联邦调查局 (FBI) 和美国司法部今天宣布扣押三个域，这些域被网络犯罪分子用来出售在数据泄露中被盗的个人信息并提供 DDoS 攻击服务。

WeLeakInfo.to 出售订阅服务，允许其用户搜索包含在 10,000 多起数据泄露事件中被盗信息的数据库。

大约 70 亿条记录包含各种个人身份信息 (PII)，包括姓名、电子邮件地址、用户名、电话号码和在线帐户的密码。

另外两个域 ipstress.in 和 ovh-booter.com 用于提供引导程序或压力源攻击服务，客户可以要求他们选择的网站或 Web 平台在大规模分布式拒绝服务 (DDoS) 中被关闭) 攻击。

“今天，联邦调查局和司法部制止了两个令人痛心的常见威胁：贩卖被盗个人信息的网站以及攻击和破坏合法互联网业务的网站，”美国检察官马修·格雷夫斯说。

“网络犯罪经常跨越国界。通过与我们的国际执法合作伙伴建立牢固的工作关系，我们将解决此类威胁全球隐私、安全和商业的犯罪。”

这些域名是在与荷兰国家警察总队和比利时联邦警察协调的联合执法行动后被没收的。

这一国际执法行动还导致逮捕了一名嫌疑人，没收了服务器基础设施，并在多个地点进行了搜查。

2020年查获的WeLeakInfo.com
FBI 和美国司法部还宣布于 2020 年 1 月没收 WeLeakInfo.com 域，用于类似的网络犯罪活动。

就像 WeLeakInfo.to 一样，它还提供订阅服务，允许客户搜索 120 亿条索引记录，以查找在数千个数据泄露事件中暴露的特定信息。

作为 2020 年 WeLeakInfo 缉获行动的一部分，两名据信从其运营中赚了 20 万英镑的嫌疑人在爱尔兰和荷兰被捕。

“这些缉获是联邦调查局和我们的国际合作伙伴正在采取行动破坏恶意网络活动的主要例子，”联邦调查局负责人韦恩·A·雅各布斯的特别探员补充说。

“破坏恶意 DDoS 操作并拆除有助于盗窃和出售被盗个人信息的网站是 FBI 的首要任务。”

黑客瞄准了安全性较差的 Elasticsearch 数据库，并用赎金票据替换了 450 个索引，要求 620 美元来恢复内容，总需求为 279,000 美元。

威胁行为者设定了 7 天的付款期限，并威胁在此之后将需求增加一倍。如果再过一周没有得到报酬，他们说受害者会丢失索引。

那些支付了这笔费用的人会得到一个指向他们的数据库转储的下载链接，据说这将有助于将数据结构快速恢复到其原始形式

该活动是由 Secureworks 的威胁分析师发现的，他们确定了 450 多个单独的赎金支付请求。

根据Secureworks的说法，威胁参与者使用自动化脚本来解析未受保护的数据库、擦除其数据并添加赎金，因此在此操作中似乎没有任何手动参与。

赎金记录在擦除的数据库上 （Secureworks）
竞选后果
这个活动并不新鲜，我们之前已经多次看到过类似的机会主义攻击，而且针对其他数据库管理系统的攻击也是如此[ 1、2、3 ]。

通过支付黑客费用来恢复数据库内容是不太可能的情况，因为攻击者存储这么多数据库的数据所面临的实际和财务挑战是不可行的。

相反，威胁参与者只是删除未受保护的数据库的内容并留下赎金记录，希望受害者相信他们的说法。到目前为止，赎金票据中的一个比特币钱包地址已收到一笔付款。

活动中使用的比特币地址之一（Blockchain.com）
但是，对于数据所有者来说，如果他们不进行定期备份，那么从这种擦除中丢失所有内容很可能会导致重大的经济损失。

其中一些数据库支持在线服务，因此总是存在业务中断的风险，其成本可能比骗子要求的少量成本高得多。

此外，组织不应排除入侵者窃取数据以通过各种方式将其货币化的可能性。

弹性搜索安全

不幸的是，只要数据库在没有适当保护它们的情况下暴露在互联网的公众面前，这些机会主义攻击就会继续以它们为目标。
Group-IB 最近的一份报告显示，2021 年网络上暴露的 Elasticsearch 实例超过 100,000 个，约占 2021 年暴露数据库总数 308,000 个的 30%。

自 2021 年初检测到的暴露数据库总数 （Group-IB）
根据同一份报告，数据库管理员平均需要 170 天才能意识到他们犯了配置错误，从而为恶意攻击者留下了充足的时间进行攻击。

