搭建什么网站赚钱,重庆做网站开发的公司,开发安卓软件需要学什么,室内装修设计软件哪个最好2017/5/12 晚#xff0c;勒索软件 Ransom:Win32.WannaCrypt 大面积暴发。比病毒爆发更火的#xff0c;则是各类关于此病毒的新闻、解决方法在朋友圈等社交媒体的爆发。 其中#xff0c;有主观善意但客观一知半解的指导#xff0c;更有夹带私货的安全软件商携各类工具的广告… 2017/5/12 晚勒索软件 Ransom:Win32.WannaCrypt 大面积暴发。比病毒爆发更火的则是各类关于此病毒的新闻、解决方法在朋友圈等社交媒体的爆发。 其中有主观善意但客观一知半解的指导更有夹带私货的安全软件商携各类工具的广告宣传以及各大小 IT 公司借此做的宣传。 一时间众多群众不知所措战战兢兢不惜在自己的网络中将各种帖子所支招数悉数执行一遍导致业务中断。 我在朋友圈中已多次发帖探讨和指导应对。但依然看到大家的无所适从。 为此我整理一下思路做最后一次说明。 我是冯立超2004-2017 微软最有价值专家 MVP, 1998 以来微软认证系统工程师 MCSE, 2000 以来微软认证讲师 MCT。在2003-2004 微软可信赖计算全国巡讲签约讲师。 本文不夹带私货因为我现在的正事儿并不在此。只是从周六开始电话被打爆才不得不忍痛停下手中的工作被迫恋战于此。 此文只为给惶惑中的 Windows 用户们一些建议以正视听。 主旨
本文主要包括如下部分 只须打补丁只须打补丁只须打补丁。不必使用 360 等自作聪明的工具及软件。不要随意关闭端口。 如果你听我的且不关心技术细节可以就此打住干活儿去吧。 1. 只须打补丁 1.1 补丁概述
这次病毒是利用微软 Windows SMB v1 的漏洞进行传播并远程执行代码对计算机中的文档进行加密。 病毒于 2017/5/12 大面积暴发。 微软于 2017/3/14 发布了安全公告和安全更新。 链接地址Microsoft 安全公告 MS17-010 - 严重MS17-010Windows SMB 服务器安全更新
另外微软对于已经停止服务的XP和Win2003也提供了补丁链接为https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ 1.2 补丁解释
由于大家平常不看这样的微软官方技术文档所以可能有些读不懂。不用担心根据你的操作系统版本选择相应的补丁即可。 就用上面链接的第一个文档安全公告为主来说吧 文档表中每一个操作系统下面有好几个链接分为如下几方面
操作系统小版本例如是否 sp1 / sp2 等。系统平台32 位或是 64 位或者少见的 Itanium 等。针对本漏洞的更新或者月度汇总更新。 以上前两个要选对。第三个看情况选。想短平快就选仅用于安全更新想全面一些就选“月度汇总更新”
仅此一页足矣。有朋友打电话过来说补丁装不上就是因为没有选对。 1.3 企业补丁管理
企业当然不能像个人一样一台台打补丁。 你需要一台补丁服务器。建议部署微软的** WSUS 服务**。 其基本原理就是企业内部的所有客户机将更新源指向 WSUS 服务器WSUS 服务器将更新源指向微软补丁服务器。 根据企业规模及IT管理模式WSUS服务器可以配置为层次结构可以配置补丁分发策略可以对补丁进行审批操作等。 具体请参见Windows Server Update Services 概述 此不赘述。哦赘述一下这个服务是免费的好像反而不好立项是吧不过请专业的微软解决方案合作伙伴实施服务是收费的。
当然也可以使用第三方专业公司的补丁服务。可以是真正专业的产品或者上级指定的产品。 1.4 不要随意关闭端口
除非你知道会发生什么否则不要随意关闭端口。 以下内容节选自 比我上面自吹的资历还深的朋友 MVP 胡浩 的文章抵抗勒索病毒的正确姿势——不要上来就封端口 中的重点内容 刚刚过去的这个周末朋友圈一定被勒索病毒刷屏了~ 看到一堆人告诉别人封锁135-139445端口作为一个修过无数AD复制问题客户端无法登录或者使用域资源问题的老司机我想问问您真的知道这些端口是干嘛的么 端口使用的官方网页请看这里 Port Assignments for Well-Known Ports 请仔细阅读和确认有关135136137138139445端口的作用如果不确定是否需要这些端口完成正常的域登录、访问域资源、DC间检测复制等等请谨慎封锁端口 最大的危害不在于立即出现的故障而在于90天或者180天之后出现的大量AD复制错误修复这些问题比你想想的更复杂。 2. 不必使用360等自作聪明的工具及软件 2.1 保持电脑干净
