今年5月的WannaCry（勒索软件）已经让大家尝尽苦头也让网络安全系统管理员的颜面尽扫。目前来说，安全专家们仍然无法预料WannaCry（勒索软件）将会出现何种变种。对于拥有专门的安全专家的大公司来说，网络安全最起码还有个基本的保障，但对个人用户来说，就只能靠自己来进行防护了。

在这里为大家提供6条加强你的网络环境的建议，这6条建议对组织和个人用户来说，都非常有用，且易于操作。

密码重用的常见原因是Windows工作站和服务器上的本地管理员帐户，这些密码通常通过组策略设置为公用值，或者在构建系统映像时设置为标准值。因此，在一台机器上发现本地管理员密码的攻击者就可以利用这些值访问网络上的所有计算机。

在2015年年中，微软发布了一个解决这个该问题的工具，即本地管理员密码解决方案（LAPS）。此方案是将本地管理员密码存储在LDAP上，作为计算机账户的一个机密属性，配合GPO，实现自动定期修改密码、设置密码长度、强度等，更重要是该方案可以将该密码作为计算机帐户属性存储在Active Directory中。该属性“ms-Mcs-AdmPwd”可以通过ACL锁定，以确保只有经过批准的用户，如控制台和系统管理员可以查看密码。 LAPS还包括一个PowerShell模块和一个后台客户端，LAPS UI，以简化管理和检索过程。

可以提供Microsoft LAPS UI Thick Client来支持可能需要访问本地管理员帐户的人员

LAPS实现起来非常快速简单，只需要要求系统管理员创建一个定义密码策略和本地帐户名称的GPO来管理，可以直接将单个文件AdmPwd.dll添加到Windows上。

攻击者对具有漏洞的账户进行控制一样可以获得该设备的管理权限，比如用户有时会为了某种访问的需要，进行一些临时访问，但在访问完毕后，用户有时会忘了对这些访问进行删除或监控，以至于被黑客利用。根据我们的经验，很少有用户会把这些临时访问权限进行删除。

敏感帐户，如具有管理员权限的帐户应与普通账户，如员工的账户在查看电子邮件和浏览网页时进行帐户区分。如果用户帐户被恶意软件或网络钓鱼进行了攻击，或者在密码已被泄密的情况下，帐户区分将有助于防止对管理员的权限造成进一步损坏。

具有域管理员或企业管理员资格的帐户应受到高度限制，比如只能用于登录域控制器，具有这些权限的帐户不应再在其他系统上进行登录了。在此，我们建议大家可以基于不同的管理功能来为每个账户设置不同的权限的管理账户，比如 “工作站管理”和“服务器管理”组，这样每个管理员就不具有访问整个域的权限了，这将有助于对整个域的权限保护。

许多攻击包括WannaCry的基本攻击机制，都是针对未修补的系统。所以，不管你的网络是否对外开放，都应该定期更新操作系统和应用程序。虽然这个建议属于老生常谈，但从另一个侧面也说明了该建议的重要性。许多攻击就是利用未修复的漏洞和未更新的系统来大做文章。

对于Windows系统来说，利用Windows Server进行更新服务简单而高效。利用WSUS部署更新程序时，WSUS易于设置，可以设置为自动或手动方式。而利用第三方软件来管理更新就有点不靠谱了，比如一些商业插件就允许WSUS从其他供应商那里修补软件。还有一些比较小众的工具，像Ninite这样的第三方更新工具，既不是自动配置的，也不是免费使用的，但它允许用户从其列表中选择支持的应用程序和运行没有完全选定的应用程序。 Flexera的企业软件检查器和Microsoft的系统中心配置管理器（SCCM）等工具也可以帮助管理第三方应用程序的修补。

