最近有安全文章警告称,固件攻击出现上升势头。文章引用了针对1000位企业网络安全决策者的调查数据,受访对象横跨英国、美国、德国、日本和中国的多个行业,调查结果表明;80%的受访公司在过去两年中经历过至少一次固件攻击。然而,仅29%的安全预算分配给了固件防护。微软认为,固件攻击的解决方案是安全核心电脑,这类电脑可提供“开箱即用的强大防护,具备虚拟化安全、Credential Guard和内核DMA防护等功能”。
不过,不仅未必所有的工作站都需要这些类型的保护,我们也不应该把有限的资源都投入到这方面。甚至这都不是固件更新之所以这么重要的根源所在。此外,在被问及过去几年中处理过哪些固件攻击时,IT管理员表示,防火墙或虚拟专用网软件需要修复,计算机的固件倒是未必。
尽管有些恶意软件利用固件漏洞获取网络访问权,但通常都结合了其他类型的攻击。例如,Robbinhood勒索软件就采用暴力破解远程桌面协议(RDP)来侵入网络,建立立足点后再利用技嘉的脆弱内核驱动程序。
好钢要用在刀刃上,安全预算也要用在最值回票价的地方。如果资源都花在购买配置有安全固件的计算机上,你就会错失能够更快修复安全漏洞的很多更经济的解决方案。安全重点要放在基于风险的安全解决方案上,而不是针对罕见攻击的那些解决方案。以下几种就值得考虑:
▶ 阻止含有Office宏的文件
阻止互联网上包含Office宏的文件不是什么麻烦事,但却可以防范常见风险。最近的Office版本中都有这个选项。
可以参照下列步骤在组策略中实现这一设置:
- 在域环境中,从Web下载组策略管理模板。
- 打开组策略管理控制台。
- 右键点击你想要配置的组策略对象,并选择“编辑”。
- 在组策略管理编辑器中,导航到“用户配置”。
- 点击“管理模板”。
- 导航到“Microsoft Word 2016”。
- 导航到“Word选项”。
- 导航到“安全”。
- 导航到“信任中心”。
- 从互联网设置打开“阻止宏在Office文件中运行”,配置并启用此选项。
如果公司某部门需要宏,可以将这些组策略设置应用到特定部门,而不影响整个公司。分析“Web标记”功能的运行机制有助于调整安全状态,更加有效地保护系统安全。报告,还要确保网络设计适用这些设置。确保开发人员充分理解禁用或调整文件Web标记状态的后果。
▶ 设置攻击面减少规则
可以使用Windows 10中的攻击面减少(ASR)规则来保护工作站。ASR规则能够提供额外的攻击防护,但管理员往往不会利用ASR规则。几条ASR规则应该不会影响用户的日常生活。例如,“阻止所有Office应用程序创建子进程”这条ASR规则,就不会给大多数用户制造麻烦。
▶ 更新固件和驱动程序
你依然需要固件部署解决方案,但为什么需要的原因可能跟你想象的有点差距。Windows 10功能版本部署后通常需要更新驱动程序,尤其是视频或音频驱动程序。如果缺乏合适的视频或音频驱动程序,就常会无法启动功能版本升级进程。
另外还有驱动程序漏洞的问题。一旦获得系统访问权,攻击者会利用各种方式展开横向移动或提升权限。即使对现有系统而言,拥有管理和维护驱动程序的能力也是一个关键需求。微软最近已将提供驱动程序的功能纳入了Windows更新进程,不再放置在操作系统之外。
如果已经在网络管理员的岗位上干了几年,那你可能会有点厌倦,不愿意批准安装驱动程序,尤其是通过Windows软件更新服务(WSUS)。很多管理员都遭遇过Windows提供的驱动程序无法正常工作而只能回滚系统的悲惨经历。
一些计算机供应商提供监测和安装固件及驱动程序更新的应用程序。这些供应商应用程序可以很方便地提供和安装驱动程序,还不太容易出错。而Windows更新进程要想达到此类供应商应用程序的水平恐怕还需要些时间。
在Ignite大会上,微软宣布将开始测试驱动程序部署到系统的新过程。该过程将作为个人预览版开放,并在2021年下半年为Intune和Microsoft Graph提供新的部署服务。配置管理器管理员将从中获益,无需改变用WSUS提供Windows更新的方式。
微软正鼓励富有探索精神的用户报名参与其预览体验计划。可在Windows Customer Connection Program中的工程社区注册,跟进此计划。如需获取更多信息,可登录社区,并在问题5中选择“驱动程序及固件更新个人预览”选项。即使不参与公开预览或测试,这也是保持消息灵通的大好方式。