防止勒索病毒传播的访问控制策略

从一次公司断网说起

上周老张所在的工厂突然全厂断网，生产线停了整整一天。后来查出来，是一台老旧的操作终端中了勒索病毒，通过局域网自动传播，把几台关键服务器的文件都加密了。其实问题不在于没装杀毒软件，而在于网络权限太“开放”——谁都能访问共享文件夹，病毒自然畅通无阻。

很多人以为防病毒靠的是杀软和防火墙，其实真正的第一道防线是访问控制。简单说，就是“不该看的看不到，不该连的连不上”。比如财务部的共享目录，生产线上那台PLC调试电脑根本没必要访问，那就直接禁止。

在Windows域环境中，可以通过组策略精细控制用户和设备的访问权限。例如，只允许特定安全组的成员访问敏感文件夹，其他一律拒绝。

很多单位的网络还是“一锅粥”，办公电脑、工控机、打印机都在一个网段。一旦某台设备中毒，病毒就能横扫整个内网。合理的做法是按功能划分VLAN，比如把生产设备单独划到VLAN 10，办公区放在VLAN 20，两者之间设置ACL（访问控制列表）规则。

比如在交换机上配置：

access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 permit ip any any

这条规则就阻止了生产网段与办公网段的直接通信，病毒想跳过去就没那么容易。

很多勒索病毒利用SMBv1协议漏洞传播，而这个老协议在不少工控系统里还开着。如果设备不需要文件共享，干脆在本地组策略里关掉Server服务。或者通过防火墙封掉445端口：

windows defender firewall add rule name="Block SMB" dir=in action=block protocol=TCP localport=445

别小看这一步， WannaCry当年就是靠445端口到处传染的。

有些员工电脑用的是管理员账户，装个软件、改个设置都没提示。但这也意味着病毒一旦运行，也能获得全部权限。建议普通员工使用标准用户账户，需要提权时再临时授权。这样就算点了带毒邮件附件，病毒也很难动系统核心文件。

访问控制不是一次性设置完就完事了。设备换了、人员调岗了、新系统上线了，都得重新评估权限是否还合理。定期做一次权限审计，把那些“好像谁都能访问”的共享文件夹清理一遍，能省下不少麻烦。