|
面阻击“WannaCry”——华为OSS网管产品(U2000/T2000)防范方案 产品族 | | | | 发布时间 | | | | 涉及版本 | 所有安装iManager U2000/iManager T2X00/iManager N2000 BMS/iManager N2000 DMS/iManager TMS1000/iManager U2000 ODN/iManager N2510 版本(含客户端与服务端以及基于虚拟机上运行)的Windows系统,含Windows XP,Windows 7,Windows 10,Windows 2000,Windows 2003,Windows 2008 | 涉及应用范围 | 涉及所销售支持配套windows操作系统的U2000/T2000。 | 漏洞外部编码 | CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148 |
关键字: Windows MS17-010(永恒之蓝)漏洞 勒索病毒 摘要: 微软在2017/3/14日发布了MS17-010(永恒之蓝)安全漏洞公告,此漏洞可能会导致用户操作系统被非法控制,并存在用户数据丢失,利益受到侵害的潜在风险。 U2000涉及的操作系统平台有:Windows XP,Windows 7,Windows 10,Windows 2000,Windows 2003,Windows 2008系统。漏洞详细描述以及相关CVE 编号,请参见如下微软发布的公告: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 【问题描述】【触发条件】 安装了U2000(客户端/服务端)的Windows机器,且未安装MS17-010漏洞对应的Windows系统补丁。 从“Windows”->“控制面板”->“程序和功能”,选择“查看已安装的更新”,检查是否有KB4012215、KB4012212或者kb4012598补丁,类似如下,如果有安装其中某个补丁,说明漏洞已解决。 【故障现象】 1. 登陆安装了U2000(客户端/服务端)的Windows系统,系统自动打开病毒界面,提示类似如下截图,提示“Ooops,your files have been encrypted!”,并提示付费,文件将丢失之类的信息。 2. 文件系统中出现大量的WNCRY或者vnion后缀的文件,类似如下: 【根因/触发元素】 微软MS17-010(永恒之蓝)安全漏洞被非法病毒利用。 【影响和风险】问题发生时可能会出现如下现象: 1、 U2000客户端无法正常打开。 2、 U2000服务器无法正常启动。 3、 U2000网管功能异常。 4、 数据库无法正常启动。 【预防措施】1、 网络隔离:在未使用解决措施或者规避措施前,请将生产网络和互联网进行物理隔离。 2、 数据备份:定期备份自己电脑中的重要文件资料(如网管数据库备份、脚本备份、license文件等业务关键数据)到移动硬盘、U盘等,备份完成后脱机保存。 3、 为了避免网管服务器遭受病毒攻击,请参见《U2000 防病毒软件部署用户指南 (OfficeScan10.5)》在U2000服务器上安装防病毒软件,并定期更新OfficeScan服务器。 4、 部署冷备机器,避免服务器异常时可以使用冷备服务器快速接管。 5、 强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。 【恢复措施】重新安装U2000操作系统,网管服务,并获取远程备份的数据恢复,在安装完成后执行恢复数据操作。重装过程中必须隔离网络。安装U2000网管服务请参见《单机系统软件安装调测指南 (Windows) 》,恢复数据库操作请参见U2000《管理员指南》->“备份和恢复U2000数据”章节。 为了避免网管服务器遭受病毒攻击,请在网管服务安装完成后,在U2000服务器上安装防病毒软件,具体操作步骤请参见《U2000 防病毒软件部署用户指南 (OfficeScan10.5)》,并定期更新OfficeScan服务器。 【规避措施】a) 从操作系统层面关闭135、137、138、139及445端口 Ø 命令行操作步骤请参考如下: 在“开始”菜单选择“运行”,输入“cmd”后回车 执行如下命令: netsh ipsec static add policy name=HW_Policy netsh ipsec static add filterlist name=HW_FilterBlock netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=135 protocol=TCP netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=137 protocol=UDP netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=138 protocol=UDP netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=139 protocol=TCP netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=445 protocol=TCP netsh ipsec static add filteraction name=HW_Block action=block netsh ipsec static add rule name=HW_RuleBlock policy=HW_Policy filterlist=HW_FilterBlock filteraction=HW_Block netsh ipsec static set policy name=HW_Policy assign=y 执行如下命令检查是否生效: netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "TCP" | findstr "135" netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "UDP" | findstr "137" netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "UDP" | findstr "138" netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "TCP" | findstr "139" netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "TCP" | findstr "445" 测试端口屏蔽效果 在外部的PC上,对屏蔽的几个TCP端口(135,139,445)进行telnet测试,测试结果如下: 如需删除此安全策略,请执行如下命令: netsh ipsec static delete rule name=HW_RuleBlock policy=HW_Policy netsh ipsec static delete filteraction name=HW_Block netsh ipsec static delete filterlist name=HW_FilterBlock netsh ipsec static delete policy name=HW_Policy Ø 图形界面操作步骤 请参考附件《windows 2003&2008如何关闭135,137,138,139,445等危险端口》 b) 设置端口屏蔽后,请检查是否安装趋势防病毒软件,按照如下检查方法如果可以打开趋势web控制台,说明已经安装趋势防病毒软件,如果未安装,请在U2000服务器上安装防病毒软件,具体操作步骤请参见《U2000 防病毒软件部署用户指南 (OfficeScan10.5)》,并定期更新OfficeScan服务器。 检查方法: 安装趋势科技防毒墙网络版(OfficeScan)后,在Windows的所有程序中看到相应的菜单。打开“开始>所有程序>趋势科技防毒墙网络版服务器>防毒墙网络版Web控制台(HTML)”,弹出OfficeScan的Web控制台界面。 【解决方案】a) 按照如下方法下载补丁,建议使用Windows10机器下载。 Windows7和Windows 2008 1、 进入如下微软网站。 Windows7 64位请下载如下标红第一个,Windows7 32位请下载如下标红第二个,Windows 2008 R2SP1请下载如下标红第三个,请根据实际操作系统下载: 2、 点击右侧download按钮,打开下载界面,点击对应软件名称,下载 Windows7 64位名称: windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu Windows7 32位名称: Windows 2008R2SP1名称: Windows XP与Windows2003 1、 进入如下微软网站。 http://www.catalog.update.microsoft.com/search.aspx?q=4012598 WindowsXP SP3请下载如下标红第一个,Windows 2003 32位请下载如下标红第二个,请根据实际操作系统下载: 2、 点击右侧download按钮,打开下载界面,点击对应软件名称,下载 Windows XP SP3名称: Windows 2003 32位名称: Windows 10 1、 进入如下微软网站。 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198 Windows 10 64位请下载如下标红第一个: 2、 点击右侧download按钮,打开下载界面,点击对应软件名称,下载 Windows 10补丁名称: b) 下载完成后双击下载的补丁完成安装。 安装完成后,进入“控制面板”-“程序”-“程序和功能”-“已安装更新”里面确认是否已经安装成功。 说明: 如果windows 2008服务器环境不是SP1版本,请先安装对应版本附带的操作系统补丁,升级到SP1。检查方法:点击“开始”->“计算机”,右键,属性。检查基本信息,如果是Service Pack1,说明是SP1版本。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 62320
发表于 2017-5-16 11:16:12
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2017-5-16 20:48:33
