一、適用目標(biāo)(校園網(wǎng)���、企業(yè)網(wǎng)���,windows系列的操作系統(tǒng)):
所有在局域網(wǎng)內(nèi)運(yùn)行windows系統(tǒng)的電腦,并非只感染服務(wù)器操作系統(tǒng)����,單機(jī)照樣感染。會(huì)將你電腦中的所有文件全部加密����,部分已感染案例有2個(gè)共同特征,開啟了遠(yuǎn)程桌面并使用弱口令�����、系統(tǒng)防火墻已關(guān)閉���,被感染后的狀態(tài)如下圖所示(本例以校園網(wǎng)中的電腦為例��,前提是已經(jīng)有硬件防火墻�,且硬件防火墻上已經(jīng)開啟了對(duì)445端口的外網(wǎng)對(duì)內(nèi)網(wǎng)防御的情況下):
1、XXX系統(tǒng)服務(wù)器�,長期開著向日葵遠(yuǎn)程,感染后����,提示如下圖:
2、對(duì)電腦中的所有數(shù)據(jù)文件加密�����,含word�、excel、pptx����、數(shù)據(jù)庫、網(wǎng)站文件……全部加密�����,如下圖所示:
3�、某win10單機(jī)上班級(jí)管理資料被加密���,如下圖所示:
4�����、某企業(yè)數(shù)據(jù)被加密����,如下圖所示:
二、win10操作系統(tǒng)開啟防火墻和防勒索功能
(一)基礎(chǔ)防御
1����、打開控制面板,設(shè)置為大圖標(biāo)顯示����,如下圖:
2、打開windows Defender防火墻�����,如下圖:
3����、點(diǎn)左側(cè)的啟用或關(guān)閉windows Defender防火墻��,如下圖:
4��、開啟系統(tǒng)防火墻���,如下圖:
(二)加強(qiáng)防御
1、打開控制面板后����,再打開windows Defender防火墻,如下圖:
2����、 打開“安全和維護(hù)”,如下圖:
3��、展開“安全”����,點(diǎn)“在windows安全中心查看”,如下圖
4��、點(diǎn)左側(cè)的“病毒和威脅防護(hù)”�,如下圖:
5、點(diǎn)“病毒和威脅防護(hù)”設(shè)置中的“管理設(shè)置”���,如下圖:
6�、把以下4項(xiàng)都打開,如下圖:
7���、點(diǎn)左側(cè)的“病毒和威脅防護(hù)”��,返回到前一頁,如下圖:
8����、 開啟勒索軟件防護(hù),如下圖:
三�、win11操作系統(tǒng)開啟防病毒功能
1、打開控制面板���,點(diǎn)windows Defender防火墻����,如下圖:
2�����、點(diǎn)左下方的“安全和維護(hù)”�,如下圖:
3�����、點(diǎn)開安全和維護(hù)后����,展開“安全”�����,如下圖:
4�����、點(diǎn)“在windows安全中心中查看”���,點(diǎn) ”firewall & network protection “ �����,將2����、3、4設(shè)置狀態(tài)為on��,如下圖:
5�、例如點(diǎn)“Domain network”后,做如下圖的設(shè)置:
當(dāng)?shù)?步中的2��、3����、4均設(shè)置為on之后,win11的防護(hù)開啟結(jié)束����。
四�、需要在家庭遠(yuǎn)程操作辦公用的服務(wù)器或辦公PC電腦的(無此需求的忽略以下操作)
建議(一)
使用向日葵、todesk����、teamviewer這3類遠(yuǎn)程桌面控制軟件之后,及時(shí)關(guān)閉服務(wù)端�����。以免長期開啟后����,留下遠(yuǎn)程端口的漏洞�����,被攻擊方利用漏洞而加密服務(wù)器或PC中的文件��,進(jìn)而通過郵件勒索解密贖資�����。
建議(二)
推薦在需要被遠(yuǎn)程控制的電腦上安裝splashtop���,600元/年,再用客戶端軟件從家庭連接到服務(wù)器或辦公PC電腦����。
