CISO请注意：Windows网络需要被强化了！

安全软件公司Expel的CISO Greg Notch对此表示，以下种种建议虽以Windows 网络为对象，但也适用于其他网络情况。首先他介绍了，以服务台和IT管理员为目标是一种前沿的中心策略，攻击者会使用此策略来迷惑用户，大部分攻击者认为这是组织中的薄弱环节，同时也容易让其成为目标。Notch指出，识别服务台上的人员并不是什么难事，攻击者会利用访问IT支持的必要性，使其变得可被访问，而且这过程同样很方便。

许多组织会在其公共网站或社交媒体上广泛宣传自己，以获得更多的用户支持，因此只要在LinkedIn上搜索这些组织，就能找到这些组织中的关键人员，因为宣传内容通常会囊括组织中的职位信息。而一旦攻击者确定了谁在服务台上，他们就可以冒充员工向这些人发送钓鱼邮件，这和向手机发送钓鱼攻击短信一样简单。

对许多组织来说，比如医院、学校、政府等，他们没有能力提供用于双因素身份验证的专用电话，所以他们常常会用工作人员的个人电话来访问组织资产。Notch建议，对于任何可以访问双因素身份验证应用程序的商务电话，请考虑安装使用安全和管理软件，这些软件会审查和设备访问相关的链接或网站。“也可以将Microsoft Defender for Endpoint等软件部署到手机上，以更好地保护iPhone和Android用户。”

当然，如果员工拒绝在个人手机上安装此类软件，Notch认为，企业始终要学会提供替代方案，比如 Yubikey 硬件令牌之类。“随着影响Android和iPhone的零日漏洞不断出现，我们要常常考虑这些设备是否能够免受安全问题的侵害，因此必须对其进行严格的监控和管理。”

Cyren的CISO Michael Tamir表示，企业要考虑与第三方供应商一起处理支持事件的指导原则。最近发生的Okta数据泄露事件就是一个典型的例子，该事件利用了HTTP Archive（HAR）文件，这是一种JSON格式的文件，所包含的内容是用户浏览器记录的最新网络活动。

如今，网络上有这么多应用程序，供应商通常会要求客户创建一个HAR文件，以调试访问问题，而这些HAR文件通常会包含攻击者可以使用的敏感信息和cookie文件。Tamir指出，所有浏览器工具中的“网络”选项卡都可以用来记录HTTP会话。“如果有谁从未查看过HAR文件所包含的内容，可以访问网站并执行以下操作进行查看：在Chrome中，访问某个敏感的网站网页；开发者工具可以通过菜单访问（菜单>更多工具>开发者工具），然后从新打开的面板中选择网络选项卡；在‘网络’选项卡上，确保左上角的圆形按钮为红色，如果为灰色，请双击它以开始记录交互；启用保留日志以记录所有Web请求和响应；导出HAR文件，单击网络选项卡中向下的箭头按钮，最后将HAR文件保存到计算机（也可以使用httpwatch等程序实时查看事务）。”

到了这一步，Tamir表示，可以在HAR分析程序甚至记事本中打开此文件，然后就会发现，该文件包含有关身份验证令牌、Cookie、会话令牌、密码和API凭据等信息。如果技术支持团队需要这些文件，那么企业就要确保相关人员知道这些文件通常包含敏感或专有信息，在将信息发送给第三方之前，需要将这些信息进行清理。

在今年早些时候，Notch指出，某次黑客攻击里，美国国务院成为了他国攻击者的目标，安全团队最后发现，代码签名证书嵌入在了公共存储库中的内存转储里，而内存转储来自于一名可以访问敏感级别信息的微软员工。

最近，CISA发布了一份关于网络钓鱼指南的文件，其上指出，组织仅仅聚焦于防病毒是远远不够的，其中多因素身份验证是攻击者非法获取凭证的主要缓解措施。

Tamir补充道，另一种常见的攻击是恶意软件钓鱼。“恶意行为者会向目标发送恶意链接并诱骗他们发动攻击。针对这种攻击的缓解措施包括了应用程序允许列表，以及运行端点检测和响应代理。但不要只在工作站上使用这种保护，也要考虑在电话和设备上使用这些保护。”

Tamir表示，组织要考虑额外的保护措施，比如一些DNS工具，这些工具可以预先扫描用户将要访问的网站和链接，而且不需要花费很多钱，甚至可以以低成本或零成本获得。“组织要确保即使是那些在家工作的员工，也能设置他们的家用路由器，比如让他们具备像OpenDNS之类的DNS过滤工具，并指导他们在其上做出正确的选择和运用。”

此外，国外知名CSO Dan Lohrmann指出，如果组织想进一步确保内部受到保护，可以考虑相关的网络政策，比如阻止员工访问一些敏感网站，除非这些网络能满足组织的业务需求。“我在学校里注意到了这一点，因为学校的教职员工和孩子年龄都不大，他们不需要访问互联网上所有的内容。”

Lohrmann表示，对一些公司来说，限制访问网站似乎过于严厉，但如果可以的话，还是尽可能做到这一点吧，因为今时不同往日，在外部威胁不断加剧的当下，组织不知道何时就会被某些攻击者盯上，而互联网上的各种网站就是最好的突破口，像著名的APT攻击，往往都是以“人畜无害的网站”为踏板。“很少有员工具备安全意识和知识，因此只能从政策上限制他们的行为，否则一个不注意，这些员工就可能成为定时炸弹。与其在之后的日子里要防备他们，不如从一开始就严厉些吧。”

