WannaCrypt 横扫全球后 思考终端桌面该如何管理

5月13日WannaCrypt(永恒之蓝)俗称“比特币病毒”勒索蠕虫突然爆发,一夜之间播及全球,在短短一天多的时间,WannaCrypt(永恒之蓝)勒索蠕虫已经攻击了近百个国家的超过10万家企业和公共组织。

其中包括1600家美国组织,11200家俄罗斯组织。国内被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。国内多家安全公司第一时间发布了相关的免疫工具、专杀工具和“文件恢复工具”,虽然暂时抑制了病毒的传播,但是大量被加密的文件却难以恢复,无数学子的毕业设计、论文、单位的公文被破坏造成了无法估量的损失。

到目前为止仍然没有有效可行的文件还原方案。

但当我们冷静下反思这次事件时,会发现其实很多场景下的损失本是可以避免的或降到更低,本不至于播及面如此之大。首先本次被袭击的目标为Windows 操作系统,Windows 系统在全球的桌面系统中仍居第一,是黑客最喜欢研究也是自身漏洞最多的操作系统没有之一。WannaCrypt(永恒之蓝)勒索蠕虫利用的是泄露的NSA网络军火库中的永恒之蓝攻击程序,这是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

而微软已于早前针对Win7及以上版本的系统发布了MS17-010补丁,但补丁包并不包括已经停止服务的Windows XP/2003 系统版本,其系统只要开启了SMB服务就会受到影响。有统计数据显示 Windows XP 自 2014 年结束支持以来,依然存在不少活跃用户,根据市场调研机构 NetMarketShare 的数据,今年三月 Windows XP 市场占有率仍有 7.44%,若按照微软此前推算全球有 15 亿台 Windows PC 来看,目前至少有超过 1 亿台 Windwos XP 设备。

他们成为了这此事件最大的受害者之一。 即使 Win7及以上版本的操作系统如果没有及时安装MS17-010系统漏洞或未经安全加固开启了文件共享服务,也会受到病毒的攻击。

其实MS17-010微软于今年3月份已经提供下载推送,作为一个修复严重漏洞的补丁是强列推荐用户安装的。但是为什么我们高校和很多企业都未能及时安装呢?

原因在于传统的终端桌面管理思想只注重了“操作系统的稳定性”忽视了系统的安全性与个人数据的安全性。在高校和很多事业单位特别是对外窗口单位的终端都会采用“还原卡”或“系统重启还原”的相关技术还保护系统的稳定,无论上机操作者或外来的破坏性程序如何恶意破坏系统上的数据,用户只需重新启动计算机都可以自动将系统恢复到此前的标准状态(业内俗称原始镜像、母盘数据等)。

以此来保证病毒无论无何都无法破坏操作系统的数据无法常期驻留在系统文件中。 但是为了方便学生和上机操作人员保存个人数据往往会在本地磁盘上开启一个“不还原空间”,学生们会把自己学习课件、作业、毕业作业临时保存这个不还盘的存储空间,重启之后这个空不被恢复也方便下次上机时仍然可以继续作业。

在管理人员的传统思维下重点要保护是系统的稳定。而忽视了个人数据的重要。然而这次横扫中国高校及各个机构的“永恒之蓝”恰恰没有以破坏操作系统本身为目的,直接指向了用户的个人文件。这种病毒会给受感染电脑中的docx、pdf、xlsx、jpg等110种文件加密,几乎覆盖全部类型的文档和图片,使其无法正常打开。中木马后虽然有些杀毒软件可以杀掉该木马,但加密文件没有任何办法还原。

有些机房认为还原技术就可以保护系统根本没有安装杀毒软件,而且据悉病毒可以在特定的条件下即时触发,不像一些病毒有潜伏期。也就是说即使重启还原了操作系统病毒消失了,但是文件还是被加密了。

杜绝这场灾难的最好的措施其实是在此前已经安装了相关的系统补丁修复漏洞。但由还原卡重启还原的这种保护模一方让管理员忽视了修复系统安全的重要性。

在还原模式要为所有的终端桌面一台一台的解除保护后安装补丁程序然后再开启保护也是一件非常耗费时间与精力的工作。而3月份已恰好是大学集中返校各种备考、考试上机用机量最繁忙的时期,各校信息中心也难以排出专门的时间做大面积的停课批量更新。

一系列客观原因导致了大量的终端没有及时安装系统补丁修复漏洞,以至病毒发作之后无法挽回。可见提前预防注重安全比任何的杀毒软件和系统保护措施都更可靠。更贴合实际贴合用户的终端桌面管理技术则可以降低风险提高抵抗的危机的能力。

采用虚拟化云桌面的技术是就是一个可选方案。绿盟下一代安全云桌面采用下一代云桌面先进的架构设计,及时的系统标准化规范化管理,能够预防后续更多类似勒索病毒事件,应对能力体现如下:

  1. 在绿盟下一代安全云桌面的管理平台上可以自动扫描所有终端已安装的系统补丁列表,自动对比是否已经安装系统必装补丁。
  2. 在模板镜像上更新系统补丁修复系统漏洞之后。所以使用该模板的终端会自动同步更新,更新过程不影响业务正常运行;整个过程为系统后台静默执行。
  3. 在模板镜像进行系统策略配置,如ipsec 配置、组策略配置、防火墙配置之后,所以使用该模板的终端会自动同步更新,几乎瞬间完成。
  4. 绿盟下一代安全云桌面可以同时支持金山、卡巴斯基等杀毒软件、以及各种内网安全软件并存,互不冲突;在保障操作系统底层云架构的可靠性的同时,结合系统杀毒安防软件工作让终端桌面更加安全。
  5. 绿盟下一代安全云桌面可以配套云存储、个人加密磁盘使用,免除了使用文件夹共享或在本地开辟不还原空间存放个人数据的原始方法。存放在云存储上的数据可自动同步到云端与自己的帐户绑定可以在自己的多台设备上分布同步保存。即使某一副本损坏了也以快速从云端恢复上一个版本或从远端的其他设备上已经同步的版本。杜绝了文件了永久损毁无法找回。

绿盟下一代安全云桌面NGSD (Next Generation Security Desktop)是一款基于下一代云桌面架构的云计算产品,采用了双核心的设计,对于性能强劲的PC 机可采用VOI 模式启动,充分发挥PC 本地CPU、GPU 的硬件性能,无需任何重定向技术的支持即能完美支持3D 图形图像的建模、渲染、后期处理、高频解码及后期处理等工作,对服务器的计算资源几乎零占用。

同时也能发挥服务器强大的后端计算资源为瘦终端提供支撑。移动终端设备(智能手机、平板电脑等)成为随身云端桌面的入口。能自适应3G /4G或宽带、以太网等网络环境。根据自身的硬件平台性能与带宽智能的选择工作模式并保障的数据的无损漫游。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment