全面阻击“WannaCry”——华为企业桌面云产品防范方案

digest [复制链接]
发表于 : 2017-5-14 21:45:50 最新回复:2017-10-16 15:56:38
4159 2
七月火把
七月火把  导师

全面阻击“WannaCry”——华为企业桌面云产品防范方案



产品族
企业IT领域产品
产品型号
FusionAccess V100R005C10/C20/C30; FusionAccess V100R006C00/C10.
发布时间

2017-05-14

重要程度

重要

涉及版本

FusionAccess V100R005C10/C20/C30;

FusionAccess V100R006C00/C10.
涉及应用范围
涉及企业IT所销售支持配套windows操作系统的所有产品。
漏洞外部编码
MS17-010(CVE-2017-0143CVE-2017-0144CVE-2017-0145CVE-2017-0146CVE-2017-0147CVE-2017-0148)


 
关键字: MS17-010 漏洞 蓝屏 勒索 永恒之蓝

摘要: 攻击者可以利用MS17-010漏洞,攻击系统Windows服务器,导致服务器蓝屏或感染恶意勒索软件现象

【问题描述】

Windows SMBv1远程代码执行漏洞MS17-010(CVE-2017-0143CVE-2017-0144CVE-2017-0145CVE-2017-0146CVE-2017-0147CVE-2017-0148)导致比特币勒索病毒攻击,影响桌面云使用;


故障现象

现象1

Windows服务器受到攻击后,服务器出现蓝屏无法正常提供服务。

现象2

服务器受到攻击后,感染恶意勒索软件,受害者Windows主机上的文件被加密,只有支付高额赎金才能解密恢复文件,对数据造成严重损失。


【根因/触发元素】

Windows 多个操作系统版本存在MS17-010安全漏洞。


【影响和风险】

影响对象1:桌面云基础架构虚拟机(AD,ITA服务器(R5))

影响对象2:桌面云用户虚拟机(用户虚拟机, 应用虚拟化虚拟机)

处理策略:优先进行对桌面云基础架构虚拟机实施应急措施,然后处理用户虚拟机。


【恢复措施】

针对已经受病毒影响的局点进行恢复
 
恢复过程建议将所有受影响虚拟机进行关机后,逐一恢复,防止二次感染。
 
1 将局点环境基础架构虚拟机备份数据离线隔离:

LoggetterR5)或BackupServerR6)服务器上将基础架构虚拟机备份数据拷贝到U盘或者其他离线存储介质。
 
2 针对基础架构虚拟机受影响后的恢复

如果确认未受影响,则按照前面章节描述升级补丁即可;否则执行如下操作:

 
2.1  针对ITA基础架构虚拟机的恢复

由于ITA基础架构虚拟机本身不存储数据,存储数据的节点是Linux虚拟机,因此恢复方法参见各版本解决方案文档“操作与维护>系统管理>备份与恢复”章节进行操作;
 
2.2 针对AD基础架构虚拟机的恢复

由于AD基础架构在日常运行过程中会通过备份服务器进行备份,因此可以使用备份参见各版本解决方案文档“操作与维护>系统管理>备份与恢复”章节进行操作。

3 针对用户虚拟机受影响后的恢复
 
如果确认未受影响,则按照前面章节描述升级补丁即可;否则执行如下操作:

a)      建议重新制作用户虚拟机模板;

b)      模板制作完成后,安装杀毒软件,并进行病毒查杀;

c)      更新所有的Windows操作系统补丁;

d)      开启Windows操作系统防火墙,按照桌面云端口矩阵配置端口例外;

e)      重新发放用户虚拟机。

【规避措施】


1 针对暂未受病毒影响的局点紧急实施补丁

1.1 将局点环境基础架构虚拟机备份数据离线隔离:

LoggetterR5)或BackupServerR6)服务器上将基础架构虚拟机备份数据拷贝到U盘或者其他离线存储介质。

 
1.2 桌面云基础架构虚拟机处理措施:

注意:针对ADITA服务器,只能通过升级微软官方补丁方式解决问题,不能关闭AD服务器的端口,或者开启虚拟机中防火墙,否则会导致桌面云业务不可用。

 
处理方法:

 实施微软官方补丁

KB4012212补丁(适用于Windows Server 2008 R2 SP1

KB4012213补丁(适用于Windows Server 2012 R2 需要提前安装KB2919442后再安装KB2919355依赖包)

a) 下载补丁(Windows 2008R2 SP1/Windows 2012R2

获取路径一(微软官方网站):

Windows 2012 R2依赖包:

https://support.microsoft.com/en-us/help/2919442/march-2014-servicing-stack-update-for-windows-8.1-and-windows-server-2012-r2

https://support.microsoft.com/en-us/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014

