设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 2073|回复: 23
收起左侧

[分享] 全面阻击“WannaCry”—企业通信领域产品防范方案

[复制链接]
 成长值: 62845
发表于 2017-5-16 11:18:38 | 显示全部楼层 |阅读模式

全面阻击“WannaCry”——企业通信领域产品防范方案

产品族
企业通信领域产品
产品型号
eSpace CC
eSpace VTM
eSpace UC
eSpace ECS
Audio Recorder
SMC
发布时间
2017-05-14
重要程度
重要
涉及版本
eSpace CC V200R001
eSpace VTM V100R001
eSapce VTM V100R002
eSpace UC V100R001
eSpace UC V100R002
eSpace UC V200R002
eSpace UC V200R003
eSpace EC V300R001
eSpace ECS V200R002
eSpace ECS V200R003
eSpace ECS V300R001
eSpace Audio Recorder V100R001
SMC2.0 V100R001
SMC2.0 V100R002
SMC2.0 V100R003
SMC2.0 V500R002
ViewPoint VCG V600R860
涉及应用范围
涉及企业通信所销售支持配套windows操作系统的所有产品。
漏洞外部编码
CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148

关键字: MS17-010 漏洞 蓝屏 勒索 永恒之蓝

摘要: 攻击者可以利用MS17-010漏洞,攻击系统Windows服务器,导致服务器蓝屏或感染恶意勒索软件现象。

【问题描述】
         Windows SMBv1远程代码执行漏洞MS17-010:Shadow Brokers泄露多个Windows 远程漏洞利用工具,可以利用SMB、RDP服务成功入侵服务器,且利用工具已公开,任何人都可以直接下载并远程攻击利用。
故障现象
现象1:
Windows服务器受到攻击后,服务器出现蓝屏无法正常提供服务。
现象2:
服务器受到攻击后,感染恶意勒索软件,受害者Windows主机上的文件被加密,只有支付高额赎金才能解密恢复文件,对数据造成严重损失。
【根因/触发元素】
Windows 多个操作系统版本存在MS17-010安全漏洞。
【影响和风险】
攻击者可以利用上述漏洞,远程攻击服务器可能出现蓝屏或感染恶意勒索软件来加密受害者Windows主机上的文件,只有支付高额赎金才能解密恢复文件,对数据造成严重损失等现象,导致无法正常提供服务。
【恢复措施】
如果服务器出现蓝屏,采用如下步骤恢复:
1.      确认并断开维护网口网线。
2.      重启服务器。
3.      实施规避措施。
4.      恢复维护网口网线。
如果服务器重启失败或者感染恶意勒索软件,采用如下步骤恢复:
1.      确认并断开维护网口网线。
2.      重装操作系统,业务重新部署。
3.      实施规避措施。
4.      恢复维护网口网线。
【规避措施】

1、 在外网防火墙上禁用如下端口:135/TCP、137/UDP、138/UDP、139/TCP、445/TCP。

2、禁用Windows操作系统本机的SMBv1服务。详细方法如下:
2.1针对Windows 8.1或者Windows Server 2012 R2(以及之后的版本)
对于客户端操作系统:
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。
对于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。
2.2针对Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008
若要启用或禁用正在运行 SMB 服务器上的 SMB 协议Windows 7 和 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008 中,使用 Windows PowerShell 或注册表编辑器。
Windows PowerShell 2.0 或更高版本的 PowerShell
·        禁用 SMB 服务器上的 SMBv1,请运行以下 cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
详见:https://support.microsoft.com/en ... e-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

针对2.2章节配置,检查是否生效,打开注册表编辑器,查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下SMB1的参数是否为0,如下图所示。


                               
登录/注册后可看大图

2.3针对WindowsXP,Windows 2003以及Windows2000
修改注册表,添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器

注意:

1、 此方法需要重启机器生效。

2、 评估本预警所涉及版本以外其它业务是否使用SMB服务,以客户决策为准。

3、 评估关闭外网防火墙是否涉及本预警版本之外其它业务,以客户决策为准。

【解决方案】
游客,如果您要查看本帖隐藏内容请回复


发表于 2024-6-3 14:16:06 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
板凳 2024-6-3 14:16:06 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:16:12 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
地板 2024-6-3 14:16:12 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:16:21 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
5# 2024-6-3 14:16:21 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:16:28 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
6# 2024-6-3 14:16:28 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:16:34 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
7# 2024-6-3 14:16:34 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:16:40 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
8# 2024-6-3 14:16:40 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:16:45 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
9# 2024-6-3 14:16:45 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:16:51 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
10# 2024-6-3 14:16:51 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:17:37 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
11# 2024-6-3 14:17:37 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:17:43 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
12# 2024-6-3 14:17:43 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:17:57 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
13# 2024-6-3 14:17:57 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:18:15 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
14# 2024-6-3 14:18:15 回复 收起回复
回复 支持 反对

使用道具 举报

发表于 2024-6-3 14:18:31 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
15# 2024-6-3 14:18:31 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-12-27 02:39 , Processed in 0.077236 second(s), 13 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表