很多人觉得局域网很安全,毕竟设备都在自己眼皮底下。可真等到内网被入侵、文件被删、打印机突然打印一堆乱码时,才发现问题早就在里面了。
别让“熟人网络”变成漏洞温床
公司几十台电脑连在一个交换机上,员工U盘随便插,共享文件夹全设成“可读写”,这种场景太常见了。某天财务电脑中了蠕虫,一小时内病毒就顺着局域网爬满了整个办公网。根源不是外攻,而是内部没设防。
基础但关键的几招
关闭不必要的共享服务。Windows默认开启的Admin$、C$这类管理共享,在小型网络里基本用不上,反而容易被利用。可以手动关闭:
net config server /srvcomment:"禁用默认共享"
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v AutoShareServer /t REG_DWORD /d 0 /f修改注册表后重启生效,能直接砍掉一批潜在入口。
划分VLAN,像分房间一样分网络
财务、研发、前台,都接在同一段IP?风险太大。用普通家用路由器可能做不到,但稍微上点档次的交换机都支持VLAN。把不同部门划到不同子网,比如财务用192.168.10.x,行政用192.168.20.x,再在路由器上设置访问策略,互相看不见。
哪怕某个终端中毒,也别想直接扫到其他部门的机器。
ARP欺骗不是传说
有人在茶水间连个笔记本,装个Wireshark,顺手发几条ARP响应包,就能把整个楼层的流量先过他电脑转一圈。这种“中间人攻击”成本极低,但杀伤力不小。
解决办法是绑定关键设备的MAC地址。在路由器或核心交换机上设置静态ARP表:
arp -s 192.168.1.100 00-1a-2b-3c-4d-5e这样即便有人伪造网关MAC,本地设备也不会听他的。
日志别等出事才翻
启用了DHCP的路由器,记得定期导出租约记录。哪台设备几点接入、分配了什么IP,都是线索。某次发现一台陌生的Android设备蹭网,查MAC前缀发现是某员工私自接的智能电视,差点成了内网跳板。
还可以在核心PC上开Windows事件查看器,筛选ID为4624(登录成功)和4670(权限变更)的事件,异常行为往往藏在里面。
补丁不能拖
SMBv1漏洞“永恒之蓝”爆发好几年了,仍有不少老系统没打KB4013389补丁。一台没更新的Win7,接入局域网等于举着牌子写“请黑我”。开启自动更新不保证万无一失,但至少挡住已知大路。
内网安全不是非得买防火墙、上EDR。把基础规则立起来,管住口、分好区、盯住人,普通办公室也能挺得住大多数常规攻击。