设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 3678|回复: 7
收起左侧

[分享] 全面阻击“WannaCry”—华为OSS网管产品(U2000/T2000)防范方案

[复制链接]
 成长值: 62845
发表于 2017-5-16 11:16:12 | 显示全部楼层 |阅读模式

面阻击“WannaCry”——华为OSS网管产品(U2000/T2000)防范方案

产品族
网络OSS产品线
产品型号
iManager U2000
发布时间
2017-05-14
重要程度
重要
涉及版本
所有安装iManager U2000/iManager T2X00/iManager N2000 BMS/iManager N2000 DMS/iManager TMS1000/iManager U2000 ODN/iManager N2510
版本(含客户端与服务端以及基于虚拟机上运行)的Windows系统,含Windows XP,Windows 7,Windows 10,Windows 2000,Windows 2003,Windows 2008
涉及应用范围
涉及所销售支持配套windows操作系统的U2000/T2000。
漏洞外部编码
CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148

关键字: Windows   MS17-010(永恒之蓝)漏洞 勒索病毒

摘要: 微软在2017/3/14日发布了MS17-010(永恒之蓝)安全漏洞公告,此漏洞可能会导致用户操作系统被非法控制,并存在用户数据丢失,利益受到侵害的潜在风险。

U2000涉及的操作系统平台有:Windows XP,Windows 7,Windows 10,Windows 2000,Windows 2003,Windows 2008系统。漏洞详细描述以及相关CVE 编号,请参见如下微软发布的公告:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

【问题描述】
【触发条件】
安装了U2000(客户端/服务端)的Windows机器,且未安装MS17-010漏洞对应的Windows系统补丁。
从“Windows”->“控制面板”->“程序和功能”,选择“查看已安装的更新”,检查是否有KB4012215、KB4012212或者kb4012598补丁,类似如下,如果有安装其中某个补丁,说明漏洞已解决。

                               
登录/注册后可看大图
【故障现象】
1.          登陆安装了U2000(客户端/服务端)的Windows系统,系统自动打开病毒界面,提示类似如下截图,提示“Ooops,your files have been encrypted!”,并提示付费,文件将丢失之类的信息。

                               
登录/注册后可看大图

                               
登录/注册后可看大图
2.          文件系统中出现大量的WNCRY或者vnion后缀的文件,类似如下:

                               
登录/注册后可看大图
【根因/触发元素】
微软MS17-010(永恒之蓝)安全漏洞被非法病毒利用。
【影响和风险】
问题发生时可能会出现如下现象:
1、  U2000客户端无法正常打开。
2、  U2000服务器无法正常启动。
3、  U2000网管功能异常。
4、  数据库无法正常启动。
【预防措施】
1、  网络隔离:在未使用解决措施或者规避措施前,请将生产网络和互联网进行物理隔离。
2、  数据备份:定期备份自己电脑中的重要文件资料(如网管数据库备份、脚本备份、license文件等业务关键数据)到移动硬盘、U盘等,备份完成后脱机保存。
3、  为了避免网管服务器遭受病毒攻击,请参见《U2000 防病毒软件部署用户指南 (OfficeScan10.5)》在U2000服务器上安装防病毒软件,并定期更新OfficeScan服务器。
4、  部署冷备机器,避免服务器异常时可以使用冷备服务器快速接管。
5、 强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。
【恢复措施】
重新安装U2000操作系统,网管服务,并获取远程备份的数据恢复,在安装完成后执行恢复数据操作。重装过程中必须隔离网络。安装U2000网管服务请参见《单机系统软件安装调测指南 (Windows) 》,恢复数据库操作请参见U2000《管理员指南》->“备份和恢复U2000数据”章节。
为了避免网管服务器遭受病毒攻击,请在网管服务安装完成后,在U2000服务器上安装防病毒软件,具体操作步骤请参见《U2000 防病毒软件部署用户指南 (OfficeScan10.5)》,并定期更新OfficeScan服务器。
【规避措施】
a)             从操作系统层面关闭135、137、138、139及445端口
Ø  命令行操作步骤请参考如下:
在“开始”菜单选择“运行”,输入“cmd”后回车
执行如下命令:
netsh ipsec static add policy name=HW_Policy
netsh ipsec static add filterlist name=HW_FilterBlock
netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=135 protocol=TCP
netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=137 protocol=UDP
netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=138 protocol=UDP
netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=139 protocol=TCP
netsh ipsec static add filter filterlist=HW_FilterBlock srcaddr=Any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filteraction name=HW_Block action=block
netsh ipsec static add rule name=HW_RuleBlock policy=HW_Policy filterlist=HW_FilterBlock filteraction=HW_Block
netsh ipsec static set policy name=HW_Policy assign=y
执行如下命令检查是否生效:
netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "TCP" | findstr "135"
netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "UDP" | findstr "137"
netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "UDP" | findstr "138"
netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "TCP" | findstr "139"
netsh ipsec static show filterlist name=HW_FilterBlock level=verbose format=table | findstr "TCP" | findstr "445"
测试端口屏蔽效果
在外部的PC上,对屏蔽的几个TCP端口(135,139,445)进行telnet测试,测试结果如下:

