Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案
4月14日,境外黑客组织Shadow Brokers公开了一份包含多个Windows远程漏洞利用工具的机密文档,工具中包含了多个针对Windows SMB协议以及RDP协议漏洞的远程命令执行工具,攻击者可利用此工具通过137、139、445、3389 其中的端口之一进行攻击,攻击成功后可在操作系统上执行任意命令 一、影响范围 包括但不限于以下系统: WindowsNT; Windows2000; WindowsXP; Windows2003; WindowsVista; Windows7; Windows8; Windows2008; Windows2008 R2; WindowsServer 2012 SP0; 二、官方方案 微软官方公告连接: https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/ 三、临时方案
1、通过ACL/安全组策略限制公网上的访问权限,具体规则如下: 1 入方向 Allow tcp 3389 3389 1.1.1.1/28 2 入方向 Deny tcp 445 445 0.0.0.0/0 3 入方向 Deny tcp 137 137 0.0.0.0/0 4 入方向 Deny tcp 139 139 0.0.0.0/0 5 入方向 Deny tcp 3389 3389 0.0.0.0/0 1.1.1.1为您需要允许访问主机的本地IP地址 2、在系统内进行加固 1)禁止Windows共享:卸载网络客户端和网络的文件和打印机共享(目的禁用445端口),重启后生效,操作前请对自身业务进行评估 2)禁止netbios(目的禁用137和139端口):具体操作如下图所示 3)关闭远程智能卡(目的限制3389端口): 在运行中输入gpedit.msc进入到本地组策略编辑器,然后点击计算机配置-->管理模板-->Windows组件-->智能卡,禁用下图配
阿里云服务器处理方法请参考
https://bbs.aliyun.com/read/312815.html?spm=5176.7720305369.n2.13.mf8O4V
以上问题会引起 服务器不定时自动重启
解决参考windows 0day漏洞
修复参考以下
http://bbs.360wzgj.com/thread-647-1-1.html
| 
发表于 2017-5-4 15:57:13
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