正如 Secureworks 所强调的，任何数据库都不应该是面向公众的，除非它对他们的角色至关重要。此外，如果需要远程访问，管理员应为授权用户设置多因素身份验证，并将访问权限仅限于相关个人。

将这些服务外包给云提供商的组织应确保供应商的安全策略与其标准兼容，并且所有数据都得到充分保护。

Nathaniel Chastain 是最大的在线不可替代令牌 (NFT) 市场 OpenSea 的前产品经理，已被美国司法部 (DOJ) 逮捕并指控犯有 NFT 内幕交易。

这是第一次有人因参与 DOJ 所描述的“数字资产内幕交易计划”而受到指控。

Chastain 被指控涉嫌使用他作为前 OpenSea 员工获得的机密商业信息，并利用这些信息购买大约 45 个 NFT，然后将它们添加到市场的首页。

根据美国司法部的新闻稿，这使他能够在价格大幅上涨后的数小时内将其出售，从而获得巨额利润。

“至少从 2021 年 6 月或大约 2021 年 6 月或大约到 2021 年 9 月或大约，CHASTAIN 使用 OpenSea 关于将在其主页上展示哪些 NFT 的机密商业信息在展示前不久秘密购买了数十个 NFT，”美国司法部说。

“在 OpenSea 上展示了这些 NFT 之后，CHASTAIN 以 2 到 5 倍的初始购买价格出售它们。”

试图使用以太坊账户来掩盖欺诈行为
被告还试图使用匿名 OpenSea 账户和没有先前交易历史的新以太坊账户（被 DOJ 描述为“匿名数字货币钱包”）隐瞒他的非法活动。

根据未密封的起诉书 [ PDF ] ，尽管在加入 OpenSea 时签署了一份书面协议，要求他只能“为了利益或市场”使用这些机密信息，但他还是使用了这些机密信息。

查斯坦今天早上在纽约被捕，今天在美国纽约南区地方法院受审。

他被控一项洗钱罪和一项电汇欺诈罪，每项最高可判处 20 年监禁。

“NFT 可能是新的，但这种类型的犯罪计划不是。据称，Nathaniel Chastain 背叛了 OpenSea，利用其机密商业信息为自己赚钱，”美国检察官 Damian Williams 说。
“今天的指控表明该办公室致力于杜绝内幕交易——无论是发生在股票市场还是区块链上。”

从初始网络访问到有效负载部署，2021 年勒索软件攻击的平均持续时间为 92.5 小时。2020 年，勒索软件攻击者平均花费 230 小时完成攻击，2019 年平均花费 1637.6 小时。

这种变化反映了多年来逐渐发展起来的一种更加精简的方法，以使大规模运营更有利可图。

与此同时，事件响应和威胁检测方面的改进迫使威胁参与者更快地行动，让防御者的反应余地更小。

从访问代理到加密
IBM X-Force 团队的研究人员从 2021 年分析的事件中收集了这些数据。他们还注意到初始访问代理和勒索软件运营商之间的合作更加密切。

以前，网络访问代理可能要等待数天甚至数周才能找到网络访问的买家。

此外，一些勒索软件团伙现在可以直接控制初始感染媒介，例如Conti 接管了 TrickBot恶意软件操作。

破坏公司网络的恶意软件会被迅速利用来启用攻击的利用后阶段，有时 只需几分钟即可完成其目标。


完成攻击目标所需的时间 (IBM)
就勒索软件攻击者使用的工具和方法而言，Cobalt Strike 用于交互会话，RDP 用于横向移动，Mimikatz 和 LSASS 转储用于凭证，SMB + WMIC 和 Psexec 通常用于在网络主机上部署有效负载


2021 年威胁参与者使用的工具 (IBM)
勒索软件攻击者在 2019 年使用了许多相同的工具，但程度不同。

2019 年勒索软件组织使用的工具 (IBM)
检测速度更快但还不够
研究人员表示，自 2019 年以来，2021 年威胁检测和响应系统的性能有所改善，但这还不够。

该领域最令人印象深刻的发展是端点检测解决方案。2019 年，只有 8% 的目标组织具备这种能力，而到 2021 年，这一比例增长到 36%。

在安全工具产生的警报方面，IBM X-Force 数据显示，2019 年有 42% 的受攻击组织得到及时警告。去年，在 64% 的网络入侵案例中发出警报。

防御性能比较 （IBM）
虽然这些数字显示检测能力逐渐提高，但威胁行为者仍然可以利用这一巨大差距。

外表
尽管防御有所改进，但勒索软件仍然是一个重大威胁，因为攻击者采用了高度针对性的方法并转向手动黑客攻击以在受害者网络内部移动并保持低调，直到攻击的最后阶段，系统加密。

