全面阻击“WannaCry”—华为企业桌面云产品防范方案

小乔

全面阻击“WannaCry”——华为企业桌面云产品防范方案

产品族	企业IT领域产品	产品型号	FusionAccess V100R005C10/C20/C30; FusionAccess V100R006C00/C10.
发布时间	2017-05-14	重要程度	重要
涉及版本	FusionAccess V100R005C10/C20/C30; FusionAccess V100R006C00/C10.
涉及应用范围	涉及企业IT所销售支持配套windows操作系统的所有产品。
漏洞外部编码	MS17-010(CVE-2017-0143，CVE-2017-0144，CVE-2017-0145，CVE-2017-0146，CVE-2017-0147，CVE-2017-0148)

关键字: MS17-010 漏洞 蓝屏 勒索 永恒之蓝

摘要: 攻击者可以利用MS17-010漏洞，攻击系统Windows服务器，导致服务器蓝屏或感染恶意勒索软件现象。

【问题描述】

Windows SMBv1远程代码执行漏洞MS17-010(CVE-2017-0143，CVE-2017-0144，CVE-2017-0145，CVE-2017-0146，CVE-2017-0147，CVE-2017-0148)导致比特币勒索病毒攻击，影响桌面云使用；

故障现象

现象1：

Windows服务器受到攻击后，服务器出现蓝屏无法正常提供服务。

现象2：

服务器受到攻击后，感染恶意勒索软件，受害者Windows主机上的文件被加密，只有支付高额赎金才能解密恢复文件，对数据造成严重损失。

【根因/触发元素】

Windows 多个操作系统版本存在MS17-010安全漏洞。

【影响和风险】

影响对象1:桌面云基础架构虚拟机（AD，ITA服务器（R5））

影响对象2:桌面云用户虚拟机（用户虚拟机， 应用虚拟化虚拟机）

处理策略：优先进行对桌面云基础架构虚拟机实施应急措施，然后处理用户虚拟机。

【恢复措施】

针对已经受病毒影响的局点进行恢复

恢复过程建议将所有受影响虚拟机进行关机后，逐一恢复，防止二次感染。

1 将局点环境基础架构虚拟机备份数据离线隔离：

从Loggetter（R5）或BackupServer（R6）服务器上将基础架构虚拟机备份数据拷贝到U盘或者其他离线存储介质。

2 针对基础架构虚拟机受影响后的恢复

如果确认未受影响，则按照前面章节描述升级补丁即可；否则执行如下操作：


2.1  针对ITA基础架构虚拟机的恢复

由于ITA基础架构虚拟机本身不存储数据，存储数据的节点是Linux虚拟机，因此恢复方法参见各版本解决方案文档“操作与维护>系统管理>备份与恢复”章节进行操作；

2.2 针对AD基础架构虚拟机的恢复

由于AD基础架构在日常运行过程中会通过备份服务器进行备份，因此可以使用备份参见各版本解决方案文档“操作与维护>系统管理>备份与恢复”章节进行操作。

3 针对用户虚拟机受影响后的恢复

如果确认未受影响，则按照前面章节描述升级补丁即可；否则执行如下操作：

a)      建议重新制作用户虚拟机模板；

b)      模板制作完成后，安装杀毒软件，并进行病毒查杀；

c)      更新所有的Windows操作系统补丁；

d)      开启Windows操作系统防火墙，按照桌面云端口矩阵配置端口例外；

e)      重新发放用户虚拟机。

【规避措施】


1 针对暂未受病毒影响的局点紧急实施补丁

1.1 将局点环境基础架构虚拟机备份数据离线隔离：

从Loggetter（R5）或BackupServer（R6）服务器上将基础架构虚拟机备份数据拷贝到U盘或者其他离线存储介质。


1.2 桌面云基础架构虚拟机处理措施：

注意：针对AD和ITA服务器，只能通过升级微软官方补丁方式解决问题，不能关闭AD服务器的端口，或者开启虚拟机中防火墙，否则会导致桌面云业务不可用。


处理方法：

实施微软官方补丁

KB4012212补丁（适用于Windows Server 2008 R2 SP1）

KB4012213补丁（适用于Windows Server 2012 R2 需要提前安装KB2919442后再安装KB2919355依赖包）

a) 下载补丁（Windows 2008R2 SP1/Windows 2012R2）

获取路径一（微软官方网站）：

Windows 2012 R2依赖包：

https://support.microsoft.com/en-us/help/2919442/march-2014-servicing-stack-update-for-windows-8.1-and-windows-server-2012-r2

https://support.microsoft.com/en-us/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014