Windows Server Update Services向导允许管理员选择要管理的更新类型

使用WSUS，管理员可以自动批准补丁到质量检查环境，或手动批准并分配它们

Verizon发布的《2016年数据泄露调查报告》显示“63%的已确认的数据泄露事件均涉及到密码口令(password)的丢失、密码口令安全性过低或默认密码未

更改”，所以这个建议是非常重要的。当用户在首次使用设备时，应该先对默认的出厂密码进行修改，如果没有设置密码的要先设置密码，但往往人们会忽

略这些关键的保护手段。攻击者就是利用这些疏忽来进行攻击的，因为一般的出厂默认密码都可以在网络上查到。攻击者可以利用网络设备，如交换机和接

入点上的默认密码来重定向流量，执行中间人攻击，或对网络基础设施执行拒绝服务攻击。

更糟糕的是，内部系统所利用的Web控制台在包含敏感业务数据或系统配置的应用程序中通常使用的都是默认密码。攻击者利用网络钓鱼和常见的恶意软

件的攻击向量就可以绕过安全防护，并且有时候真正的威胁是来自内部人员的恶意行为，所以借着 “内部”这个借口来放松对密码的管理，这个观念是非

常错误的。正确的做法应该是，审核所有登录密码，并进行必要的修改和设置。现在，许多设备和服务都支持双因素身份验证， 建议大家尽量开启。

只是用Google搜索出来的一些默认密码列表 

链路本地组播名称解析（LLMNR）和NetBIOS名称服务（NBT-NS）都可以导致在启用时快速对域名进行攻击。这些协议最常用在初始DNS查找失败时查找所请求的主机，并且会在默认情况下启用。在大多数网络中，由于DNS的存在，所以LLMNR和NetBIOS名称解析根本就没有必要再用了。当对无法找到的主机发出请求时，例如尝试访问 dc-01的用户打算输入 dc01，LLMNR和NBT-NS就会发送广播，寻找该主机。这时攻击者就会通过侦听LLMNR和NetBIOS广播，伪装成用户（客户端）要访问的目标设备，从而让用户乖乖交出相应的登陆凭证。在接受连接后，攻击者可以使用Responder.py或Metasploit等工具将请求转发到执行身份验证过程的流氓服务（如SMB TCP：137）。 在身份验证过程中，用户会向流氓服务器发送用于身份认证的NTLMv2哈希值，这个哈希值将被保存到磁盘中，之后就可以使用像Hashcat或John Ripper（TJR）这样的工具在线下破解，或直接用于 pass-the-hash攻击。

由于这些服务通常不是必需的，因此最简单的措施是完全禁用它们。大家可以顺着计算机配置 – >策略 – >管理模板 – >网络 – > DNS客户端 – >关闭组播名称解析来修改组策略，禁用LLMNR。

禁用NetBIOS名称解析并不是一件简单的事情，因为我们必须在每个网络适配器中手动禁用“启用TCP / IP NetBIOS”选项，或者运行包含以下wmic命令的脚本：

wico nicconfig其中TcpipNetbiosOptions = 0调用SetTcpipNetbios 2
wmic nicconfig其中TcpipNetbiosOptions = 1调用SetTcpipNetbios 2
不过要注意的是，虽然这些服务通常不是必需的，但一些过去的老软件仍然可以依靠NetBIOS名称解析来正常运行。在运行GPO之前，请务必测试以下禁用这些服务会对你的运行环境有哪些影响。

如果你登陆过https://www.shodan.io这个网站，你一定会被其中所曝光的敏感漏洞和服务而震惊。与谷歌不同的是，Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan可以说是一款“...。

Shodan所搜集到的信息是极其惊人的。凡是链接到互联网的红绿灯、安全摄像头、家庭自动化设备以及加热系统等等都会被轻易的搜索到。Shodan的使用者曾发现过一个水上公园的控制系统，一个加油站，甚至一个酒店的葡萄酒冷却器。而网站的研究者也曾使用Shodan定位到了核电站的指挥和控制系统及一个粒子回旋加速器。

