MS17-010 补丁和 SMBv1 停用与 WannaCry 相关的意义是什么?它会删除恶意软件还是只是阻止其传播?

MS17-010 补丁和 SMBv1 停用与 WannaCry 相关的意义是什么?它会删除恶意软件还是只是阻止其传播?

我用 Google 搜索了很多关于此问题的内容,但没有找到答案。

我想了解是否可以使用MS17-010更新是否会阻止 WannaCry 恶意软件的安装/执行,还是仅仅阻止恶意软件(一旦安装在某台 PC 上并因此感染它)通过内联网传播?

另外,如果正确安装了 MS17-010 补丁,禁用 SMBv1 是否也会带来好处?或者 MS17-010 补丁本身就足够了?

最后一个问题/疑问:在禁用 SMBv1 之前,如何确保这不会影响网络性能/可靠性?

答案1

首先,先简单介绍一下。MS17-010 补丁自 3 月起包含在 Windows 7、8.1 和 10 的所有更新汇总中。因此,如果您使用的是 4 月或 5 月(或更新版本)卷起安装了更新后,您不需要(也不会安装)与 MS17-010 补丁相关的特定 KB 编号。

但是,如果你选择只安装仅限安全更新,那么您将特别需要安装三月更新。除非您明确选择了这条路径,否则您应该使用汇总。最安全的做法是让 Windows 更新所有内容,直到它显示它是最新的。

事实上现在所有安全补丁都是这种情况,而不仅仅是这个。

将阻止 WannaCry 恶意软件的安装/执行

MS17-010 补丁无法阻止勒索软件本身。如果您下载并运行该 exe,它仍会执行其操作并加密您的文件。例如,如果我没记错的话,大多数网络上的主要感染媒介是通过电子邮件附件。这对于勒索软件来说并不是什么新鲜事。

然而,该程序的蠕虫部分有助于其通过网络传播。这会攻击目的地计算机,即蠕虫正在传播的计算机, 不是..因此必须安装MS17-010补丁每一个网络上的 Windows 机器。

一般来说,网络边缘的 NAT 或防火墙可以阻止通过互联网传播。

只是防止恶意软件(一旦安装在某台电脑上并因此感染它)通过内联网传播

此补丁对已感染病毒的计算机毫无帮助。只有安装在网络上其他未感染病毒的计算机上才有用。

禁用 SMBv1 有什么好处吗?

不直接针对 WannaCry/EternalBlue,因为 MS17-010 补丁修复了这个特定的漏洞。然而,纵深防御建议无论如何都禁用 SMBv1,除非你需要它,因为这样可以减少攻击面,并最大限度地减少当前未知的 SMBv1 漏洞造成的损害。鉴于 Vista 和更新版本支持 SMBv2,除非你需要与 XP 共享文件,否则应该不需要保持 SMBv1 启用。我希望情况并非如此。

在禁用 SMBv1 之前,如何确保这不会影响网络性能/可靠性?

最明显的影响是您将无法再在任何 XP 系统上使用 Windows 文件共享。

按照Gravity 发布的链接以及那里的评论,这可能会阻止您的计算机出现在“网络”列表中或使用“网络”列表。您仍然可以通过在中键入来访问它们,\\computername并使用家庭组(或企业环境中的 Active Directory)查看它们。

该博客文章中提到的另一个例外是具有“扫描共享”功能的旧网络复印机/扫描仪可能不支持现代 SMB 协议。

相关内容