全面阻击“WannaCry”—企业通信领域产品防范方案

小乔

全面阻击“WannaCry”——企业通信领域产品防范方案

产品族	企业通信领域产品	产品型号	eSpace CC eSpace VTM eSpace UC eSpace ECS Audio Recorder SMC
发布时间	2017-05-14	重要程度	重要
涉及版本	eSpace CC V200R001 eSpace VTM V100R001 eSapce VTM V100R002 eSpace UC V100R001 eSpace UC V100R002 eSpace UC V200R002 eSpace UC V200R003 eSpace EC V300R001 eSpace ECS V200R002 eSpace ECS V200R003 eSpace ECS V300R001 eSpace Audio Recorder V100R001 SMC2.0 V100R001 SMC2.0 V100R002 SMC2.0 V100R003 SMC2.0 V500R002 ViewPoint VCG V600R860
涉及应用范围	涉及企业通信所销售支持配套windows操作系统的所有产品。
漏洞外部编码	CVE-2017-0143，CVE-2017-0144，CVE-2017-0145，CVE-2017-0146，CVE-2017-0147，CVE-2017-0148

关键字: MS17-010 漏洞 蓝屏 勒索 永恒之蓝

摘要: 攻击者可以利用MS17-010漏洞，攻击系统Windows服务器，导致服务器蓝屏或感染恶意勒索软件现象。

【问题描述】

         Windows SMBv1远程代码执行漏洞MS17-010：Shadow Brokers泄露多个Windows 远程漏洞利用工具，可以利用SMB、RDP服务成功入侵服务器，且利用工具已公开，任何人都可以直接下载并远程攻击利用。

故障现象

现象1：

Windows服务器受到攻击后，服务器出现蓝屏无法正常提供服务。

现象2：

服务器受到攻击后，感染恶意勒索软件，受害者Windows主机上的文件被加密，只有支付高额赎金才能解密恢复文件，对数据造成严重损失。

【根因/触发元素】

Windows 多个操作系统版本存在MS17-010安全漏洞。

【影响和风险】

攻击者可以利用上述漏洞，远程攻击服务器可能出现蓝屏或感染恶意勒索软件来加密受害者Windows主机上的文件，只有支付高额赎金才能解密恢复文件，对数据造成严重损失等现象，导致无法正常提供服务。

【恢复措施】

如果服务器出现蓝屏，采用如下步骤恢复：

1.      确认并断开维护网口网线。

2.      重启服务器。

3.      实施规避措施。

4.      恢复维护网口网线。

如果服务器重启失败或者感染恶意勒索软件，采用如下步骤恢复：

1.      确认并断开维护网口网线。

2.      重装操作系统，业务重新部署。

3.      实施规避措施。

4.      恢复维护网口网线。

【规避措施】

1、 在外网防火墙上禁用如下端口：135/TCP、137/UDP、138/UDP、139/TCP、445/TCP。

2、禁用Windows操作系统本机的SMBv1服务。详细方法如下：

2.1针对Windows 8.1或者Windows Server 2012 R2（以及之后的版本）

对于客户端操作系统： 打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。 在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。 重启系统。 对于服务器操作系统： 打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。 在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。 重启系统。 详见：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2.2针对Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008

若要启用或禁用正在运行 SMB 服务器上的 SMB 协议Windows 7 和 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008 中，使用 Windows PowerShell 或注册表编辑器。 Windows PowerShell 2.0 或更高版本的 PowerShell ·        禁用 SMB 服务器上的 SMBv1，请运行以下 cmdlet: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force 详见：https://support.microsoft.com/en ... e-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

针对2.2章节配置，检查是否生效，打开注册表编辑器，查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下SMB1的参数是否为0，如下图所示。

                               
登录/注册后可看大图

2.3针对WindowsXP，Windows 2003以及Windows2000

修改注册表，添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 修改完后重启机器

注意：

1、 此方法需要重启机器生效。

2、 评估本预警所涉及版本以外其它业务是否使用SMB服务，以客户决策为准。

3、 评估关闭外网防火墙是否涉及本预警版本之外其它业务，以客户决策为准。

【解决方案】

游客，如果您要查看本帖隐藏内容请回复

sy7527951

支持一下~~~~