WannaCry

Ryuk

DarkSide (hacking group)

<p>请确保已在域上部署针对勒索软件的加固措施</p>


<p>勒索软件是我们目前面对的、破坏性最大的全球网络威胁。此威胁几乎影响每个行业，并且起源于多种根本原因，安全团队必须将所有这些根本原因纳入到其防御策略中。</p>


针对勒索软件的加固不足

用于配置影响所有 Office 应用程序的 VBA（宏）默认停用配置的参数未在环境中使用。

缺少用于配置影响所有 Office 应用程序的 VBA（宏）默认停用配置的 GPO

用于为危险扩展名配置默认文件关联（“打开方式”）的参数与预期值不匹配。

危险文件关联的配置不安全

用于配置影响所有 Office 应用程序的 VBA（宏）默认停用配置的参数与预期值不匹配。

影响所有 Office 应用程序的 VBA（宏）默认停用配置不安全

用于配置 PowerShell Execution Policy 的参数与预期值不匹配。

PowerShell Execution Policy 的配置不安全

用于配置 WSH 的参数与预期值不匹配。

WSH 的停用配置不安全

用于配置 AppLocker 规则强制执行的参数与预期值不匹配。

AppLocker 规则强制执行的配置不安全

Microsoft 建议不要使用环境变量强制执行 PowerShell Constrained Language Mode (CLM)（有关更多详细信息，请参阅 IoE 说明）。此配置存在风险，因为攻击者可以轻松更改环境变量来取消执行受限语言模式 (Constrained Language Mode)。

PowerShell Constrained Language Mode (CLM) 的配置不安全

用于配置 AppLocker 可执行文件规则强制执行的参数未在环境中使用。

缺少用于配置 AppLocker 可执行文件规则强制执行的 GPO

用于配置 AppLocker 脚本规则强制执行的参数未在环境中使用。

缺少用于配置 AppLocker 脚本规则强制执行的 GPO

用于为危险扩展名配置默认文件关联（“打开方式”）的参数未在环境中使用。

缺少用于为危险扩展名配置默认文件关联（“打开方式”）的 GPO

用于配置强有力的 PowerShell Execution Policy 的参数未在环境中使用。

缺少用于配置强有力的 PowerShell Execution Policy 的 GPO

没有在包含用户的所有容器上应用危险扩展名的默认文件关联设置。

没有为所有用户应用安全的危险文件关联配置

没有在包含计算机的所有容器上配置影响所有 Office 应用程序的 VBA（宏）默认停用配置。

没有在所有计算机上应用 VBA（宏）默认禁用配置的安全配置

没有在包含计算机的所有容器上强制执行 PowerShell Execution Policy 设置。

没有在所有计算机上应用安全的 PowerShell Execution Policy 配置

没有在包含计算机的所有容器上强制停用 WSH。

没有在所有计算机上应用停用 WSH 的设置的安全配置

Office 文档中包含的宏不会发送到已注册的 AMSI 引擎。

宏运行时扫描范围的配置不安全

用于配置停用 WSH 的参数未在环境中使用。

针对勒索软件的加固不足

medium

描述

解决方案

参见

指标详细信息

攻击者已知工具