两周前我们被 Conficker 攻击了,我经历了 26 步清单来自微软,在我自己的电脑上,以及我们的域服务器上。它说最后要撤消所有更改,但我有点喜欢这些更改(禁用自动运行和其他一些设置)。
这次修复中是否存在什么问题会在日后困扰我?
另外,也许组策略从未生效,我不太清楚。为了修复此问题,您的策略是否必须应用于计算机或用户(或者这有关系吗?)?
答案1
你可以减少针对 Conficker 的保护吗?
您链接的文章有很多好的做法,在我看来,您应该保留这些做法。将旧主机与邪恶的互联网隔离,使用最新的 AV 修补您的机器,并保持 AutoRun 禁用都是好主意。如果您还没有这样做,那么定期轮换强密码规则可能是最具争议的变化,因为它需要机构变革。但从 WinXP SP2 开始,自动修补一直是 Windows 中的默认行为,而 Win7 中将默认关闭自动运行。
是否应该停用组策略取决于您是否认为您的环境中仍有可能受感染的系统。如果您重建并修补了所有内容,那么可能是时候了。
答案2
是的,有一些组策略可以帮助阻止 Conficker 传播。
有一篇 Microsoft 支持文章:有关 Win32/Conficker.B 蠕虫的病毒警报. 查找“预防”部分。
此过程不会从系统中删除 Conficker 恶意软件。此过程仅阻止恶意软件的传播。您应该使用防病毒产品从系统中删除 Conficker 恶意软件。或者,按照此知识库文章的“手动删除 Conficker.b 变体的步骤”部分中的步骤手动从系统中删除恶意软件。
答案3
如果你想要更好地防范 Conficker,你可以配置你的计算机或路由器以使用开放DNS。他们维护一个传播 conficker 的网站列表并立即屏蔽它们。
您还可以使用它来阻止许多其他东西,例如大多数间谍软件网站、诈骗、网络钓鱼等......
这非常有用,它为您的网络增加了一个主要的安全层。
答案4
自动播放/自动运行不需要是全有或全无的解决方案。
我们有一个合理的解决方案,即我们允许在 CD ROM 驱动器上自动播放/自动运行,但不允许它在任何可写媒体、硬盘上自动播放/自动运行。
此设置可通过 GPO 获得。