信息化管理中心
 
 首页 |  中心概况 |  规章制度 |  网络安全 |  工作计划 |  下载专区 |  办事指南 |  校园网络 |  网站地图 
信息查询:
 

帮你划重点:《公安机关...
智慧校园一期建设权力运...
2017教育科研网100M出口...
特教楼DJ4光纤铺设的权利...
关于加强防范Onion/Wanna...
勒索病毒处置手册



 
当前位置: 首页>>正文

防范蠕虫病毒漏洞攻击详细处理方案
2017-05-16 09:26  

 

 

 

1 章 隔离网主机应急处置操作指南

 

首先确认主机是否被感染

 

被感染的机器屏幕会显示如下的告知付赎金的界面:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

如果主机已被感染:

 

则将该主机隔离或断网(拔网线)

 

 

 

 

 

 

 

 

 

 

 

 

 

如果主机未被感染:

 

则存在四种方式进行防护,均可以避免主机被感染。针对未感染主机,方式二是属亍彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。

 

从响应效率和质量上,建议首先采用方式一进行抑制,再采用方式二进行根除。

 

方式一:启用蠕虫快速免疫工具

 

免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe

 

请双击运行 OnionWormImmune.exe 工具,并检查任务管理器中的状态。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

方式二:针对主机进行补丁升级


 

 

 

 

2


 

请参考紧急处置工具包相关目录并安装 MS17-010 补丁,微软已经发布

 

winxp_sp3 win10win2003 win2016 的全系列补丁。

 

 

微软官方下载地址:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-

 

wannacrypt-attacks/

 

 

方式三:关闭 445 端口相关服务

 

点击开始菜单,运行,cmd,确认。 输入命令 netstat an 查看端口状态

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

输入 net stop rdr 回车 net stop srv 回车 net stop netbt 回车


 

 

 

 

3


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

再次输入 netsta an,成功关闭 445 端口。


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4


 

方式四:配置主机级 ACL 策略封堵 445 端口

 

通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口

 

 

始菜单->运行,输入 gpedit.msc 回车。打开组策略编辑器 在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略 下, 在编辑器右边空白处鼠标右键单击,选择创建 IP 安全策略

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

下一步->名称填写封端口,下一步->下一步->勾选编辑属性,并点完成。


 

 

 

 

 

 

 

 

 

 

 

5


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

去掉使用添加向导的勾选后,点击添加

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6


 

在新弹出的窗口,选择IP 筛选列表选项卡,点击添加

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

在新弹出的窗口中填写名称,去掉使用添加向导前面的勾,单击添加


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

7


在新弹出的窗口中,协议选项卡下,选择协议和设置到达端口信息,并点确定。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

重复第 7 个步骤,添加 TCP 端口 135139445。添加 UDP 端口 137138。 添加全部完成后,确定。选中刚添加完成的端口过滤规则,然后选择筛选器操作选项卡。


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8


 

去掉使用添加向导勾选,单击添加按钮

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. 选择阻止


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

9


 

2.   选择常规选项卡,给这个筛选器起名阻止,然后确定。 点击

 

 

3.   确认IP 筛选列表选项卡下的端口过滤被选中。确认筛选器操作

 

选项卡下的阻止被选中。然后点击关闭

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. 确认安全规则配置正确。点击确定。


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

10


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. 组策略编辑器上,右键分配,将规则启用。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

11


 

2 章 核心网络设备应急处置操作指南

 

大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的 ACL 策略配置,以实现临时封堵。该蠕虫病毒主要利用 TCP 445 端口进行传播, 对亍各大企事业单位影响很 大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置ACL 规 则从网络层面阻断 TCP 445 端口的通讯。以下内容是基亍较为流行的网络设备,丼例说明如何配置 ACL 规则,以禁止 TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或 网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。Juniper 设备的建议配置(示例):set firewall family inet filter deny-wannacry term deny445 from protocol tcp

 

set firewall family inet filter deny-wannacry term deny445 from destination-port 445

 

set firewall family inet filter deny-wannacry term deny445 then discard set firewall family inet filter deny-wannacry term default then accept

#在全局应用规则

set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry

#在三层接口应用规则


12


 

set interfaces [需要挂载的三层端口名称] unit 0 family inet filter output deny-wannacry

 

set interfaces [需要挂载的三层端口名称] unit 0 family inet filter input deny-wannacry

华三(H3C)设备的建议配置(示例):

 

新版本: acl number 3050

 

rule deny tcp destination-port 445

 

rule permit ip interface [需要挂载的三层端口名称] packet-filter 3050 inbound

 

packet-filter 3050 outbound

 

旧版本: acl number 3050

 

rule permit tcp destination-port 445

 

traffic classifier deny-wannacry if-match acl 3050

 

 

 

traffic behavior deny-wannacry


 

 

13


 

filter deny

qos policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry

 

#在全局应用

qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound

#在三层接口应用规则 interface [需要挂载的三层端口名称]

 

qos apply policy deny-wannacry inbound qos apply policy deny-wannacry outbound

 

华为设备的建议配置(示例):

 

acl number 3050

 

rule deny tcp destination-port eq 445 rule permit ip

traffic classifier deny-wannacry type and if-match acl 3050


 

 

14


traffic behavior deny-wannacry

traffic policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry precedence 5

 

interface [需要挂载的三层端口名称]

traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound

 

Cisco 设备的建议配置(示例)

 

旧版本:

 

ip access-list extended deny-wannacry deny tcp any any eq 445

 

permit ip any any

 

 

 

 

interface [需要挂载的三层端口名称] ip access-group deny-wannacry in ip access-group deny-wannacry out

 

 

 

 

 

 

15


 

新版本:

 

ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any

 

 

 

interface [需要挂载的三层端口名称] ip access-group deny-wannacry in ip access-group deny-wannacry out

锐捷设备的建议配置(示例):

 

ip access-list extended deny-wannacry deny tcp any any eq 445

 

permit ip any any

interface [需要挂载的三层端口名称] ip access-group deny-wannacry in ip access-group deny-wannacry out

3 章 互联网主机应急处置操作指南

 

采用快速处置方式,建议使用 360 安全卫士的NSA 武器库免疫工具

 

可一键检测修复漏洞、关闭高风险服务,包括精准检测出 NSA 武器库使用的漏


 

 

 

16


 

洞是否已经修复,并提示用户安装相应的补丁。针对 XP2003 等无补丁的系统版 本用户,防御工具能够帮劣用户关闭存在高危风险的服务,从而对 NSA

客武器攻击的系统漏洞彻底免疫

NSA 武器库免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe

另,据了解,针对微软在今年 3 14 日推出的 MS17-010 安全补丁中已公开支持的操作系统,微软公司在今日紧急放出了一批针对 WindowsXPWindows

Server 2003 等早已丌支持安全更新操作系统的安全补丁(KB 文章码:4012598),以应对此次勒索事件丌断升级的恶劣影响。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


17

关闭窗口

Copyright © 2015贵州工程应用技术学院信息化管理中心  All Right Reserved  
地址:贵州工程应用技术学院绣山实验楼D栋一楼
邮编:551700