端口永恒之蓝补丁

360企业安全针对"永恒之蓝"攻击紧急应对手册目录第一部分——通用环境指导3一、确认主机是否被感染.
3二、网络层面.
41.
网络层ACL调整.
42.
IPS特征库更新9三、服务器层面.
91.
安装漏洞补丁.
92.
免疫工具.
103.
关闭服务.
104.
组策略调整.
13四、终端层面.
251.
免疫工具.
252.
关闭服务.
253.
组策略调整.
284.
安装漏洞补丁.
40五、周一开机及上线保障指南40第二部分——针对已使用360企业安全产品的运维人员.
42第三部分——互联网主机应急处置操作指南.
42本手册分三部分对此次"永恒之蓝"攻击提供针对性防护建议:通用环境指导,360企业安全产品操作指导,互联网主机防护指导.
第一部分——通用环境指导此部分针对通用IT环境,从已感染主机的处理,到网络、服务器、终端几个层面的防护提供建议,应对此次攻击.
最后提供了"周一开机及上线保障指南",供IT管理员参考.
一、确认主机是否被感染被感染的机器屏幕会显示如下的告知付赎金的界面:如果主机已被感染:则将该主机隔离或断网(拔网线).
若文档尚未被全部加密,则应立即关机,使用PE盘引导进入PE系统后将尚未加密的文档备份转移避免损失的进一步扩大.
若客户存在该主机备份,则启动备份恢复程序.
执行恢复后的主机应参照未被感染主机的防护措施加固后再入网.
如果主机未被感染:从以下几个层面实施防护.
二、网络层面1.
网络层ACL调整大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的ACL策略配置,以实现临时封堵.
该蠕虫病毒主要利用TCP的445端口进行传播,对于各大企事业单位影响很大.
为了阻断病毒快速传播,建议在核心网络设备的三层接口位置,配置ACL规则从网络层面阻断TCP445端口的通讯.
以下内容是基于较为流行的网络设备,举例说明如何配置ACL规则,以禁止TCP445网络端口传输,仅供大家参考.
在实际操作中,请协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置.
1)Juniper设备的建议配置(示例):setfirewallfamilyinetfilterdeny-wannacrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-wannacrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-wannacrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-wannacrytermdefaultthenaccept#在全局应用规则setforwarding-optionsfamilyinetfilteroutputdeny-wannacrysetforwarding-optionsfamilyinetfilterinputdeny-wannacry#在三层接口应用规则setinterfaces[需要挂载的三层端口名称]unit0familyinetfilteroutputdeny-wannacrysetinterfaces[需要挂载的三层端口名称]unit0familyinetfilterinputdeny-wannacry2)华三(H3C)设备的建议配置(示例):新版本:aclnumber3050ruledenytcpdestination-port445rulepermitipinterface[需要挂载的三层端口名称]packet-filter3050inboundpacket-filter3050outbound旧版本:aclnumber3050rulepermittcpdestination-port445trafficclassifierdeny-wannacryif-matchacl3050trafficbehaviordeny-wannacryfilterdenyqospolicydeny-wannacryclassifierdeny-wannacrybehaviordeny-wannacry#在全局应用qosapplypolicydeny-wannacryglobalinboundqosapplypolicydeny-wannacryglobaloutbound#在三层接口应用规则interface[需要挂载的三层端口名称]qosapplypolicydeny-wannacryinboundqosapplypolicydeny-wannacryoutbound3)华为设备的建议配置(示例):aclnumber3050ruledenytcpdestination-porteq445rulepermitiptrafficclassifierdeny-wannacrytypeandif-matchacl3050trafficbehaviordeny-wannacrytrafficpolicydeny-wannacryclassifierdeny-wannacrybehaviordeny-wannacryprecedence5interface[需要挂载的三层端口名称]traffic-policydeny-wannacryinboundtraffic-policydeny-wannacryoutbound4)Cisco设备的建议配置(示例):旧版本:ipaccess-listextendeddeny-wannacrydenytcpanyanyeq445permitipanyanyinterface[需要挂载的三层端口名称]ipaccess-groupdeny-wannacryinipaccess-groupdeny-wannacryout新版本:ipaccess-listdeny-wannacrydenytcpanyanyeq445permitipanyanyinterface[需要挂载的三层端口名称]ipaccess-groupdeny-wannacryinipaccess-groupdeny-wannacryout5)锐捷设备的建议配置(示例):ipaccess-listextendeddeny-wannacrydenytcpanyanyeq445permitipanyanyinterface[需要挂载的三层端口名称]ipaccess-groupdeny-wannacryinipaccess-groupdeny-wannacryout2.
