2023年针对中小企业的勒索软件攻击中，超过60%的入侵源于未更新的远程桌面协议（RDP）端口。这意味着你每天登录的那台服务器，可能正敞着门等人闯入。

第一步：封死RDP默认端口，切断横向移动路径

绝大多数攻击者不会扫描整个IP段，而是直接扫描3389、22这类默认端口。你需要做的不是修改注册表那么简单——先确认服务器是否有公网IP，如果有，立即在防火墙规则中将RDP端口改为50000以上的随机五位数字。具体操作：在Windows防火墙中新建入站规则，只允许特定IP段访问这个新端口，并禁用所有来自其他IP的连接。一个真实案例：某物流公司IT人员仅改了端口号，未限制IP白名单，三天后攻击者通过端口扫描工具仍找到了新端口，因为公司员工在家用动态IP远程办公，导致防火墙规则形同虚设。

第二步：建立真正的密码轮换机制，而非仅改一次

每90天改一次密码是旧标准，但多数公司只改了管理员账号，忽略了服务账户。最常被忽略的是SQL Server的sa账户和IIS应用池身份——这些账户密码往往几年不变。具体操作：用PowerShell脚本每月自动生成16位随机密码，写入加密的密码保险库，然后将新密码推送到所有相关服务器。举例：一家电商公司发现其ERP系统使用的服务账户密码是五年前的初始密码，黑客用这个账户直接登录了数据库服务器。

第三步：日志审计要抓“反常登录”，而非所有事件

大多数公司开启了Windows安全日志，每天产生数十万条事件，但没人看。真正有用的指标不是登录失败次数，而是“非工作时间成功登录”和“从非常用地理位置登录”。操作方式：在SIEM或日志分析工具中设置两个警报规则——规则A：凌晨2点到5点之间，同一账户在10分钟内从两个不同城市登录；规则B：登录成功后5分钟内执行了PowerShell下载命令。一个现实案例：某金融公司因为设置了规则B，在攻击者利用域管理员账户横向移动时，15分钟内就触发了警报，阻止了勒索软件部署。

三个最常踩的误区：

• 误区一：只用杀毒软件就够。杀毒软件只能拦截已知恶意软件，对零日漏洞和合法系统工具滥用（如powershell.exe、wmic.exe）几乎无效。你需要的是EDR或行为监控工具。
• 误区二：备份放在同一台服务器上。多数勒索软件会先搜索并加密本地和网络共享中的备份文件。正确做法：备份到独立存储设备或云存储，且该设备不允许从被保护服务器直接访问。
• 误区三：只给管理员账号设置MFA。攻击者通常通过钓鱼邮件获取普通员工凭证，然后用这些凭证申请重置管理员权限。必须对每个能登录内部系统的账号都启用多因素认证，包括VPN和邮件系统。