最近有安全文章警告稱，固件攻擊出現(xiàn)上升勢頭。文章引用了針對1000位企業(yè)網(wǎng)絡(luò)安全決策者的調(diào)查數(shù)據(jù)，受訪對象橫跨英國、美國、德國、日本和中國的多個行業(yè)，調(diào)查結(jié)果表明;80%的受訪公司在過去兩年中經(jīng)歷過至少一次固件攻擊。然而，僅29%的安全預(yù)算分配給了固件防護。微軟認為，固件攻擊的解決方案是安全核心電腦，這類電腦可提供“開箱即用的強大防護，具備虛擬化安全、Credential Guard和內(nèi)核DMA防護等功能”。

[[405211]]

不過，不僅未必所有的工作站都需要這些類型的保護，我們也不應(yīng)該把有限的資源都投入到這方面。甚至這都不是固件更新之所以這么重要的根源所在。此外，在被問及過去幾年中處理過哪些固件攻擊時，IT管理員表示，防火墻或虛擬專用網(wǎng)軟件需要修復(fù)，計算機的固件倒是未必。

盡管有些惡意軟件利用固件漏洞獲取網(wǎng)絡(luò)訪問權(quán)，但通常都結(jié)合了其他類型的攻擊。例如，Robbinhood勒索軟件就采用暴力破解遠程桌面協(xié)議(RDP)來侵入網(wǎng)絡(luò)，建立立足點后再利用技嘉的脆弱內(nèi)核驅(qū)動程序。

好鋼要用在刀刃上，安全預(yù)算也要用在最值回票價的地方。如果資源都花在購買配置有安全固件的計算機上，你就會錯失能夠更快修復(fù)安全漏洞的很多更經(jīng)濟的解決方案。安全重點要放在基于風險的安全解決方案上，而不是針對罕見攻擊的那些解決方案。以下幾種就值得考慮：

▶ 阻止含有Office宏的文件

阻止互聯(lián)網(wǎng)上包含Office宏的文件不是什么麻煩事，但卻可以防范常見風險。最近的Office版本中都有這個選項。

可以參照下列步驟在組策略中實現(xiàn)這一設(shè)置：

1. 在域環(huán)境中，從Web下載組策略管理模板。
2. 打開組策略管理控制臺。
3. 右鍵點擊你想要配置的組策略對象，并選擇“編輯”。
4. 在組策略管理編輯器中，導(dǎo)航到“用戶配置”。
5. 點擊“管理模板”。
6. 導(dǎo)航到“Microsoft Word 2016”。
7. 導(dǎo)航到“Word選項”。
8. 導(dǎo)航到“安全”。
9. 導(dǎo)航到“信任中心”。
10. 從互聯(lián)網(wǎng)設(shè)置打開“阻止宏在Office文件中運行”，配置并啟用此選項。

如果公司某部門需要宏，可以將這些組策略設(shè)置應(yīng)用到特定部門，而不影響整個公司。分析“Web標記”功能的運行機制有助于調(diào)整安全狀態(tài)，更加有效地保護系統(tǒng)安全。報告，還要確保網(wǎng)絡(luò)設(shè)計適用這些設(shè)置。確保開發(fā)人員充分理解禁用或調(diào)整文件Web標記狀態(tài)的后果。

▶ 設(shè)置攻擊面減少規(guī)則

可以使用Windows 10中的攻擊面減少(ASR)規(guī)則來保護工作站。ASR規(guī)則能夠提供額外的攻擊防護，但管理員往往不會利用ASR規(guī)則。幾條ASR規(guī)則應(yīng)該不會影響用戶的日常生活。例如，“阻止所有Office應(yīng)用程序創(chuàng)建子進程”這條ASR規(guī)則，就不會給大多數(shù)用戶制造麻煩。

▶ 更新固件和驅(qū)動程序

你依然需要固件部署解決方案，但為什么需要的原因可能跟你想象的有點差距。Windows 10功能版本部署后通常需要更新驅(qū)動程序，尤其是視頻或音頻驅(qū)動程序。如果缺乏合適的視頻或音頻驅(qū)動程序，就常會無法啟動功能版本升級進程。

另外還有驅(qū)動程序漏洞的問題。一旦獲得系統(tǒng)訪問權(quán)，攻擊者會利用各種方式展開橫向移動或提升權(quán)限。即使對現(xiàn)有系統(tǒng)而言，擁有管理和維護驅(qū)動程序的能力也是一個關(guān)鍵需求。微軟最近已將提供驅(qū)動程序的功能納入了Windows更新進程，不再放置在操作系統(tǒng)之外。

如果已經(jīng)在網(wǎng)絡(luò)管理員的崗位上干了幾年，那你可能會有點厭倦，不愿意批準安裝驅(qū)動程序，尤其是通過Windows軟件更新服務(wù)(WSUS)。很多管理員都遭遇過Windows提供的驅(qū)動程序無法正常工作而只能回滾系統(tǒng)的悲慘經(jīng)歷。

一些計算機供應(yīng)商提供監(jiān)測和安裝固件及驅(qū)動程序更新的應(yīng)用程序。這些供應(yīng)商應(yīng)用程序可以很方便地提供和安裝驅(qū)動程序，還不太容易出錯。而Windows更新進程要想達到此類供應(yīng)商應(yīng)用程序的水平恐怕還需要些時間。

在Ignite大會上，微軟宣布將開始測試驅(qū)動程序部署到系統(tǒng)的新過程。該過程將作為個人預(yù)覽版開放，并在2021年下半年為Intune和Microsoft Graph提供新的部署服務(wù)。配置管理器管理員將從中獲益，無需改變用WSUS提供Windows更新的方式。

微軟正鼓勵富有探索精神的用戶報名參與其預(yù)覽體驗計劃?？稍赪indows Customer Connection Program中的工程社區(qū)注冊，跟進此計劃。如需獲取更多信息，可登錄社區(qū)，并在問題5中選擇“驅(qū)動程序及固件更新個人預(yù)覽”選項。即使不參與公開預(yù)覽或測試，這也是保持消息靈通的大好方式。