启用MFA增强安全性防范勒索病毒

一、实现逻辑

利用操作系统自身的功能防范勒索病毒是一个重要的安全措施，以下是一些关键方法：

1. 启用系统安全功能

（1）使用 Windows Defender 或内置杀毒软件

• Windows 10/11 自带 Windows Defender（微软 Defender 防病毒）可以检测和阻止勒索软件。
• 确保 实时保护 和 勒索软件防护 处于开启状态：
  • 进入 Windows 安全中心 → 病毒和威胁防护 → 勒索软件防护 → 开启 受控文件夹访问。
  • 受控文件夹访问 可防止未经授权的应用篡改重要文件。

（2）开启防火墙

• Windows 和 Linux 都提供了 内置防火墙，可以防止恶意软件通过网络传播。
  • Windows：在 控制面板 → Windows Defender 防火墙 确保其 已启用。
  • Linux：使用 iptables 或 firewalld 设置防火墙规则。

2. 使用权限控制防止恶意加密

（1）启用 UAC（用户账户控制）

• Windows UAC（User Account Control） 通过限制管理员权限，防止勒索病毒随意修改系统文件。
• 进入 控制面板 → 用户账户 → 更改用户账户控制设置，将级别调整为 始终通知 或较高的安全级别。

（2）使用最低权限运行软件

• 避免使用 管理员账户 进行日常操作，勒索病毒在普通用户权限下难以修改系统关键文件。
• 在 Linux 上，使用 sudo 执行特权操作，而非直接使用 root 账户。

（3）开启受控文件夹访问

• Windows：受控文件夹访问 可以防止勒索病毒修改特定目录，如 文档、图片、桌面 等：
  • 进入 Windows 安全中心 → 病毒和威胁防护 → 勒索软件防护 → 受控文件夹访问。

3. 备份重要数据

（1）使用系统自带的备份工具

• Windows：
  • 文件历史记录（适用于个人文件）：进入 设置 → 更新和安全 → 备份，启用 文件历史记录。
  • 系统还原点：在 控制面板 → 系统 → 系统保护 中，开启 系统还原点，可在感染后回滚系统状态。
• Linux：
  • 使用 rsync 进行定期备份，例如：

rsync -av --delete /重要数据目录/ /备份目录/

•  使用 Timeshift 创建系统快照，支持快速恢复。

（2）使用离线/云端备份

• 重要数据 备份到外部硬盘或云存储（如 OneDrive、Google Drive）。
• 离线存储 方式（如 U 盘或 NAS 设备）可防止勒索软件感染备份文件。

4. 更新系统与软件

（1）启用自动更新

• 勒索病毒通常利用系统漏洞传播，定期更新可修补安全漏洞：
  • Windows：进入 设置 → Windows 更新 → 检查更新。
  • Linux：使用 apt update && apt upgrade 或 yum update 进行系统升级。

（2）更新常用软件

• 浏览器、Office、Java、Flash、PDF 阅读器 等是常见的攻击目标，保持最新版本可降低风险。

5. 关闭高危端口与远程访问

（1）关闭 RDP 远程桌面（除非必要）

• 勒索软件如 Dharma、SamSam 等，利用 RDP（远程桌面协议） 传播。
• 禁用 RDP（如果不需要）：
  • 在 Windows 中，进入 控制面板 → 系统 → 远程设置，取消勾选 允许远程连接到此计算机。
• 如果必须使用 RDP：
  • 更改默认端口 3389，并设置强密码、多因素认证（MFA）。

（2）关闭不必要的端口

• Windows：使用 防火墙 关闭高危端口（如 445、135、139、3389）。
• Linux：使用 iptables 或 ufw 限制端口访问：

ufw deny 445
ufw deny 3389

6. 监控与日志分析

（1）启用系统日志

• Windows：使用 事件查看器（Event Viewer）监控异常行为。
• Linux：查看 syslog 或 journalctl，检测可疑活动：

journalctl -xe

（2）启用 Windows Defender 事件监控

• 在 组策略（gpedit.msc）中配置 Windows Defender 事件记录，便于追踪可疑活动。

7. 其他高级防护

（1）启用 BitLocker 或 LUKS 加密

• 如果担心物理泄露，可对磁盘加密：
  • Windows：使用 BitLocker 加密磁盘（仅适用于专业版及以上）。
  • Linux：使用 LUKS 进行磁盘加密。

