最近有安全文章警告稱，固件攻擊出現(xiàn)上升勢(shì)頭。文章引用了針對(duì)1000位企業(yè)網(wǎng)絡(luò)安全決策者的調(diào)查數(shù)據(jù)，受訪對(duì)象橫跨英國(guó)、美國(guó)、德國(guó)、日本和中國(guó)的多個(gè)行業(yè)，調(diào)查結(jié)果表明;80%的受訪公司在過(guò)去兩年中經(jīng)歷過(guò)至少一次固件攻擊。然而，僅29%的安全預(yù)算分配給了固件防護(hù)。微軟認(rèn)為，固件攻擊的解決方案是安全核心電腦，這類電腦可提供“開(kāi)箱即用的強(qiáng)大防護(hù)，具備虛擬化安全、Credential Guard和內(nèi)核DMA防護(hù)等功能”。

[[405211]]

不過(guò)，不僅未必所有的工作站都需要這些類型的保護(hù)，我們也不應(yīng)該把有限的資源都投入到這方面。甚至這都不是固件更新之所以這么重要的根源所在。此外，在被問(wèn)及過(guò)去幾年中處理過(guò)哪些固件攻擊時(shí)，IT管理員表示，防火墻或虛擬專用網(wǎng)軟件需要修復(fù)，計(jì)算機(jī)的固件倒是未必。

盡管有些惡意軟件利用固件漏洞獲取網(wǎng)絡(luò)訪問(wèn)權(quán)，但通常都結(jié)合了其他類型的攻擊。例如，Robbinhood勒索軟件就采用暴力破解遠(yuǎn)程桌面協(xié)議(RDP)來(lái)侵入網(wǎng)絡(luò)，建立立足點(diǎn)后再利用技嘉的脆弱內(nèi)核驅(qū)動(dòng)程序。

好鋼要用在刀刃上，安全預(yù)算也要用在最值回票價(jià)的地方。如果資源都花在購(gòu)買(mǎi)配置有安全固件的計(jì)算機(jī)上，你就會(huì)錯(cuò)失能夠更快修復(fù)安全漏洞的很多更經(jīng)濟(jì)的解決方案。安全重點(diǎn)要放在基于風(fēng)險(xiǎn)的安全解決方案上，而不是針對(duì)罕見(jiàn)攻擊的那些解決方案。以下幾種就值得考慮：

▶ 阻止含有Office宏的文件

阻止互聯(lián)網(wǎng)上包含Office宏的文件不是什么麻煩事，但卻可以防范常見(jiàn)風(fēng)險(xiǎn)。最近的Office版本中都有這個(gè)選項(xiàng)。

可以參照下列步驟在組策略中實(shí)現(xiàn)這一設(shè)置：

1. 在域環(huán)境中，從Web下載組策略管理模板。
2. 打開(kāi)組策略管理控制臺(tái)。
3. 右鍵點(diǎn)擊你想要配置的組策略對(duì)象，并選擇“編輯”。
4. 在組策略管理編輯器中，導(dǎo)航到“用戶配置”。
5. 點(diǎn)擊“管理模板”。
6. 導(dǎo)航到“Microsoft Word 2016”。
7. 導(dǎo)航到“Word選項(xiàng)”。
8. 導(dǎo)航到“安全”。
9. 導(dǎo)航到“信任中心”。
10. 從互聯(lián)網(wǎng)設(shè)置打開(kāi)“阻止宏在Office文件中運(yùn)行”，配置并啟用此選項(xiàng)。

如果公司某部門(mén)需要宏，可以將這些組策略設(shè)置應(yīng)用到特定部門(mén)，而不影響整個(gè)公司。分析“Web標(biāo)記”功能的運(yùn)行機(jī)制有助于調(diào)整安全狀態(tài)，更加有效地保護(hù)系統(tǒng)安全。報(bào)告，還要確保網(wǎng)絡(luò)設(shè)計(jì)適用這些設(shè)置。確保開(kāi)發(fā)人員充分理解禁用或調(diào)整文件Web標(biāo)記狀態(tài)的后果。

▶ 設(shè)置攻擊面減少規(guī)則

可以使用Windows 10中的攻擊面減少(ASR)規(guī)則來(lái)保護(hù)工作站。ASR規(guī)則能夠提供額外的攻擊防護(hù)，但管理員往往不會(huì)利用ASR規(guī)則。幾條ASR規(guī)則應(yīng)該不會(huì)影響用戶的日常生活。例如，“阻止所有Office應(yīng)用程序創(chuàng)建子進(jìn)程”這條ASR規(guī)則，就不會(huì)給大多數(shù)用戶制造麻煩。

▶ 更新固件和驅(qū)動(dòng)程序

你依然需要固件部署解決方案，但為什么需要的原因可能跟你想象的有點(diǎn)差距。Windows 10功能版本部署后通常需要更新驅(qū)動(dòng)程序，尤其是視頻或音頻驅(qū)動(dòng)程序。如果缺乏合適的視頻或音頻驅(qū)動(dòng)程序，就常會(huì)無(wú)法啟動(dòng)功能版本升級(jí)進(jìn)程。

另外還有驅(qū)動(dòng)程序漏洞的問(wèn)題。一旦獲得系統(tǒng)訪問(wèn)權(quán)，攻擊者會(huì)利用各種方式展開(kāi)橫向移動(dòng)或提升權(quán)限。即使對(duì)現(xiàn)有系統(tǒng)而言，擁有管理和維護(hù)驅(qū)動(dòng)程序的能力也是一個(gè)關(guān)鍵需求。微軟最近已將提供驅(qū)動(dòng)程序的功能納入了Windows更新進(jìn)程，不再放置在操作系統(tǒng)之外。

如果已經(jīng)在網(wǎng)絡(luò)管理員的崗位上干了幾年，那你可能會(huì)有點(diǎn)厭倦，不愿意批準(zhǔn)安裝驅(qū)動(dòng)程序，尤其是通過(guò)Windows軟件更新服務(wù)(WSUS)。很多管理員都遭遇過(guò)Windows提供的驅(qū)動(dòng)程序無(wú)法正常工作而只能回滾系統(tǒng)的悲慘經(jīng)歷。

一些計(jì)算機(jī)供應(yīng)商提供監(jiān)測(cè)和安裝固件及驅(qū)動(dòng)程序更新的應(yīng)用程序。這些供應(yīng)商應(yīng)用程序可以很方便地提供和安裝驅(qū)動(dòng)程序，還不太容易出錯(cuò)。而Windows更新進(jìn)程要想達(dá)到此類供應(yīng)商應(yīng)用程序的水平恐怕還需要些時(shí)間。

在Ignite大會(huì)上，微軟宣布將開(kāi)始測(cè)試驅(qū)動(dòng)程序部署到系統(tǒng)的新過(guò)程。該過(guò)程將作為個(gè)人預(yù)覽版開(kāi)放，并在2021年下半年為Intune和Microsoft Graph提供新的部署服務(wù)。配置管理器管理員將從中獲益，無(wú)需改變用WSUS提供Windows更新的方式。

微軟正鼓勵(lì)富有探索精神的用戶報(bào)名參與其預(yù)覽體驗(yàn)計(jì)劃。可在Windows Customer Connection Program中的工程社區(qū)注冊(cè)，跟進(jìn)此計(jì)劃。如需獲取更多信息，可登錄社區(qū)，并在問(wèn)題5中選擇“驅(qū)動(dòng)程序及固件更新個(gè)人預(yù)覽”選項(xiàng)。即使不參與公開(kāi)預(yù)覽或測(cè)試，這也是保持消息靈通的大好方式。