IPS特征库更新多数IPS厂商为了应对此类攻击,会针对性的升级特征库.
建议IT安全、运维人员及时关注厂商发布的信息,并升级特征库.
三、服务器层面1.
安装漏洞补丁微软针对本次事件,对支持的操作系统在安全公告MS17-010中已发布相应补丁修复,对于部分已停服的WinXP、2003也已紧急发布补丁KB4012598修复.
请在所有服务器及终端安装依据操作系统类型不同对应安装相应的补丁.
下载来源:MS17-010SecurityUpdate:https://technet.
microsoft.
com/en-us/library/security/ms17-010.
aspxKB4012598http://www.
catalog.
update.
microsoft.
com/Search.
aspxq=KB4012598or360云盘:https://yunpan.
cn/cXLwmvHrMF3WI访问密码614d根据不用的操作系统版本,手动安装以上补丁后,可直接修复此次"永恒之蓝"攻击的所利用的系统漏洞.
另外也可更新天擎控制中心补丁库升级到1.
0.
1.
2825及以上版本,并安装其中包含的所有高危漏洞.
打补丁可能会对用户的现有业务系统、办公软件等造成影响,在生产服务器上安装前,需做好兼容性测试,避免影响业务.
2.
免疫工具在补丁安装完成前,为避免服务器感染,手工或使用主机管理系统下发免疫工具(下载页面:http://b.
360.
cn/other/onionwormimmune),免疫工具将不影响当前445端口业务的运行,运行后可在任务管理器中检查其状态:3.
关闭服务如果免疫工具运行遇到问题,也可选择关闭445端口相关服务:点击开始菜单,运行,cmd,确认.
输入命令netstat–an查看端口状态输入scconfigsrvstart=disabled(注意disabled前有空格)scconfignetbtstart=disabled(注意disabled前有空格)输入netstoprdr回车netstopsrv回车netstopnetbt回车如果有提问"您想继续此操作吗(Y/N)[N]:",输入Y再次输入netsta–an,成功关闭445端口.
4.
组策略调整另一方式是用主机ACL策略封堵445端口.
请注意,2、3、4这三种方式,做到其中任意一个即可达到临时免疫的目的.
通过组策略IP安全策略限制Windows网络共享协议相关端口开始菜单->运行,输入gpedit.
msc回车.
打开组策略编辑器在组策略编辑器中,计算机配置->windows设置->安全设置->ip安全策略下,在编辑器右边空白处鼠标右键单击,选择"创建IP安全策略"下一步->名称填写"封端口",下一步->下一步->勾选编辑属性,并点完成去掉"使用添加向导"的勾选后,点击"添加"在新弹出的窗口,选择"IP筛选列表"选项卡,点击"添加"在新弹出的窗口中填写名称,去掉"使用添加向导"前面的勾,单击"添加"在新弹出的窗口中,"协议"选项卡下,选择协议和设置到达端口信息,并点确定.
重复第7个步骤,添加TCP端口135、139、445.
添加UDP端口137、138.
添加全部完成后,确定.
选中刚添加完成的"端口过滤"规则,然后选择"筛选器操作"选项卡.
去掉"使用添加向导"勾选,单击"添加"按钮1.
选择"阻止"2.
选择"常规"选项卡,给这个筛选器起名"阻止",然后"确定".
点击3.
确认"IP筛选列表"选项卡下的"端口过滤"被选中.
确认"筛选器操作"选项卡下的"阻止"被选中.
然后点击"关闭".
4.
确认安全规则配置正确.
点击确定.
5.
在"组策略编辑器"上,右键"分配",将规则启用.
四、终端层面1.
免疫工具由于批量终端的补丁安装需要一定时间,建议先用桌面管理类软件,在所有终端运行免疫工具(下载页面:http://b.
360.
cn/other/onionwormimmune),运行后可在任务管理器中检查其状态:2.
关闭服务如果免疫工具运行遇到问题,也可选择关闭445端口相关服务:点击开始菜单,运行,cmd,确认.
