Welche Auswirkungen haben der MS17-010-Patch und die SMBv1-Deaktivierung im Zusammenhang mit WannaCry? Entfernt es die Malware oder verhindert sie nur die Verbreitung?

3556
Antony

Ich googelte viel darüber, konnte aber keine Antwort finden.

Ich würde gerne wissen, ob durch das Patchen von Windows mit dem Update MS17-010 die Installation / Ausführung von WannaCry-Malware verhindert oder die Malware (die auf einem bestimmten PC einmal installiert wurde und daher infiziert wird) nicht über das Intranet verbreitet werden kann.

Gibt es auch Vorteile, wenn SMBv1 deaktiviert wird, wenn der Patch MS17-010 ordnungsgemäß installiert ist? Oder MS17-010 Patch selbst kann als ausreichend betrachtet werden?

Letzte Frage / Zweifel: Bevor Sie SMBv1 deaktivieren, wie kann sichergestellt werden, dass dies die Netzwerkleistung / Zuverlässigkeit nicht beeinträchtigt?

9
Offizielles Wort des Microsoft Storage-Teams zu SMBv1: [Stoppen Sie die Verwendung von SMBv1.] (Https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/) grawity vor 6 Jahren 2
Vielen Dank @grawity, das hat definitiv meine Zweifel an der Deaktivierung von SMBv1 geklärt. Antony vor 6 Jahren 0

1 Antwort auf die Frage

11
Bob

Zunächst ein kleines Vorwort. Der Patch MS17-010 ist ab März in allen Update-Rollups für Windows 7, 8.1 und 10 enthalten. Wenn Sie also die Rollup- Updates für April oder Mai (oder neuer) installiert haben, benötigen Sie (und haben noch nicht installiert) die spezifische, mit dem MS17-010-Patch verknüpfte KB-Nummer.

Wenn Sie sich jedoch dafür entschieden haben, nur Sicherheitsupdates zu installieren, müssen Sie insbesondere die März - Updates installieren. Wenn Sie diesen Pfad nicht ausdrücklich ausgewählt haben, sollten Sie sich an den Rollups beteiligen. Am sichersten ist es, wenn Windows alles aktualisiert, bis es auf dem neuesten Stand ist.

Dies ist eigentlich für alle Sicherheitspatches der Fall, nicht nur für diesen.

verhindert, dass WannaCry-Malware installiert / ausgeführt wird

Der MS17-010-Patch verhindert die Ransomware selbst nicht. Wenn Sie das Exe herunterladen und ausführen, wird es trotzdem seine Aufgabe erfüllen und Ihre Dateien verschlüsseln. Zum Beispiel war der primäre Infektionsvektor in den meisten Netzwerken der E-Mail-Anhang IIRC. Für Ransomware ist das nichts Neues.

Der Wurmteil des Programms erleichtert jedoch die Verbreitung über Netzwerke. Dies greift die SMBv1 Implementierung auf dem Zielcomputer, dh der Computer der Wurm verbreitet sich auf, nicht aus .. Daher ist die MS17-010 Patch installiert werden muss, jeden Windows - Rechner im Netzwerk.

Im Allgemeinen verhindern NAT oder Firewalls am Netzwerkrand die Verbreitung über das Internet.

Verhindern Sie einfach, dass sich Malware (sobald sie auf einem bestimmten PC installiert ist und daher infiziert ist) durch das Intranet ausbreitet

Der Patch hilft keinem bereits infizierten Computer. Dies ist nur nützlich, wenn sie auf anderen nicht infizierten Computern im Netzwerk installiert ist.

Gibt es auch Vorteile, wenn Sie SMBv1 deaktivieren?

Nicht direkt für WannaCry / EternalBlue, da der Patch MS17-010 dieses Loch beseitigt. Eine eingehende Verteidigung würde jedoch auf jeden Fall die Deaktivierung von SMBv1 nahe legen, sofern Sie dies nicht benötigen, da die Angriffsflächen reduziert und der Schaden minimiert wird, falls ein anderer, derzeit unbekannter SMBv1-Fehler vorliegt. Da Vista und neuere Versionen SMBv2 unterstützen, sollte es nicht erforderlich sein, SMBv1 aktiviert zu lassen, es sei denn, Sie müssen Dateien mit XP gemeinsam nutzen. Ich hoffe das ist nicht der Fall.

Wie stellen Sie vor dem Deaktivieren von SMBv1 sicher, dass sich dies nicht auf die Netzwerkleistung / Zuverlässigkeit auswirkt?

Der offensichtlichste Effekt ist, dass Sie die Windows-Dateifreigabe nicht mehr mit XP-Systemen verwenden können.

Per Link grawity geschrieben und die dort Kommentare, dies könnte Ihren Computer angezeigt werden, in oder mit der „Netzwerk“ -Liste verhindern. Sie können immer noch auf sie zugreifen, indem Sie in das \\computernameFeld " Eingeben" eingeben und es mit Hilfe von Heimnetzgruppen (oder Active Directory in einer Unternehmensumgebung) aufgelistet anzeigen.

Die andere Ausnahme, die in diesem Blogpost genannt wird, sind ältere Netzwerk-Kopierer / Scanner, die über die Funktion "Scannen zum Teilen" verfügen und möglicherweise kein modernes SMB-Protokoll unterstützen.

Vielen Dank, Bob. Soweit ich weiß, sind sowohl der MS17-010-Patch als auch die SMBv1-Deaktivierung hilfreich, um zu verhindern, dass ein anderer PC im selben Netzwerk infiziert wird. Wie kann man WannaCry (oder ähnliches) rechtzeitig erkennen, um zu verhindern, dass es direkt auf meinem PC installiert wird (z. B. vom Mail-Anhang)? Ist Malwarebytes oder ein anderes aktuelles Antivirenprogramm ausreichend? Gibt es ein bestimmtes Dienstprogramm, das Sie beraten würden? Antony vor 6 Jahren 0
@Antony Leider gibt es keine Möglichkeit, alle Grundlagen abzudecken. Ein Echtzeit-Antivirenprogramm würde Ihnen ein gewisses Maß an Schutz bieten, aber ich glaube, die einzige gute Lösung besteht darin, den Benutzer darauf zu achten, was er öffnet - am Ende des Tages sind diese E-Mails ein Angriff auf den Menschen. Backups (getrennt vom PC, z. B. auf einer tragbaren Festplatte oder Crashplan / Backblaze, wenn Ihre Internetverbindung gut genug ist) helfen Ihnen natürlich, sich von einem solchen Angriff zu erholen, wenn ein anderer Fehler auftritt. Bob vor 6 Jahren 0
@Antony Nur um es klar zu sagen: Antivirus- / Malware-Programme sind hilfreich bei * bekannten * Angriffen, für die sie eine Signatur erkennen, aber es dauert einige Zeit, bis sie die neuesten Angriffe erkennen können. Es gibt auch eine heuristikbasierte Erkennung, aber das ist unzuverlässig. Bob vor 6 Jahren 0

Verwandte Probleme