显然，勒索软件的攻击者在他们所做的事情上变得更快了。2022 年 4 月的一个示例展示了一个 IcedID 恶意软件感染案例，导致 Quantum 勒索软件在3 小时 44 分钟内部署。

此外，这些天的加密过程更快。一旦它开始，在许多情况下，在发生相当大的损害之前很难阻止它。

归因于名为 SideWinder 的高级威胁参与者的网络钓鱼活动涉及在 Google Play 商店上发布的适用于 Android 设备的假 VPN 应用程序，以及用于过滤受害者以更好地定位的自定义工具。

SideWinder 是一个至少从 2012 年开始活跃的 APT 团体，据信是印度血统的演员，具有相对较高的成熟度。

卡巴斯基的安全研究人员在过去两年中将近 1,000 次攻击归咎于该组织。其主要目标包括巴基斯坦、中国、尼泊尔和阿富汗的组织。
攻击者依赖于一个相当大的基础设施，其中包括超过 92 个 IP 地址，主要用于网络钓鱼攻击，托管数百个用作命令和控制服务器的域和子域。

SideWinder APT 集团的基础设施，来源：Group-IB
最近一次归因于 SideWinder（又名 RattleSnake、Razor Tiger、T-APT-04、APT-C-17、Hardcore Nationalist）的网络钓鱼活动针对巴基斯坦公共和私营部门的组织。

今年早些时候，网络安全公司 Group-IB 的研究人员发现了一份网络钓鱼文件，该文件通过一份提议“正式讨论美国从阿富汗撤军对海上安全的影响”的文件来引诱受害者。

SideWinder APT 组织在网络钓鱼活动中使用的诱饵，来源：Group-IB
在与 BleepingComputer 共享的一份报告中，Group-IB 表示，过去还观察到 SideWinder 克隆政府网站（例如斯里兰卡的政府门户网站）以窃取用户凭据。

最近的网络钓鱼活动也对目标使用了这种方法，因为该行为者建立了多个模仿巴基斯坦政府合法域的网站：

金融.pakgov[.]net
vpn.pakgov[.]net
csd.pakgov[.]net
hajj.pakgov[.]net
nadra.pakgov[.]net
pt.pakgov[.]net
flix.pakgov[.]net
covid.pakgov[.]net
在调查过程中，研究人员发现了一个重定向到合法域“securevpn.com”的网络钓鱼链接。其目的仍不清楚，但可能是选择感兴趣的目标并将其重定向到恶意站点。

Group-IB 发现的另一个链接是从官方 Android 应用商店 Google Play 下载的，它是“Secure VPN”应用的假版本，在撰写本文时仍然存在于 Google Play 上，下载量刚刚超过 10 次。

SiderWinder APT 在网络钓鱼活动中使用的 Google Play 中的假安全 VPN 应用程序，来源：BleepingComputer
研究人员指出，可用于 SideWinder 的假 Secure VPN 应用程序的描述是从合法的 NordVPN 应用程序复制而来的。

在运行时，伪造的 Secure VPN 应用程序向攻击者可能拥有的两个域发出了几个请求，但在调查期间这些域不可用，并且对根目录的请求被重定向到合法的 NordVPN 域。

不幸的是，研究人员无法确认假 VPN 应用程序的用途或是否是恶意的。然而，SideWinder 过去曾在 Google Play 上使用过假应用， 趋势科技过去的研究表明。

SideWinder 以前的虚假应用程序能够收集并发送到命令和控制服务器信息的操作列表，例如：

地点
电池状态
设备上的文件
已安装应用列表
设备信息
传感器信息
相机信息
截屏
帐户
无线网络信息
微信、Outlook、Twitter、雅虎邮箱、Facebook、Gmail、Chrome的数据
他们的应用程序能够收集目标主机上的许多参数并将信息发送回他们的 C2。此类参数包括：位置、电池状态、设备上的文件、已安装应用列表、设备信息、传感器信息、相机信息、屏幕截图、帐户、Wifi 信息、微信、Outlook、Twitter、雅虎邮箱、Facebook、Gmail 和 Chrome 的数据.

