创可贴无法修复安全漏洞

创可贴无法修复安全漏洞

由于 WannaCry 病毒,我需要封锁 Window Server 2008 R2 上的 135 和 445 端口。封锁后,工作站无法访问服务器上的共享文件夹。是否可以用其他端口配置文件共享管理?这样即使两个端口被封锁,用户仍然可以访问共享文件夹。

答案1

创可贴无法修复安全漏洞

这里真正的问题是您的计算机存在严重的安全漏洞。封锁端口 135 和 445 可以作为该问题的临时解决办法。虽然这样做可能是一种可行的暂时的解决方案进行损害控制,正确的解决方案是安装修补在您的整个环境中。


封锁 135 和 445 端口的效果是禁用Windows Server 上的 SMB 文件共享。如果你的老板要求你这样做来“解决”WannaCry 带来的威胁,那么你应该让你的老板知道这相当于删除您的电子邮件地址以避免收到垃圾邮件。

假设您不需要启用文件共享。很好。但是,如果不修补此漏洞,您就埋下了一颗地雷,一旦有人出现并重新启用文件共享,您的组织将陷入一片混乱。不要这样做。

始终安装安全补丁,即使您当前不使用已修补的服务。

答案2

正如所提到的Twisty 的回答,你的“资深”同事的这种想法就像删除你的电子邮件地址以阻止垃圾邮件一样。是的,这可以防止垃圾邮件,但也会阻止服务的合法使用。

实际上,针对这一特定恶意软件有三种缓解措施。

  1. 应用相关补丁在您的系统上。
  2. 禁用 SMB v1,这是EternalBlue 漏洞功绩。
    • 这其实很简单,而且对于大多数用例来说,SMB v1 无论如何都不应该使用。该协议的较新版本速度更快,也更安全。
    • Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
  3. 阻止 SMB 使用的端口。
    • 通过禁用恶意软件用于传播的文件共享载体,可以防止恶意软件传播,这意味着它还可以阻止 Windows 文件共享的合法使用。
    • 请注意,更改默认端口并不能真正解决问题 - 此恶意软件使用 SMB v1 进行传播。如果您只是更改 SMB 流量的端口而不修补或禁用 SMB v1,您仍然会受到此恶意软件使用的 EternalBlue 漏洞的影响。更改端口可能会或可能不会阻止此特定恶意软件,但底层漏洞仍然会暴露。

相关内容