域网络中勒索病毒或其他网络传播类病毒紧急应对简明指导

域网络中勒索病毒或其他网络传播类病毒紧急应对简明指导

如果你是域互联网，因为域可以集中分发对策，所以按边就能快速反应。关键思路是尽快关闭有可能被感觉到的安全通道，然后尽快升级补丁下载，从根本上应对。

自然，如果你没有域名互联网，这个，这个，那就赶紧部署..........

说明这是一个应急解决方案框架，而不是一个全方位的安全应急预案。这个框架适用于解决计算机病毒。除了断开中毒电子计算机外，其他基本流程如下:

(1)断开外部安全通道

如果将***的相对端口号发布到外部网络地址，则发布的网络服务器很可能被感染。因此，建议在网关ip防火墙上暂时禁止使用该投影标准，然后立即对发布的网络服务器打补丁下载，再对外开放投影。

比如这次的TCP445，虽然很有可能没有企业会独立公布这个端口号，但也有可能是采取了防火墙措施，将一个外部IP完全投射到一个内部IP(比如某些视频会议系统网络服务器或者类似的必须公布一个大动态端口号的服务项目)，专门暴露了TCP445。

(2)对于手机客户端电脑

第一步是根据域组策略暂时关闭某个端口号。因为电脑病毒一般都是连接到某个端口号才能得逞，所以第二步就是修复漏洞。这是一个有效的方法，但是因为修复漏洞没有打开防火墙快，所以放在第二步。步骤3升级补丁下载后，这个端口号很可能保持对公众开放。比如这一次，445在域名互联网就很关键。关闭后，手机客户端的共享资源无法应用(包括打印机共享)，很多管理方式也会失效(比如远程访问)。

组策略将在后台刷新，因此无需重新启动计算机即可自动使用防火墙等措施。默认设置是90分钟，还有0-30分钟的任意调整，可以快速更新。您也可以根据组策略更改此更新值。

(二)用于网络服务器的计算机

对于网络服务器来说，如果某个端口号是***，特别是这次的TCP445，没必要贸然关闭。windows的很多服务项目都必须依赖它(如AD、集群、文件服务器等。).如果相对服务项目关闭，也会被终止，甚至引起更高的连锁反应。所以对于网络服务器来说，第一步是针对这种必须有445端口的网络服务器修复漏洞，而不是关闭端口。

下面是具体步骤的一些具体说明。

(一)组策略打开手机客户端防火墙

重点是要注意，Windows7和windowsXP的防火墙服务项目名称不同，也就是服务项目不同。开防火墙的时候注意对外开放ICMP，其他要用的端口号也要对外开放。

(2)在WSUS网络服务器上下载和导入补丁

自动同步很可能会比较慢，建议使用以下方法快速手动导入。

先找相对的补丁下载号，比如匹配这个勒索病毒的补丁下载号。不同的系统软件可能有不同的KB号。

然后去WSUS管理方法站，选择并升级。

将打开一个Microsoftupdate网站，键入KB号进行搜索，搜索出来后选择添加。

选择查看购物篮。

引入。

以后复习指南。

要搜索导入的补丁下载，可以按照MSRC序列号排列编号(比如MS17-010是MSRC序列号)，方便查看。审核通过后，手机客户端拥有免费下载安装的管理权。

(3)具有自动下载、升级和安装的组策略，如下所示:

因为要尽可能加快补丁的下载安装速度，所以要临时调整几个对策，比如将方案二自动升级方案的安装时间设置为1分钟，安装后重启的提醒时间更短，让客户尽快重启。

自然，你要记得在下载升级补丁后，固定好这个值的一个基本值。

关注手机客户端电脑自动下载和方案安装，网络服务器自动下载和手动安装的建议。

(4)移动客户端更新组策略以执行检测(gpupdate/force)

一般情况下，十分钟之内，你还会在显示屏右下方看到补丁下载安装的标志。

自然还有其他的对策，比如根据管理中心的开关配置ACL目录阻断应该更快，还有更先进的自动控制系统根据上网条件来解决(不过一般企业不太容易有这个东西)。

最重要的是这种架构要建设好，比如相对防火墙对策，补丁下载分发对策，补丁服务器，ACL对策。当情况发生时，只需改变对策，无需再次检测。因为检测也会耗费大量时间，违反了对话框最小化的标准。以上部分虽然是应急处理方法，但其基础设施要常态化(比如开启手机客户端防火墙和网络服务器防火墙的默认设置，除了允许写对策)，整体的网络信息安全解决方案不可或缺。比如，即使勒索数据可以修复，下篇文章也会从全局和宏观经济的角度来讲。