五、辦公過程中�,在校園范圍內(nèi)需要樓上樓下走動(dòng),對(duì)辦公電腦的遠(yuǎn)程操作的修改遠(yuǎn)程桌面的端口號(hào)���,無此需求的忽略以下操作)����。
(一)在需要被遠(yuǎn)程控制的電腦上操作如下,前提是遠(yuǎn)程桌面功能已經(jīng)安裝并開啟���,如下圖:
1�����、右擊“此電腦”�����,“屬性”�����,“遠(yuǎn)程桌面”
2���、啟用“遠(yuǎn)程桌面”��,開啟��,再點(diǎn)“高級(jí)設(shè)置”���,如下圖:
3�、勾選“需要計(jì)算機(jī)使用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證進(jìn)行連接”
4、給需要被遠(yuǎn)程控制的電腦用戶administrator配置密碼���,如下圖:
(1)右擊“此電腦”����,管理��,如下圖:
(2)點(diǎn)開“本地用戶和組”�,用戶,右擊administrator(注:家庭版的操作系統(tǒng)無被遠(yuǎn)程桌面控制的功能����,但可以通過遠(yuǎn)程命令控制別的電腦)
(3)給將被遠(yuǎn)程桌面控制的電腦,設(shè)置管理員內(nèi)置帳號(hào)administrator的密碼��,輸入2遍
5���、還是在這臺(tái)電腦上繼續(xù)操作�,通過運(yùn)行命令���,打開注冊(cè)表編輯器�����,如下圖:
6���、依次展開HKEY_local-Machine\system\currentcontrolset\teminal server\wds\rdpwd\tds\tcp
7�����、雙擊portnumber�����,默認(rèn)是3389��,修改值為1025-65535中的其中一個(gè)����,自己知道就OK了�����,本例修改為8019�,如下圖:�����。
8、完成之后����,繼續(xù)展開注冊(cè)表左側(cè)的如下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
9、同樣將3389修改為十進(jìn)制的8019��,與第7步一致�。
10、在防火墻上開啟8019端口號(hào)���,操作如下:
(1)打開控制面板��,windows Defender防火墻�,高級(jí)設(shè)置�����,如下圖:
(2)在已經(jīng)開啟系統(tǒng)防火墻的情況下�,對(duì)8019端口的訪問放行,如下圖:
(3)選擇端口���,下一步�����,如下圖:
(4)選擇TCP協(xié)議��,再輸入要在系統(tǒng)防火墻上開啟的端口號(hào)8019�����,如下圖:
(5)選允許連接�,下一步。(如果系統(tǒng)防火墻未開啟���,默認(rèn)是1-65535范圍內(nèi)的所有端口都是打開狀態(tài)�����,此處我們只開啟1個(gè)8019端口號(hào)�����,相對(duì)安全)
(6)繼續(xù)下一步����,取名稱(本例就用8019為名)��,最后點(diǎn)完成�����,如下圖:
11��、重啟這臺(tái)剛剛已經(jīng)修改過遠(yuǎn)程桌面端口號(hào)的電腦�,使剛才的配置生效
(二)在控制端的電腦上執(zhí)行以下操作:
更換辦公室或到校園內(nèi)的其他電腦上操作,遠(yuǎn)程控制剛剛配置過遠(yuǎn)程桌面端口號(hào)的電腦
1����、執(zhí)行cmd后,再執(zhí)行 mstsc指令����,如下圖:
2、輸入被控制電腦的ip地址和端口號(hào)��,如下圖:
3�����、輸入被控制電腦的用戶名和密碼
4�����、在輸入正確的密碼后����,會(huì)彈出如下圖的對(duì)話框�����,點(diǎn)是:
5��、現(xiàn)在即可看到被遠(yuǎn)程的電腦上的桌面了�����,并且可以像操作自己的電腦窗口一樣�,如下圖:
緊急防御方案至此結(jié)束��,不足之處敬請(qǐng)批評(píng)指正��。
該文章在 2024/3/8 12:24:03 編輯過
400 186 1886
