最近有安全文章警告称，固件攻击出现上升势头。文章引用了针对1000位企业网络安全决策者的调查数据，受访对象横跨英国、美国、德国、日本和中国的多个行业，调查结果表明；80%的受访公司在过去两年中经历过至少一次固件攻击。然而，仅29%的安全预算分配给了固件防护。微软认为，固件攻击的解决方案是安全核心电脑，这类电脑可提供“开箱即用的强大防护，具备虚拟化安全、Credential Guard和内核DMA防护等功能”。

不过，不仅未必所有的工作站都需要这些类型的保护，我们也不应该把有限的资源都投入到这方面。甚至这都不是固件更新之所以这么重要的根源所在。此外，在被问及过去几年中处理过哪些固件攻击时，IT管理员表示，防火墙或VPN软件需要修复，计算机的固件倒是未必。

尽管有些恶意软件利用固件漏洞获取网络访问权，但通常都结合了其他类型的攻击。例如，Robbinhood勒索软件就采用暴力破解远程桌面协议（RDP）来侵入网络，建立立足点后再利用技嘉的脆弱内核驱动程序。

好钢要用在刀刃上，安全预算也要用在最值回票价的地方。如果资源都花在购买配置有安全固件的计算机上，你就会错失能够更快修复安全漏洞的很多更经济的解决方案。安全重点要放在基于风险的安全解决方案上，而不是针对罕见攻击的那些解决方案。以下几种就值得考虑：

▶ 阻止含有Office宏的文件

阻止互联网上包含Office宏的文件不是什么麻烦事，但却可以防范常见风险。最近的Office版本中都有这个选项。

可以参照下列步骤在组策略中实现这一设置：

1. 在域环境中，从Web下载组策略管理模板。

2. 打开组策略管理控制台。

3. 右键点击你想要配置的组策略对象，并选择“编辑”。

4. 在组策略管理编辑器中，导航到“用户配置”。

5. 点击“管理模板”。

6. 导航到“Microsoft Word 2016”。

7. 导航到“Word选项”。

8. 导航到“安全”。

9. 导航到“信任中心”。

10. 从互联网设置打开“阻止宏在Office文件中运行”，配置并启用此选项。

如果公司某部门需要宏，可以将这些组策略设置应用到特定部门，而不影响整个公司。分析“Web标记”功能的运行机制有助于调整安全状态，更加有效地保护系统安全。报告，还要确保网络设计适用这些设置。确保开发人员充分理解禁用或调整文件Web标记状态的后果。

▶ 设置攻击面减少规则

可以使用Windows 10中的攻击面减少（ASR）规则来保护工作站。ASR规则能够提供额外的攻击防护，但管理员往往不会利用ASR规则。几条ASR规则应该不会影响用户的日常生活。例如，“阻止所有Office应用程序创建子进程”这条ASR规则，就不会给大多数用户制造麻烦。

▶ 更新固件和驱动程序

你依然需要固件部署解决方案，但为什么需要的原因可能跟你想象的有点差距。Windows 10功能版本部署后通常需要更新驱动程序，尤其是视频或音频驱动程序。如果缺乏合适的视频或音频驱动程序，就常会无法启动功能版本升级进程。

另外还有驱动程序漏洞的问题。一旦获得系统访问权，攻击者会利用各种方式展开横向移动或提升权限。即使对现有系统而言，拥有管理和维护驱动程序的能力也是一个关键需求。微软最近已将提供驱动程序的功能纳入了Windows更新进程，不再放置在操作系统之外。

如果已经在网络管理员的岗位上干了几年，那你可能会有点厌倦，不愿意批准安装驱动程序，尤其是通过Windows软件更新服务（WSUS）。很多管理员都遭遇过Windows提供的驱动程序无法正常工作而只能回滚系统的悲惨经历。

一些计算机供应商提供监测和安装固件及驱动程序更新的应用程序。这些供应商应用程序可以很方便地提供和安装驱动程序，还不太容易出错。而Windows更新进程要想达到此类供应商应用程序的水平恐怕还需要些时间。

在Ignite大会上，微软宣布将开始测试驱动程序部署到系统的新过程。该过程将作为个人预览版开放，并在2021年下半年为Intune和Microsoft Graph提供新的部署服务。配置管理器管理员将从中获益，无需改变用WSUS提供Windows更新的方式。

微软正鼓励富有探索精神的用户报名参与其预览体验计划。可在Windows Customer Connection Program中的工程社区注册，跟进此计划。如需获取更多信息，可登录社区，并在问题5中选择“驱动程序及固件更新个人预览”选项。即使不参与公开预览或测试，这也是保持消息灵通的大好方式。

关键词：固件攻击；

▶ 相关文章

• [调查]83%的公司两年内曾遭固件攻击
  

• 32种针对硬件与固件的攻击