Ryuk

DarkSide (hacking group)

WannaCry

<p>确保域实现了针对勒索软件的加固措施。</p>


<p>勒索软件是我们目前面对的、破坏性最大的全球网络威胁。此威胁几乎影响每个行业，并且起源于多种根本原因，安全团队必须将所有这些根本原因纳入到其防御策略中。</p>


针对勒索软件的加固不足

用于配置 AppLocker 可执行文件规则强制执行的参数未在环境中使用。

缺少用于配置 AppLocker 可执行文件规则强制执行的 GPO

用于配置 AppLocker 脚本规则强制执行的参数未在环境中使用。

缺少用于配置 AppLocker 脚本规则强制执行的 GPO

用于为危险扩展名配置默认文件关联（“打开方式”）的参数未在环境中使用。

缺少用于为危险扩展名配置默认文件关联（“打开方式”）的 GPO

用于配置影响所有 Office 应用程序的 VBA（宏）默认停用配置的参数未在环境中使用。

缺少用于配置影响所有 Office 应用程序的 VBA（宏）默认停用配置的 GPO

用于配置强有力的 PowerShell 执行策略的参数未在环境中使用。

缺少用于配置强有力的 PowerShell 执行策略的 GPO

用于配置停用 WSH 的参数未在环境中使用。

缺少用于配置停用 WSH 的 GPO

用于为危险扩展名配置默认文件关联（“打开方式”）的参数与预期值不匹配。

危险文件关联的配置不安全

用于配置影响所有 Office 应用程序的 VBA（宏）默认停用配置的参数与预期值不匹配。

影响所有 Office 应用程序的 VBA（宏）默认停用配置不安全

用于配置 PowerShell 执行策略的参数与预期值不匹配。

PowerShell 执行策略的配置不安全

用于配置 WSH 的参数与预期值不匹配。

WSH 的停用配置不安全

用于配置 AppLocker 规则强制执行的参数与预期值不匹配。

AppLocker 规则强制执行的配置不安全

Microsoft 建议不要使用环境变量强制执行 PowerShell Constrained Language Mode (CLM)（有关更多详细信息，请参阅 IoE 说明）。此配置存在风险，因为攻击者可以轻松更改环境变量来取消执行受限语言模式 (Constrained Language Mode)。

PowerShell Constrained Language Mode (CLM) 的配置不安全

没有在包含用户的所有容器上应用危险扩展名的默认文件关联设置。

没有为所有用户应用安全的危险文件关联配置

没有在包含计算机的所有容器上配置影响所有 Office 应用程序的 VBA（宏）默认停用配置。

没有在所有计算机上应用 VBA（宏）默认禁用配置的安全配置

没有在包含计算机的所有容器上强制执行 PowerShell 执行策略设置。

没有在所有计算机上应用安全的 PowerShell 执行策略配置

没有在包含计算机的所有容器上强制停用 WSH。

没有在所有计算机上应用停用 WSH 的设置的安全配置

Office 文档中包含的宏不会发送到已注册的 AMSI 引擎。

检测

针对勒索软件的加固不足

medium

描述

解决方案

另见

指标详细信息

攻击者已知工具