请不要受 360 等所谓安全公司的蛊惑安装一堆乱七八糟的流氓软件。 这次事件很清楚微软知道了产品漏洞并立即发布了补丁。两个月后恶意黑客利用此漏洞开发出 WannaCry 病毒。 我们只需要按微软建议打补丁即可。因为你用的是微软的 Windows。 如果你用的是周鸿祎他们家的操作系统那你当然用他们家的360但现在不是。
360 们 也不是一无是处他们大致在做两件事
第 0 件抓住事件起哄扩大知名度所谓唯恐天下不乱是也。第 1 件帮你扫描漏洞并帮你到微软网站下载补丁过来装。 这是一件微软自己会做的事情。但不知为何太多的人以为这是360的专长。阳春白雪遇到下里巴人罢。第 2 件万一真被黑了他们帮你找回。怎么可能 计算机技术发展到现在加密技术是数学上证明的而不是骗傻子的。就是我另一篇文章所说 是把钱藏到保险柜里 而不是藏到床下袜子里。此不赘述。 所以真要被黑客攻击并被加密了360 不可能解开。但也有一丝希望360 们 倒是想到了一个可能的解决之道 病毒将你的文档加密后存到电脑上并将源文件删除。那么用 360 变种的删除文件恢复工具有可能找回被删的没被加密的文件。但这不能保证全找到。 所以万一你中招了最好的方式就是别乱动找专业工具如 360 提供的或其它任何数据恢复工具修复。别找我这活儿我不接。 如果你喜欢360我没说一定让你卸载。只是我个人不喜欢而已。刚刚一个朋友告知找不到补丁我发现他是 XP SP2而微软即便紧急发布了本已不支持的WinXP的补丁也只支持到 WinXP sp3 32位 和 WinXP sp2 64 位。这种情况可能 360 存着 XP SP3 安装包可以试试我不知道。 2.2 某些所谓安全软件的罪恶
我们相信国际专业的网络安全公司是优秀的、伟大的。 但我们也看到一堆哗众取宠鼓噪吆喝的公司的恣意妄为。他们推出所谓电脑管家之类的工具以优化性能、提升安全为名关闭一些他们不懂的服务与端口导致系统出现许多莫名其妙的问题。 如果不是他们随意建议用户关闭自动更新服务、如果不是他们随意接管 Windows 自带的反病毒软件 MSE 或 Defender如果不是他们肆意接管 Windows 防火墙事情何以至此 如果永恒之蓝是始作俑者那这些所谓的安全软件就是帮凶。 2.3 那我用什么杀毒
微软很早就推出了自己的杀毒软件。 所以你只需要打开自动更新同时使用微软自带的杀毒软件就够了。 如果您是 Windows 7 用户请安装 Microsoft Security Essentials. 下载地址
Windows Vista/Windows 7 32-bit
Windows Vista/Windows 7 64-bit
从 Windows 8 以后操作系统里边已经自带了 Windows Defender直接使用即可。
世上本无事庸人自扰之 Windows 自带的杀毒软件 Defender自带的防火墙自带的 Windows Update默认都是打开的正常运行的。 所以本来一切都好好的直到你安装了类似360等流氓软件他把一切都截获了打乱了。唉你要引流氓入家怪得了谁呢。 3. 不要随意关闭端口
关于这个问题胡浩的文章抵抗勒索病毒的正确姿势——不要上来就封端口 已经清楚说明了此不赘述。
我只想讲几个故事
关于 135 端口 很多人知道 RPC 使用 135 端口所以为了能够实现跨防火墙 RPC 通信在防火墙上打开了 135 端口结果发现 RPC 通信依然有问题。为什么因为 RPC 通信不是使用的 135 端口而是在通信发起时利用135端口协商双方商量一个 1024 到65535 之间的某个任意未被使用的端口来进行通信。 所以无论是打开端口还是关闭端口必须要搞清楚这个端口是干什么的原理是什么。而不是简单的关关关干脆把网线拔了算了。 关于DHCP服务 很多G企不许使用动态 IP于是他们就通过组策略把 DHCP Client 服务停了。他不知道这个服务除了自动获取 IP 之外还进行 DNS 客户端注册和更新。结果导致 DNS 服务器上的客户机记录老旧或自动清理。 关于共享 某些单位不许使用共享包括强制关闭 Admin$, IPC$ 等岂不知这些管理共享的本质意义结果导致与安全策略复制故障等一系列问题。 所以如果你的活动目录出了问题先别给我打电话先问问自己这几天又装什么安全软件了有关什么端口或服务了。你是否真的了解了这个安全软件所做的操作的原理。 4. 补充说明