输入命令netstat–an查看端口状态输入netstoprdr回车netstopsrv回车netstopnetbt回车再次输入netsta–an,成功关闭445端口.
也可用"telnet主机名445"的命令来验证终端端口已关闭.
3.
组策略调整另一方式是用主机ACL策略封堵445端口.
请注意,2、3、4这三种方式,做到其中任意一个即可达到临时免疫的目的.
通过组策略IP安全策略限制Windows网络共享协议相关端口开始菜单->运行,输入gpedit.
msc回车.
打开组策略编辑器在组策略编辑器中,计算机配置->windows设置->安全设置->ip安全策略下,在编辑器右边空白处鼠标右键单击,选择"创建IP安全策略"下一步->名称填写"封端口",下一步->下一步->勾选编辑属性,并点完成去掉"使用添加向导"的勾选后,点击"添加"在新弹出的窗口,选择"IP筛选列表"选项卡,点击"添加"在新弹出的窗口中填写名称,去掉"使用添加向导"前面的勾,单击"添加"在新弹出的窗口中,"协议"选项卡下,选择协议和设置到达端口信息,并点确定.
重复第7个步骤,添加TCP端口135、139、445.
添加UDP端口137、138.
添加全部完成后,确定.
选中刚添加完成的"端口过滤"规则,然后选择"筛选器操作"选项卡.
去掉"使用添加向导"勾选,单击"添加"按钮6.
选择"阻止"7.
选择"常规"选项卡,给这个筛选器起名"阻止",然后"确定".
点击8.
确认"IP筛选列表"选项卡下的"端口过滤"被选中.
确认"筛选器操作"选项卡下的"阻止"被选中.
然后点击"关闭".
9.
确认安全规则配置正确.
点击确定.
10.
在"组策略编辑器"上,右键"分配",将规则启用.
4.
安装漏洞补丁微软针对本次事件,对支持的操作系统在安全公告MS17-010中已发布相应补丁修复,对于部分已停服的WinXP、2003也已紧急发布补丁KB4012598修复.
请在所有服务器及终端安装依据操作系统类型不同对应安装相应的补丁.
下载来源:MS17-010SecurityUpdate:https://technet.
microsoft.
com/en-us/library/security/ms17-010.
aspxKB4012598http://www.
catalog.
update.
microsoft.
com/Search.
aspxq=KB4012598or360云盘:https://yunpan.
cn/cXLwmvHrMF3WI访问密码614d根据不用的操作系统版本,手动安装以上补丁后,可直接修复此次"永恒之蓝"攻击的所利用的系统漏洞.
另外也可更新天擎控制中心补丁库升级到1.
0.
1.
2825及以上版本,并安装其中包含的所有高危漏洞.
打补丁可能会对用户的现有业务系统、办公软件等造成影响,在生产服务器上安装前,需做好兼容性测试,避免影响业务.
五、周一开机及上线保障指南打补丁是最终解决方案,免疫工具、关闭端口、停止服务是临时保证主机不感染的临时措施,只需做到一个即可达到效果.
所以开机与上线的检查标准分2个等级:补丁已安装补丁未安装,临时措施已奏效二者满足任意一条,该主机自身都不会感染,同时也不会感染其它主机,具备开机、上线的条件.
只满足第二条的主机,需要后续跟进,直至完成补丁安装.
1.
补丁已安装检查方法:从Windows控制面板中,检查已安装的补丁,确认相应补丁已安装2.
临时措施生效检查方法:满足以下任一条件即为合格:A.
任务管理器检查免疫工具是否运行,可见onionwormimmune.
exe进程.
B.
用同网段电脑运行以下命令,结果为"连接失败"即符合预期.
telnet445第二部分——针对已使用360企业安全产品的运维人员360企业安全产品可增强企业内网对"永恒之蓝"的防御能力,提高IT安全运维的效率.
天擎、天堤、天眼、虚拟化安全四类产品,均有针对性的操作建议.
请参考以下各产品线的操作文档.
第三部分——未安装天擎的互联网主机应急处置操作指南采用快速处置方式,建议使用360安全卫士的"NSA武器库免疫工具",可一键检测修复漏洞、关闭高风险服务,包括精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁.
针对XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞彻底"免疫".
NSA武器库免疫工具下载地址:http://dl.
360safe.
com/nsa/nsatool.
exe