展开
湖北国联计算机科技有限公司
  • 首页HOME
  • 公司简介INTRODUCTION
  • 安全防御DEFENSE
  • 软件开发SOFTWARE
  • 物联网IOT
  • 运行维护SRE
  • 成功案例CASE
  • 联系我们CONTACT
  • Defense Q&A |网安Q&A

    修复方案丨Windows系统高危漏洞通告
    来源:湖北国联计算机科技有限公司-荆州松滋软件开发-荆州松滋网站建设 时间:2017-04-27

    修复方案丨Windows系统高危漏洞通告

    荆州松滋网络安全公司


    2017年4月15日,国外黑客组织ShadowBrokers泄露出了一份机密文档,其中包含了多个Windows远程漏洞利用工具,外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大。为此,当日下午,腾讯云已发出预警通知,并对外分享了云鼎实验室的最新技术分析。


    目前已知受影响的Windows版本包括但不限于:


    可以看出,大量Windows服务操作系统版本均在此次受影响之列。

    为保证您在腾讯云上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:

    1

    【风险等级】

    高风险

    2

    【漏洞风险】

    黑客可以通过发布的工具远程攻击服务器。

    3

    【影响服务】

    主要影响SMB和RDP服务

    4

    【漏洞验证】

    确定服务器是否对外开启了

    137、139、445、3389端口

    测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的Windows远程桌面使用了其他端口,也在受影响之列。

    5

    【漏洞修复建议】

    1、推荐方案:更新官方补丁

    截至目前,方程式组织所使用的大部分漏洞官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:


    2、 临时解决方案(两种方案)

    若您的服务器暂时不方便更新补丁,腾讯云推荐的临时解决方案如下:

    • 利用腾讯云安全组配置安全防护规则,操作如下:

    下图为利用安全组限制可以远程访问的3389端口的源IP。


    下图为利用安全组禁用137,139,445端口。


    • 针对Windows 2008版本及以上的系统可以临时关闭相应服务操作步骤如下:

    1)未修复之前截图如下


    2)修复操作如下:禁止Windows共享,卸载下图两个组件(此操作的目的是禁止445端口)


    (实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)

    3)禁止netbios(此操作的目的是禁止137,139端口)



    4)关闭远程智能卡(此操作的目的是关闭Windows智能卡功能,避免rdp服务被攻击利用)


    如上为目前腾讯云参考解决方案,具体需要您根据自身业务进行对照检查并开展整改工作,腾讯云也会对该漏洞持续跟进关注,相关信息BBS论坛进行更新通告。

    荆州地区政府网站建设 解决方案 专业团队 Copyright © 2016 武汉国联信通科技有限公司松滋分公司 地址:湖北省荆州市沙市区荆沙大道楚天都市佳园一期C区29栋112       地址:湖北省松滋市才知文化广场1141-1142号     邮编:434200 联系电话:0716-6666211     网站编辑部邮箱:business@gl-ns.com 备案号:鄂ICP备16011027号-1     企业名称:湖北国联计算机科技有限公司