Shodan真正值得注意的能力就是能找到几乎所有和互联网相关联的东西。而Shodan真正的可怕之处就是这些设备几乎都没有安装安全防御措施，其可以随意进入。

所以如果没有必要就不要把你的设备连接到互联网，不过要知道网络上有哪些型号的设备已经被攻击了，建议大家尝试使用端口扫描之王——nmap进行扫描，端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)，但是端口扫描不但可以为黑客所利用，同时端口扫描还是网络安全工作者的必备的利器，通过对端口的扫描，了解网站中出现的漏洞以及端口的开放情况。比如，像“nmap -sV -Pn -top-ports 10000 1.2.3.4/24”这样的简单扫描可以让我们快速了解攻击者可能看到的内容，利用Shodan和Censys.io这样的工具就可以做到自动搜索这些内容。

你知道你设备在网络上的运行状态吗？例如，你是否运行了IPv6，更重要的是，该运行状态是你打开的还是黑客打开的？ SMBv1是否在你的环境中启用了一个设备？当你对这些运行情况有一个清晰地了解之后，请考虑一下你是否有必要禁用这些监控服务。

阅读原文>>>

Iodine: Java

Water (Preview)

Island

Fire

Silver: Swift

1. LiveEdu

LiveEdu 是开发人员和工程师经常光顾的好地方。它是一个基于项目的学习平台，服务于游戏开发、设计、数据科学、编程、增强现实、人工智能以及虚拟现实等方面的技能提升。学习的关键在于项目的真实性，而且 LiveEdu平台还提供了蕴含许多不同主题的项目教程，可以适用于任何人，包括初学者。

2．Standup

Standup 对于监控团队开发进度而言是一款非常好的工具。它可以很好地集成所有你已经在用的流行工具（例如Trello、BitBucket、GitHub等）。那么接下来，它是如何工作的呢？首先，它会根据开发团队成员的提交历史完全自动地生成工作报告。这有助于团队成员之间轻松地实现信息共享，也让团队成员之间形成了积极的竞争关系。这一想法是由Mesh Studio提出的，当时他们正在完成一个客户的严格的汇报需求的合同工作。

3. Cell 

4. Osquery

 

5. React Native Firebase

6. Warp

7. Draft

8. Docsify 

9. Prismic IO 

10. Javalin

import io.javalin.Javalin
funmain(args: Array) {
    val app = Javalin.create().port(7000)
    app.get("/") { ctx -> ctx.result("Hello World") }
}

11. Bootsnap

不断变化的勒索软件

物联网IoT

移动安全威胁无处不在

政治黑客走向主流

很多企业都选择使用开源软件（OSS）构建更加灵活的产品，但其中也存在潜在的风险，软件供应商和IoT制造商都有必要去了解一下隐藏在软件供应链中的风险。

已知风险

例如，犯罪分子就完全可以利用Apache Struts CVE-2017-5638漏洞来获取Equifax客户的个人资料。众所周知，Apache Struts是一种广泛使用的开源组件 – Web服务器的框架，它可以用于接收和提供公司内部系统中的商业数据。归根到底，还是因为这个开源组件所存在的漏洞以致于使其成为网络攻击的主要目标。

主要发现

根据Flexera的一份最新报告显示，在商业和IoT软件产品中所发现的代码有百分之五十都是与开源软件有关的。但调查显示只有37％的受访者表示曾获取并使用开源软件。而63％的公司说，他们并没有获取或使用开源软件，或者说他们根本就不知道有这种情况的存在。

并且据了解，目前基本没有人对开源软件的安全性负责：39％的受访者表示，在他们公司内部没有人会对开源软件的安全性负责，或者可以说他们压根就不知道应该是由谁来负责。

除此之外，开源软件的贡献者也不是遵循最佳实践：33％的受访者表示自己的公司曾为开源项目做出了贡献。但是，又有63％的受访者表示他们的公司压根并没有开源采购或使用政策，当然也有43％的受访者表示自己本身对开源项目也有做出贡献。

不管怎样，我们都不能忽视开源确实是一个明显的捷径。 Flexera产品管理副总裁Jeff Luszcz表示：“完全开源可获取的代码可以快速获得产品，这对于软件开发的快速节奏来说非常重要。” “然而，大多数软件工程师并没有在私下里去跟踪开源的使用情况，而且有绝大部分的软件高管都没有意识到其安全/合规风险方面存在一定差距。”

