WannaCry勒索病毒针对服务器及其内部网络防和修复操作指引--致网络管理员.docxVIP

服务器及其内部网络操作指引致网络管理员一.序言本操作指引分为三个步骤展开：隔离受感染主机切断传染途径修复系统隐患二.隔离受感染服务器主机如果发现已经有主机被感染，立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认，请优先按照下述第三点和第四点处理。判断方法:出现下述界面的主机操作方法：全部服务器断开网络，如：拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务，目前业界暂无有效解决方案，建议隔离放置，暂时不要做任何操作。影响及可能的问题：业务系统无法对外访问三.切断病毒传播路径切断内网传播途径方法：内网交换机上配置访问控制策略，禁止内网之间的135、137、139、445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。针对无线网络也需要进行隔离，具体方法建议根据无线产品特性确认方案；我司建议先临时关闭无线访问，待全部终端电脑修复完毕后再开启无线。影响及可能的问题：1）建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。2）445等端口为网上邻居、共享应用的端口，禁用端口后对应的应用将无法对外系统服务。例如：打印机、共享文件夹等应用。切断外网传播途径方法：下述两种方法根据贵司实际情况选择一种最快的方式执行即可。1）安全网关设备开启对应防护规则应用层防火墙、IPS等安全网关可能集成相应的防护功能，可以通过其应用层防火的功能阻止外网到内网的传播，具体建议与对应厂商进行确认。2）安全网关通过限制访问端口进行防护如果无法通过上述第一点进行防护，可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问，切断外部传播途径。四.修复或规避系统漏洞方案完成上述两个步骤后基本切断漏洞传播的内部和外部途径，接下来将对服务器可能存在的隐患进行修复。4.1建议根据业务系统重要性进行修复，建议如下：1、重要业务系统服务器（优先级高）建议判断标准：生产系统、销售系统、财务系统、研发系统、供应链系统、AO系统、邮件系统等。2、次重要业务系统服务器（优先级中）建议判断标准：内部论坛、打印机等其他服务器。4.2 建议对重要业务系统数据进行备份建议将重要数据备份到其他外部介质上，如NAS等外置存储。4.3 执行修复方案下述三种方案贵司根据实际情况选择一种最快、最适合的方式执行，方案执行成功后可以恢复对应的业务。1、关闭潜在服务器的SMB服务及端口（规避措施）方法：启用并打开“Windows防火墙”，进入“高级设置”，在入站规则新建规则。2、使用安全厂商提供的快速修复工具（规避措施）方法：深信服提供隐患修复工具，可完成风险监测和修复。具体使用方法见《WannaCry免疫工具说明文档》修复系统漏洞（彻底修复SMB漏洞）方法：升级微软针对MS17-010的漏洞补丁，建议采用U盘拷贝补丁、手动更新方法完成（避免自动更新上网时带来的交叉传染隐患）。并且建议补丁下载也在相对安全的环境中进行。微软补丁参考列表如下：/zh-cn/library/security/ms17-010.aspx建议优先下载微软官方的补丁，如果部分补丁可能会存在下载速度较慢的情况，我司整理微软补丁并提供下载的参考如下：/static/bjsec/patch.zip 影响及可能的问题： 1、上述方案1和方案2是SMB漏洞的规避方案，隐患得到规避的同时会导致系统某些服务将停止，例如：打印机、共享文件夹等应用。 2、方案3是SMB漏洞的彻底修复方案，不会对业务员造成影响。