别让病毒顺着网络爬进你的电脑
前两天邻居老李家的公司出事了,财务部一台电脑中了勒索病毒,第二天整个局域网里十几台机器文件都被加密,连备份服务器都没逃过。事后查下来,问题就出在没做好访问控制——病毒通过共享文件夹一路“溜达”到了关键设备。
勒索病毒现在早就不是单打独斗了,它会主动扫描内网,找那些谁都能读写的共享目录下手。一旦得手,自动复制自己、加密文件、再继续传播,速度快得你反应不过来。
关闭不必要的共享权限
很多单位为了方便传文件,把D盘、E盘直接设成“everyone可写”,这等于在门口挂了个“欢迎来拿”的牌子。正确的做法是:只给真正需要的人开通读写权限,并且用“只读”代替“可写”。
比如你在Windows上共享一个文件夹,右键->属性->共享选项卡,点“高级共享”,勾选后设置权限。或者用命令行快速关闭默认共享:
net share C$ \\/delete
net share D$ \\/delete
net share Admin$ \\/delete这些C$、D$之类的隐藏共享平时不用最好关掉,很多人根本不知道它们的存在,但黑客和病毒可清楚得很。
用组策略限制访问行为
如果你是公司网络,域环境下的组策略(GPO)是个好工具。可以统一设置:禁止从网络位置运行可执行文件。这样哪怕病毒传进来了,双击也打不开。
具体策略路径是:计算机配置 -> 管理模板 -> 系统 -> 附件管理器 -> “不运行指定的Windows应用程序”。还可以启用“始终以管理员批准模式运行所有管理员”,增加一层拦阻。
防火墙规则要精准
很多人以为开了防火墙就安全了,其实默认设置只能防外不能防内。你需要手动加几条出站规则,拦截可疑行为。
例如,阻止SMB协议(445端口)对非信任主机的访问:
windows defender firewall with advanced security
- 新建出站规则
- 协议类型:TCP
- 特定端口:445
- 作用范围:输入内部子网IP段(如192.168.1.0\\/24)
- 操作:阻止连接
- 配置文件:域、专用、公用都勾选这样一来,即使某台电脑中毒,也无法通过SMB疯狂扫描内网其他机器。
备份也要有访问控制
很多人做了备份就以为万事大吉,结果病毒连着备份盘一起加密。记住:备份设备必须设置为“只写不可读”或定期断开连接。NAS或备份服务器上的共享文件夹,绝不能给终端用户写完还能删的权限。
可以用脚本定时挂载备份盘,写入完成后自动卸载:
net use \\\\backup-server\\daily \\/user:backup_user password123
robocopy C:\\data \\\\backup-server\\daily /MIR
timeout \/t 300
net use \\\\backup-server\\daily \/delete这样只在特定时间段开放连接,降低被攻击风险。
说到底,防勒索病毒不是装个杀软就完事。真正的防线,在于层层设卡、处处设防。尤其是访问控制这块,看似麻烦,关键时刻能救你整个系统。”,"seo_title":"防止勒索病毒传播的访问控制方法详解","seo_description":"了解如何通过访问控制阻止勒索病毒在局域网中传播,包括关闭共享、组策略设置、防火墙规则与备份权限管理。","keywords":"防止勒索病毒,访问控制,勒索病毒防护,网络安全,防火墙设置,共享文件夹权限,SMB病毒传播"}