Какое значение имеет патч MS17-010 и деактивация SMBv1, связанные с WannaCry? Это удаляет вредоносное ПО или просто останавливает его распространение?

Я много гуглил по этому поводу, но не смог найти ответ.

Я хотел бы понять, если исправление Windows с обновлением MS17-010 предотвратит установку / выполнение вредоносного ПО WannaCry или просто предотвратит распространение вредоносного ПО (однажды установленное на определенном ПК и, следовательно, заражающего его) через интрасеть?

Кроме того, если исправление MS17-010 установлено правильно, есть ли преимущества от отключения SMBv1? Или сам патч MS17-010 можно считать достаточно?

Последний вопрос / сомнение: перед отключением SMBv1, как быть уверенным, что это не повлияет на производительность / надежность сети?

Сначала небольшое предисловие. Патч MS17-010 включен во все накопительные пакеты обновления для Windows 7, 8.1 и 10, начиная с марта. Поэтому, если у вас установлены апрельские или майские (или более новые) накопительные обновления, вам не нужен (и не будет установлен) конкретный номер KB, связанный с патчем MS17-010.

Тем не менее, если вы решили устанавливать только обновления для системы безопасности , вам необходимо установить мартовские обновления. Если вы специально не выбрали этот путь, вы должны быть в сводках. Самая безопасная ставка - просто позволить Windows обновлять все, пока не появится обновление.

^{На самом деле это касается всех исправлений безопасности, а не только этого.}

предотвратит установку / выполнение вредоносного ПО WannaCry

Патч MS17-010 ничего не делает для остановки самого вымогателя. Если вы скачаете исполняемый файл и запустите его, он все равно сделает свое дело и зашифрует ваши файлы. Например, основной вирус заражения в большинстве сетей был через вложения электронной почты, IIRC. В этом нет ничего нового для вымогателей.

Тем не менее, червячная часть программы - это то, что облегчает ее распространение по сетям. Это поражает реализации SMBv1 на целевом компьютере, т.е. компьютер червь распространяется на , не из .. Поэтому MS17-010 патч должен быть установлен каждый аппарат для Windows в сети.

Как правило, NAT или межсетевые экраны на границе сети предотвращают распространение через Интернет.

просто предотвратите распространение вредоносной программы (однажды установленной на определенном ПК и заражающей его) через интрасеть

Патч не помогает уже зараженному компьютеру. Это полезно, только если установлено на других незараженных компьютерах в сети.

есть ли преимущества от отключения SMBv1?

Непосредственно для WannaCry / EternalBlue, так как патч MS17-010 исправляет эту конкретную дыру. Тем не менее, глубокоэшелонированная защита предполагает отключение SMBv1 в любом случае, если вам это не нужно, так как это уменьшает поверхности атаки и минимизирует урон в случае появления еще одной неизвестной в настоящее время ошибки SMBv1. Учитывая, что Vista и новее поддерживают SMBv2, не нужно поддерживать SMBv1 включенным, если вам не нужно обмениваться файлами с XP. Я надеюсь, что это не так.

перед отключением SMBv1, как быть уверенным, что это не повлияет на производительность / надежность сети?

Наиболее очевидный эффект - вы больше не сможете использовать общий доступ к файлам Windows с любыми системами XP.

В соответствии с размещенными ссылками и комментариями, это может помешать вашему компьютеру отображаться в списке или использовать «сетевой» список. Вы по-прежнему можете получить к ним доступ, введя \\computernameи увидеть их в списке, используя домашние группы (или Active Directory в бизнес-среде).

Другое исключение, упомянутое в этом сообщении в блоге, - это старые сетевые копировальные аппараты / сканеры, которые имеют функцию «сканирования для обмена», возможно, не поддерживают современный протокол SMB.