（2）使用 AppLocker 或 SRP（软件限制策略）

• Windows AppLocker 或 SRP（软件限制策略） 可阻止未知程序运行：
  • 在 本地组策略编辑器（gpedit.msc） → 计算机配置 → Windows 设置 → 安全设置 → 软件限制策略，限制可疑文件执行。

总结

通过这些措施，可以有效降低勒索软件攻击的风险，并在遭受攻击时快速恢复数据。

 二、启用操作系统MFA多因素认证

在 Windows 远程桌面协议（RDP）中启用 多因素认证（MFA） 可以有效防止未经授权的访问，从而增强安全性。以下是几种常见的 RDP MFA 方案及其配置方法：

方法 1：使用 Microsoft Entra ID（Azure AD）进行 MFA

适用于 Windows Server 和 Windows 10/11 专业版及企业版

步骤 1：启用 Azure AD MFA

1. 登录 Azure AD 管理中心：Microsoft Entra admin center
2. 启用 MFA
   • 进入 身份保护 → 多重身份验证。
   • 在 用户设置 中，启用对远程桌面用户的 MFA 保护。

步骤 2：安装和配置 NPS 服务器

在 Windows Server 上，使用 Network Policy Server（NPS）扩展 来连接 Azure AD。

1. 在 Windows Server 上安装 NPS：

   • 打开 服务器管理器 → 添加角色和功能。
   • 选择 网络策略和访问服务（NPS） 并安装。

2. 安装 Azure MFA NPS 扩展

   • 下载并安装 NPS 扩展：下载地址
   • 配置 RADIUS 代理 以将 RDP 请求重定向到 Azure MFA。

步骤 3：配置 RADIUS 以启用 MFA

1. 打开 NPS 控制台（nps.msc）。

2. 添加 RADIUS 客户端

   • 进入 RADIUS 客户端和服务器 → 新建。
   • 添加 Windows 远程桌面服务器的 IP 地址，并设置共享密钥。

3. 创建连接请求策略

   • 选择 策略 → 连接请求策略 → 新建。
   • 设置 条件（如用户组、客户端 IP 地址等）。
   • 在 身份验证方法 中选择 MS-CHAP v2（以支持 Azure MFA）。

4. 测试 RDP 连接

   • 用户在远程登录时，会收到来自 Microsoft Authenticator 应用的 MFA 验证请求。

✅ 适用场景：企业环境，尤其适用于使用 Azure AD 和 Microsoft 365 的组织。

方法 2：使用 Windows Hello for Business（推荐个人用户）

Windows Hello for Business 允许用户使用 PIN、指纹或 Windows Hello 设备 进行 MFA 认证。

步骤 1：启用 Windows Hello for Business

1. 在 Windows 10/11 设置中启用

   • 进入 设置 → 账户 → 登录选项。
   • 选择 Windows Hello，然后配置 PIN 或生物识别（指纹/人脸识别）。

2. 启用 RDP 认证

   • 在 组策略编辑器（gpedit.msc） 中：
     • 进入 计算机配置 → 管理模板 → Windows 组件 → 远程桌面服务 → 远程桌面会话主机 → 安全。
     • 启用 需要使用 Windows Hello 进行远程桌面连接。

✅ 适用场景：个人用户、企业用户（需 Windows 10/11 企业版）。

方法 3：使用 Duo MFA（第三方 MFA 解决方案）

Duo Security 是一个流行的 MFA 解决方案，可以为 RDP 访问提供双因素认证（2FA）。

步骤 1：注册 Duo Security 账号

1. 访问 Duo 官网：Identity Security, MFA & SSO | Duo Security
2. 创建账户并启用 MFA
   • 在 Duo 管理面板中，添加 Windows 设备作为受保护应用。

步骤 2：安装 Duo Authentication for Windows Logon

1. 下载 Duo MFA 客户端：下载地址
2. 安装 Duo 客户端
   • 运行安装程序并输入 Duo API 认证密钥。
   • 选择 启用 RDP 登录保护。

