Какое значение имеет патч MS17-010 и деактивация SMBv1, связанные с WannaCry? Это удаляет вредоносное ПО или просто останавливает его распространение?


9

Я много гуглил по этому поводу, но не смог найти ответ.

Я хотел бы понять, если исправление Windows с обновлением MS17-010 предотвратит установку / выполнение вредоносного ПО WannaCry или просто предотвратит распространение вредоносного ПО (однажды установленное на определенном ПК и, следовательно, заражающего его) через интрасеть?

Кроме того, если исправление MS17-010 установлено правильно, есть ли преимущества от отключения SMBv1? Или сам патч MS17-010 можно считать достаточно?

Последний вопрос / сомнение: перед отключением SMBv1, как быть уверенным, что это не повлияет на производительность / надежность сети?


2
Официальное слово от команды хранения Microsoft относительно SMBv1: Прекратите использовать SMBv1.
user1686

Спасибо @grawity, это определенно прояснило мои сомнения по поводу отключения SMBv1.
Антоний

Ответы:


11

Сначала небольшое предисловие. Патч MS17-010 включен во все накопительные пакеты обновления для Windows 7, 8.1 и 10, начиная с марта. Поэтому, если у вас установлены апрельские или майские (или более новые) накопительные обновления, вам не нужен (и не будет установлен) конкретный номер KB, связанный с патчем MS17-010.

Тем не менее, если вы решили устанавливать только обновления для системы безопасности , вам необходимо установить мартовские обновления. Если вы специально не выбрали этот путь, вы должны быть в сводках. Самая безопасная ставка - просто позволить Windows обновлять все, пока не появится обновление.

На самом деле это касается всех исправлений безопасности, а не только этого.

предотвратит установку / выполнение вредоносного ПО WannaCry

Патч MS17-010 ничего не делает для остановки самого вымогателя. Если вы скачаете исполняемый файл и запустите его, он все равно сделает свое дело и зашифрует ваши файлы. Например, основной вирус заражения в большинстве сетей был через вложения электронной почты, IIRC. В этом нет ничего нового для вымогателей.

Тем не менее, червячная часть программы - это то, что облегчает ее распространение по сетям. Это поражает реализации SMBv1 на целевом компьютере, т.е. компьютер червь распространяется на , не из .. Поэтому MS17-010 патч должен быть установлен каждый аппарат для Windows в сети.

Как правило, NAT или межсетевые экраны на границе сети предотвращают распространение через Интернет.

просто предотвратите распространение вредоносной программы (однажды установленной на определенном ПК и заражающей его) через интрасеть

Патч не помогает уже зараженному компьютеру. Это полезно, только если установлено на других незараженных компьютерах в сети.

есть ли преимущества от отключения SMBv1?

Непосредственно для WannaCry / EternalBlue, так как патч MS17-010 исправляет эту конкретную дыру. Тем не менее, глубокоэшелонированная защита предполагает отключение SMBv1 в любом случае, если вам это не нужно, так как это уменьшает поверхности атаки и минимизирует урон в случае появления еще одной неизвестной в настоящее время ошибки SMBv1. Учитывая, что Vista и новее поддерживают SMBv2, не нужно поддерживать SMBv1 включенным, если вам не нужно обмениваться файлами с XP. Я надеюсь, что это не так.

перед отключением SMBv1, как быть уверенным, что это не повлияет на производительность / надежность сети?

Наиболее очевидный эффект - вы больше не сможете использовать общий доступ к файлам Windows с любыми системами XP.

В соответствии с размещенными ссылками и комментариями, это может помешать вашему компьютеру отображаться в списке или использовать «сетевой» список. Вы по-прежнему можете получить к ним доступ, введя \\computernameи увидеть их в списке, используя домашние группы (или Active Directory в бизнес-среде).

Другое исключение, упомянутое в этом сообщении в блоге, - это старые сетевые копировальные аппараты / сканеры, которые имеют функцию «сканирования для обмена», возможно, не поддерживают современный протокол SMB.


Большое спасибо, Боб. Как я понимаю, патч MS17-010 и деактивация SMBv1 полезны для предотвращения заражения другого компьютера в той же сети. Итак, какой подход можно использовать для своевременного обнаружения WannaCry (или аналогичного), чтобы предотвратить его установку на моем ПК напрямую (например, из почтового вложения)? Достаточно ли Malwarebytes или любой другой современной антивирусной программы? Есть ли конкретная утилита, которую вы бы посоветовали?
Антоний

@Antony К сожалению, нет никакого способа охватить все основы. Антивирусная программа в реальном времени обеспечит вам некоторый уровень защиты, но я считаю, что единственное хорошее решение состоит в том, чтобы пользователь был осторожен с тем, что он открывает, - в конце концов, эти электронные письма являются атакой со стороны человека. И, конечно же, наличие резервных копий (отключенных от ПК, например, на переносном жестком диске, или Crashplan / Backblaze, если ваше интернет-соединение достаточно хорошее) поможет вам оправиться от такой атаки, если случится попадание из-за другой ошибки.
Боб

@Antony Просто чтобы прояснить: антивирусные и вредоносные программы полезны против известных атак, для которых они распознают подпись, но им потребуется некоторое время, прежде чем они смогут обнаружить новейшую атаку. Есть также эвристическое обнаружение, но это ненадежно.
Боб
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.