883
WCry還在蔓延,周一上班的幾點安全建議
5月12日,WanaCrypt0r 2.0、Onion以及Wallet等後綴的勒索加密事件在全球蔓延。周一在大家打開電腦之前,企業的IT管理員和信息安全管理員務必注意“安全第一”。
阿裏雲安全專家推薦您按照以下幾步,進行“周一安全檢查”:
• 我們發現部分主機疑似被植入了蠕蟲,但蠕蟲尚未運行。如果您發現係統有任何異常但數據未被加密,強烈建議您使用ECS提供的快照功能立即創建磁盤快照備份;
• 微軟已於2017年3月份修複了此次三個高危的零日漏洞,建議您立即安裝相關補丁(域用戶建議通過域控緊急推送微軟官方的補丁);
• 安裝防病毒軟件(推薦MSE),並同時按照第一步打上補丁;
• WindowsServer 2003微軟官方已經緊急發布針對此次事件的特殊補丁:因此建議您立即安裝相關補丁(域用戶建議通過域控緊急推送微軟官方的補丁),修複漏洞。
• 通過安全組策略增加訪問控製策略,關閉公網和內網入方向的TCP137、139、445、3389端口(注意,關閉3389端口可能導致無法遠程登錄服務器,建議您通過ECS的管理終端功能登錄管理服務器);
• 使用以下命令關閉SMB服務:
- 以管理員身份打開CMD,運行以下命令:
- net stop server
- sc config lanmanserver start= disabled
• 檢查【內網】入方向是否存在0.0.0.0/0 允許策略,如果存在,建議您備份安全組設置後,盡快刪除0.0.0.0/0條目(注意:刪除此策略前,請務必確認內網需要互訪的請求已經單獨通過安全組策略放行
• 對於已經被加密的機器目前尚無可靠的解密手段,若有備份,建議您重置係統後使用備份數據進行恢複
• 新創建的ECS已經安裝了補丁,不受此事件影響,但依然建議您確認高危端口是否對內外網開放;如非必要,建議您參考第四步,關閉相關端口
最後更新:2017-05-15 11:31:13