域網(wǎng)絡(luò)中勒索病毒或其他網(wǎng)絡(luò)傳播類病毒緊急應(yīng)對(duì)簡(jiǎn)明指導(dǎo)

如果你是域網(wǎng)絡(luò)，由于域可以集中分發(fā)策略，可按下面的方法快速響應(yīng)，主要思想是盡快關(guān)閉可能感染的通道，然后再盡快更新補(bǔ)丁以根本解決。

當(dāng)然，如果你沒有域網(wǎng)絡(luò)，這個(gè)這個(gè)，那就趕快部署吧…………

說明：這是一個(gè)緊急應(yīng)對(duì)框架，不是一個(gè)全面的安全方案，這個(gè)框架適用于應(yīng)對(duì)網(wǎng)絡(luò)病毒的***。除了把中毒的計(jì)算機(jī)斷網(wǎng)之外，其他基本步驟如下：

（一）切斷外部感染通道

如果有相應(yīng)的***端口發(fā)布到了外網(wǎng)，則此發(fā)布的服務(wù)器可能被感染，所以建議在網(wǎng)關(guān)防火墻上臨時(shí)禁用此映射規(guī)則，然后馬上給發(fā)布的服務(wù)器打上補(bǔ)丁再開放映射。

比如這次的TCP 445，雖然可能沒有公司會(huì)把此端口單獨(dú)地發(fā)布出去，但有可能防火墻策略做了把某個(gè)外網(wǎng)IP完全映射到內(nèi)部某個(gè)IP（比如一些需要發(fā)布大段動(dòng)態(tài)端口的視頻會(huì)議服務(wù)器或類似服務(wù)），這實(shí)際就把TCP 445也暴露出去了。

（二）針對(duì)客戶端計(jì)算機(jī)

第一步通過域組策略臨時(shí)緊急關(guān)閉某個(gè)端口，因?yàn)榫W(wǎng)絡(luò)病毒通常都會(huì)連接到某個(gè)端口才能***成功，第二步就是打補(bǔ)丁，這個(gè)是根本措施，但由于打補(bǔ)丁沒有開防火墻策略這么快，所以放在第二步。第三步在更新了補(bǔ)丁之后，這個(gè)端口可能仍然需要開放，比如這次的445，在域網(wǎng)絡(luò)中非常重要，關(guān)閉之后，客戶端的共享無法使用（包括打印機(jī)共享），而且很多管理操作也將失效（如遠(yuǎn)程管理）。

組策略會(huì)在后臺(tái)刷新，所以像防火墻策略不用重啟電腦也會(huì)自動(dòng)應(yīng)用，默認(rèn)刷新時(shí)間是90分鐘，并有0-30分鐘的隨機(jī)調(diào)整，所以通常能很快刷新。也可以通過組策略更改此刷新值。

（二）針對(duì)服務(wù)器計(jì)算機(jī)

針對(duì)服務(wù)器，如果某個(gè)端口被***，特別是這次的TCP 445，是不要貿(mào)然去關(guān)閉的，windows 很多服務(wù)都要依賴于它（比如AD、群集、文件服務(wù)器等），如果關(guān)閉了相應(yīng)的服務(wù)也將停止，甚至導(dǎo)致更大的連鎖反應(yīng)，所以針對(duì)服務(wù)器，對(duì)于這些需要445端口的服務(wù)器，第一步就是打補(bǔ)丁，而不要去關(guān)閉端口。

下面是一些具體操作指導(dǎo)。

（一） 組策略啟用客戶端防火墻

主要注意Windows 7與windows XP的防火墻服務(wù)是不同的名字，也就是服務(wù)是不同的，啟用防火墻時(shí)，注意開放ICMP，其他一些要用到的端口也要開放。

（二） WSUS服務(wù)器上的補(bǔ)丁導(dǎo)入

自動(dòng)同步可能比較慢，建議用下面的方法快速手動(dòng)導(dǎo)入。

首先要找到相應(yīng)的補(bǔ)丁號(hào)，比如本次勒索病毒對(duì)應(yīng)的補(bǔ)丁號(hào)，不同的系統(tǒng)可能是不同的KB號(hào)，

然后進(jìn)入WSUS管理臺(tái)，選導(dǎo)入更新

會(huì)打開一個(gè)微軟update網(wǎng)站，輸入KB號(hào)查找，查找出來后選ADD。

選view basket。

選導(dǎo)入。

導(dǎo)入完成之后要審批。

要查找導(dǎo)入的補(bǔ)丁，可以按MSRC編號(hào)排序號(hào)（如MS17-010就是MSRC編號(hào)），方便審批。審批之后客戶端才有權(quán)限下載與安裝。

（三）配置自動(dòng)下載更新與安裝的組策略，如下：

由于要盡量提高補(bǔ)丁安裝速度，所以有幾個(gè)策略要臨時(shí)調(diào)整，比如重新計(jì)劃自動(dòng)更新計(jì)劃的安裝，時(shí)間就設(shè)置為1分鐘，還有對(duì)安裝后重啟提示時(shí)間也要短，以便讓用戶盡快重啟。

當(dāng)然這些值在補(bǔ)丁更新完后要記得恢復(fù)一個(gè)常規(guī)值。

注意客戶端計(jì)算機(jī)建議自動(dòng)下載與計(jì)劃安裝，服務(wù)器自動(dòng)下載手動(dòng)安裝。

（四）客戶端刷新組策略進(jìn)行測(cè)試（gpupdate /force）

正常情況下幾分鐘之內(nèi)你就會(huì)在屏幕右下角看到有補(bǔ)丁安裝的圖標(biāo)。

當(dāng)然，也還有其他一些措施，比如通過中心交換機(jī)配置ACL列表阻止也應(yīng)該比較快的，還有更高級(jí)的通過網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)處理等（不過一般公司不會(huì)有這東西）。

最主要是這種框架要搭建好，比如相應(yīng)的防火墻策略、補(bǔ)丁分發(fā)策略、補(bǔ)丁服務(wù)器、ACL策略，到時(shí)出現(xiàn)情況只需要修改策略，不用再去測(cè)試，因?yàn)闇y(cè)試也會(huì)用去不少時(shí)間，違反了最小化感染窗口的原則。上面講的部分雖是一種應(yīng)急處理方法，但其基本框架應(yīng)該是一個(gè)常態(tài)（比如客戶端防火墻和服務(wù)器防火墻默認(rèn)都應(yīng)該啟用，策略允許編輯例外），而一個(gè)整體的信息安全解決方案也是不可少的，比如就算中了勒索病毒數(shù)據(jù)也是可以恢復(fù)的，下一篇再從整體與宏觀角度談?wù)劇?/span>