大家好,今天小编来为大家解答以下的问题，关于服务器安全：9个有效应对勒索软件的防范措施，这个很多人还不知道，现在让我们一起来看看吧！

现在，勒索病毒组织已经开始专门针对数据中心备份服务器进行攻击，因此企业应大力保护这些备份服务器，以保证业务的正常开展。

以下是保护备份服务器的九个步骤：

一）及时打补丁

请务必确保贵公司的备份服务器及时收到最新的操作系统更新。大多数勒索软件攻击都会利用补丁已存在很长时间但未及时安装的漏洞。此外，订阅备份软件提供的任何自动更新并及时完成更新，以确保备份服务器的安全。

二）禁用入站端口

备份服务器通常通过两种方式受到攻击：一种是利用漏洞或使用泄露的凭据登录，这要求企业禁用除必要的入站端口之外的所有端口，并同时停止这两个端口。其次，只有备份软件执行备份和恢复所需的端口应保持开放，并且这些端口只能通过备份服务器专用的VPN 访问。此外，即使是LAN 上的用户也应该使用VPN。

三）削弱出站 DNS 请求

勒索软件感染备份服务器时所做的第一件事就是利用命令和控制服务器。如果您做不到这一点，您将无法收到有关下一步操作的说明。因此，企业可以考虑使用本地主机文件或不支持外部查询的受限DNS 系统作为阻止勒索软件感染系统的最简单方法，从而以微小的不便获得巨大的回报。毕竟，为什么备份服务器需要从互联网上合法获取随机机器的IP 地址呢？

四）断开备份服务器与 LDAP 的连接

备份服务器不应连接到轻量级目录访问协议(LDAP) 或任何其他集中式身份验证系统。这些经常受到勒索软件的攻击，并且很容易被用来获取备份服务器本身或其备份应用程序的用户名和密码。许多安全专家认为管理员帐户不应放入LDAP 中，因此可能已经存在单独的密码管理系统。只允许需要访问权限的人共享密码的商业密码管理器可能符合要求。

五）启用多重身份验证

MFA 可以提高备份服务器的安全性，但使用SMS 或电子邮件以外的任何方法都会使您容易受到攻击。因此，企业可以考虑使用第三方身份验证应用程序，例如Google Authenticator 或Authy 或众多商业产品之一。

六）限制根帐户和管理员帐户

备份系统的配置应确保几乎没有人需要直接登录管理员或root 帐户。例如，如果用户帐户在Windows 上设置为管理员帐户，则该用户无需登录即可管理备份系统。此帐户只能用于执行更新操作系统或添加存储等操作。当然，这些任务不需要频繁访问，并且受到第三方应用程序的严格监控，以防止特权帐户的过度使用。

七）考虑 SaaS 备份

使用软件即服务(SaaS) 将备份服务器移出企业数据中心计算环境。这意味着不必不断更新备份服务器并使用防火墙将它们与网络的其他部分隔离。这也使得没有必要为备份的特权帐户维护单独的密码管理系统。

八）使用最小特权

确保需要访问备份系统的人员仅拥有完成其授权任务所需的权限。例如，删除备份、缩短保留期限和执行存储的能力应仅限于一小部分人，并且应严格记录和监控这些操作。如果攻击者获得对备份系统的不受限制的管理员访问权限，他们就可以保证能够使用恢复功能将他们想要的所有数据传输到未加密的位置以进行泄露。

九）创建单独的根/管理员帐户

相当于root 的单独ID（仅偶尔访问）可以在使用时触发警报并限制泄漏损坏的可能性。考虑到此类权限可能对备份系统和敏感数据造成的损害，为此付出代价是值得的。

实施这些步骤后，请务必咨询您企业的备份供应商，了解其产品和解决方案的最新使用提示。

原文地址：保护备份服务器免受勒索软件侵害的9个步骤

原作者：W.柯蒂斯·普雷斯顿

好了，文章到此结束，希望可以帮助到大家。