系统与补丁
升级 Windows 至最新版本;
安装所有安全补丁(推荐使用 360 漏洞修复工具)。
账户安全
禁用默认 Administrator 账户;
创建新管理员账户,普通用户不得拥有本地管理员权限。
远程访问控制
禁用远程桌面(RDP/3389端口);
如需远程维护,改用 AnyDesk 等安全远程工具。
防火墙策略
恢复防火墙默认设置;
仅开放方天 ERP 必需端口(如数据库、应用服务端口),其余一律关闭。
SQL Server 安全配置
禁用 SA 账户,或设置为强密码并仅限本地登录;
创建专用数据库用户(如 DB 用户),仅授予方天ERP运行所需的最小权限;
创建只读用户(如 b9reader),用于报表或查询类操作,禁止写权限;
禁用 SQL Server 的“混合身份验证”(如非必要),优先使用 Windows 身份认证;
关闭 SQL Server Browser 服务(如非多实例环境);
修改默认端口(1433)或启用 IP 白名单限制访问来源。
防病毒与勒索防护
启用 Windows Defender 或可靠杀毒软件;
开启“受控文件夹访问”等勒索软件防护功能。
数据备份
遵循 3-2-1 原则:3份备份、2种介质、1份离线/异地;
定期测试 ERP 数据库与文件的恢复流程。
服务与共享精简
关闭 SMBv1、默认共享(C$、ADMIN$ 等);
禁用未使用的系统服务和高危协议(如 WMI 远程、PowerShell 远程执行)。
网络隔离
ERP 应用与数据库服务器部署在独立 VLAN 或 DMZ;
通过防火墙或 ACL 限制仅业务服务器可访问数据库端口。
安全意识与应急响应
禁止在业务终端使用U盘、随意打开邮件附件;
制定勒索病毒应急响应预案,明确断网、隔离、溯源、恢复步骤。
所有措施应纳入日常运维,定期审计与演练,确保纵深防御有效。
启用应用程序白名单(AppLocker / WDAC)
仅允许运行经过授权的程序(如 ERP 客户端、AnyDesk、杀毒软件等);
阻止未知或恶意脚本(如 PowerShell、WScript、JS/VBS)执行。
强化文件系统权限控制
对 ERP 数据目录、数据库文件(.mdf/.ldf)、备份文件夹设置严格 NTFS 权限;
仅授权 ERP 服务账户和 DB 用户读写,禁止 Everyone 或 Users 组写入权限。
启用数据库审计与告警
在 SQL Server 中开启 SQL Server Audit 或使用扩展事件(XEvent);
监控异常操作(如大批量 DELETE/UPDATE、DROP TABLE、新增用户等),并配置告警。
部署网络流量监控与入侵检测(IDS/IPS)
使用 Suricata、Snort 或国产 NDR/EDR 系统,识别 C2 通信、横向移动行为;
检测 SMB 暴力破解、可疑外联等勒索病毒典型特征。
实施多因素认证(MFA)
对 AnyDesk、堡垒机、数据库管理工具等远程入口启用 MFA;
降低因密码泄露导致的账户接管风险。
定期清理和轮换凭证
定期更换 ERP 应用连接数据库的账号密码;
删除长期未使用的数据库用户、Windows 账户及远程授权设备。
禁用宏与 Office 自动执行功能
通过组策略禁用 Word/Excel 宏(尤其来自互联网的文档);
设置 Office 默认以“受保护的视图”打开外部文件。
部署蜜罐(Honeypot)诱捕内网攻击
在内网部署虚假共享或数据库服务;
一旦被访问,立即触发告警,快速发现横向渗透。
限制 PowerShell 和命令行工具
通过组策略或 AppLocker 限制非管理员使用 cmd、PowerShell、wmic、psexec 等高危工具;
启用 PowerShell 日志记录用于事后溯源。
与安全厂商建立应急联动机制
预先签约专业安全公司,确保攻击时快速响应;
接入威胁情报平台,自动封堵新型勒索病毒 IOC(IP、Hash 等)。