比病毒爆發(fā)更火的���,則是各類關(guān)于此病毒的新聞����、解決方法在朋友圈等社交媒體的爆發(fā)��。
其中,有主觀善意但客觀有失偏頗的指導(dǎo),更有夾帶私貨的安全軟件商攜各類工具的廣告宣傳����,以及各大小 IT 公司借此做的宣傳。
一時(shí)間���,眾多群眾不知所措����,戰(zhàn)戰(zhàn)兢兢�;不惜在自己的網(wǎng)絡(luò)中將各種帖子所支招數(shù)悉數(shù)執(zhí)行一遍,導(dǎo)致業(yè)務(wù)中斷���。
我在朋友圈中已多次發(fā)帖�����,探討和指導(dǎo)應(yīng)對(duì)��。但依然看到大家的無所適從�����。
為此���,我整理一下思路���,做一下總結(jié)說明。
本文主要包括如下部分:
只須打補(bǔ)丁�,只須打補(bǔ)丁,只須打補(bǔ)丁���。
不必使用 360 等第三方工具及軟件����。
不要隨意關(guān)閉端口���。
你可以參照上述建議操作��,如需了解技術(shù)細(xì)節(jié)����,請繼續(xù)下文。
這次病毒是利用微軟 Windows SMB v1 的漏洞進(jìn)行傳播并遠(yuǎn)程執(zhí)行代碼�,對(duì)計(jì)算機(jī)中的文檔進(jìn)行加密。
病毒于 2017/5/12 大面積暴發(fā)��。
微軟于 2017/3/14 發(fā)布了安全公告和安全更新�����。 鏈接地址:
Microsoft 安全公告 MS17-010 – 嚴(yán)重
MS17-010:Windows SMB 服務(wù)器安全更新
另外���,微軟對(duì)于已經(jīng)停止服務(wù)的XP和Win2003也提供了補(bǔ)丁,鏈接為
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
由于大家平常不看這樣的微軟官方技術(shù)文檔��,所以可能有些讀不懂��。不用擔(dān)心�,根據(jù)你的操作系統(tǒng)版本,選擇相應(yīng)的補(bǔ)丁即可��。
就用上面鏈接的第一個(gè)文檔安全公告為主來說吧:
文檔表中每一個(gè)操作系統(tǒng)下面���,有好幾個(gè)鏈接�����,分為如下幾方面:
操作系統(tǒng)小版本:例如是否 sp1 / sp2 等���。請打開命令行�����,用 winver 命令確認(rèn)版本��。
系統(tǒng)平臺(tái):32 位或是 64 位���,或者少見的 Itanium 等。
針對(duì)本漏洞的更新或者月度匯總更新�����。
以上前兩個(gè)要選對(duì)��。第三個(gè)看情況選���。想短平快就選”僅用于安全更新”�,想全面一些就選“月度匯總更新”
僅此一頁足矣����。有朋友打電話過來說補(bǔ)丁裝不上��,就是因?yàn)闆]有選對(duì)���。
企業(yè)當(dāng)然不能像個(gè)人一樣一臺(tái)臺(tái)打補(bǔ)丁。
你需要一臺(tái)補(bǔ)丁服務(wù)器����。建議部署微軟的 WSUS 服務(wù) ��。
其基本原理就是:企業(yè)內(nèi)部的所有客戶機(jī)將更新源指向 WSUS 服務(wù)器��,WSUS 服務(wù)器將更新源指向微軟補(bǔ)丁服務(wù)器�。
根據(jù)企業(yè)規(guī)模及IT管理模式,WSUS服務(wù)器可以配置為層次結(jié)構(gòu)��,可以配置補(bǔ)丁分發(fā)策略�,可以對(duì)補(bǔ)丁進(jìn)行審批操作等。
具體請參見Windows Server Update Services 概述 �����,此不贅述�����。哦,贅述一下�,這個(gè)服務(wù)是免費(fèi)的,(好像反而不好立項(xiàng)是吧)��,不過請專業(yè)的微軟解決方案合作伙伴實(shí)施服務(wù)是收費(fèi)的��。
當(dāng)然也可以使用第三方專業(yè)公司的補(bǔ)丁服務(wù)����������?梢允钦嬲龑I(yè)的產(chǎn)品或者上級(jí)指定的產(chǎn)品���。
除非你知道會(huì)發(fā)生什么��,否則不要隨意關(guān)閉端口���。 以下內(nèi)容節(jié)選自 比我上面自吹的資歷還深的朋友 MVP 胡浩 的文章《抵抗勒索病毒的正確姿勢——不要上來就封端口!》 中的重點(diǎn)內(nèi)容:
剛剛過去的這個(gè)周末���,朋友圈一定被勒索病毒刷屏了~
看到一堆人告訴別人封鎖 135-139�,445 端口,作為一個(gè)修過無數(shù) AD 復(fù)制問題���,客戶端無法登錄或者使用域資源問題的老司機(jī)�,我想問問��,您真的知道這些端口是干嘛的么���?
