ความหมายของ MS17-010 patch และการยกเลิก SMBv1 เกี่ยวข้องกับ WannaCry คืออะไร? มันลบมัลแวร์หรือเพียงแค่หยุดไม่ให้เผยแพร่


9

ฉัน googled มากเกี่ยวกับเรื่องนี้ แต่ไม่สามารถหาคำตอบ

ฉันต้องการที่จะเข้าใจว่าการติดตั้ง Windows ด้วยการอัพเดตMS17-010จะป้องกันมัลแวร์ WannaCry จากการติดตั้ง / ดำเนินการหรือเพียงแค่ป้องกันมัลแวร์ (ติดตั้งครั้งเดียวบนพีซีบางเครื่องและติดเชื้อ)

นอกจากนี้หากติดตั้งแพตช์ MS17-010 อย่างถูกต้องมีประโยชน์อะไรบ้างในการปิดการใช้งาน SMBv1 ด้วยหรือไม่ หรือตัวแก้ไข MS17-010 นั้นสามารถพิจารณาได้เพียงพอหรือไม่

คำถาม / ข้อสงสัยล่าสุด: ก่อนปิดใช้งาน SMBv1 จะแน่ใจได้อย่างไรว่าสิ่งนี้จะไม่ส่งผลต่อประสิทธิภาพ / ความน่าเชื่อถือของเครือข่าย


2
คำที่เป็นทางการจากทีมจัดเก็บข้อมูลของ Microsoft เกี่ยวกับ SMBv1: หยุดใช้ SMBv1
1686

ขอบคุณ @grawity นั่นทำให้ฉันสงสัยอย่างแน่นอนเกี่ยวกับการปิดใช้งาน SMBv1
แอนโทนี

คำตอบ:


11

ก่อนอื่นนำหน้าเล็กน้อย แพตช์ MS17-010 นั้นรวมอยู่ในชุดอัปเดตทั้งหมดสำหรับ Windows 7, 8.1 และ 10 ตั้งแต่เดือนมีนาคมเป็นต้นไป ดังนั้นหากคุณติดตั้งการอัปเดตการยกเลิกเดือนเมษายนหรือพฤษภาคม (หรือใหม่กว่า) คุณไม่จำเป็นต้อง (และจะไม่ติดตั้ง) หมายเลข KB เฉพาะที่เชื่อมโยงกับ MS17-010

อย่างไรก็ตามหากคุณเลือกที่จะติดตั้งเฉพาะการอัปเดตความปลอดภัยเท่านั้นคุณจะต้องติดตั้งอัปเดตเดือนมีนาคม หากคุณไม่ได้เลือกเส้นทางนี้โดยเฉพาะคุณควรอยู่ในสถานะเปิดตัว การเดิมพันที่ปลอดภัยที่สุดคือการปล่อยให้ Windows อัปเดตทุกอย่างจนกว่ามันจะบอกว่าทันสมัย

กรณีนี้เป็นจริงสำหรับแพทช์รักษาความปลอดภัยทั้งหมดตอนนี้ไม่ใช่แค่อันนี้

จะป้องกันมัลแวร์ WannaCry จากการติดตั้ง / ดำเนินการ

โปรแกรมแก้ไข MS17-010 ไม่ทำอะไรเลยเพื่อหยุด ransomware เอง หากคุณดาวน์โหลด exe และเรียกใช้มันจะยังคงทำสิ่งนั้นและเข้ารหัสไฟล์ของคุณ ตัวอย่างเช่นเวกเตอร์การติดเชื้อหลักในเครือข่ายส่วนใหญ่ผ่านทางไฟล์แนบอีเมล IIRC นี่คือไม่มีอะไรใหม่สำหรับ ransomware

อย่างไรก็ตามส่วนหนอนของโปรแกรมคือสิ่งที่เอื้อต่อการแพร่กระจายผ่านเครือข่าย การโจมตีนี้การดำเนินงาน SMBv1 บนปลายทางคอมพิวเตอร์เช่นคอมพิวเตอร์หนอนมีการแพร่กระจายไปไม่ได้จาก .. ดังนั้น MS17-010 แพทช์จะต้องติดตั้งทุกเครื่อง Windows บนเครือข่าย

โดยทั่วไป NAT หรือไฟร์วอลล์ที่ขอบเครือข่ายจะป้องกันการแพร่กระจายผ่านอินเทอร์เน็ต

เพียงป้องกันมัลแวร์ (ติดตั้งครั้งเดียวบนพีซีบางเครื่องและติดไวรัส) จากการแพร่กระจายผ่านอินทราเน็ต

โปรแกรมแก้ไขไม่ได้ช่วยอะไรคอมพิวเตอร์ที่ติดไวรัสแล้ว มันจะมีประโยชน์เฉพาะเมื่อติดตั้งในคอมพิวเตอร์ที่ไม่ติดไวรัสอื่น ๆ ในเครือข่าย

