1.漏洞描述1.1漏洞描述2017年5月12日起局域網(wǎng)smb,在國內(nèi)外網(wǎng)絡中發(fā)現(xiàn)爆發(fā)基于Windows網(wǎng)絡共享協(xié)議進行攻擊傳播的蠕蟲惡意代碼局域網(wǎng)smb,這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡攻擊事件。目前發(fā)現(xiàn)的蠕蟲會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網(wǎng),不法分子就能在電腦和服務器中植入執(zhí)行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。此蠕蟲目前在沒有對445端口進行嚴格訪問控制的教育網(wǎng)、企業(yè)內(nèi)網(wǎng)及業(yè)務外網(wǎng)大量傳播,呈現(xiàn)爆發(fā)的態(tài)勢,受感染系統(tǒng)會被勒索高額金錢,不能按時支付贖金的系統(tǒng)會被銷毀數(shù)據(jù)造成嚴重損失。該蠕蟲攻擊事件已經(jīng)造成非常嚴重的現(xiàn)實危害,各類規(guī)模的網(wǎng)絡也已經(jīng)面臨此類威脅。1.2影響范圍涉及開放445 SMB服務端口且沒有及時安裝安全補丁的客戶端和服務器系統(tǒng)都將可能面臨此威脅。1.3建議處置辦法
已購買局域網(wǎng)smb我司虛擬化安全產(chǎn)品客戶,建議立即配置防火墻相關策略;如未購買防火墻模塊,可致電360服務熱線:400-136-360獲取幫助。
對于Win7及以上版本的操作系統(tǒng),微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞,請立即安裝此補丁。
補丁地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010
2.應急方案 – 已購買防火墻模塊的用戶對于Win7及以上版本的系統(tǒng)確認是否安裝MS17-010補丁,如果沒有安裝則受威脅影響;Win7以下的Windows XP/2003沒有補丁,只要開啟SMB服務就會受到影響。為了減少“永恒之藍”帶來的損失,我們建議客戶首先對向外開放的445等共享端口進行防火墻阻斷控制,并及時部署MS17-010補丁,同時升級IPS、應用識別等設備的特征庫。提醒:執(zhí)行應急處置辦法之前,請管理員先自行評估關閉135、137、138、139、445端口對業(yè)務是否帶來影響。2.1適用于以下虛擬化安全產(chǎn)品版本360虛擬化安全管理系統(tǒng)v6.0(輕代理型)360虛擬化安全管理系統(tǒng)v6.1(輕代理型)360虛擬化安全管理系統(tǒng)v7.0(輕代理型)360虛擬化安全管理系統(tǒng)v6.1(無代理型)2.2 360虛擬化安全管理系統(tǒng)v6.x(輕代理型)在虛擬化安全V6.x版本控制中心,點擊【策略】-【防火墻策略】-【策略模板】,新建策略模板SMB。
在【防火墻策略】-【防火墻規(guī)則】中新建規(guī)則。配置參數(shù):
優(yōu)先級:建議最高
流向:設定為流入
協(xié)議:TCP
端口:135、137、138、139、445
遠端IP:任意
遠端端口:任意
進入【策略】-【分組策略】-【網(wǎng)絡防護】,開啟防火墻功能,并引用剛才創(chuàng)建的防火墻模板。點擊保存,并執(zhí)行生效。
2.3 360虛擬化安全管理系統(tǒng)v7.x(輕代理型)在虛擬化安全V7.x版本控制中心,點擊【防火墻】”,新建策略模板SMB,并選擇“新建防火墻配置”。配置參數(shù):
優(yōu)先級:建議最高
流向:設定為流入
協(xié)議:TCP
端口:135、137、138、139、445
遠端IP:任意
遠端端口:任意
設置好策略好,將規(guī)則開啟。并到【主機策略】-【分組策略】中確認防火墻功能是否開啟,將防火墻策略模板調(diào)整到SMB策略模板即可完成應急處置。
2.4 360虛擬化安全管理系統(tǒng)v6.1(無代理型)在虛擬化安全V6.1無代理版本控制中心,點擊【安全策略】-【安全配置】”,新建安全配置。
點擊【新建防火墻規(guī)則】配置參數(shù):
方向:設定為入站
動作:組織
協(xié)議:TCP
本地IP信息
本地端口信息:135、137、138、139、445
遠端IP信息:所有
遠端端口信息:所有
設置完防火墻規(guī)則后,點擊“確定”。并調(diào)整優(yōu)先級為置頂,最后點擊“保存”。
3.應急方案 – 未購買防火墻模塊的用戶1.開始菜單->運行,輸入gpedit.msc回車。打開組策略編輯器2.在組策略編輯器中,計算機配置->windows設置->安全設置->ip安全策略 下,在編輯器右邊空白處鼠標右鍵單擊,選擇“創(chuàng)建IP安全策略”
3.下一步->名稱填寫“封端口”,下一步->下一步->勾選編輯屬性,并點完成
4.去掉“使用添加向?qū)А钡墓催x后,點擊“添加”
5.在新彈出的窗口,選擇“IP篩選列表”選項卡,點擊“添加”
6.在新彈出的窗口中填寫名稱,去掉“使用添加向?qū)А鼻懊娴墓矗瑔螕簟疤砑印?/p>
7. 在新彈出的窗口中,“協(xié)議”選項卡下,選擇協(xié)議和設置到達端口信息,并點確定。
8.重復第7個步驟,添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后,確定。9.選中剛添加完成的“端口過濾”規(guī)則,然后選擇“篩選器操作”選項卡。
10.去掉“使用添加向?qū)А惫催x,單擊“添加”按鈕
11.選擇“阻止”
12.選擇“常規(guī)”選項卡,給這個篩選器起名“阻止”,然后點擊“確定”。13.確認“IP篩選列表”選項卡下的“端口過濾”被選中。確認“篩選器操作”選項卡下的“阻止”被選中。然后點擊“關閉”。
14.確認安全規(guī)則配置正確。點擊確定。
15.在“組策略編輯器”上,右鍵“分配”,將規(guī)則啟用。
4.附錄 – 查看445端口是否開放1.查看445端口是否關閉的方法:2.打開開始菜單---點擊運行----輸入cmd---點擊確定3.輸入命令:netstat -an 回車4.查看結(jié)果中是否還有445端口
原文地址:https://www.cunkuanlilv.com/caijingxinwen/2017/0514/12434.html
評論列表
還沒有評論,快來說點什么吧~