端口使用的官方網(wǎng)頁請看這里: Port Assignments for Well-Known Ports
請仔細(xì)閱讀和確認(rèn)有關(guān)135����,136���,137,138�����,139�,445端口的作用,如果不確定是否需要這些端口完成正常的域登錄�����、訪問域資源、DC間檢測復(fù)制等等�����,請謹(jǐn)慎封鎖端口�!
最大的危害不在于立即出現(xiàn)的故障,而在于90天或者180天之后出現(xiàn)的大量AD復(fù)制錯(cuò)誤���,修復(fù)這些問題比你想想的更復(fù)雜���。
請不要受一些非專業(yè)的安全文檔或者一些不明來源的信息的蠱惑,安裝一堆亂七八糟的軟件�����。
這次事件很清楚���,微軟知道了產(chǎn)品漏洞��,并立即發(fā)布了補(bǔ)丁����。兩個(gè)月后�����,惡意黑客利用此漏洞開發(fā)出 WannaCry 病毒。
我們只需要按微軟建議打補(bǔ)丁即可�����。因?yàn)槟阌玫氖俏④浀?Windows���。
當(dāng)然����,360 們 也不是一無是處��,他們大致在做兩件事:
第 0 件:抓住此次事件�,進(jìn)行企業(yè)宣傳�����,擴(kuò)大知名度��!
第 1 件:幫你掃描漏洞����,并幫你到微軟網(wǎng)站下載補(bǔ)丁進(jìn)行安裝���。 這是一件微軟自己會(huì)做的事情。但不知為何太多的人以為這是 360 的專長��。陽春白雪遇到下里巴人罷�����。
第 2 件:萬一真被黑了�����,他們幫你找回文件�。
怎么可能?�! 計(jì)算機(jī)技術(shù)發(fā)展到現(xiàn)在,加密技術(shù)是數(shù)學(xué)上證明的而不是騙傻子的����。就是我另一篇文章所說 是把錢藏到保險(xiǎn)柜里 而不是藏到床下襪子里。此不贅述��。
所以����,真要被黑客攻擊并被加密了�,360 不可能解開���。
但也有一絲希望����,360 們 倒是想到了一個(gè)可能的解決之道:
病毒將你的文檔加密后存到電腦上����,并將源文件刪除。那么用 360 提供的恢復(fù)工具����,有可能找回被刪的沒被加密的文件。但這不能保證全找到�。
所以,萬一你中招了����,最好的方式就是別亂動(dòng)�����,找專業(yè)工具如 360 提供的或其它任何數(shù)據(jù)恢復(fù)工具修復(fù)����。
如果你喜歡 360�,我沒說一定讓你卸載���。只是我個(gè)人不喜歡而已��。剛剛一個(gè)朋友告知找不到補(bǔ)丁�����,我發(fā)現(xiàn)他是 XP SP2�,而微軟即便緊急發(fā)布了本已不支持的 WinXP 的補(bǔ)丁���,也只支持到 32位 WinXP sp3 和 64 位 WinXP sp2 ����。這種情況�����,可能 360 存著 XP SP3 安裝包�����,可以試試,我沒做了解��。
我們相信國際專業(yè)的網(wǎng)絡(luò)安全公司是優(yōu)秀的�、偉大的。
但我們也看到一些不專業(yè)的公司的問題�����。他們推出一些所謂電腦管家之類的工具�����,做出一些優(yōu)化性能���、提升安全的功能�����,關(guān)閉了一些他們不懂的服務(wù)與端口����,導(dǎo)致系統(tǒng)出現(xiàn)許多莫名其妙的問題�����。
如果不是他們隨意建議用戶關(guān)閉自動(dòng)更新服務(wù)�����、接管 Windows 自帶的反病毒軟件 MSE 或 Defender�、接管 Windows 防火墻,可能也不會(huì)有這么多電腦受到感染���。
如果永恒之藍(lán)是始作俑者��,那這些安全軟件或者非專業(yè)技術(shù)貼����,并未起到遏制事態(tài)發(fā)展的作用����。
微軟很早就推出了自己的殺毒軟件。
所以�,你只需要打開自動(dòng)更新,同時(shí)使用微軟自帶的殺毒軟件���,就夠了���。
如果您是 Windows 7 用戶����,請安裝 Microsoft Security Essentials.