Group-IB 还发现，攻击者使用了一个自定义工具，该工具最近被添加到他们的武器库中，由 Group-IB 在内部跟踪为 SideWinder.AntiBot.Script。

“脚本检查客户端浏览器环境，并根据几个参数决定是发出恶意文件还是重定向到合法资源” - Group-IB

如果脚本检测到来自巴基斯坦 IP 的访问者，它会重定向到恶意位置。检查以下参数以确定访问者是否是潜在目标：

地理位置
操作系统版本
关于用户代理的数据
系统语言设置
它还可以确定系统上的逻辑处理器数量和主机使用的视频卡，以及访问 Web 浏览器中的凭据容器，该容器可以返回保存的密码。

检查视频卡可能会确定主机是否用于恶意软件分析目的，因为它与设备的屏幕大小进行了比较。

脚本中的另一个功能是最重要的功能，用于提供恶意文件并将不感兴趣的目标重定向到合法资源。

根据其调查结果，Group-IB 评估认为 SideWinder 的基础设施已广泛传播，以部署新的命令和控制服务器以支持网络钓鱼活动。

欧洲刑警组织宣布取缔 FluBot 行动，这是现存规模最大、增长最快的 Android 恶意软件行动之一。

恶意软件行动的删除是由涉及 11 个国家/地区的执法行动造成的，此前一项复杂的技术调查旨在查明 FluBot 最关键的基础设施。

该行动的参与者是澳大利亚、比利时、芬兰、匈牙利、爱尔兰、西班牙、瑞典、瑞士、荷兰和美国。

“这种被称为 FluBot 的 Android 恶意软件一直在通过短信积极传播，从全球受感染的智能手机中窃取密码、网上银行详细信息和其他敏感信息。它的基础设施在 5 月初被荷兰警方 (Politie) 成功破坏，呈现这种恶意软件不活跃。” - 欧洲刑警组织。

正如荷兰警方今天宣布的那样，他们已将一万名受害者与 FluBot 网络断开连接，并阻止超过 650 万条垃圾短信发送给潜在受害者。

2021 年 3 月，西班牙警方逮捕了四名嫌疑人，他们当时被认为是 FluBot 行动的关键成员，因为该恶意软件主要感染了该地区的用户。

不过，由于恶意软件针对西班牙以外的多个其他国家/地区反弹到前所未有的水平，因此其分发中断是暂时的。

然而，这一次，欧洲刑警组织强调FluBot 基础设施处于执法部门的控制之下，因此不可能重新点燃。

目前，尚未发布有关任何逮捕的公告，因此我们假设该行动的重点是在此阶段破坏恶意软件的基础设施。

FluBot 的快速扩散
FluBot 是一种 Android 恶意软件，它通过在受害者打开合法应用程序的界面上覆盖网络钓鱼页面来窃取银行和加密货币帐户凭据。

此外，它可以访问 SMS 内容并监控通知，因此可以即时获取双因素身份验证和 OTP 代码。

它的迅速扩散是由于滥用受感染设备的联系人列表通过他们信任的人向所有联系人发送短信。

设备被滥用发送垃圾邮件的人不会注意到任何奇怪的事情，因为一切都发生在后台。

通过这种方式，FluBot 只实现了少数感染，迅速增加了全球某些地方的受害者人数，并在那里像野火一样蔓延开来。

FluBot的主要运营方案 （欧洲刑警组织）
至于“零患者”的分发方式，包括 Google Play Store 上的 laced 应用程序、虚假包裹递送消息、 Flash Player 应用程序更新等等。

如果您认为 FluBot 可能感染了您的设备，欧洲刑警组织建议您执行恢复出厂设置，擦除分区中可能托管恶意软件的所有数据。

威胁分析人员发现了新版本的 XLoader 僵尸网络恶意软件，该恶意软件使用概率论隐藏其命令和控制服务器，从而难以破坏恶意软件的运行。

这有助于恶意软件运营商继续使用相同的基础设施，而不会因已识别的 IP 地址上的阻塞而丢失节点的风险，同时还减少了被跟踪和识别的机会。

XLoader 是一个信息窃取 器，最初基于 Formbook，针对 Windows 和 macOS 操作系统。它于 2021 年 1 月首次进入广泛部署。

Check Point 的研究人员一直在跟踪恶意软件的演变，他们对最新的 XLoader 版本 2.5 和 2.6 进行了采样和分析，并发现了与以前版本相比的一些关键差异。