步骤 3：测试 RDP 连接

1. 使用远程桌面连接（mstsc）登录时，会弹出 Duo MFA 验证。
2. 用户需要在手机上通过 Duo App 进行二次认证。

✅ 适用场景：需要非微软解决方案的企业，或者希望通过手机验证码/MFA 认证 RDP 登录的用户。

方法 4：使用 Smart Card（智能卡）或 YubiKey

智能卡和硬件令牌 可以作为另一种 MFA 方式，适用于高安全性环境。

步骤 1：启用智能卡登录

1. 打开本地组策略（gpedit.msc）

   • 进入 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。
   • 启用 交互式登录：需要智能卡。

2. 安装智能卡驱动

   • 如果使用 YubiKey，需安装 YubiKey Smart Card Minidriver。

✅ 适用场景：政府、金融机构、企业高安全性环境。

总结：哪种 RDP MFA 方案适合你？

如果你需要 简单易用，推荐 Duo MFA；
如果你是 企业用户，推荐 Azure AD MFA；
如果你是 个人用户，可以使用 Windows Hello for Business。

💡 最重要的是，结合 强密码、关闭不必要的端口（如 3389），可以最大限度降低 RDP 遭受攻击的风险！

三、本地部署MFA

 除了 Azure AD MFA 之外，可以使用 本地部署的多因素认证（MFA） 来保护 RDP 远程桌面。以下是几种 本地部署的 RDP MFA 方案，无需依赖 Azure 云服务：

方案 1：使用 Windows 本地 NPS 服务器 + RADIUS + 本地 AD MFA

适用于：企业内部环境（无需云端），Windows Server + 本地 AD 认证

步骤 1：安装 NPS（网络策略服务器）

1. 在 Windows Server 上打开 服务器管理器，选择：

   • 添加角色和功能 → 选择 网络策略和访问服务（NPS）
   • 安装并启用 RADIUS 服务

2. 打开 NPS 控制台（nps.msc）

   • 配置 RADIUS 客户端（添加远程桌面服务器的 IP 地址）
   • 配置 RADIUS 服务器（作为本地认证服务器）

步骤 2：配置 NPS 进行 MFA 认证

1. 在 NPS 服务器 上，创建 连接请求策略：

   • 在 策略 → 连接请求策略 中 添加新策略
   • 选择 条件（如 "NAS IPv4 Address" 指向远程桌面服务器）

2. 设置认证方式

   • 在 身份验证方法 选项中，启用 MS-CHAP v2
   • 关联本地 Active Directory 账户

步骤 3：配置 RDP 服务器连接 NPS

1. 在远程桌面服务器上，使用 本地组策略（gpedit.msc）：

   • 进入 计算机配置 → Windows 设置 → 安全设置 → 本地策略
   • 配置 网络访问保护（NAP），确保 RDP 需要通过 RADIUS 认证。

2. 在远程桌面服务器上，使用 RDP 进行连接测试：

   • 用户登录时，会触发 NPS 服务器的二次认证
   • 可结合 短信验证码、OTP 令牌等方式 进行多因素认证

✅ 适用场景：适合 企业内部使用，无需连接 Azure，完全 本地化 认证。

方案 2：使用 DUO MFA 本地服务器

适用于：需要更简单、支持手机推送 OTP 认证的本地 MFA 方案

步骤 1：在本地服务器上安装 DUO Authentication for Windows Logon

1. 下载 DUO MFA for Windows：Duo RDP 下载地址
2. 在 Windows Server 远程桌面网关 或 Windows 10/11 终端 上安装 Duo 客户端
3. 在 Duo 管理后台创建 本地 AD 绑定，确保用户在登录时可接收 OTP 或 Duo App 推送认证

步骤 2：配置 DUO 本地认证

1. 进入 Duo 管理面板，添加 Windows 服务器

2. 在服务器上修改 Duo Windows Logon 配置：

   • 启用 RDP 保护
   • 选择 本地 AD 账户认证
   • 选择 MFA 验证方式（手机推送、OTP、短信等）

3. 测试 RDP 登录，确认 登录时需要双因素认证

✅ 适用场景：适合 中小企业或个人，支持 本地部署，不依赖 Azure。

方案 3：使用 Smart Card 智能卡 或 YubiKey 进行 RDP MFA

适用于：高安全性环境，如政府、银行、金融企业

步骤 1：启用 Windows 本地智能卡登录

1. 在本地 Active Directory 组策略（gpedit.msc）中：

   • 进入 计算机配置 → Windows 设置 → 安全设置 → 本地策略
   • 启用 交互式登录：需要智能卡

2. 安装智能卡驱动

   • 如果使用 YubiKey 硬件令牌，需安装 YubiKey Smart Card Minidriver
   • 配置 Windows 远程桌面服务器支持 基于证书的登录

