Windows2003\2008\2012系统 SMB\RDP远程漏洞处理方案

 　　2017年4月14日，国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档，其中包含了多个windows远程漏洞利用工具，该工具影响全球70%左右的Windows服务器，为了确保您在紫田网络的服务器安全，请您关注以下漏洞详情以及修复方法。

　　漏洞名称：Windows系统多个SMB、RDP远程命令执行漏洞

　　漏洞描述：国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档，其中包含了多个windows远程漏洞利用工具，该工具影响全球70%左右的Windows服务器，可以利用SMB、RDP服务成功入侵服务器。

　　官方平级：高危

　　漏洞危害：针对SMB、RDP方面的漏洞，通过发布的工具可以对正在运行的服务器发送特制的数据包，这些漏洞中最严重的可以允许远程执行命令，这会危害到服务器本身以及服务器上运行的数据安全。更有可能获取或者远程添加账号，这样就可以登录服务器为所欲为了。

　　漏洞利用条件和方式：可以通过发布的工具远程代码执行成功利用该漏洞。

　　漏洞影响范围：已知受影响的Windows版本包括：Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

　　漏洞攻击主要端口：135、137、138、445、42

　　看到以上对漏洞的介绍是不是很担心自己的服务器安全呢，如果您在紫田网络使用的有VPS、云主机、服务器，请您马上按照一些方法对服务器进行操作，提前堵上漏洞，减少损失。

　　【1】 WIN系列系统补丁打好，WIN2003系统补丁借助QQ管家或者安全狗来更新补丁，2008和2012系统可以用系统自带的自动更新来打补丁，或者用QQ管家或者安全狗来打补丁也可以。

　　【2】 然后打开防火墙，设置端口过滤。

　　【3】 最后导入安全策略。

　　一、【2003】更新系统，借助QQ管家

　　

 

　　【2008】更新系统。

　　

 

　　

 

　　二、防火墙设置及端口过滤：

　　【1】2003系统

　　观察WINDOWS2003防火墙是否打开,确保打开如下图。

　　2003系统：

　　

 

　　2 点击例外选项卡,确保例外端口,没有

　　TCP[42、135、137、139、445]，UDP[135、137、138、139]端口

　　,如果有必须不打勾,打勾就是放行了

　　

 

　　【2】WIN2008、2012系统：

　　2008\2012系统，2008和2012系统类似，下面以2008系统为例：

　　观察WINDOWS防火墙是否打开,确保打开如下图

　　所有程序-控制面板-WINDOWS防护墙

　　

 

　　点击高级防火墙打开.

　　入站策略里

　　禁用TCP[42,135,137,139,445]，UDP[135,137,138,139]端口

　　看下图.新建入站策略,第一步选择TCP

　　

 

　　

 

　　

 

　　

 

　　然后,TCP禁用完毕,下面重复上面动作,只是把TCP换成UDP.端口改成135,137,138,139

　　

 

　　然后完成后如上图,TCP禁用,UDP禁用完毕

　　三：导入安全策略

　　下方链接中包含了紫田网络针对此漏洞做的安全策略，可以按照以下方法进行导入。

　　下载链接: http://pan.baidu.com/s/1dFL3zLR 密码: vihk

　　【1】2003系统导入方法：

　　2003开始菜单-所有程序-管理程序-本地安全策略,选中IP安全策略

　　

 

　　在本地计算机,导入解压的策略,并右键指派

　　

 

　　

 

　　最后,右键选择指派

　　

 

　　

 

　　【2】Windows2008\2012导入安全策略：以2008系统为例，2012系统类似

　　2008开始菜单-所有程序-管理程序-本地安全策略,选中IP安全策略

　　

 

　　导入策略

　　

 

　　

 

　　下一步

　　

 

　　下一步

　　

 

　　策略有了,最后,右键选择指派