มีประโยชน์อะไรบ้างในการปิดการใช้งาน SMBv1 ด้วยหรือไม่

ไม่ใช่โดยตรงสำหรับ WannaCry / EternalBlue เนื่องจากโปรแกรมแก้ไข MS17-010 แก้ไขช่องโหว่นี้โดยเฉพาะ อย่างไรก็ตามการป้องกันในเชิงลึกจะแนะนำให้ปิดการใช้งาน SMBv1 ต่อไปเว้นแต่คุณจะต้องการเพราะมันลดพื้นผิวการโจมตีและลดความเสียหายให้น้อยที่สุดหากมีข้อผิดพลาด SMBv1 ที่ไม่รู้จักในปัจจุบันอีก เมื่อพิจารณาว่า Vista และใหม่กว่ารองรับ SMBv2 ไม่จำเป็นต้องเปิดใช้งาน SMBv1 จนกว่าคุณจะต้องการแชร์ไฟล์กับ XP ฉันหวังว่าจะไม่เป็นเช่นนั้น

ก่อนปิดใช้งาน SMBv1 จะแน่ใจได้อย่างไรว่าสิ่งนี้จะไม่ส่งผลกระทบต่อประสิทธิภาพ / ความน่าเชื่อถือของเครือข่าย

ผลกระทบที่ชัดเจนที่สุดคือคุณจะไม่สามารถใช้การแชร์ไฟล์ Windows กับระบบ XP ใด ๆ อีกต่อไป

ตามgrawity ลิงก์ที่โพสต์และความคิดเห็นที่มีสิ่งนี้อาจป้องกันคอมพิวเตอร์ของคุณไม่ให้แสดงในหรือใช้รายการ "เครือข่าย" คุณยังคงสามารถเข้าถึงได้โดยพิมพ์ใน\\computernameและดูพวกเขาอยู่ในรายการโดยใช้โฮมกรุ๊ป (หรือ Active Directory ในสภาพแวดล้อมทางธุรกิจ)

ข้อยกเว้นอื่น ๆ ที่มีการกล่าวถึงในบล็อกโพสต์นั้นเป็นเครื่องถ่ายเอกสาร / สแกนเนอร์เครือข่ายรุ่นเก่าที่มีฟังก์ชั่น "สแกนเพื่อแบ่งปัน" อาจไม่รองรับโปรโตคอล SMB ที่ทันสมัย


ขอบคุณมาก Bob ตามที่ฉันเข้าใจทั้งโปรแกรมแก้ไข MS17-010 และการปิดการใช้งาน SMBv1 นั้นมีประโยชน์ในการป้องกันพีซีเครื่องอื่น ๆ ที่ติดไวรัสในเครือข่ายเดียวกัน ดังนั้นวิธีใดที่สามารถใช้ตรวจจับ WannaCry (หรือคล้ายกัน) ในเวลาเพื่อป้องกันไม่ให้ติดตั้งบนพีซีของฉันโดยตรง (เช่นจากไฟล์แนบอีเมล) Malwarebytes หรือโปรแกรมป้องกันไวรัสอื่น ๆ ทันสมัยเพียงพอหรือไม่ คุณมีคำแนะนำเฉพาะสำหรับยูทิลิตี้หรือไม่?
แอนโทนี

@Antony แต่น่าเสียดายที่ไม่มีวิธีใดครอบคลุมฐานทั้งหมด โปรแกรมป้องกันไวรัสแบบเรียลไทม์จะให้การปกป้องในระดับหนึ่งแก่คุณ แต่ฉันเชื่อว่าทางออกที่ดีเพียงอย่างเดียวคือให้ผู้ใช้ระวังสิ่งที่พวกเขาเปิด - เมื่อสิ้นสุดวันอีเมลเหล่านั้นจะถูกโจมตีโดยมนุษย์ และแน่นอนว่ามีการสำรองข้อมูล (ตัดการเชื่อมต่อจากพีซีเช่นบน HDD แบบพกพาหรือ Crashplan / Backblaze หากการเชื่อมต่ออินเทอร์เน็ตของคุณดีพอ) จะช่วยคุณกู้คืนจากการโจมตีดังกล่าวหากมีข้อผิดพลาดเกิดขึ้น
บ๊อบ

@Antony เพียงเพื่อจะชัดเจน - ป้องกันไวรัส / โปรแกรมมัลแวร์ที่มีประโยชน์กับรู้จักกันโจมตีพวกเขารู้จักลายเซ็น แต่จะใช้เวลาก่อนที่พวกเขาสามารถตรวจจับการโจมตีใหม่ล่าสุด นอกจากนี้ยังมีการตรวจจับแบบอิงพฤติกรรม แต่ไม่น่าเชื่อถือ
บ๊อบ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.