(二)针对SMB远程代码执行漏洞进行补丁修补
1、通过修补Microsoft 安全公告 MS17-010 - 严重安全漏洞补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010,解决黑客利用SMB的远程代码执行漏洞感染计算机的问题。
对应操作系统漏洞补丁编号如下:
2、如果担心补丁稳定性问题,亦可通过如下步骤临时缓解部分系统问题:
通过运行终端命令关闭SMB
适用于运行Windows XP的客户解决方法,在CMD中输入:
net stop rdr
net stop srv
net stop netbt
适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法
对于客户端操作系统:
1、打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
2、在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
3、重启系统。
对于服务器操作系统:
1、打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
2、在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
3、重启系统。
受此临时缓解方法的影响。目标系统上将禁用 SMBv1 协议。
有很多用户无法第一时间获取各类补丁,或者由于重要业务无法中断,无法安装补丁,还有很多用户不愿关闭自身的445端口文件共享以及SMB,同时又不希望自己被Wannacry影响环境内的安全,如果用户已经部署了瑞星虚拟化系统安全软件,那么可以通过开启入侵防御规则,有效解决此次Wannacry安全威胁,同时不影响当前环境的稳定性。
用户可以在安全防护终端本地开启IPS规则。
或者在瑞星虚拟化系统安全软件管理中心为需要保护的系统开启IPS防护规则。
当然如果用户的数据中心使用的是瑞星虚拟化系统安全软件的无代理网络防护功能,我们亦可为用户提供无代理网络防护内的IPS防护功能,通过瑞星虚拟化系统安全软件管理中心为云环境内的虚拟机设置无代理IPS规则,解决数据中心内部的微分段网络内的安全风险。
(三)将防病毒软件病毒库更新至最新版本解决系统内的Wannacry勒索病毒。
对于已经部署瑞星虚拟化系统安全软件子产品的用户,可以将安全防护产品更新至2.0.0.40版本(病毒库版本:29.0513.0001)以上,即可解决本地存在的Wannacry勒索病毒。
用户亦可在更新至最新版本后通知数据中心或管理中心内全部环境上的子产品进行全盘查杀,已解决当前环境内的全部Wannacry安全威胁。
勒索病毒已经存在很久,并且已经成为最具威胁的恶意代码,由于黑客通过勒索软件可以获取大量的利益,因此,勒索软件的变种速度也极快,给各大安全厂商带来很多的麻烦,此次勒索软件使用的445共享端口,SMB远程执行漏洞,都是已知的安全缺陷或是安全漏洞,并且微软也已经发布了相应的安全补丁,所以提升安全防护意识,才是解决安全风险的第一要素。