还有几个问题想借此多说几句 4.1 关于漏洞
这次漏洞是微软 Windows 的是微软的错。但真的怪不得微软。 漏洞不是后门。后门是故意留下的。漏洞是无意间产生的或者是协议标准本身的缺陷。
就无意产生举个不恰当的例子。 家里的防盗门结实吧可是谁能想到江湖高人会通过猫眼伸个钢筋进来压门把手把门打开呢 好吧打个补丁把猫眼补上。 这事儿怪那个设计防盗门的吗怪。谁让你不先想到呢可是他要把所有可能性都想到这辈子也别想推出一款防盗门了。还有一种情况就是标准、协议本身的缺陷。 例如现在的TCP/IT v4 协议就有很多安全缺陷。比如自动获得 IP 地址的协议 DHCP你没有办法限制客户机从哪台服务器获得 IP 地址。这意味着我把我的笔记本装上 DHCP 服务插到你们单位的网上你们单位的客户机就有可能从我这获得 IP。 再比如邮件协议 MIME里边可以有图片等内容打开邮件即可直接显示图片。但是如果这是一个假的图片其实是一个恶意软件或者链接这个直接显示图片的公告就变成了直接执行这个假图片就会导致你中招。 这些问题各个软件厂商都在想办法解决这些补丁不是产品的问题而是协议与标准的问题但软件厂商必须花精力去面对。 4.2 关于微软补丁
微软有一套完善的安全补丁管理机制从2003年微软提出可信赖的计算时便建立了专门的安全团队负责安全应对及补丁发布。 到目前为止所有的安全事件都是在微软发布补丁之后发生的。 大多数情况是专业安全人员或厂商发现了漏洞报告给微软未公开微软立即开发和发布补丁可能紧急发布热修复然后提供完善的补丁。 而恶意利用者则是通过这些发布补丁的公开信息开发恶意软件。 下面是几个当年比较严重的病毒的情况
尼姆达在微软发布补丁331天后爆发SQL Slammer在微软发布补丁180天之后爆发Blaster 冲击波在微软发布补丁25天之后爆发Sasser 震荡波在微软发布补丁14天之后爆发
而这一次微软于 2017/3/14 发布补丁WannaCry 于 2017/5/12 爆发59 天。 4.3 这次事件的特殊性 帝国主义野心不死
当然这次可怕一些是因为很久没有爆发这么大的病毒事件了还因为社交媒体发达了事件影响被放大。 更可怕的是这个漏洞不是被有良知的安全厂商发现并主动报告微软而是 美国国安局早已发现漏洞并基于漏洞开发了战略级武器库而部分武器即利用漏洞进行攻击的工具被泄露了。然后被恶意利用了。 我们所有吃瓜群众都终于真切感受到了网络战争是什么样子。 这将值得全人类反思。 区块链、比特币 与 无政府主义
这次事件另一个有意思的现象是勒索软件要你支付的是比特币。 比特币的重要特点是无中心化这是强调个人主义/无政府主义者最兴奋的特点。这种基于区块链技术的比特币不需要中央银行监管、账号不可追踪、从数学上证明你无法通过账号跟踪到账号相关其他信息。这是另一个话题暂不赘述。 这不得不让人重新思考 科学主义 对人类社会的影响问题。 4.4 打补丁与 IT 运维管理
从哲学意义回到现实我们从十多年前就开始讲打补丁打补丁打补丁并给出了大量的指导文档和最佳实践。但为什么我们做不到。 我们的 IT 运维理念从最早的自发运维到 ITIL 理念到 ISO20000到 DevOps层出不穷。 可我们为什么连最基本的打补丁都不去做 说多了都是啰嗦思考吧。 结语
以上只是工作被电话微信打断后停下来草草写就的观点及感言错误之处在所难免请各位微软网络安全方面的哥们儿指正。 IT 运维无小事网络安全无小事。大家加油。
原文地址https://github.com/HiwebFrank/Blogs/blob/master/NetworkSecurityaboutWannaCry.md .NET社区新闻深度好文微信中搜索dotNET跨平台或扫描二维码关注