                               
登录/注册后可看大图
如需删除此安全策略,请执行如下命令:
netsh ipsec static delete rule name=HW_RuleBlock policy=HW_Policy
netsh ipsec static delete filteraction name=HW_Block
netsh ipsec static delete filterlist name=HW_FilterBlock
netsh ipsec static delete policy name=HW_Policy
Ø  图形界面操作步骤
请参考附件《windows 2003&2008如何关闭135,137,138,139,445等危险端口》
b)             设置端口屏蔽后,请检查是否安装趋势防病毒软件,按照如下检查方法如果可以打开趋势web控制台,说明已经安装趋势防病毒软件,如果未安装,请在U2000服务器上安装防病毒软件,具体操作步骤请参见《U2000 防病毒软件部署用户指南 (OfficeScan10.5)》,并定期更新OfficeScan服务器。
检查方法:
安装趋势科技防毒墙网络版(OfficeScan)后,在Windows的所有程序中看到相应的菜单。打开“开始>所有程序>趋势科技防毒墙网络版服务器>防毒墙网络版Web控制台(HTML)”,弹出OfficeScan的Web控制台界面。
【解决方案】
a)             按照如下方法下载补丁,建议使用Windows10机器下载。
Windows7和Windows 2008
1、 进入如下微软网站。
Windows7 64位请下载如下标红第一个,Windows7 32位请下载如下标红第二个,Windows 2008 R2SP1请下载如下标红第三个,请根据实际操作系统下载:

                               
登录/注册后可看大图
2、 点击右侧download按钮,打开下载界面,点击对应软件名称,下载

                               
登录/注册后可看大图
Windows7 64位名称:
windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows7 32位名称:
Windows 2008R2SP1名称:
Windows XP与Windows2003
1、 进入如下微软网站。
http://www.catalog.update.microsoft.com/search.aspx?q=4012598
WindowsXP SP3请下载如下标红第一个,Windows 2003 32位请下载如下标红第二个,请根据实际操作系统下载:

                               
登录/注册后可看大图
2、 点击右侧download按钮,打开下载界面,点击对应软件名称,下载

                               
登录/注册后可看大图
Windows XP SP3名称:
Windows 2003 32位名称:
Windows 10
1、 进入如下微软网站。
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
Windows 10 64位请下载如下标红第一个:

                               
登录/注册后可看大图
2、 点击右侧download按钮,打开下载界面,点击对应软件名称,下载

                               
登录/注册后可看大图
Windows 10补丁名称:
b)     下载完成后双击下载的补丁完成安装。
安装完成后,进入“控制面板”-“程序”-“程序和功能”-“已安装更新”里面确认是否已经安装成功。
说明:
如果windows 2008服务器环境不是SP1版本,请先安装对应版本附带的操作系统补丁,升级到SP1。检查方法:点击“开始”->“计算机”,右键,属性。检查基本信息,如果是Service Pack1,说明是SP1版本。

                               
登录/注册后可看大图
游客,如果您要查看本帖隐藏内容请回复

发表于 2019-8-12 11:56:06 | 显示全部楼层
捱三顶五发送到发送到发的
地板 2019-8-12 11:56:06 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-12-27 20:16 , Processed in 0.068472 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表