全球70%Windows服务器遭“裸露”，看浪潮SSR如何防范

近日，一则爆炸性新闻侵入我们的视野，黑客组织Shadow Brokers在Twitter上再次泄露出一份震惊世界的机密文档，其中包含了多个关键 Windows远程漏洞利用工具，可以覆盖大量的 Windows服务器，一夜之间所有Windows服务器几乎全线暴露在危险之中，任何人都可以直接下载并远程攻击利用，这个事件让所有企业的IT人员都感到威胁。

据了解，该事件影响的 Windows 版本包括但不限于：Windows NT，Windows 2000（没错，古董也支持）、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。目前国内不少高校、政府、国企甚至一些互联网公司还在使用 Windows服务器。据悉，受影响的设备覆盖了全球约70%的Windows服务器，这次黑客行为造成的影响堪称史无前例。

Shadow Brokers曝光了三个部分的大量文件，文件包含多个 Windows漏洞的利用工具，涉及多个Windows系统服务（IIS、SMB、RDP），只要 Windows 服务器开了135、137、445、3389其中的端口之一，有很大概率可以直接被攻击。

利用这些漏洞攻击者能够提升自己的高级权限，犹如操作本机一样操作被攻击设备，并且能够获取各类共享的数据信息，还可以远程上传后门程序，执行任何恶意代码，根据以上信息可以看出该事件所造成的损失是巨大的，虽然部分厂商提出了相关解决方案，但多数都是基于手动对端口进行关闭，或使用防火墙屏蔽，亦或等待微软相关补丁。

如何拯救几近裸露的服务器，实现标本兼制

当政府、企业面对这样的威胁，应该怎么办？浪潮提出SSR主机安全增强系统解决方案从内核层进行加固，从根本上防御对操作系统的攻击。相对其他厂商关闭端口的做法更为全面合理。

SSR产品不仅可以非常方便的帮客户查询开放端口，还可以帮助用户便捷的关闭。

安全基线核查功能，除了端口以外，系统配置项目全部进行检查，发现问题项提供一键修复功能。

强制访问控制与白名单，为核心主机保驾护航，免疫已知与未知病毒。

可执行程序控制，系统里跑的应用的底层就是端口，此次135等端口对应的就是上层应用。SSR可以帮客户锁定只允许哪些应用启动，其他应用不允许启动，非授权端口自然无法启动也就无法被病毒或者攻击者利用。

账户控制，SSR安装后可以对系统账户做控制，不允许新增系统用户或者权限提权。

SSR通过以下技术手段解决此次安全风险挑战

安全基线管理功能，SSR根据基线要求配置完整的安全配置库，设定系统的安全基线元素，并根据模板批量下发至同类型系统中，实现一键式安全管理。同时，可以便捷地检测系统端口状态，一键式进行端口启停，及时处理黑客利用端口漏洞发起的一切攻击行为。

账户强制访问控制，通过对系统账户的保护，保证系统账户的完整性，防止随意添加账户、随意删除账户，即使是系统管理员也没有权限；防止随意修改账户的信息，防止普通账户随意提权，保护系统安全。从而避免该事件中利用这些漏洞攻击者能够提升自己的高级权限。

进程访问控制，进程可以赋予的权限有允许终止，允许读内存，写内存，创建线程，复制句柄等操作，任何与策略相违背的操作都会被拒绝，防止进程被注入，进程提权，进程被恶意终止，保证用户业务的连续性等。

文件强制访问控制，通过配置用户文件安全策略或者进程文件策略，达到保护重要文件或者目录的目的。文件或者目录可以赋予的权限有只读，只写，允许所有操作，禁止所有操作，任何与策略相违背的操作都会被拒绝。

完整性检测、安全基线配置检查（基于等保三级、分保）、安全审计等多种功能，全面满足用户对系统安全的要求。

作为系统安全专家，浪潮SSR全面应对核弹级漏洞来袭，我们准备好了。