另一方面，Tamir建议，组织可以查看所有应用程序和第三方交互的日志记录，以及其保留时间，通常只有在查看后，才能确定攻击者是如何获得访问权限的。“今年，在国务院遭到攻击后，CISA和其他机构不得不敦促微软扩大，将更多的日志记录作为默认程序。最初，微软承诺会在今年10月前向所有用户推出Mailitemsacsed日志记录，然而从微软目前发出的博客来看，此用于识别攻击者访问内容的工具，至少要到明年9月才能问世。”

最后，Notch做了些许总结。他表示，除了网络问题之外，Windows操作系统本身还存在一些安全漏洞和隐患，如缓冲区溢出、权限提升等。这些漏洞可能被黑客利用，导致系统被攻击和数据泄露。因此，需要不断更新和修复操作系统，以减少安全风险。而为了保护网络安全，还需要对网络服务进行管理和监控，确保只有授权用户可以访问网络资源，同时防止恶意软件的传播和攻击。

另外，在数据传输和存储方面，Windows 网络也需要加强安全措施。例如，对于敏感数据，需要进行加密和权限控制，确保只有授权用户可以访问和修改数据。同时，对于数据的备份和恢复也需要加强管理，以避免数据丢失和泄露。最后，组织在安全管理方面也需要改进，比如需要加强对网络设备和应用程序的监控和管理，及时发现和处理安全问题。同时，需要对员工进行网络安全培训和教育，提高他们的安全意识和技能水平。

对于如何改进Windows网络或其他网络的安全措施，国内安全专家如此建议。

知乎相关专家“非诚勿扰”表示，国内企业用的网络不一定是Windows网络。虽然Windows操作系统被广泛使用，但企业网络通常是由路由器、交换机、服务器等网络设备构成，这些设备不一定都使用Windows系统。这些网络设备可能使用不同的操作系统，例如Linux等，这些系统在企业网络中也被广泛使用。

在网络安全配置方面，“非诚勿扰”认为企业可以做好以下几点措施：

1、及时更新操作系统和软件：及时更新操作系统和软件是保护电脑网络安全的基础。操作系统和软件的更新通常包括补丁程序和安全更新，这些更新可以修复已知的漏洞和弱点，提升系统的安全性。因此，定期检查并更新操作系统和安装的软件，是确保电脑网络安全的第一步。

2、安装可靠的防病毒软件：安装可靠的防病毒软件是电脑网络安全的重要措施之一。防病毒软件可以实时监测、扫描和清除电脑中的病毒、恶意软件等威胁，保护电脑免受病毒的侵害。要选择知名品牌、更新频繁、用户口碑较好的防病毒软件，并及时更新病毒库，以确保电脑网络安全。

3、配置网络防火墙：配置网络防火墙是保护企业网络安全的必要措施。防火墙可以监控网络流量，阻止未经授权的网络连接，保护企业网络免受外部攻击。

4、实施安全策略：制定并实施安全策略是保护企业网络安全的重要步骤。安全策略包括限制网络访问、控制数据传输、加密数据等措施，可以有效地提高企业网络的安全性。

5、定期备份数据：定期备份数据是保护企业网络安全的重要措施之一。如果发生网络攻击或数据泄露，可以通过备份数据快速恢复业务系统，减少损失。

6、培训员工：培训员工是提高企业网络安全的重要措施。员工应该了解网络安全的重要性，掌握基本的网络安全知识，避免因操作不当或安全意识不足而导致的网络安全问题。

7、定期审计：定期审计是确保企业网络安全的重要措施。通过审计可以发现潜在的安全风险和漏洞，及时采取措施加以解决，提高企业网络的安全性。

另一位知乎相关专家“wang”表示，Windows网络安全配置提升并不是自己需要考虑的内容，而对于国内企业该如何提升安全配置才是首要目标。为此，他提出了以下几点建议：

1. 做好基础网络安全监测与防御

首先就是要加强员工在网络安全方面的意识，其次是要定期对网络进行扫描，如果发现有什么漏洞问题，就要及时修复并做好基础监测和防御。当然，这也不能脱离优先级计划。

2. 定期进行网络安全培训

提高员工安全意识最好的方法，就是定期给全公司员工做网络安全培训，让员工了解网络安全基础知识。培训方法可以用场景模拟等手段，比如创建模拟事件，让员工直观地了解网络钓鱼攻击的形式。

3. 使用复杂的密码，并保持密码更新频率

企业要对电脑、路由器、服务器设置复杂的密码，并每年更改。谨记，切勿对多个设备设置相同或相似密码。

4. 计算机务必安全地联网

企业员工不可连接安全未知性的网络，因为组织系统被入侵的主要途径之一，就是无保护地连接到了犯罪分子伪造的公共热点上。

5. 定期下载并安装所有补丁/更新。

无论是操作系统、硬件，还是关键业务软件等，都要勤打补丁，否则一旦出现漏洞，恶意利用程序就会紧随其后，而及时打补丁是防范漏洞攻击最好的办法。

6. 使用双重（或多重）身份验证

企业使用双重（或多重）身份验证，可以消除大部分数据和隐私泄露的隐患。

7. 切记备份

企业一定要做好数据备份。当下市场上有许多云备份服务商可以选择，组织需要根据业务性质，选择符合需求的服务。其中有一项重要功能需要确保，那就是“无限制拷贝”，即组织每次更改文件时，服务内容都会自动保存一份副本。备份也是应对勒索软件攻击最好的选择。

9. 硬件更新评率不超过3-4年/次

此外，计算机、服务器等硬件的安全性非常重要，硬件制造商每年都会对产品的安全性进行升级，所以建议尽量加大硬件更新频率。但最好不超过3-4年/次，以避免不必要的风险。