Windows 2012 R2补丁包:

https://technet.microsoft.com/zh-cn/library/security/MS17-010

获取路径二(华为企业云论坛-登录后查看):

http://support.huawei.com/huaweiconnect/enterprise/thread-401709-1-1.html

获取路径三(网盘):

http://pan.baidu.com/s/1cpMl34

b) 拷贝补丁至AD主备服务器及ITA主备服务器依次进行安装(安装过程中需要重启操作系统)

c) cmd命令行中执行命令“systeminfo |findstr KB编号”检查补丁实施结果

如:systeminfo |findstr 4012212
 

 
1.3 桌面云用户虚拟机处理方式:

注意:针对用户虚拟机,只能通过升级微软官方补丁方式解决问题。

对于不能及时实施补丁的局点可采取关闭SMBv1协议的方式临时缓解。

但对于未开启防火墙的用户虚拟机不能开启操作系统防火墙,否则可能会导致桌面云业务不可用。

 
1.3.1 升级微软官方补丁方法一:通过微软WSUS补丁服务器推送补丁:

KB4012598(适用于Windows XP SP3

KB4012212(适用于Windows 7 SP1/ Windows Server 2008 R2 SP1

KB4012213(适用于Windows 8.1/ Windows Server 2012 R2 +依赖包KB4012214KB4012217

KB4012214(适用于Windows Server 2012

a) 确认局点已经部署WSUS服务器;

b) 确认WSUS补丁服务器已经同步微软补丁至2017315日以后;

c) WSUS补丁服务器中筛选对应补丁进行审批并应用给特定操作系统的计算机;

d) 配置组策略“计算机配置>管理模板>Windows组件>Windows Update”中的补丁更新策略:

配置自动更新:已启用-自动下载并计划安装;

指定Intranet Microsoft更新服务位置:已启用-设置服务器地址为:http://补丁服务器ip:8530

允许自动更新立即安装:已启用;

e) 通过重启用户虚拟机触发补丁安装;

f) 在补丁服务器上统计补丁实施情况。

 
1.3.2 升级微软官方补丁方法二:手工实施

KB4012598(适用于Windows XP SP3

KB4012212(适用于Windows 7 SP1/ Windows Server 2008 R2 SP1

KB4012213(适用于Windows 8.1/ Windows Server 2012 R2)还需要依赖包KB4012214KB4012217补丁(适用于Windows Server 2012

a) 下载获取补丁(Windows 7/ Windows Server 2008 R2/ Windows 8.1/ Windows Server 2012/ Windows Server 2012 R2

获取方式一(微软官方网站):

https://technet.microsoft.com/zh-cn/library/security/MS17-010

获取方式二(华为企业云论坛-登录后查看)-win7 32bit & win7 64bit

http://support.huawei.com/huaweiconnect/enterprise/thread-401701.html

获取路径三(网盘):

http://pan.baidu.com/s/1cpMl34

 

下载获取补丁(Windows XP-KB4012598

获取方式一(微软官方网站):

http://www.catalog.update.microsoft.com/search.aspx?q=4012598

获取方式二(华为企业云论坛-登录后查看):http://support.huawei.com/huaweiconnect/enterprise/thread-401713-1-1.html

获取路径三(网盘):

http://pan.baidu.com/s/1cpMl34

 

b) 拷贝补丁至用户虚拟机或应用虚拟化虚拟机进行安装(安装过程中需要重启)

c) cmd命令行中执行命令“systeminfo |findstr KB编号”检查补丁实施结果

如:systeminfo |findstr 4012212
全面阻击“WannaCry”——华为企业桌面云产品防范方案-2271785-1


【解决方案】

临时缓解措施-适用于win7操作系统:

注意:此方法适用于无法及时推送补丁的临时缓解措施,最终还是需要通过实施补丁解决问题。

此方法实施后,将会影响Windows系统的文件共享服务,例如无法使用共享文件等,因此建议仅作为临时缓解措施。

 
通过组策略推送脚本禁用微软SMBv1协议。

a) 将附件脚本拷贝至AD域控服务器;


 
b) 添加应用于所有win7用户虚拟机的组策略;

c) 在编辑组策略的“计算机配置>Windows 设置>脚本(启动/关机)”中添加步骤a中的“DisableSMBv1.bat”脚本为启动脚本;

d) 在域控服务的命令行中执行“gpupdate /force”命令强制刷新组策略;

e) 重启虚拟机使组策略生效,禁用微软SMBv1协议的脚本执行; 本帖最后由 七月火把 于 2017-05-15 09:21 编辑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
IT管理员巴拉巴拉
IT管理员巴拉巴拉  导师 发表于 2017-5-15 11:14:32 已赞(0) 赞(0)

感谢分享!
  • x
  • 常规:

点评 回复

haoyangwang
haoyangwang   发表于 2017-10-16 15:56:38 已赞(0) 赞(0)

本来以为躲过去了,到底还是没跑了,这么长时间还是中了全面阻击“WannaCry”——华为企业桌面云产品防范方案-2520851-1
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录