域網絡中勒索病毒或其他網絡傳播類病毒緊急應對簡明指導

如果你是域網絡，由于域可以集中分發策略，可按下面的方法快速響應，主要思想是盡快關閉可能感染的通道，然后再盡快更新補丁以根本解決。

當然，如果你沒有域網絡，這個這個，那就趕快部署吧…………

說明：這是一個緊急應對框架，不是一個全面的安全方案，這個框架適用于應對網絡病毒的***。除了把中毒的計算機斷網之外，其他基本步驟如下：

（一）切斷外部感染通道

如果有相應的***端口發布到了外網，則此發布的服務器可能被感染，所以建議在網關防火墻上臨時禁用此映射規則，然后馬上給發布的服務器打上補丁再開放映射。

比如這次的TCP 445，雖然可能沒有公司會把此端口單獨地發布出去，但有可能防火墻策略做了把某個外網IP完全映射到內部某個IP（比如一些需要發布大段動態端口的視頻會議服務器或類似服務），這實際就把TCP 445也暴露出去了。

（二）針對客戶端計算機

第一步通過域組策略臨時緊急關閉某個端口，因為網絡病毒通常都會連接到某個端口才能***成功，第二步就是打補丁，這個是根本措施，但由于打補丁沒有開防火墻策略這么快，所以放在第二步。第三步在更新了補丁之后，這個端口可能仍然需要開放，比如這次的445，在域網絡中非常重要，關閉之后，客戶端的共享無法使用（包括打印機共享），而且很多管理操作也將失效（如遠程管理）。

組策略會在后臺刷新，所以像防火墻策略不用重啟電腦也會自動應用，默認刷新時間是90分鐘，并有0-30分鐘的隨機調整，所以通常能很快刷新。也可以通過組策略更改此刷新值。

（二）針對服務器計算機

針對服務器，如果某個端口被***，特別是這次的TCP 445，是不要貿然去關閉的，windows 很多服務都要依賴于它（比如AD、群集、文件服務器等），如果關閉了相應的服務也將停止，甚至導致更大的連鎖反應，所以針對服務器，對于這些需要445端口的服務器，第一步就是打補丁，而不要去關閉端口。

下面是一些具體操作指導。

（一） 組策略啟用客戶端防火墻

主要注意Windows 7與windows XP的防火墻服務是不同的名字，也就是服務是不同的，啟用防火墻時，注意開放ICMP，其他一些要用到的端口也要開放。

（二） WSUS服務器上的補丁導入

自動同步可能比較慢，建議用下面的方法快速手動導入。

首先要找到相應的補丁號，比如本次勒索病毒對應的補丁號，不同的系統可能是不同的KB號，

然后進入WSUS管理臺，選導入更新

會打開一個微軟update網站，輸入KB號查找，查找出來后選ADD。

選view basket。

選導入。

導入完成之后要審批。

要查找導入的補丁，可以按MSRC編號排序號（如MS17-010就是MSRC編號），方便審批。審批之后客戶端才有權限下載與安裝。

（三）配置自動下載更新與安裝的組策略，如下：

由于要盡量提高補丁安裝速度，所以有幾個策略要臨時調整，比如重新計劃自動更新計劃的安裝，時間就設置為1分鐘，還有對安裝后重啟提示時間也要短，以便讓用戶盡快重啟。

當然這些值在補丁更新完后要記得恢復一個常規值。

注意客戶端計算機建議自動下載與計劃安裝，服務器自動下載手動安裝。

（四）客戶端刷新組策略進行測試（gpupdate /force）

正常情況下幾分鐘之內你就會在屏幕右下角看到有補丁安裝的圖標。

當然，也還有其他一些措施，比如通過中心交換機配置ACL列表阻止也應該比較快的，還有更高級的通過網絡準入控制系統處理等（不過一般公司不會有這東西）。

最主要是這種框架要搭建好，比如相應的防火墻策略、補丁分發策略、補丁服務器、ACL策略，到時出現情況只需要修改策略，不用再去測試，因為測試也會用去不少時間，違反了最小化感染窗口的原則。上面講的部分雖是一種應急處理方法，但其基本框架應該是一個常態（比如客戶端防火墻和服務器防火墻默認都應該啟用，策略允許編輯例外），而一個整體的信息安全解決方案也是不可少的，比如就算中了勒索病毒數據也是可以恢復的，下一篇再從整體與宏觀角度談談。