【高危漏洞预警】Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案

云服务器常见问题 讯飞互联 3076℃ 0评论
4月14日,境外黑客组织Shadow Brokers公开了一份包含多个Windows远程漏洞利用工具的机密文档,工具中包含了多个针对Windows SMB协议以及RDP协议漏洞的远程命令执行工具,攻击者可利用此工具通过137、139、445、3389 其中的端口之一进行攻击,攻击成功后可在操作系统上执行任意命令
一、影响范围
   包括但不限于以下系统:
WindowsNT;
Windows2000;
WindowsXP;
Windows2003;
WindowsVista;
Windows7;
Windows8;
Windows2008;
Windows2008 R2;
WindowsServer 2012 SP0;
二、官方方案
    微软官方公告连接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
三、临时方案
1、通过ACL/安全组策略限制公网上的访问权限,具体规则如下:
1     入方向    Allow     tcp  3389      3389      1.1.1.1/28
2     入方向    Deny     tcp  445    445       0.0.0.0/0
3     入方向    Deny     tcp  137     137       0.0.0.0/0
4     入方向    Deny     tcp  139      139       0.0.0.0/0
5     入方向    Deny     tcp  3389      3389      0.0.0.0/0
1.1.1.1为您需要允许访问主机的本地IP地址
2、在系统内进行加固
1)禁止Windows共享:卸载网络客户端网络的文件和打印机共享(目的禁用445端口),重启后生效,操作前请对自身业务进行评估
2)禁止netbios(目的禁用137和139端口):具体操作如下图所示
3)关闭远程智能卡(目的限制3389端口):
       在运行中输入gpedit.msc进入到本地组策略编辑器,然后点击计算机配置–>管理模板–>Windows组件–>智能卡,禁用下图配

 

转载请注明:51站长网 » 【高危漏洞预警】Windows高危漏洞:SMB/RDP远程命令执行漏洞临时解决方案

喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址