360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

标题: Windows高危漏洞：SMB/RDP远程命令执行漏洞临时解决方案 [打印本页]

作者: 360网站管家 时间: 2017-5-4 15:57
标题: Windows高危漏洞：SMB/RDP远程命令执行漏洞临时解决方案
Windows高危漏洞：SMB/RDP远程命令执行漏洞临时解决方案

4月14日，境外黑客组织Shadow Brokers公开了一份包含多个Windows远程漏洞利用工具的机密文档，工具中包含了多个针对Windows SMB协议以及RDP协议漏洞的远程命令执行工具，攻击者可利用此工具通过137、139、445、3389 其中的端口之一进行攻击，攻击成功后可在操作系统上执行任意命令

一、影响范围

包括但不限于以下系统：

WindowsNT；

Windows2000；

WindowsXP；

Windows2003；

WindowsVista；

Windows7；

Windows8；

Windows2008；

Windows2008 R2；

WindowsServer 2012 SP0；

二、官方方案

微软官方公告连接：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

三、临时方案
1、通过ACL/安全组策略限制公网上的访问权限，具体规则如下：

1 入方向 Allow tcp 3389 3389 1.1.1.1/28

2 入方向 Deny tcp 445 445 0.0.0.0/0

3 入方向 Deny tcp 137 137 0.0.0.0/0

4 入方向 Deny tcp 139 139 0.0.0.0/0

5 入方向 Deny tcp 3389 3389 0.0.0.0/0

1.1.1.1为您需要允许访问主机的本地IP地址

2、在系统内进行加固

1）禁止Windows共享：卸载网络客户端和网络的文件和打印机共享（目的禁用445端口），重启后生效，操作前请对自身业务进行评估

2）禁止netbios（目的禁用137和139端口）：具体操作如下图所示

3）关闭远程智能卡（目的限制3389端口）：

在运行中输入gpedit.msc进入到本地组策略编辑器，然后点击计算机配置-->管理模板-->Windows组件-->智能卡，禁用下图配

阿里云服务器处理方法请参考

https://bbs.aliyun.com/read/312815.html?spm=5176.7720305369.n2.13.mf8O4V

以上问题会引起服务器不定时自动重启
解决参考windows 0day漏洞
修复参考以下
http://bbs.360wzgj.com/thread-647-1-1.html

欢迎光临 360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程 (http://bbs.360wzgj.com/)