最近有安全文章警告稱，固件攻擊出現(xiàn)上升勢(shì)頭。文章引用了針對(duì)1000位企業(yè)網(wǎng)絡(luò)安全決策者的調(diào)查數(shù)據(jù)，受訪對(duì)象橫跨英國(guó)、美國(guó)、德國(guó)、日本和中國(guó)的多個(gè)行業(yè)，調(diào)查結(jié)果表明;80%的受訪公司在過去兩年中經(jīng)歷過至少一次固件攻擊。然而，僅29%的安全預(yù)算分配給了固件防護(hù)。微軟認(rèn)為，固件攻擊的解決方案是安全核心電腦，這類電腦可提供“開箱即用的強(qiáng)大防護(hù)，具備虛擬化安全、Credential Guard和內(nèi)核DMA防護(hù)等功能”。

　　不過，不僅未必所有的工作站都需要這些類型的保護(hù)，我們也不應(yīng)該把有限的資源都投入到這方面。甚至這都不是固件更新之所以這么重要的根源所在。此外，在被問及過去幾年中處理過哪些固件攻擊時(shí)，IT管理員表示，防火墻或虛擬專用網(wǎng)軟件需要修復(fù)，計(jì)算機(jī)的固件倒是未必。

　　盡管有些惡意軟件利用固件漏洞獲取網(wǎng)絡(luò)訪問權(quán)，但通常都結(jié)合了其他類型的攻擊。例如，Robbinhood勒索軟件就采用暴力破解遠(yuǎn)程桌面協(xié)議（RDP）來侵入網(wǎng)絡(luò)，建立立足點(diǎn)后再利用技嘉的脆弱內(nèi)核驅(qū)動(dòng)程序。

　　好鋼要用在刀刃上，安全預(yù)算也要用在最值回票價(jià)的地方。如果資源都花在購買配置有安全固件的計(jì)算機(jī)上，你就會(huì)錯(cuò)失能夠更快修復(fù)安全漏洞的很多更經(jīng)濟(jì)的解決方案。安全重點(diǎn)要放在基于風(fēng)險(xiǎn)的安全解決方案上，而不是針對(duì)罕見攻擊的那些解決方案。以下幾種就值得考慮：

　　? 阻止含有Office宏的文件

　　阻止互聯(lián)網(wǎng)上包含Office宏的文件不是什么麻煩事，但卻可以防范常見風(fēng)險(xiǎn)。最近的Office版本中都有這個(gè)選項(xiàng)。

　　可以參照下列步驟在組策略中實(shí)現(xiàn)這一設(shè)置：

1. 　　鴻蒙官方戰(zhàn)略合作共建——HarmonyOS技術(shù)社區(qū)
2. 　　在域環(huán)境中，從Web下載組策略管理模板。
3. 　　打開組策略管理控制臺(tái)。
4. 　　右鍵點(diǎn)擊你想要配置的組策略對(duì)象，并選擇“編輯”。
5. 　　在組策略管理編輯器中，導(dǎo)航到“用戶配置”。
6. 　　點(diǎn)擊“管理模板”。
7. 　　導(dǎo)航到“Microsoft Word 2016”。
8. 　　導(dǎo)航到“Word選項(xiàng)”。
9. 　　導(dǎo)航到“安全”。
10. 　　導(dǎo)航到“信任中心”。
11. 　　從互聯(lián)網(wǎng)設(shè)置打開“阻止宏在Office文件中運(yùn)行”，配置并啟用此選項(xiàng)。

　　如果公司某部門需要宏，可以將這些組策略設(shè)置應(yīng)用到特定部門，而不影響整個(gè)公司。分析“Web標(biāo)記”功能的運(yùn)行機(jī)制有助于調(diào)整安全狀態(tài)，更加有效地保護(hù)系統(tǒng)安全。報(bào)告，還要確保網(wǎng)絡(luò)設(shè)計(jì)適用這些設(shè)置。確保開發(fā)人員充分理解禁用或調(diào)整文件Web標(biāo)記狀態(tài)的后果。

　　? 設(shè)置攻擊面減少規(guī)則

　　可以使用Windows 10中的攻擊面減少（ASR）規(guī)則來保護(hù)工作站。ASR規(guī)則能夠提供額外的攻擊防護(hù)，但管理員往往不會(huì)利用ASR規(guī)則。幾條ASR規(guī)則應(yīng)該不會(huì)影響用戶的日常生活。例如，“阻止所有Office應(yīng)用程序創(chuàng)建子進(jìn)程”這條ASR規(guī)則，就不會(huì)給大多數(shù)用戶制造麻煩。

　　? 更新固件和驅(qū)動(dòng)程序

　　你依然需要固件部署解決方案，但為什么需要的原因可能跟你想象的有點(diǎn)差距。Windows 10功能版本部署后通常需要更新驅(qū)動(dòng)程序，尤其是視頻或音頻驅(qū)動(dòng)程序。如果缺乏合適的視頻或音頻驅(qū)動(dòng)程序，就常會(huì)無法啟動(dòng)功能版本升級(jí)進(jìn)程。

　　另外還有驅(qū)動(dòng)程序漏洞的問題。一旦獲得系統(tǒng)訪問權(quán)，攻擊者會(huì)利用各種方式展開橫向移動(dòng)或提升權(quán)限。即使對(duì)現(xiàn)有系統(tǒng)而言，擁有管理和維護(hù)驅(qū)動(dòng)程序的能力也是一個(gè)關(guān)鍵需求。微軟最近已將提供驅(qū)動(dòng)程序的功能納入了Windows更新進(jìn)程，不再放置在操作系統(tǒng)之外。

　　如果已經(jīng)在網(wǎng)絡(luò)管理員的崗位上干了幾年，那你可能會(huì)有點(diǎn)厭倦，不愿意批準(zhǔn)安裝驅(qū)動(dòng)程序，尤其是通過Windows軟件更新服務(wù)（WSUS）。很多管理員都遭遇過Windows提供的驅(qū)動(dòng)程序無法正常工作而只能回滾系統(tǒng)的悲慘經(jīng)歷。

　　一些計(jì)算機(jī)供應(yīng)商提供監(jiān)測(cè)和安裝固件及驅(qū)動(dòng)程序更新的應(yīng)用程序。這些供應(yīng)商應(yīng)用程序可以很方便地提供和安裝驅(qū)動(dòng)程序，還不太容易出錯(cuò)。而Windows更新進(jìn)程要想達(dá)到此類供應(yīng)商應(yīng)用程序的水平恐怕還需要些時(shí)間。

　　在Ignite大會(huì)上，微軟宣布將開始測(cè)試驅(qū)動(dòng)程序部署到系統(tǒng)的新過程。該過程將作為個(gè)人預(yù)覽版開放，并在2021年下半年為Intune和Microsoft Graph提供新的部署服務(wù)。配置管理器管理員將從中獲益，無需改變用WSUS提供Windows更新的方式。

　　微軟正鼓勵(lì)富有探索精神的用戶報(bào)名參與其預(yù)覽體驗(yàn)計(jì)劃。可在Windows Customer Connection Program中的工程社區(qū)注冊(cè)，跟進(jìn)此計(jì)劃。如需獲取更多信息，可登錄社區(qū)，并在問題5中選擇“驅(qū)動(dòng)程序及固件更新個(gè)人預(yù)覽”選項(xiàng)。即使不參與公開預(yù)覽或測(cè)試，這也是保持消息靈通的大好方式。
責(zé)編AJX