1.漏洞描述

1.1漏洞描述

2017年5月12日起，在國内外(wài)網絡中(zhōng)發現爆發基于Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼，這是通過改造之前洩露的NSA黑客武器庫中(zhōng)“永恒之藍(lán)”攻擊程序發起的網絡攻擊事件。
     目前發現的蠕蟲會掃描開(kāi)放(fàng)445文件共享端口的Windows機器，無需用戶任何操作，隻要開(kāi)機上網，不法分(fēn)子就能在電(diàn)腦和服務器中(zhōng)植入執行勒索程序、遠程控制木馬、虛拟貨币挖礦機等惡意程序。
     此蠕蟲目前在沒有對445端口進行嚴格訪問控制的教育網、企業内網及業務外(wài)網大(dà)量傳播，呈現爆發的态勢，受感染系統會被勒索高額金錢，不能按時支付贖金的系統會被銷毀數據造成嚴重損失。該蠕蟲攻擊事件已      經造成非常嚴重的現實危害，各類規模的網絡也已經面臨此類威脅。

1.2影響範圍
    涉及開(kāi)放(fàng)445 SMB服務端口且沒有及時安裝安全補丁的客戶端和服務器系統都将可能面臨此威脅。

1.3建議處置辦法

• 對于Win7及以上版本的操作系統，微軟已發布補丁MS17-010修複了“永恒之藍(lán)”攻擊的系統漏洞，請立即安裝此補丁。
• 補丁地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010
  

請管理員(yuán)先自行關閉135、137、138、139、445端口，在關閉前請自行判斷關閉後是否會對原有業務帶來影響。

下(xià)面介紹在系統中(zhōng)如何手動設置策略關閉端口的方法

1.開(kāi)始菜單->運行，輸入gpedit.msc回車(chē)。打開(kāi)組策略編輯器
2.在組策略編輯器中(zhōng)，計算機配置->windows設置->安全設置->ip安全策略 下(xià)，在編輯器右邊空白(bái)處鼠标右鍵單擊，選擇“創建IP安全策略”

3.下(xià)一(yī)步->名稱填寫“封端口”，下(xià)一(yī)步->下(xià)一(yī)步->勾選編輯屬性，并點完成

4.去(qù)掉“使用添加向導”的勾選後，點擊“添加”

5.在新彈出的窗口，選擇“IP篩選列表”選項卡，點擊“添加”

6.在新彈出的窗口中(zhōng)填寫名稱，去(qù)掉“使用添加向導”前面的勾，單擊“添加”

7. 在新彈出的窗口中(zhōng)，“協議”選項卡下(xià)，選擇協議和設置到達端口信息，并點确定。

8.重複第7個步驟，添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成後，确定。
9.選中(zhōng)剛添加完成的“端口過濾”規則，然後選擇“篩選器操作”選項卡。

10.去(qù)掉“使用添加向導”勾選，單擊“添加”按鈕

11.選擇“阻止”

12.選擇“常規”選項卡，給這個篩選器起名“阻止”，然後點擊“确定”。
13.确認“IP篩選列表”選項卡下(xià)的“端口過濾”被選中(zhōng)。确認“篩選器操作”選項卡下(xià)的“阻止”被選中(zhōng)。然後點擊“關閉”。

14.确認安全規則配置正确。點擊确定。

15.在“組策略編輯器”上，右鍵“分(fēn)配”，将規則啓用。