下載地址:
Windows Vista/Windows 7 32-bit
Windows Vista/Windows 7 64-bit
從 Windows 8 以后���,操作系統(tǒng)里邊已經(jīng)自帶了 Windows Defender���,直接使用即可。
世上本無事��,庸人自擾之
Windows 自帶的殺毒軟件 Defender��,自帶的防火墻����,自帶的 Windows Update,默認(rèn)都是打開的��,正常運(yùn)行的���。
所以����,本來一切都好好的,但由于不規(guī)范的操作����,反而導(dǎo)致了問題的出現(xiàn)�����。
關(guān)于這個(gè)問題�,胡浩的文章《抵抗勒索病毒的正確姿勢——不要上來就封端口!》 已經(jīng)清楚說明了����,此不贅述。
我只想講幾個(gè)故事:
很多人知道 RPC 使用 135 端口�,所以,為了能夠?qū)崿F(xiàn)跨防火墻 RPC 通信�,在防火墻上打開了 135 端口,結(jié)果發(fā)現(xiàn) RPC 通信依然有問題�。為什么?因?yàn)?RPC 通信不是使用的 135 端口��,而是在通信發(fā)起時(shí)�,利用 135 端口協(xié)商,雙方商量一個(gè) 1024 到65535 之間的某個(gè)任意未被使用的端口來進(jìn)行通信����。
所以����,無論是打開端口還是關(guān)閉端口�����,必須要搞清楚這個(gè)端口是干什么的��,原理是什么�。而不是簡單的關(guān)關(guān)關(guān),干脆把網(wǎng)線拔了算了�。
很多企業(yè)不許使用動(dòng)態(tài) IP,于是�,他們就通過組策略把 DHCP Client 服務(wù)停了。他不知道這個(gè)服務(wù)除了自動(dòng)獲取 IP 之外�����,還進(jìn)行 DNS 客戶端注冊和更新��。結(jié)果導(dǎo)致 DNS 服務(wù)器上的客戶機(jī)記錄老舊或自動(dòng)清理�����。
某些單位,不許使用共享��,包括強(qiáng)制關(guān)閉 Admin$, IPC$ 等�����,豈不知這些管理共享的本質(zhì)意義����,結(jié)果導(dǎo)致與安全策略復(fù)制故障等一系列問題�。
所以,如果你的活動(dòng)目錄出了問題��,先檢查一下自己這幾天又裝什么安全軟件了���,又關(guān)什么端口或服務(wù)了�。你是否真的了解了這個(gè)安全軟件所做的操作的原理��。
還有幾個(gè)問題想借此多說幾句:
這次漏洞是微軟 Windows 的��,是微軟的錯(cuò)����。但真的怪不得微軟���。
漏洞不是后門。后門是故意留下的���。漏洞是無意間產(chǎn)生的���,或者是協(xié)議標(biāo)準(zhǔn)本身的缺陷。
就無意產(chǎn)生漏洞����,舉個(gè)不恰當(dāng)?shù)睦樱?br style="overflow-wrap:break-word;" />家里的防盜門,結(jié)實(shí)吧���?可是誰能想到江湖高人會(huì)通過貓眼伸個(gè)鋼筋進(jìn)來壓動(dòng)門把手把門打開呢����? 好吧�����,打個(gè)鐵補(bǔ)丁把貓眼補(bǔ)上�。
這事兒怪那個(gè)設(shè)計(jì)防盜門的嗎?怪。誰讓你不先想到呢���?可是他要把所有可能性都想到���,這輩子也別想推出一款防盜門了。
還有一種情況�,就是標(biāo)準(zhǔn)、協(xié)議本身的缺陷���。
例如現(xiàn)在的 TCP/IT v4 協(xié)議���,就有很多安全缺陷���。比如自動(dòng)獲得 IP 地址的協(xié)議 DHCP���,你沒有辦法限制客戶機(jī)從哪臺(tái)服務(wù)器獲得 IP 地址。這意味著我把我的筆記本裝上 DHCP 服務(wù)����,插到你們單位的網(wǎng)上,你們單位的客戶機(jī)就有可能從我這獲得 IP���。
