Будет ли отключение общего доступа к файлам и принтерам работать в качестве основной защиты от передачи по сети WannaCry?

1305
RiA

Сценарий:

  • Обновление патчей недоступно
  • Доступ к почте недоступен (что означает отсутствие кликов по вредоносным ссылкам)

Будет ли отключение протокола общего доступа к файлам и принтерам в отдельных настройках сетевого адаптера действовать в качестве основной защиты от Wannacry (эксплойт на основе SMB / EternalBlue)?

Мне просто интересно, действительно ли этот метод работает для систем с эксплойтами распространения файловой системы общего пользования. Может кто-то подтвердить / уточнить, если это работает?

0
* "Обновления не доступны" * Если вы не возражаете, я спрашиваю, почему бы и нет? Run5k 6 лет назад 0
Для компьютеров, которые находятся в публичной сети, но не имеют доступа к Интернету из-за подписки. Например, мой провайдер использует одноранговые сети. Но интернет-подписка может закончиться. И это не значит, что ваш компьютер отключен от других узлов сети. RiA 6 лет назад 0
Нет; Этого не достаточно; Вам нужно установить патч, затем в реестре отключить SMBv1, но без патча вы все еще уязвимы. Было бы тривиально написать вредоносное ПО, которое позволяет SMBv1 распространяться. Ramhound 6 лет назад 1
Вы можете скачать патч из [Каталог обновлений Microsoft] (https://www.catalog.update.microsoft.com/Home.aspx), записать его на CD-R и установить на эти машины. Run5k 6 лет назад 0
Я делаю это вопреки здравому смыслу, пожалуйста, установите патч, [Как включить и отключить SMBv1, SMBv2 и SMBv3 в Windows и Windows Server] (https://support.microsoft.com/en-us/help/2696547 / как к включения-и-Disable-smbv1, -smbv2, и-smbv3-в-Windows-Vista, -windows-сервер-2008, -windows-7, -windows-сервер-2008-r2, -windows -8, и-окна-сервер-2012) Ramhound 6 лет назад 1
На моем компьютере уже установлены исправления. Я собирался заразить чистую виртуальную машину от зараженной виртуальной машины. Просто немного любопытства к выполнению тестирования защиты с использованием возможностей проникновения этого эксплойта. Хотя мне все еще нужно найти исходный зараженный файл для этого. RiA 6 лет назад 0
Тот факт, что вы не знаете источника этой вредоносной программы, говорит мне, что вы не должны играть с ней. Пожалуйста, сделайте одолжение в Интернете и не заражайте виртуальную машину, которая теоретически может заразить большее количество компьютеров, если вы не изолируете хост и виртуальную машину должным образом, даже если вы сделаете это, вы будете изменять поведение самого червя, потому что это адаптирует свое поведение, если он находится во внутренней сети Ramhound 6 лет назад 1
Я четко задал вопрос не в том сообществе. Люди слишком увлечены тем, что правильно, а что нет, когда я четко упомянул, что собираюсь попробовать тестирование на проникновение. Я бы не стал этого делать, если бы не знал, как изолировать виртуальную машину в изолированной программной среде безопасности. Я ценю ваш вклад, но, пожалуйста, не добавляйте ненужную информацию, если она не связана или не имеет ответа на то, что я спросил. И, пожалуйста, не говорите себе что-нибудь обо мне. RiA 6 лет назад 1

2 ответа на вопрос

1
JCM

Let me post a documented answer to respond the question (or at least mostly).

It is informed in the Microsoft Security detailed report that for those legacy systems without updated Windows Defender, neither the updated patch kb4012598 has been applied yet, there are only two workarounds:

  • Disable SMBv1 ...
  • Block incoming SMB traffic on port 445 ...

I believe the above answer from MS should answer your question.

Именно ту ясность, которую я искал. Благодарю. RiA 6 лет назад 0
0
frank

PowerShell:

$netBTParametersPath = "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" IF(Test-Path -Path $netBTParametersPath) { Set-ItemProperty -Path $netBTParametersPath -Name "SMBDeviceEnabled" -Value 0 } Set-Service lanmanserver -StartupType Disabled Stop-Service lanmanserver -Force

More details How to disable feature that opened port 445 on windows by PowerShell

Пожалуйста, не размещайте один и тот же ответ на несколько вопросов. Если одна и та же информация действительно отвечает на оба вопроса, то один вопрос (обычно новый) следует закрыть как дубликат другого. Вы можете указать это, [проголосовав, чтобы закрыть его как дубликат] (https://superuser.com/help/privileges/close-questions) или, если у вас недостаточно репутации, [поднять флаг] ( https://superuser.com/help/privileges/flag-posts), чтобы указать, что это дубликат. В противном случае настройте свой ответ на этот вопрос, а не просто вставляйте один и тот же ответ в нескольких местах. DavidPostill 6 лет назад 0
Я не спрашивал о том, как это исправить. Я спросил о сетевом протоколе, который был взломан и использован для распространения инфекции, и если это действительно протокол, то его отключение нанесло бы ущерб любым попыткам заражения через него. RiA 6 лет назад 0

Похожие вопросы