360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

标题: Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案 [打印本页]

作者: 360网站管家    时间: 2017-5-4 15:57
标题: Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案
Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案
4月14日,境外黑客组织Shadow Brokers公开了一份包含多个Windows远程漏洞利用工具的机密文档,工具中包含了多个针对Windows SMB协议以及RDP协议漏洞的远程命令执行工具,攻击者可利用此工具通过137、139、445、3389 其中的端口之一进行攻击,攻击成功后可在操作系统上执行任意命令
一、影响范围
   包括但不限于以下系统:
WindowsNT;
Windows2000;
WindowsXP;
Windows2003;
WindowsVista;
Windows7;
Windows8;
Windows2008;
Windows2008 R2;
WindowsServer 2012 SP0;
二、官方方案
    微软官方公告连接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
三、临时方案
1、通过ACL/安全组策略限制公网上的访问权限,具体规则如下:
1     入方向    Allow     tcp  3389      3389      1.1.1.1/28
2     入方向    Deny     tcp  445    445       0.0.0.0/0
3     入方向    Deny     tcp  137     137       0.0.0.0/0
4     入方向    Deny     tcp  139      139       0.0.0.0/0
5     入方向    Deny     tcp  3389      3389      0.0.0.0/0
1.1.1.1为您需要允许访问主机的本地IP地址
2、在系统内进行加固
1)禁止Windows共享:卸载网络客户端和网络的文件和打印机共享(目的禁用445端口),重启后生效,操作前请对自身业务进行评估


2)禁止netbios(目的禁用137和139端口):具体操作如下图所示


3)关闭远程智能卡(目的限制3389端口):
       在运行中输入gpedit.msc进入到本地组策略编辑器,然后点击计算机配置-->管理模板-->Windows组件-->智能卡,禁用下图配



阿里云服务器处理方法请参考

https://bbs.aliyun.com/read/312815.html?spm=5176.7720305369.n2.13.mf8O4V

以上问题会引起 服务器不定时自动重启
解决参考windows 0day漏洞
修复参考以下
http://bbs.360wzgj.com/thread-647-1-1.html





欢迎光临 360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程 (http://bbs.360wzgj.com/) Powered by Discuz! X3.2