再比如郵件協(xié)議 MIME����,里邊可以有圖片等內(nèi)容,打開郵件即可直接顯示圖片��。但是如果這是一個(gè)假的圖片�����,其實(shí)是一個(gè)惡意軟件或者鏈接�����,這個(gè)直接顯示圖片的公告就變成了直接執(zhí)行這個(gè)假圖片��,就會(huì)導(dǎo)致你中招���。
這些問題���,各個(gè)軟件廠商都在想辦法解決,這些補(bǔ)丁���,不是產(chǎn)品的問題�����,而是協(xié)議與標(biāo)準(zhǔn)的問題�����,但軟件廠商必須花精力去面對(duì)�。
微軟有一套完善的安全補(bǔ)丁管理機(jī)制,從2003年微軟提出可信賴的計(jì)算時(shí)���,便建立了專門的安全團(tuán)隊(duì)�����,負(fù)責(zé)安全應(yīng)對(duì)及補(bǔ)丁發(fā)布�。
到目前為止���,所有的安全事件,都是在微軟發(fā)布補(bǔ)丁之后發(fā)生的�。
大多數(shù)情況是:專業(yè)安全人員或廠商發(fā)現(xiàn)了漏洞,報(bào)告給微軟(未公開)��,微軟立即開發(fā)和發(fā)布補(bǔ)����。ǹ赡芫o急發(fā)布熱修復(fù)�����,然后提供完善的補(bǔ)����。���。
而惡意利用者則是通過這些發(fā)布補(bǔ)丁的公開信息�����,開發(fā)惡意軟件���。
下面是幾個(gè)當(dāng)年比較嚴(yán)重的病毒的情況:
尼姆達(dá):在微軟發(fā)布補(bǔ)丁331天后爆發(fā);
SQL Slammer:在微軟發(fā)布補(bǔ)丁180天之后爆發(fā)�;
Blaster 沖擊波:在微軟發(fā)布補(bǔ)丁25天之后爆發(fā);
Sasser 震蕩波:在微軟發(fā)布補(bǔ)丁14天之后爆發(fā)����;
而這一次,微軟于 2017/3/14 發(fā)布補(bǔ)丁���,WannaCry 于 2017/5/12 爆發(fā)����,提前 58 天。
當(dāng)然����,這次可怕一些,是因?yàn)楹芫脹]有爆發(fā)這么大的病毒事件了����,還因?yàn)樯缃幻襟w發(fā)達(dá)了,事件影響被放大���。
更可怕的����,是這個(gè)漏洞����,不是被有良知的安全廠商發(fā)現(xiàn)并主動(dòng)報(bào)告微軟,而是 美國國安局早已發(fā)現(xiàn)漏洞�,并基于漏洞開發(fā)了戰(zhàn)略級(jí)武器庫�����,而部分武器,即利用漏洞進(jìn)行攻擊的工具�,被泄露了。然后被惡意利用了�。 我們所有吃瓜群眾,都終于真切感受到了網(wǎng)絡(luò)戰(zhàn)爭是什么樣子���。
這將值得全人類反思��。
這次事件另一個(gè)有意思的現(xiàn)象���,是勒索軟件要你支付的是比特幣。
比特幣的重要特點(diǎn)是無中心化���,這是強(qiáng)調(diào)個(gè)人主義/無政府主義者最興奮的特點(diǎn)��。這種基于區(qū)塊鏈技術(shù)的比特幣����,不需要中央銀行監(jiān)管�����、賬號(hào)不可追蹤、從數(shù)學(xué)上證明你無法通過賬號(hào)跟蹤到賬號(hào)相關(guān)其他信息�。這是另一個(gè)話題,暫不贅述����。
這不得不讓人重新思考 科學(xué)主義 對(duì)人類社會(huì)的影響問題。
從哲學(xué)意義回到現(xiàn)實(shí)��,我們從十多年前就開始講打補(bǔ)丁打補(bǔ)丁打補(bǔ)丁�,并給出了大量的指導(dǎo)文檔和最佳實(shí)踐。但為什么我們做不到����。
我們的 IT 運(yùn)維理念,從最早的自發(fā)運(yùn)維�,到 ITIL 理念,到 ISO20000����,到 DevOps,層出不窮�����。
可我們?yōu)槭裁催B最基本的打補(bǔ)丁都不去做���? 說多了都是啰嗦�����,思考吧�。
以上只是工作被電話微信打斷后停下來草草寫就的觀點(diǎn)及感言�����,錯(cuò)誤之處在所難免���,請各位微軟網(wǎng)絡(luò)安全方面的哥們兒指正���。
IT 運(yùn)維無小事,網(wǎng)絡(luò)安全無兒戲�。大家加油。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