大数定律
XLoader 已经在 2.3 版中通过将真实域名隐藏在包含 63 个诱饵的配置中来伪装其实际的命令和控制 (C2) 服务器。


在 63 个诱饵中隐藏实际域 （检查点）
不过，在最新版本中，Check Point 的分析师注意到，恶意软件会在每次通信尝试中用新值覆盖其配置列表中随机选择的 64 个域列表中的 8 个。

覆盖列表中的随机域 (CheckPoint)
“如果真正的 C&C 域出现在列表的第二部分，它会在每个周期中大约每 80-90 秒访问一次。如果它出现在列表的第一部分，它将被另一个随机域名覆盖，” CheckPoint 解释道。

“覆盖列表第一部分的八个域是随机选择的，真正的 C&C 域可能就是其中之一。在这种情况下，真正的 C&C 服务器在下一个周期被访问的概率是 7/64 或 1/8，具体取决于“fake c2(2)”域的位置。”

这有助于从安全分析师那里伪装真正的 C2 服务器，同时将对恶意软件操作的影响降至最低。

成功的 C2 访问源于大数定律，这增加了在足够的试验下获得预期结果的概率。

正如 CheckPoint 通过下表解释的那样，威胁分析人员必须执行冗长的仿真才能得出实际的 C2 地址，这是一种非典型做法，并且会使所有自动化脚本无用。

同时，对于恶意软件操作者来说，XLoader 不太可能在感染后一小时不联系真正的 C2 地址。

在 2.6 版中，CheckPoint 注意到 XLoader 从 64 位版本的有效负载中删除了此功能，恶意软件每次都会联系真正的 C2 域。

但是，在威胁分析人员使用的虚拟机托管沙箱中非常常见的 32 位系统中，XLoader 维护了新的 C2 混淆。

超过 360 万台 MySQL 服务器在 Internet 上公开并响应查询，使其成为黑客和勒索者的有吸引力的目标。

在这些可访问的 MySQL 服务器中，有 230 万台通过 IPv4 连接，130 万台设备通过 IPv6 连接。

虽然 Web 服务和应用程序连接到远程数据库很常见，但应该锁定这些实例，以便只有授权设备才能连接到它们。

此外，公开服务器暴露应始终伴随着严格的用户策略、更改默认访问端口 (3306)、启用二进制日志记录、密切监视所有查询并执行加密。

360 万个暴露的 MySQL 服务器
在上周网络安全研究组织 Shadowserver Foundation 进行的扫描中，分析师发现 360 万台暴露的 MySQL 服务器使用默认端口 TCP 端口 3306。

“虽然我们不检查可能的访问级别或特定数据库的暴露程度，但这种暴露是应该关闭的潜在攻击面，” Shadow Server的报告解释道。

拥有最多访问 MySQL 服务器的国家是美国，超过 120 万台。其他数量庞大的国家是中国、德国、新加坡、荷兰和波兰。

IPv4 中暴露的 MySQL 服务器的热图 （Shadow Server）
详细扫描结果如下：

IPv4 上的总暴露人口：3,957,457
IPv6 上的总暴露人口：1,421,010
IPv4 上的“服务器问候”响应总数：2,279,908
IPv6 上的“服务器问候”响应总数：1,343,993
发现的所有 MySQL 服务中有 67% 可从 Internet 访问
要了解如何安全地部署 MySQL 服务器并消除系统中可能潜伏的安全漏洞，Shadow Server 建议管理员阅读5.7 版指南或8.0版指南。

出售被盗数据库的数据经纪人告诉 BleepingComputer，数据盗窃最常见的载体之一是不适当保护的数据库，管理员应始终锁定数据库以防止未经授权的远程访问。

未能保护 MySQL 数据库服务器可能会导致灾难性的数据泄露、破坏性攻击、勒索要求、远程访问木马(RAT) 感染，甚至 Cobalt Strike 攻击。这些情况都会对受影响的组织产生严重后果，因此应用适当的安全实践并删除您的设备，使其无法通过简单的网络扫描进行访问，这一点至关重要。

Microsoft 已共享缓解措施，以阻止利用新发现的 Microsoft Office 零日漏洞远程执行恶意代码的攻击。

该漏洞是 Shadow Chaser Group的疯子报告的一个Microsoft Windows 支持诊断工具（MSDT）远程代码执行漏洞 。

微软现在将其跟踪为 CVE-2022-30190。该漏洞影响仍在接收安全更新的所有 Windows 版本（Windows 7+ 和 Server 2008+）。

正如安全研究人员 nao_sec 发现的那样，威胁参与者使用它通过 MSDT 执行恶意 PowerShell 命令，Redmond 在打开或 预览 Word 文档时将其描述为任意代码执行 (ACE) 攻击。

