Wird das Deaktivieren der Datei- und Druckerfreigabe als grundlegende Abwehr gegen die WannaCry-Netzwerkübertragung verwendet?

Szenario:

Update-Patches sind nicht verfügbar
E-Mail-Zugriff ist nicht verfügbar (dh es werden keine Klicks auf fehlerhafte Links angezeigt)

Wird die Deaktivierung des Datei- und Druckerfreigabeprotokolls in den Einstellungen des individuellen Netzwerkadapters als primärer Schutz gegen Wannacry (SMB / EternalBlue-basierter Exploit) eingesetzt?

Ich habe mich nur gefragt, ob diese Methode tatsächlich für Exploit-Systeme mit der Verbreitung von Dateisystemen funktioniert. Kann jemand bestätigen / klären, ob dies funktioniert?

— RiA
quelle

"Update-Patches sind nicht verfügbar" Wenn es Ihnen nichts ausmacht, zu fragen, warum nicht?

— Run5k

Nein; Es ist nicht genug; Sie müssen den Patch installieren und anschließend SMBv1 in der Registrierung deaktivieren, ohne dass der Patch dennoch anfällig ist. Es wäre trivial, Malware zu schreiben, die es SMBv1 ermöglicht, sich selbst zu verbreiten.

— Ramhound

Ich mache dies gegen mein besseres Urteilsvermögen, bitte installieren Sie den Patch, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server

— Ramhound

Die Tatsache, dass Sie keine Quelle für diese Malware kennen, sagt mir, dass Sie nicht damit spielen sollten. Machen Sie dem Web einen Gefallen und infizieren Sie keine VM, die theoretisch mehr Computer infizieren könnte, wenn Sie nicht den Host und die VM ordnungsgemäß isolieren passt sein Verhalten an, wenn es sich in einem internen Netzwerk befindet

— Ramhound

Ich habe die Frage eindeutig in der falschen Community gestellt. Die Leute sind zu sehr darauf aus, was richtig ist und was nicht, wenn ich klar erwähnte, dass ich Penetrationstests ausprobieren werde. Ich würde das nicht tun, wenn ich nicht wusste, wie man eine VM in einer Sicherheits-Sandbox isoliert. Ich schätze Ihre Eingabe, aber fügen Sie bitte keine unnötigen Informationen hinzu, es sei denn, sie beziehen sich auf das, was ich wollte. Und bitte 'erzähl' dir nichts von mir.

— RiA

Antworten:

Lassen Sie mich eine dokumentierte Antwort posten, um die Frage zu beantworten ( oder zumindest meistens ).

Es ist in der informiert Ausführlicher Microsoft-Sicherheitsbericht Für ältere Systeme ohne aktualisierten Windows Defender wurde noch kein aktualisierter Patch kb4012598 angewendet. Es gibt nur zwei Problemumgehungen:

SMBv1 deaktivieren ...

Eingehender SMB-Verkehr auf Port 445 blockieren ...

Ich glaube, dass die obige Antwort von MS Ihre Frage beantworten sollte.

— JCM
quelle

Genau die Klarheit, nach der ich gesucht habe. Vielen Dank.

— RiA

Power Shell:

$netBTParametersPath = "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" 
IF(Test-Path -Path $netBTParametersPath) { 
    Set-ItemProperty -Path $netBTParametersPath -Name "SMBDeviceEnabled" -Value 0 
} 
Set-Service lanmanserver -StartupType Disabled 
Stop-Service lanmanserver -Force

Mehr Details Deaktivieren der Funktion, mit der Port 445 unter Windows von PowerShell geöffnet wurde

— frank
quelle

Bitte posten Sie nicht die gleiche Antwort auf mehrere Fragen. Wenn dieselben Informationen tatsächlich beide Fragen beantworten, sollte eine Frage (normalerweise die neuere) als Duplikat der anderen Frage geschlossen werden. Sie können dies durch angeben Abstimmung, um es als Duplikat zu schließen oder, wenn Sie nicht genug Ruf dafür haben, eine Fahne heben um anzuzeigen, dass es sich um ein Duplikat handelt. Ansonsten passen Sie Ihre Antwort auf diese Frage an und fügen Sie dieselbe Antwort nicht einfach an mehreren Stellen ein.

— DavidPostill

Ich habe nicht gefragt, wie ich es reparieren kann. Ich fragte nach dem Netzwerkprotokoll, das entführt und für die Ausbreitung der Infektion verwendet wird, und wenn dies tatsächlich das Protokoll ist, würde es das Herunterfahren des Virus verhindern, was alle Infektionsversuche behindert.

— RiA