步骤 2：设置 RDP 服务器支持智能卡认证

1. 在远程桌面服务器上，修改 远程桌面协议设置：

   • 进入 本地组策略编辑器（gpedit.msc）
   • 选择 计算机配置 → Windows 组件 → 远程桌面服务
   • 启用 需要智能卡认证登录

2. 在 RDP 连接时，插入智能卡或 YubiKey 进行身份验证。

✅ 适用场景：适合 高安全性环境，如 政府、银行、金融机构。

方案 4：使用 FreeRADIUS + Google Authenticator（适用于 Linux 服务器）

适用于：Linux 服务器 + RDP 认证的本地 MFA 方案

步骤 1：安装 FreeRADIUS 服务器

在 Linux 服务器 上安装 FreeRADIUS：

sudo apt update
sudo apt install freeradius

步骤 2：安装 Google Authenticator 作为 2FA

在每个 RDP 服务器用户账户上安装 Google Authenticator：

sudo apt install libpam-google-authenticator
google-authenticator

• 选择 时间同步模式
• 绑定 Google Authenticator 秘钥

步骤 3：配置 FreeRADIUS 进行 MFA 认证

1.编辑 /etc/freeradius/3.0/mods-enabled/pam，增加：

pam {
    authentication = yes
}

2.让 RDP 服务器使用 FreeRADIUS 进行身份认证：

• 在 RDP 服务器上 添加 RADIUS 客户端
• 启用 Google Authenticator 作为 OTP 认证

✅ 适用场景：适用于 Linux 服务器环境，支持 Google OTP 认证。

总结：本地 RDP MFA 方案对比

最终选择

• 如果是 Windows 企业 AD 用户，推荐 NPS + RADIUS 本地 MFA（最原生的 Windows 认证方式）。
• 如果是 需要手机 MFA，可以选择 Duo Security（易于配置）。
• 如果是 高安全要求，推荐 YubiKey / 智能卡 认证。
• 如果是 Linux 服务器，可以使用 FreeRADIUS + Google Authenticator。

💡 无论选择哪种方案，都应该：

1. 关闭不必要的 RDP 端口（3389）。
2. 启用账户锁定策略（防止暴力破解）。
3. 配置防火墙 只允许可信 IP 访问 RDP。

这样可以最大程度保护你的 RDP 远程桌面安全！💪

四、DUO介绍 

 Duo MFA 既有 免费版本 也有 付费版本，具体取决于需求和使用规模。

1. 免费版（Duo Free）

Duo 提供 Duo Free 计划，适合 小团队和个人，它支持基本的 多因素认证（MFA） 功能，包括：
✅ 支持 RDP 远程桌面 MFA（Windows / Mac 登录保护）
✅ 支持移动 App（Duo Mobile） 进行推送认证
✅ 支持 OTP（一次性密码）
✅ 支持 U2F 设备（如 YubiKey）
✅ 可添加最多 10 个用户
✅ 无 API 访问，无高级策略设置

适用场景：

• 个人用户
• 小型团队（最多 10 人）
• 需要简单的 MFA 保护 Windows 远程桌面

2. 付费版（Duo MFA, Duo Access, Duo Beyond）

如果你需要 企业级功能，Duo 提供 付费版本，按用户订阅：

主要区别：

• 付费版支持 自定义安全策略（如 IP 限制、地理位置限制）
• 支持本地 AD 目录同步（免费版不支持）
• 可用于企业 VPN、云应用、SaaS 认证
• 支持 10 人以上的团队

适用场景：

• 企业级用户
• 需要 AD 目录集成
• 想要 IP 访问控制、设备信任策略

3. Duo 试用版（30 天免费）

Duo 提供 30 天试用版，可试用完整的企业功能。
你可以在官网注册试用：https://duo.com/

总结

如果只是个人使用或者小团队，Duo Free 已经足够。
如果是 企业环境，建议考虑付费版，以获得更全面的安全控制。💡