勒索病毒又来了--***如何***的？我们又如何防范

  在我前两天的工作中，很不幸客户有两台服务器中了勒索病毒。我总结了一下这两台服务器有以下特点：1、系统密码是弱口令。2、系统防火墙为关闭状态。3、开启了系统的远程桌面。这样“***”一旦能够成功登录服务器，就可以在服务器上为所欲为。即使服务器上安装了安全软件，也有可能会被***第一时间手动退出，以便于后续投毒勒索。其实99%的勒索病毒针对的都是windows系统，那么如何防止主机或服务器被恶意远程**（划重点，认真看！！！）：

步骤1：使用高强度登录密码，避免使用弱口令密码，并定期更换密码a.高强度密码：8位以上，采用大写字母+小写小写+数字+符号（举例：[email protected]！#￥@） b.不要使用弱口令密码：顾名思义弱口令就是没有严格和准确的定义，通常认为容易被别人猜测到或被**工具**的口令均为弱口令（举例：123456；abcdefg；admin） c.定期更换密码：正常系统登录口令需要在3-6个月之内更换一次密码 d.另外如果组织内有多个服务器一定不要使用相同的密码，这样如果一台服务器沦陷其他服务器也会中毒 e.尽量不要开启DMZ主机或桌面映射功能，避免电脑IP爆漏在公网

步骤2：通过组策略强制使用密码策略，对错误次数达到一定次数时进行阻止

a. win+r打开运行，输入gpedit.msc

b. 计算机设置---Windows设置---安全设置---账户策略---账户锁定策略”，然后到右侧窗格中的“账户锁定阈值”项，这里可以设置用户账户被锁定的登录尝试失败的次数，该值在0到999之间，默认为0表示登录次数不受限制，我们可以改为3或10。（设置完成后，还可以设置账户锁定的时间）

c.修改后需要注意：当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该账户锁定，在账户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。

步骤3：关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的ip连接登陆

a. 首先右击任务栏网络图标，选择“打开网络和共享中心”在网络和共享中心中点击左下角“Windows防火墙”

b. 在Windows防火墙中点击“高级设置”，点击左上角“入站规则”，然后再选右上角新建规则

c.规则类型点击端口，选择下一步

d.在“特定本地端口”中输入“445”，点击进入下一步， 然后在操作中选择“阻止连接”，点击进入下一步

e.点击进入下一步，点击完成至此即完成了对445端口的关闭，同样其他端口也可以使用相同的方法禁用

步骤4：使用360安全卫士“防黑加固”关闭文件共享、admin$管理共享、远程服务等

a.打开360安全卫士右上方搜索“防黑加固”打开此工具

b.打开后提示检测，点击“立即检测”

c.检测后会提示相关加固建议，按照建议操作，就可以有效防护被***

小结：通过以上四种方法，均可有效防护服务器被远程***问题，如果担心自己或公司的电脑***那就赶紧按照以上几种方法进行手动设置防护吧

以上方案需要关闭相关端口和共享，这会影响我的电脑正常作业，这种情况要怎么解决？？？

解决方法：可以安装最新版360安全卫士开启“******防护”功能，可有效防护远程**行为，无需关闭端口、共享等，详情见下1），点击右上角“三横杠”打开菜单，点击“设置”按钮

2），打开安全防护中心，选择******防护，右侧勾选“自动阻止高风险的远程登录行为”

安全提醒

安全专家提醒广大用户、网管、服务器管理人员，不要点击来历不明的邮件附件，使用360安全卫士或系统Windows Update修复系统或第三方软件中存在的安全漏洞，采用高强度、无规律密码并定期更改电脑密码，对重要文件和数据（数据库等数据）进行定期非本地备份，在电脑上安装360安全卫士，开启***安全防护+防黑加固功能对“***”***进行有效防护。

在最后我利用一个案例，来说明***是怎么利用网络漏洞进行***的。如下表：