事实上，对于开源软件使用过程中的安全合规、许可等流程可能远比简单的拿来用要方便的多，但这些流程毫无疑问是必不可少的。

“开源软件的安全合规流程能够很好的保护产品和品牌声誉。但大多数软件和IoT厂商都没有意识到存在的问题，所以他们并没有保护自己和户，”Luszcz说，“对于暴露产品合规性和漏洞风险的供应商，还有那些压根就不知道他们运行开放源代码和其他第三方软件的客户，甚至可能是包含软件漏洞的客户 ，这些都是会危及到整个软件供应链。”

2017慧都十四周年狂欢搞事情！砸金蛋100%抽现金红包、满额豪送iPhone X、iPhone 8、DevExpress汉化免费送、团队升级培训套包劲省10万元......更多惊喜等您来探索！

Essential Studio企业版是一个企业级界面开发工具包，包含800多个.NET和JavaScript平台的组件和框架。使用Essential Studio企业版，开发者可以创建丰富的应用程序，并轻松地集成商业智能分析和报告解决方案。Essential Studio企业版是世界级的软件组件，它使得开发者能在最苛刻的环境下开发出高质量的软件。

Essential Studio 2017 v4最新版下载>>>

Essential Studio 2017 v4更新内容

JavaScript

   充分利用JavaScript

    • Essential JS 2是下一代的JavaScript组件套件

    • 支持Ember框架

    • 新的组合框架

Xamarin.Forms

   构建跨平台的应用程序

    • 新的图表控件

    • 数据网格的多列分组

    • 图像编辑器的缩放和平移功能

Xamarin.iOS

   用C＃创建优秀的iOS应用程序

    • 新的图表控件

    • 图像编辑器的缩放和平移功能
 

Xamarin.Android

   用C＃开发Android应用程序

    • 新的图表控件

    • 图像编辑器的缩放和平移功能

ASP.NET Core

   发布卓越的Web应用程序

    • 新的日期范围选择器

    • 新的组合框

    • 新的pivot客户端控件

ASP.NET MVC

   创建Web应用程序

    • 新的组合框

    • 服务器下拉列表

    • 树形网格控件的堆叠标题

ASP.NET Web Forms

   开发大师级网站

    • 新的组合框

    • 服务器下拉列表

    • 树形网格控件的堆叠标题

UWP

   开发跨Windows生态系统

    • 新的图像编辑器

    • 史密斯图

    • 支持富文本框从右到左

WPF

   桌面控制

    • 史密斯图

    • 数据网格的行拖放

    • 支持富文本框从右到左

Windows Forms

   创建更好的APP

    • 电子表格的数组公式计算

    • 日期时间选择器的Office 2016主题

    • ribbon控件的快速访问工具栏图标功能

WebJS

• 70001107 支持vdPolyface对象的3d形状和GradientColors
• 70001111 获取实体边界框

• 70001119 支持vdViews
• 70001128 WebControl中增加了两个样本

• 70001115 vdViews的新功能
• 70001133 Esc键取消整个polyline命令
• 70001160 3d渲染支持更多的截面剪辑

• 70001171 在所有绘图实体上绘制新的临时实体
• 70001172 获取复制的实体

• 70001194 支持标准折线和直角的宽度

• 70001098 vdSelectionModified事件返回不正确的所选项目数

• 70001118 GetEntitiesFromLayer()方法中的错误

• 70001123 isCanceled在scriptCommand.select中始终返回true

• 70001127 MouseRightButton和e鼠标按钮在Web控件中不一致

• 70001198 3D视图中的鼠标位置不正确

• 70001162 WebCad示例已添加到WebControl中

• 70001179 取消动作已被双击删除

Converter

• 70001159 支持DWG 2018格式

• 70001165 错误的文本转换

• 70001195 特定的.DWG不打开

vdDXF

• 70001147 无法在ACAD中打开DXF
• 70001150 DefPoint1和LinePosition在保存后交换特定径向尺寸的值
• 70001152 DXF文件加载并保存的问题

Engine

• 70001096 无法选择带有窗口选择的面
• 70001105 提升GradientColors
• 70001106 cmdMultiline中的自我复制

