противодействие WannaCrypt

Как работает WannaCrypts, использует exploit
ETERNALBLUE

Противодействие
— обновление MS17-010
отключение SMBv1
— блокировка открытого порта TCP 445

DOUBLEPULSAR exploit
Противодействие
— обновление MS17-010
отключение SMBv1
— блокировка открытого порта TCP 445

Как может проникнуть
— письмо с ссылкой на ресурсы
— принесли зараженный ноут, не увидели что он заражен.
— из других сетей которые в VPN
Первые меры
— блокировка на всех рабочих ПК  портов 135,139,445 TCP, 137,138 UDP
— отключение SMBv1 — dism /online /norestart /disable-feature /featurename:SMB1Protocol
— установка обновления перезапуск ПК
Чтобы заблокировать порты нужно добавить правила и включить файрволл для всех типов сетей

— Сделать вручную
Netsh Advfirewall Firewall Add Rule name=»1.1 WanaCrypt0r 2.0 TCP» dir=in action=block description=»_WanaCrypt0r 2.0 TCP by AK» profile=any localport=135,139,445 protocol=tcp
Netsh Advfirewall Firewall Add Rule name=»1.2 WanaCrypt0r 2.0 UDP» dir=in action=block description=»_WanaCrypt0r 2.0 UDP by AK» profile=any localport=137,138 protocol=udp
— Через групповую политику
Возможные проблемы блокировки портов
— нет удаленного доступа
— после обновления нужно снять блокировки
— возможно проблемы с работой домена

Обновления
— Установить вручную
— через WSUS,
Возможные проблемы обновления
— при установке сборника обновлений,  устанавливается еще IE обновление, которое сырое и нужно еще накатывать  For Windows   7:   KB4016446, For Windows 10:   KB4016635,  KB4016637

 

 

Оставить комментарий


Примечание - Вы можете использовать эти HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

проверка * Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.