1.漏洞描述

1.1漏洞描述

2017年5月12日起，在國(guó)內(nèi)外網(wǎng)絡(luò)中發(fā)現(xiàn)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼，這是通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。
     目前發(fā)現(xiàn)的蠕蟲會(huì)掃描開放445文件共享端口的Windows機(jī)器，無需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入執(zhí)行勒索程序、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。
     此蠕蟲目前在沒有對(duì)445端口進(jìn)行嚴(yán)格訪問控制的教育網(wǎng)、企業(yè)內(nèi)網(wǎng)及業(yè)務(wù)外網(wǎng)大量傳播，呈現(xiàn)爆發(fā)的態(tài)勢(shì)，受感染系統(tǒng)會(huì)被勒索高額金錢，不能按時(shí)支付贖金的系統(tǒng)會(huì)被銷毀數(shù)據(jù)造成嚴(yán)重?fù)p失。該蠕蟲攻擊事件已      經(jīng)造成非常嚴(yán)重的現(xiàn)實(shí)危害，各類規(guī)模的網(wǎng)絡(luò)也已經(jīng)面臨此類威脅。

1.2影響范圍
    涉及開放445 SMB服務(wù)端口且沒有及時(shí)安裝安全補(bǔ)丁的客戶端和服務(wù)器系統(tǒng)都將可能面臨此威脅。

1.3建議處置辦法

• 對(duì)于Win7及以上版本的操作系統(tǒng)，微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)立即安裝此補(bǔ)丁。
• 補(bǔ)丁地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010
  

請(qǐng)管理員先自行關(guān)閉135、137、138、139、445端口，在關(guān)閉前請(qǐng)自行判斷關(guān)閉后是否會(huì)對(duì)原有業(yè)務(wù)帶來影響。

下面介紹在系統(tǒng)中如何手動(dòng)設(shè)置策略關(guān)閉端口的方法

1.開始菜單->運(yùn)行，輸入gpedit.msc回車。打開組策略編輯器
2.在組策略編輯器中，計(jì)算機(jī)配置->windows設(shè)置->安全設(shè)置->ip安全策略 下，在編輯器右邊空白處鼠標(biāo)右鍵單擊，選擇“創(chuàng)建IP安全策略”

3.下一步->名稱填寫“封端口”，下一步->下一步->勾選編輯屬性，并點(diǎn)完成

4.去掉“使用添加向?qū)А钡墓催x后，點(diǎn)擊“添加”

5.在新彈出的窗口，選擇“IP篩選列表”選項(xiàng)卡，點(diǎn)擊“添加”

6.在新彈出的窗口中填寫名稱，去掉“使用添加向?qū)А鼻懊娴墓矗瑔螕簟疤砑印?/span>

7. 在新彈出的窗口中，“協(xié)議”選項(xiàng)卡下，選擇協(xié)議和設(shè)置到達(dá)端口信息，并點(diǎn)確定。

8.重復(fù)第7個(gè)步驟，添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后，確定。
9.選中剛添加完成的“端口過濾”規(guī)則，然后選擇“篩選器操作”選項(xiàng)卡。

10.去掉“使用添加向?qū)А惫催x，單擊“添加”按鈕

11.選擇“阻止”

12.選擇“常規(guī)”選項(xiàng)卡，給這個(gè)篩選器起名“阻止”，然后點(diǎn)擊“確定”。
13.確認(rèn)“IP篩選列表”選項(xiàng)卡下的“端口過濾”被選中。確認(rèn)“篩選器操作”選項(xiàng)卡下的“阻止”被選中。然后點(diǎn)擊“關(guān)閉”。

14.確認(rèn)安全規(guī)則配置正確。點(diǎn)擊確定。

15.在“組策略編輯器”上，右鍵“分配”，將規(guī)則啟用。