slider1

WannaCrypt 横扫全球后 思考终端桌面该如何管理

2017-05-16 16:17:14    来源: 点击:

  5月13日WannaCrypt(永恒之蓝)俗称“比特币病毒”勒索蠕虫突然爆发,一夜之间播及全球,根据360威胁情报中心的统计,在短短一天多的时间,WannaCrypt(永恒之蓝)勒索蠕虫已经攻击了近百个国家的超过10万家企业和公共组织,其中包括1600家美国组织,11200家俄罗斯组织。国内被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。而且其中我国的高校成为了重灾区。国内多家安全公司第一时间发布了相关的免疫工具、专杀工具和“文件恢复工具”,虽然暂时抑制了病毒的传播,但是大量被加密的文件却难以恢复,无数学子的毕业设计、论文、单位的公文被破坏造成了无法估量的损失。到目前为止仍然没有有效可行的文件还原方案。
 
  但当我们冷静下反思这次事件时,会发现其实很多场景下的损失本是可以避免的或降到更低,本不至于播及面如此之大。首先本次被袭击的目标为Windows 操作系统,Windows 系统在全球的桌面系统中仍居第一,是黑客最喜欢研究也是自身漏洞最多的操作系统没有之一。WannaCrypt(永恒之蓝)勒索蠕虫利用的是泄露的NSA网络军火库中的永恒之蓝攻击程序,这是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。而微软已于早前针对Win7及以上版本的系统发布了MS17-010补丁,但补丁包并不包括已经停止服务的Windows XP/2003 系统版本,其系统只要开启了SMB服务就会受到影响。有统计数据显示 Windows XP 自 2014 年结束支持以来,依然存在不少活跃用户,根据市场调研机构 NetMarketShare 的数据,今年三月 Windows XP 市场占有率仍有 7.44%,若按照微软此前推算全球有 15 亿台 Windows PC 来看,目前至少有超过 1 亿台 Windwos XP 设备。他们成为了这此事件最大的受害者之一。 即使 Win7及以上版本的操作系统如果没有及时安装MS17-010系统漏洞或未经安全加固开启了文件共享服务,也会受到病毒的攻击。
 
  其实MS17-010微软于今年3月份已经提供下载推送,作为一个修复严重漏洞的补丁是强列推荐用户安装的。但是为什么我们高校和很多企业都未能及时安装呢?原因在于传统的终端桌面管理思想只注重了“操作系统的稳定性”忽视了系统的安全性与个人数据的安全性。在高校和很多事业单位特别是对外窗口单位的终端都会采用“还原卡”或“系统重启还原”的相关技术还保护系统的稳定,无论上机操作者或外来的破坏性程序如何恶意破坏系统上的数据,用户只需重新启动计算机都可以自动将系统恢复到此前的标准状态(业内俗称原始镜像、母盘数据等)。以此来保证病毒无论无何都无法破坏操作系统的数据无法常期驻留在系统文件中。 但是为了方便学生和上机操作人员保存个人数据往往会在本地磁盘上开启一个“不还原空间”,学生们会把自己学习课件、作业、毕业作业临时保存这个不还盘的存储空间,重启之后这个空不被恢复也方便下次上机时仍然可以继续作业。在管理人员的传统思维下重点要保护是系统的稳定。而忽视了个人数据的重要。然而这次横扫中国高校及各个机构的“永恒之蓝”恰恰没有以破坏操作系统本身为目的,直接指向了用户的个人文件。这种病毒会给受感染电脑中的docx、pdf、xlsx、jpg等110种文件加密,几乎覆盖全部类型的文档和图片,使其无法正常打开。中木马后虽然有些杀毒软件可以杀掉该木马,但加密文件没有任何办法还原。有些机房认为还原技术就可以保护系统根本没有安装杀毒软件,而且据悉病毒可以在特定的条件下即时触发,不像一些病毒有潜伏期。也就是说即使重启还原了操作系统病毒消失了,但是文件还是被加密了。
 
  杜绝这场灾难的最好的措施其实是在此前已经安装了相关的系统补丁修复漏洞。但由还原卡重启还原的这种保护模一方让管理员忽视了修复系统安全的重要性。在还原模式要为所有的终端桌面一台一台的解除保护后安装补丁程序然后再开启保护也是一件非常耗费时间与精力的工作。而3月份已恰好是大学集中返校各种备考、考试上机用机量最繁忙的时期,各校信息中心也难以排出专门的时间做大面积的停课批量更新。一系列客观原因导致了大量的终端没有及时安装系统补丁修复漏洞,以至病毒发作之后无法挽回。可见提前预防注重安全比任何的杀毒软件和系统保护措施都更可靠。更贴合实际贴合用户的终端桌面管理技术则可以降低风险提高抵抗的危机的能力。
 
  采用虚拟化云桌面的技术是就是一个可选方案。和信服务于国内一千多所高校,绝大多数机房在此次事件中未受影响。排除和信下一代云桌面先进的架构设计与管理模式的可靠性之外。及时的系统标准化规范化管理为更重要的原因:
1.和信VEMS 及VENGD 内核级的终端桌面流控功能配置后可以有效的抑制蠕虫病毒在内网攻击,必要时可以完全切断终端桌面之间的通讯,终端仅能与服务器之间保持双向通讯却不能与其他终端横向通讯。杜绝一台终端被感染后向其他终端传播。
2.在模板镜像上更新系统补丁修复系统漏洞之后。所以使用该模板的终端会自动同步更新,更新过程可以不占用上课时间,也不影响学校课程;整个过程为系统后台静默执行。
3.在模板镜像进行系统策略配置,如ipsec 配置、组策略配置、防火墙配置之后,所以使用该模板的终端会自动同步更新,几乎瞬间完成。
4.和信下一代云桌面可以360、卡巴斯基等杀毒软件、以及各种内网安全软件并存,互不冲突;在保障操作系统底层云架构的可靠性的同时,结合系统杀毒安防软件工作让终端桌面更加安全。
5.下一代云桌面可以配套和信云存储、和信个人加密磁盘使用,免除了使用文件夹共享或在本地开辟不还原空间存放个人数据的原始方法。存放在和信云存储上的数据可自动同步到云端与自己的帐户绑定可以在自己的多台设备上分布同步保存。即使某一副本损坏了也以快速从云端恢复上一个版本或从远端的其他设备上已经同步的版本。杜绝了文件了永久损毁无法找回。
 
  和信创天作为国内领先的云计算研发企业多年来服务于教育市场,其VEMS 与VENGD 系统已经被国内几千所高校、中小学校在教学实验中采用。实用性与运行效率得到了广大师生的认可,在此次全球性在事件中再一次经受了检验。为了确保在一次类似病毒木马来袭之际抵御住风险将损失降到最低,建议仍然还在采用传统桌面和系统还原技术的学校、单位都尽快考察下一代云桌面方案,和信可以为您提供的专业的咨询与持有术服务。