WannaCry

Ryuk

<p>確認網域已建置強化措施，以防禦勒索軟體。</p>


<p>勒索軟體是我們現今所面臨最具破壞性的全球網路威脅。這種威脅幾乎影響了每個產業，且基於各種根本原因，安全團隊必須在防禦者原則中考量所有原因。</p>


未對所有包含電腦的容器強制使用 PowerShell 執行原則設定。

未對所有包含電腦的容器強制使用 WSH 停用作業。

PowerShell Constrained Language Mode (CLM) 是透過 Microsoft 不建議的環境變數強制使用 (參見曝險指標 (IoE) 說明以取得更多詳細資料)。這種設定很危險，因為攻擊者可以輕鬆變更環境變數來移除限制語言模式的強制執行。

危險副檔名的預設檔案關聯設定未套用於所有包含使用者的容器。

未對所有包含電腦的容器設定影響所有 Office 應用程式的 VBA (巨集) 預設停用設定。

用於設定 AppLocker 指令碼規則強制執行的參數未在環境中使用。

用於針對危險副檔名設定預設檔案關聯 (OpenWith) 的參數未在環境中使用。

用於設定影響所有 Office 應用程式之 VBA (巨集) 預設停用設定的參數未在環境中使用。

用於設定影響所有 Office 應用程式之 VBA (巨集) 預設停用設定的參數與預期值不相符。

用於設定 WSH 的參數與預期值不相符。

用於設定 AppLocker 規則強制的參數與預期值不相符。

用於設定 AppLocker 可執行檔規則強制執行的參數未在環境中使用。

未在環境中使用用於設定強式 PowerShell 執行原則的參數。

用於設定 WSH 停用作業的參數未在環境中使用。

用於針對危險副檔名設定預設檔案關聯 (OpenWith) 的參數與預期值不相符。

用於設定 PowerShell 執行原則的參數與預期值不相符。

Office 文件中包含的巨集未傳送至已登錄的 AMSI 引擎。