1. 程式人生 > >關於永恒之藍漏洞的補丁跟蹤及實施記錄

關於永恒之藍漏洞的補丁跟蹤及實施記錄

windows server 記錄 人力 永恒

前言:利用MS17-010 漏洞進行攻擊的蠕蟲病毒已經成了自上周末到現在的主要任務,當組織裏面有大量的機器時,要在短時間內完成大量業務系統的防護和更新需要耗費大量的人力和資源。當然如果手段和方式得力,事情相對會順利的多。

目標:

1. 獲得所有機器關於MS17-010 的補丁更新情況,MS17-10 針對window 7\windows 2008 r2及以上版本的補丁其實在3月份已經下發了,而對於失去支持的winxp,windows server 2003 等機器的特別補丁(KB4012598)下發時間在5月13號。如果你有審批策略(比如只審批安全更新,這些個針對winxp,2003 之類的補丁似乎不會自動審批,你需要在WSUS中手動導入,並審批安裝

技術分享

技術分享

2. 為了盡快更新補丁,你需要修改組策略讓客戶端更快頻率的檢測補丁,也或者你有NAP,可以在用戶接入生產網絡前檢查MS17-010的策略是否更新,沒有更新的話,進入隔離網絡更新補丁。

3. 為了讓偷懶的用戶,比如懶得點擊安裝補丁的用戶盡快安裝補丁,你還得修改補丁的安裝策略為計劃安裝,在中午或者其他非影響的時間段安裝,並提示用戶盡快重啟。

4. 為了跟蹤補丁的下發情況,WSUS雖然提供了內置本地報表,但是每個補丁(就像KB4021598一樣,分別對應多個操作系統都對應一個報告),那麽要用wsus的內置報表快速跟蹤,這還不夠快捷方便,或者你可以用powershell 來使用wsus的API來生成報告,但對於企業這種多人協作的環境,前面的解決方法往往需要特殊的權限。因此我們可以使用WSUS的視圖來創建一個reporting service.

* 把MS17-010 涉及到的KB編號設成默認參數,這樣可以一個報表跟蹤多個補丁的情況。

技術分享

報表RDL大致內容如:

技術分享

5. 針對已經感染的機器,最好是斷網,能重裝盡量重裝,或者殺毒後更新補丁再接入。

6.網絡如果能監控流量,監控異常的ARP掃描,445 端口訪問數靠前的連接的計算機。

關於永恒之藍漏洞的補丁跟蹤及實施記錄