Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案
Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案4月14日,境外黑客组织Shadow Brokers公开了一份包含多个Windows远程漏洞利用工具的机密文档,工具中包含了多个针对Windows SMB协议以及RDP协议漏洞的远程命令执行工具,攻击者可利用此工具通过137、139、445、3389 其中的端口之一进行攻击,攻击成功后可在操作系统上执行任意命令一、影响范围 包括但不限于以下系统:WindowsNT;Windows2000;WindowsXP;Windows2003;WindowsVista;Windows7;Windows8;Windows2008;Windows2008 R2;WindowsServer 2012 SP0;二、官方方案 微软官方公告连接:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/三、临时方案
1、通过ACL/安全组策略限制公网上的访问权限,具体规则如下:1 入方向 Allow tcp3389 3389 1.1.1.1/282 入方向 Deny tcp445 445 0.0.0.0/03 入方向 Deny tcp137 137 0.0.0.0/04 入方向 Deny tcp139 139 0.0.0.0/05 入方向 Deny tcp3389 3389 0.0.0.0/01.1.1.1为您需要允许访问主机的本地IP地址2、在系统内进行加固1)禁止Windows共享:卸载网络客户端和网络的文件和打印机共享(目的禁用445端口),重启后生效,操作前请对自身业务进行评估
2)禁止netbios(目的禁用137和139端口):具体操作如下图所示
3)关闭远程智能卡(目的限制3389端口): 在运行中输入gpedit.msc进入到本地组策略编辑器,然后点击计算机配置-->管理模板-->Windows组件-->智能卡,禁用下图配
阿里云服务器处理方法请参考
https://bbs.aliyun.com/read/312815.html?spm=5176.7720305369.n2.13.mf8O4V
以上问题会引起 服务器不定时自动重启
解决参考windows 0day漏洞
修复参考以下
http://bbs.360wzgj.com/thread-647-1-1.html
页:
[1]