• 70001144 ZoomPrevous和鼠标放大

• 70001155 启用opengl反斜杠的细线
• 70001157 以2D线模式应用部分剪辑

• 70001176 MText改进
• 70001185 禁用默认屏幕显示的新方法

• 70001189 相对于最后一个折线段的PolarTrack

• 70001192 使用形状编号获取SHX中形状的ShapeName

• 70001102 编辑文本时的EditText问题
• 70001109 如果在没有GetGripSelection方法的情况下添加选择，则不会引发GripModified事件
• 70001110 Mtext未正确呈现
• 70001113 3D模式中的文本线型显示错误

• 70001114 手柄选择未正确更新，并且屏幕上仍然显示
• 70001116 UpdatePropertiesFromPrinter丢失纸张信息
• 70001117 实用程序GetLineTypeDlg的Wrapper不会返回正确的行类型

• 70001125 删除特定折线中的RemoveInLinePoints
• 70001126 3DPolyline未正确导入
• 70001137 在WPF数字键控中的控制功能可以使5位数字达到9位
• 70001140 3D pollyine在DXF 12中无法正确保存
• 70001141 将特定的Poly Hatches保存到DXF会导致生成无效的DXF

• 70001131 文件没有使用ocx打开
• 70001142 线型打印出现错误的刻度
• 70001145 vdInsert的BoundinBox不正确

• 70001151 MText对象不符合BoxWidth
• 70001154 ActiveTextHorJustify文本命令的问题
• 70001158 当在ATI卡中使用OpenGL设置EdgeColor时，不正确的行将被渲染
• 70001161 vdInsert与AligneToView未正确选择

• 70001166 CmdSketch忽略MouseElevation属性
• 70001167当活动图层冻结时，CmdDimStyleDialog预览为空

• 70001170 vdSelection选择所有的问题
• 70001173 VDF ActiveX 64位指针问题
• 70001175 dwg未以vds格式正确导出
• 70001181 Mtext命令无法正常使用特定文本
• 70001184 忽略MaxBmpMemorySize for x86应用程序

• 70001187 EMF文件在不同分辨率的PC上加载不同的绘图大小
• 70001188 PolarTrackAngle与SnapAngle不相关

• 70001196 图像透明度在wire2dGdiPlus模式下不起作用
• 70001199 具有自定义对象xproperties的DXF未正确保存

通常

支持资源文件本地化

日期范围选择器

主要特征

• 从弹出窗口中选择日期的选项。
• 设置便于选择的预定义自定义范围选项。
• 支持本地化。
• 手机友好。

图表

饼状图系列

打印

改进轴元件配置

圆形表盘

图例

图表

标签的模板选项

DocIO

增强Word转换PDF功能

甘特图

导出PDF

自定义工具栏项目

映射展开状态

列表框

排序

列表显示

虚拟滚动

PDF

增强PDF安全功能

PDF查看器

文本标记注释

数据透视图表

分组标签

Pivot客户端

计算成员

所有Pivot控件通用

Mondrian XML/A连接（客户端模式）

演示

注释功能

富文本编辑器

粘贴清理

时间表

隐藏周末

拼写检查器

打字时检查拼写

使用“类”来检查多个目标

检查内联框架中的拼写

树型网格

自适应渲染

对话框编辑

自定义工具栏

列验证

映射展开状态

复选框列

XlsIO

Excel到PDF转换中的图标设置

增强图表转换图像功能

数据透视表自定义排序

表格过滤器

试用、下载、了解更多产品信息请点击"咨询在线客服"   

Oracle发布了最新的企业可视化解决方案AutoVue系列产品v21.0.1版本。（21产品系列中的一个分支版本）。新版本包括了在不支持Java applet *的浏览器中使用AutoVue的能力，并为核心的CAD格式提供支持。

*由于浏览器的已知问题，不支持Microsoft Edge。

AutoVue系列产品包括：AutoVue 3D Professional Advanced、AutoVue Electro-Mechanical Professional、AutoVue EDA、AutoVue Office、AutoVue 2D Professional