Windows 2012 R2补丁包：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

获取路径二（华为企业云论坛-登录后查看）：

http://support.huawei.com/huaweiconnect/enterprise/forum.php?mod=viewthread&tid=401709&page=1&prevpage=1

获取路径三（网盘）：

http://pan.baidu.com/s/1cpMl34

b) 拷贝补丁至AD主备服务器及ITA主备服务器依次进行安装（安装过程中需要重启操作系统）

c) 在cmd命令行中执行命令“systeminfo |findstr KB编号”检查补丁实施结果

如：systeminfo |findstr 4012212



1.3 桌面云用户虚拟机处理方式：

注意：针对用户虚拟机，只能通过升级微软官方补丁方式解决问题。

对于不能及时实施补丁的局点可采取关闭SMBv1协议的方式临时缓解。

但对于未开启防火墙的用户虚拟机不能开启操作系统防火墙，否则可能会导致桌面云业务不可用。


1.3.1 升级微软官方补丁方法一：通过微软WSUS补丁服务器推送补丁：

KB4012598（适用于Windows XP SP3）

KB4012212（适用于Windows 7 SP1/ Windows Server 2008 R2 SP1）

KB4012213（适用于Windows 8.1/ Windows Server 2012 R2 +依赖包KB4012214及KB4012217）

KB4012214（适用于Windows Server 2012）

a) 确认局点已经部署WSUS服务器；

b) 确认WSUS补丁服务器已经同步微软补丁至2017年3月15日以后；

c) 在WSUS补丁服务器中筛选对应补丁进行审批并应用给特定操作系统的计算机；

d) 配置组策略“计算机配置>管理模板>Windows组件>Windows Update”中的补丁更新策略：

配置自动更新：已启用-自动下载并计划安装；

指定Intranet Microsoft更新服务位置：已启用-设置服务器地址为：http://补丁服务器ip:8530

允许自动更新立即安装：已启用；

e) 通过重启用户虚拟机触发补丁安装；

f) 在补丁服务器上统计补丁实施情况。


1.3.2 升级微软官方补丁方法二：手工实施

KB4012598（适用于Windows XP SP3）

KB4012212（适用于Windows 7 SP1/ Windows Server 2008 R2 SP1）

KB4012213（适用于Windows 8.1/ Windows Server 2012 R2）还需要依赖包KB4012214及KB4012217补丁（适用于Windows Server 2012）

a) 下载获取补丁（Windows 7/ Windows Server 2008 R2/ Windows 8.1/ Windows Server 2012/ Windows Server 2012 R2）

获取方式一（微软官方网站）：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

获取方式二（华为企业云论坛-登录后查看）-win7 32bit & win7 64bit：

http://support.huawei.com/huaweiconnect/enterprise/thread-401701.html

获取路径三（网盘）：

http://pan.baidu.com/s/1cpMl34



下载获取补丁（Windows XP-KB4012598）

获取方式一（微软官方网站）：

http://www.catalog.update.microsoft.com/search.aspx?q=4012598

获取方式二（华为企业云论坛-登录后查看）：http://support.huawei.com/huaweiconnect/enterprise/forum.php?mod=viewthread&tid=401713&page=1&prevpage=1

获取路径三（网盘）：

http://pan.baidu.com/s/1cpMl34



b) 拷贝补丁至用户虚拟机或应用虚拟化虚拟机进行安装（安装过程中需要重启）

c) 在cmd命令行中执行命令“systeminfo |findstr KB编号”检查补丁实施结果

如：systeminfo |findstr 4012212

                               
登录/注册后可看大图

【解决方案】

临时缓解措施-适用于win7操作系统：

注意：此方法适用于无法及时推送补丁的临时缓解措施，最终还是需要通过实施补丁解决问题。

此方法实施后，将会影响Windows系统的文件共享服务，例如无法使用共享文件等，因此建议仅作为临时缓解措施。


通过组策略推送脚本禁用微软SMBv1协议。

a) 将附件脚本拷贝至AD域控服务器；
[attach=禁用和恢复Win7的SMBv1协议.zip]url:http://forum.huawei.com/enterpri ... o3veyto7emoob25.zip[/attach]

游客，如果您要查看本帖隐藏内容请回复

cm1989

sy7527951

支持一下~~~~

bemchou

seko

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！