最近有一篇安全帖子发出警告，固件攻击呈上升趋势。他们引用了对英国，美国，德国，日本和中国多个行业的企业中1,000名网络安全决策者的调查，发现在过去两年中，有80％的公司至少经历了一次固件攻击。但是，只分配了29％的安全预算来保护固件。根据微软的说法，解决方案要靠PC安全核心，它们“提供了开箱即用的强大保护，并具有基于虚拟化的安全性，凭证保护和内核DMA保护等功能。”

我想说的是，不仅所有的工作站都不需要这些类型的保护，我们也不应该把我们的资源集中在这方面。此外，IT管理在被问及过去一年处理了哪些固件攻击时，说他们侧重修补防火墙或VPN软件方面，而不考虑网络中计算机的固件。

虽然一些恶意软件利用固件漏洞获得网络访问权限，但它通常与其他攻击相结合。例如，Robbinhood勒索软件使用暴力强制远程桌面协议(RDP)来访问网络。一旦站稳脚跟，他们就使用了技嘉（Gigabyte）的一个有漏洞的内核驱动程序。

将您的安全预算放在您能获得最大收益的地方。如果您把资源花在购买有安全固件的电脑上，您就会错过很多更实惠的解决方案，而这些解决方案可以很快提供安全修复。重点关注基于风险的安全解决方案，而不是那些针对异常攻击提供保护的解决方案。以下是一些值得考虑的方法:

从Internet阻止包含Office宏的文件很容易实现，并且可以解决常见的风险。这个选项存在于Office的现代版本中。

1.在域设置中，从Web下载组策略管理模板。

2.打开组策略管理控制台。

3.右键单击要配置的组策略对象，然后选择“编辑”。

4.在组策略管理编辑器中，转到“用户配置”。

5.单击“管理模板”。

6.转到“ Microsoft Word 2016”。

7.转到“ Word选项”。

8.转到“安全性”。

9.转到“信任中心”。

10.从Internet设置中打开“阻止Office文件中运行的宏”以进行配置和启用。

如果办公室的某个部门需要宏，可以将这些组策略设置应用于特定的组织单位而不影响整个公司。分析“web标记”功能如何工作是一个关键方法，您可以调整安全状态以更有效地工作。确保您的网络设计遵守这些设置，确保您的开发人员充分理解禁用或调整文件的web状态标记的含义。

在Windows 10中使用减少攻击面（ASR）规则来保护工作站。管理员通常不会利用ASR规则，这可以提供额外的保护，防止攻击者。部分ASR规则可能不会影响用户的日常生活。例如，ASR规则“阻止所有Office应用程序创建子进程”不会对大多数用户造成问题。

您仍然需要部署固件的解决方案，但原因可能不是您想的那样。安装Windows 10功能版本后，它们通常需要更新驱动程序，特别是视频或音频驱动程序。如果没有适当的视频或音频驱动程序，功能发布升级过程通常会受阻。

然后是易受攻击的驱动程序的问题。攻击者一旦获得系统访问权，便会使用任何手段进行横向移动或提升特权。即使对于现有系统，也需要具有管理和维护驱动程序的能力。微软最近已经将驱动程序的提供从操作系统之外转移成Windows更新过程的一部分。

如果您从事了多年的网络管理员工作，您可能会有点厌倦，不愿意批准驱动程序，特别是通过Windows软件更新服务(WSUS)过程。许多管理员曾为Windows提供的驱动程序无法正常工作，需要回滚系统而苦恼。

一些计算机供应商提供了监控安装固件和驱动程序更新的应用程序，我已经习惯了让这些供应商的应用程序提供和安装驱动程序。

在Ignite上，微软宣布它将测试一种将驱动部署到您的系统上的新程序。它将在2021年下半年以私人预览的形式开放，并为Intune和Microsoft Graph提供新的部署服务。Configuration Manager管理员将从这一信息中获益，无需改变使用WSUS服务Windows更新的方式。

微软敦促那些有兴趣了解更多信息的人注册他们的预览程序。在Windows客户连接程序中的工程社区中进行注册，以随时了解最新信息。登录并选择问题5中的“驱动程序和固件更新专用预览”选项来了解更多信息。即使您不参加公开预览或Beta版，这也是一种随时了解情况的好方法。

推荐阅读

译文 | 企业为什么要警惕第三方供应商安全

齐心抗疫 与你同在