如果你是域网络,由于域可以集中分发策略,可按下面的方法快速响应,,然后再尽快更新补丁以根本解决。
当然,如果你没有域网络,这个这个,那就赶快部署吧…………
,这个框架适用于应对网络病毒的***。,其他基本步骤如下:
(一)切断外部感染通道
如果有相应的***端口发布到了外网,则此发布的服务器可能被感染,所以建议在网关防火墙上临时禁用此映射规则,然后马上给发布的服务器打上补丁再开放映射。
比如这次的TCP 445,虽然可能没有公司会把此端口单独地发布出去,但有可能防火墙策略做了把某个外网IP完全映射到内部某个IP(比如一些需要发布大段动态端口的视频会议服务器或类似服务),这实际就把TCP 445也暴露出去了。
(二)针对客户端计算机
第一步通过域组策略临时紧急关闭某个端口,因为网络病毒通常都会连接到某个端口才能***成功,第二步就是打补丁,这个是根本措施,但由于打补丁没有开防火墙策略这么快,所以放在第二步。第三步在更新了补丁之后,这个端口可能仍然需要开放,比如这次的445,在域网络中非常重要,关闭之后,客户端的共享无法使用(包括打印机共享),而且很多管理操作也将失效(如远程管理)。
(二)针对服务器计算机
针对服务器,如果某个端口被***,特别是这次的TCP 445,是不要贸然去关闭的,windows 很多服务都要依赖于它(比如AD、群集、文件服务器等),如果关闭了相应的服务也将停止,甚至导致更大的连锁反应,所以针对服务器,对于这些需要445端口的服务器,第一步就是打补丁,而不要去关闭端口。
下面是一些具体操作指导。
(一) 组策略启用客户端防火墙
主要注意Windows 7与windows XP的防火墙服务是不同的名字,也就是服务是不同的,启用防火墙时,注意开放ICMP,其他一些要用到的端口也要开放。
(二) WSUS服务器上的补丁导入
首先要找到相应的补丁号,比如本次勒索病毒对应的补丁号,不同的系统可能是不同的KB号,
然后进入WSUS管理台,选导入更新
会打开一个微软update网站,输入KB号查找,查找出来后选ADD。
选view basket。
选导入。
导入完成之后要审批。
要查找导入的补丁,可以按MSRC编号排序号(如MS17-010就是MSRC编号),方便审批。审批之后客户端才有权限下载与安装。
(三)配置自动下载更新与安装的组策略,如下:
由于要尽量提高补丁安装速度,,比如重新计划自动更新计划的安装,时间就设置为1分钟,还有对安装后重启提示时间也要短,以便让用户尽快重启。
当然这些值在补丁更新完后要记得恢复一个常规值。
(四)客户端刷新组策略进行测试(gpupdate/force)
正常情况下几分钟之内你就会在屏幕右下角看到有补丁安装的图标。
当然,也还有其他一些措施,比如通过中心交换机配置ACL列表阻止也应该比较快的,还有更高级的通过网络准入控制系统处理等(不过一般公司不会有这东西)。