“成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码，”微软 解释说。

“然后攻击者可以安装程序、查看、更改或删除数据，或者在用户权限允许的上下文中创建新帐户。”

可用的解决方法
根据 Redmond 的说法，管理员和用户可以通过禁用 MSDT URL 协议来阻止利用 CVE-2022-30190 的攻击，恶意行为者使用该协议来启动故障排除程序并在易受攻击的系统上执行代码。

要在 Windows 设备上禁用 MSDT URL 协议，您必须执行以下过程：

以 管理员身份运行 命令提示符。
要备份注册表项，请执行命令“ reg export HKEY_CLASSES_ROOT\ms-msdt filename ”
执行命令“ reg delete HKEY_CLASSES_ROOT\ms-msdt /f ”
在 Microsoft 发布 CVE-2022-30190 补丁后，您可以通过启动提升的命令提示符并执行 reg import filename 命令（文件名是禁用协议时创建的注册表备份的名称）来撤消解决方法。

Microsoft Defender Antivirus 1.367.719.0 或更高版本现在还带有以下签名下可能的漏洞利用检测：

木马:Win32/Mesdetty.A
木马:Win32/Mesdetty.B
行为：Win32/MesdettyLaunch.A
行为：Win32/MesdettyLaunch.B
行为：Win32/MesdettyLaunch.C

虽然微软表示 Microsoft Office 的受保护视图和应用程序防护将阻止 CVE-2022-30190 攻击，但 CERT/CC 漏洞分析师 Will Dormann（和 其他研究 人员）发现， 如果目标预览恶意文档Windows资源管理器。

因此，还建议禁用 Windows 资源管理器中的“预览”窗格以删除此攻击媒介。

据Shadow Chaser Group 的疯子，4 月份首次发现并报告零日漏洞的研究人员称，微软首先将该漏洞标记为 不是“与安全相关的问题”。不过，它后来 通过远程执行代码关闭了漏洞提交报告影响。

第一次利用这个零日漏洞的攻击开始于一个多月前，目标是潜在的讲俄语的受害者，受邀接受人造卫星电台的采访。

BleepingComputer 已联系 Microsoft 以获取有关此漏洞（被 Follina戏称为）的更多信息，并询问为什么它不被视为安全风险。我们尚未收到回复，但我们会在公司发表声明后立即更新文章。

……一旦你的服务器上线，成千上万的机器人就会开始使用不同的方法攻击你的服务器——试图劫持或感染你的服务器以对其他用户进行恶意攻击。”

让您自己的服务器上线非常令人兴奋！您现在可以通过安装和配置任何软件/应用程序在您的服务器中工作，自由地将任何软件/应用程序交付给您的用户。

但是，一旦您的服务器上线，成千上万的机器人就会开始使用不同的方法攻击您的服务器——试图劫持或感染您的服务器以对其他用户进行恶意攻击。

因此，在您拿到服务器的那一刻保护您的服务器非常重要。以下是指导您保护服务器的方法：

1. 只安装所需的操作系统组件

无论是 Linux 还是 Windows，默认情况下，它们都会提示您安装完整版本的操作系统（如果它是专用服务器，请请求托管服务提供商代您完成）。始终进行最小的自定义安装。

不需要的组件应该被忽略。

这最大限度地减少了攻击面并减少了维护所需的补丁和更新的数量。

2. 保持“管理员/根”帐户的安全

Windows Server 中的默认超级用户帐户是“Administrator”，而在 Linux 上，它将是“Root”，大多数暴力攻击都是针对这些帐户的。

对于 Windows，锁定策略可以应用于其他用户，但管理员帐户永远不能被禁用或锁定。我们强烈建议您将管理员重命名为另一个用户名以确保其安全。

对于 Linux，添加另一个 root 权限帐户并限制 root 帐户可以执行的操作。

3. 始终使用安全的用户策略作为指导

不允许空密码。
强制执行最小密码长度和复杂性。
使用锁定策略 (Windows)。
不要使用可逆加密存储密码。
强制会话超时不活动。

4. 采用“最小特权”原则

如果您有多个用户使用同一台服务器，请执行以下操作：
避免由于访问权限处理不当而导致的潜在安全问题。
提供每个用户执行其职责所需的最低权限（尤其是在操作系统分区上）。
设置组策略或使用基于角色的访问控制 (RBAC) 组件根据您自己的要求指定访问限制。