来自Cryptolocker、Locker以及其他变种带来的挑战，已经使得勒索保护成为许多系统管理员工作列表中最重要的工作，因为持续更新补丁和管理Windows系统的日常问题不足以应对相关问题带来的挑战。

几年前，勤劳的黑客们发现他们可以透过各种漏洞渗透到系统，并加密他们所获取到的所有信息，仅凭这样就可以过非常体面的生活。文件被要挟，多数受害者被迫支付一定数量的比特币给黑客，否则他们将永远地失去自己的数据。

有一套密闭的，或许是完全隔离的备份系统自然是至关重要的。还有什么其他办法可以帮助管理者防止这些入侵者在你的网络中横行并引起破坏？我们邀请了searchwindowsserver咨询委员，就如何加固Windows系统和有效降低勒索攻击的危害这一问题分享了他们的建议。

TREVOR POTT

勒索软件已有盛行的趋势。这些具有威胁的攻击者几乎每天都在增强其恶意软件的复杂性和迂回性，而反恶意软件供应商方面却没有任何进展。

在Windows勒索软件的案例中，取胜关键在于接受你无法永远打败它们的事实。（即使做了很多准备）最终还是有一些机器会感染，一次勒索攻击就能造成大量的机器感染。

你能有什么选择？被围城的指挥官当得知自己战败时，他们还有选择的余地吗？他只能在拖住进攻者的同时，把众人分成若干小组，让他们在夜色的掩护下撤退。或选择重整部队，补给然后发动反攻。

首先将自身思维置于病毒的背景环境中。如果病毒感染了用户的计算机，它会在什么账号下发作？是用户的域帐户？本地管理员的帐户？还是系统帐户和网络帐户？

最后要检查的是网络账户——也是容易出问题的地方。当某个Windows应用程序出现故障时，在Windows Server甚至是Windows的客户端环境下，常见的解决方法就是“给网络账户赋予超级权限”。如果黑客有权限在网络帐户下执行操作，它能够在短时间造成大量危害。

你无法对PEBCAK免疫。如果这是你的电脑被黑了，那你是用哪个帐户登录的？你使用的是否是提升过权限的帐户？你是否曾在任意地点的网络上随意访问你的那些敏感文件？

你能够访问的所有内容，勒索软件也能够访问。通过0-day漏洞还可以将一些无权限的账户提升权限，通过远程系统登录的这些账户就成了超级账户。

这太糟了！

备份需要在系统中可读取网络上所有相关节点，但需要经过不同的身份验证方案。如果你可以从你的系统中访问它，勒索软件也可以。所以不能够允许从任意一点远程访问你的备份服务器。

云并不是解决一切弊病的灵丹妙药。我最近遇到的勒索软件，貌似已掌握亚马逊和Azure的密钥内容，它可以毫无阻拦地登录到API并删除一切。敢不敢打赌？现在肯定有办法可以黑进你的Dropbox、Box等等帐户。

终极的勒索软件保护措施是将备份内容与你的网络内其他部分从物理上实现隔离。这些内容可以被你的网络识别，却不允许被网络写入或实现控制。

平台多样性是关键。如果你管理着一个Windows网络，尝试使用Linux或Mac工作站。这些Windows管理工具仅能够在Windows操作系统中运行，通过在Linux或Mac工作站内部建立纯净的虚拟机访问这些工具作为唯一访问通道。该虚拟机中不应包含其他内容而只保留管理工具。

这种方法，如果病毒在机器间横向传播，你的网络中的工作站有较高的几率不会被基于Windows的勒索软件所感染。如果被感染，你可将你的Windows虚拟机恢复到已知良好的还原点上，解决问题并恢复。

运行不同的操作系统，也是种在网络中更好地实现不同验证结构的方法，同时也可以有效避免因为具有超级权限的管理员账户被感染造成的网络中其他设备感染的问题。

所有努力都集中于划分之上。要注意一旦确认感染，确保任何被感染的系统或用户帐户的权限应该划分至最小。尝试将分段设置你的身份验证系统及验证域，并规定谁、何时可以访问何种内容这样的硬规则。

被感染是不可避免的，你需要接受这一现实并做好充分准备，也许你足够幸运，当城堡城墙最终被攻破、敌人一拥而入时会发现你早已经逃脱，这时留给他们的只是座空城。

欲了解更多观点，请访问Trevor Pott的个人页面。

第二部分《免遭勒索软件侵害必备技能之：两种方式解除恶意密码加密》中我们将介绍防止Windows用户数据被恶意加密的两种方式以及企业级PowerShell环境对勒索软件产生的影响。