关于勒索病毒赎金:Win32。WannaCrypt解决方案的最后一次说明

2017/5/12晚,勒索软件,赎金:Win32。WannaCrypt大面积暴发。比病毒爆发更火的,则是各类关于此病毒的新闻,解决方法在朋友圈等社交媒体的爆发。

其中,有主观善意但客观一知半解的指导,更有夹带私货的安全软件商携各类工具的广告宣传,以及各大小,公司借此做的宣传。

一时间,众多群众不知所措,战战兢兢;不惜在自己的网络中将各种帖子所支招数悉数执行一遍,导致业务中断。
我在朋友圈中已多次发的帖,探讨和指导应对。但依然看到大家的无所适从。
为此,我整理一下思路,做最后一次说明。

我是冯立超,2004 - 2017微软最有价值专家MVP, 1998年以来微软认证系统工程师MCSE、2000年以来微软认证讲师MCT。在2003 - 2004微软可信赖计算全国巡讲签约讲师。本文不夹带私货,因为我现在的正事儿并不在此。只是从周六开始电话被打爆,才不得不忍痛停下手中的工作,被迫恋战于此。
此文只为给惶惑中的窗户用户们一些建议,以正视听。

主旨:

本文主要包括如下部分:

<李>
只须打补丁,只须打补丁,只须打补丁。
<李>
不必使用360等自作聪明的工具及软件。
<李>
不要随意关闭端口。

如果你听我的且不关心技术细节,可以就此打住,干活儿去吧。

技术探讨

下面是一些相关技术问题:

1。只须打补丁！
补丁概述
这次病毒是利用微软 Windows SMB v1 的漏洞进行传播并远程执行代码，对计算机中的文档进行加密。
病毒于 2017/5/12 大面积暴发。
微软于 2017/3/14 发布了安全公告和安全更新。链接地址：
Microsoft 安全公告 MS17-010 - 严重
MS17-010：Windows SMB 服务器安全更新
另外，微软对于已经停止服务的XP和Win2003也提供了补丁，链接为https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
补丁解释
由于大家平常不看这样的微软官方技术文档，所以可能有些读不懂。不用担心，根据你的操作系统版本，选择相应的补丁即可。
就用上面链接的第一个文档安全公告为主来说吧：
文档表中每一个操作系统下面，有好几个链接，分为如下几方面：
操作系统小版本：例如是否 sp1/sp2 等。
系统平台：32 位或是 64 位，或者少见的 Itanium 等。
针对本漏洞的更新或者月度汇总更新。
以上前两个要选对。第三个看情况选。想短平快就选"仅用于安全更新"，想全面一些就选“月度汇总更新”
仅此一页足矣。有朋友打电话过来说补丁装不上，就是因为没有选对。
企业补丁管理
企业当然不能像个人一样一台台打补丁。
你需要一台补丁服务器。建议部署微软的** WSUS 服务**。
其基本原理就是：企业内部的所有客户机将更新源指向 WSUS 服务器，WSUS 服务器将更新源指向微软补丁服务器。
根据企业规模及IT管理模式，WSUS服务器可以配置为层次结构，可以配置补丁分发策略，可以对补丁进行审批操作等。
具体请参见Windows Server Update Services 概述，此不赘述。哦，赘述一下，这个服务是免费的，（好像反而不好立项是吧），不过请专业的微软解决方案合作伙伴实施服务是收费的。
当然也可以使用第三方专业公司的补丁服务。可以是真正专业的产品或者上级指定的产品。
不要随意关闭端口
除非你知道会发生什么，否则不要随意关闭端口。以下内容节选自比我上面自吹的资历还深的朋友 MVP 胡浩的文章抵抗勒索病毒的正确姿势——不要上来就封端口！中的重点内容：
刚刚过去的这个周末，朋友圈一定被勒索病毒刷屏了~
看到一堆人告诉别人封锁135-139，445端口，作为一个修过无数AD复制问题，客户端无法登录或者使用域资源问题的老司机，我想问问，您真的知道这些端口是干嘛的么？
端口使用的官方网页请看这里：Port Assignments for Well-Known Ports
关于勒索病毒赎金:Win32。WannaCrypt解决方案的最后一次说明