进行传播。

  5.终端建议设置符合复杂性要求的密码,多个服务器使用不同的高强度密码管理,避免出现多个密码复用、无密码的情况。(建议员工终端不少于8位,外网服务器不少于15位,带有数字、大小写字母、符号)

  6.定期排查火绒日志,对感染了Virus或Worm的终端,及时按照附录内《使用常见问题处理》文档中的处理办法进行处理。

  7.对共享中的重要文档进行及时备份,建议可以选择非本地备份方式(如备份到单独的移动硬盘或不联网设备中),避免风险。

免责声明:

※ 以上所展示的信息来自媒体转载或由企业自行提供,其原创性以及文中陈述文字和内容未经本网站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。如果以上内容侵犯您的版权或者非授权发布和其它问题需要同本网联系的,请在30日内进行。
※ 有关作品版权事宜请联系中国企业新闻网:020-34333079 邮箱:cenn_gd@126.com 我们将在24小时内审核并处理。

分享到:
[责任编辑:刘怡伽]
更多新闻,请关注
中国企业新闻网

标签 :

网客评论

关于我们 | CENN服务 | 对外合作 | 刊登广告 | 法律声明 | 联系我们 | 手机版
客户服务热线:020-34333079、34333137 传真:020-34333002  举报电话:020-34333002、13925138999(春雷) 举报邮箱:cenn_gd@126.com
版权所有:中国企业新闻网 运营商:广州至高点网络技术有限公司 地址:广州市海珠区江燕路353号保利红棉48栋1004

粤ICP备12024738号-1 粤公网安备 44010602001889号