Wird das Deaktivieren der Datei- und Druckerfreigabe als grundlegende Abwehr gegen die WannaCry-Netzwerkübertragung verwendet?

1423
RiA

Szenario:

  • Update-Patches sind nicht verfügbar
  • E-Mail-Zugriff ist nicht verfügbar (dh es werden keine Klicks auf fehlerhafte Links angezeigt).

Wird die Deaktivierung des Datei- und Druckerfreigabeprotokolls in den Einstellungen des individuellen Netzwerkadapters als primärer Schutz gegen Wannacry (SMB / EternalBlue-basierter Exploit) eingesetzt?

Ich habe mich nur gefragt, ob diese Methode tatsächlich für Exploit-Systeme mit der Verbreitung von Dateisystemen funktioniert. Kann jemand bestätigen / klären, ob dies funktioniert?

0
* "Update-Patches sind nicht verfügbar" * Wenn Sie nichts dagegen haben, zu fragen, warum nicht? Run5k vor 7 Jahren 0
Für Computer, die sich in einem öffentlichen Netzwerk befinden, jedoch aufgrund von Abonnements keinen Zugang zum Internet haben. Beispielsweise verwendet mein ISP Peer-based Networking. Das Internet-Abonnement kann jedoch auslaufen. Dies bedeutet nicht, dass Ihr Computer von anderen Peers im Netzwerk getrennt ist. RiA vor 7 Jahren 0
Nein; Es ist nicht genug; Sie müssen den Patch installieren und anschließend SMBv1 in der Registrierung deaktivieren, ohne dass der Patch dennoch anfällig ist. Es wäre trivial, Malware zu schreiben, die es SMBv1 ermöglicht, sich selbst zu verbreiten. Ramhound vor 7 Jahren 1
Sie können den Patch möglicherweise aus dem [Microsoft Update-Katalog] (https://www.catalog.update.microsoft.com/Home.aspx) herunterladen, auf eine CD-R brennen und auf diesen Computern installieren. Run5k vor 7 Jahren 0
Ich tue dies gegen mein besseres Urteilsvermögen. Bitte installieren Sie den Patch [Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server] (https://support.microsoft.com/de-de/help/2696547) / how-to-enable-and-disable-smbv1, -smbv2, -und-smbv3-in-windows-Vista, -windows-server-2008, -windows-7, -windows-server-2008-r2, -windows -8, -und-Windows-Server-2012) Ramhound vor 7 Jahren 1
Auf meinem Computer sind die Patches bereits installiert. Ich wollte eine saubere VM von einer infizierten VM aus infizieren. Nur ein bisschen Neugier auf Verteidigungstests mit den Penetrationsfähigkeiten dieses Exploits. Obwohl ich immer noch eine infizierte Quelldatei finden muss. RiA vor 7 Jahren 0
Die Tatsache, dass Sie keine Quelle für diese Malware kennen, sagt mir, dass Sie nicht damit spielen sollten. Bitte tun Sie dem Web einen Gefallen und infizieren Sie keine VM, die theoretisch mehr Computer infizieren könnte, wenn Sie nicht den Host und die VM ordnungsgemäß isolieren. Selbst wenn Sie dies tun, werden Sie das Verhalten des Wurms selbst feststellen passt sein Verhalten an, wenn es sich in einem internen Netzwerk befindet Ramhound vor 7 Jahren 1
Ich habe die Frage eindeutig in der falschen Community gestellt. Die Leute sind zu sehr darauf aus, was richtig ist und was nicht, wenn ich klar erwähnte, dass ich Penetrationstests ausprobieren werde. Ich würde das nicht tun, wenn ich nicht wusste, wie man eine VM in einer Sicherheits-Sandbox isoliert. Ich schätze Ihre Eingabe, aber fügen Sie bitte keine unnötigen Informationen hinzu, es sei denn, sie beziehen sich auf das, was ich wollte. Und bitte 'erzähl' dir nichts von mir. RiA vor 7 Jahren 1

2 Antworten auf die Frage

1
JCM

Lassen Sie mich eine dokumentierte Antwort posten, um die Frage zu beantworten ( oder zumindest meistens ).

Im ausführlichen Microsoft Security-Bericht wird darüber informiert , dass für diese Altsysteme ohne den aktualisierten Windows Defender noch nicht der aktualisierte Patch kb4012598 angewendet wurde. Es gibt nur zwei Problemumgehungen:

  • SMBv1 deaktivieren ...
  • Eingehender SMB-Verkehr auf Port 445 blockieren ...

Ich glaube, dass die obige Antwort von MS Ihre Frage beantworten sollte.

Genau die Klarheit, nach der ich gesucht habe. Vielen Dank. RiA vor 7 Jahren 0
0
frank

Power Shell:

$netBTParametersPath = "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters"  IF(Test-Path -Path $netBTParametersPath) {  Set-ItemProperty -Path $netBTParametersPath -Name "SMBDeviceEnabled" -Value 0  }  Set-Service lanmanserver -StartupType Disabled  Stop-Service lanmanserver -Force

Weitere Informationen Deaktivieren der Funktion, mit der Port 445 unter Windows von PowerShell geöffnet wurde

Bitte posten Sie nicht die gleiche Antwort auf mehrere Fragen. Wenn dieselben Informationen tatsächlich beide Fragen beantworten, sollte eine Frage (normalerweise die neuere) als Duplikat der anderen Frage geschlossen werden. Sie können dies angeben, indem Sie [Abstimmung, um es als Duplikat zu schließen] (https://superuser.com/help/privileges/close-questions) oder, falls Sie nicht genügend Ansehen dafür haben, [Flagge setzen] ( https://superuser.com/help/privileges/flag-posts), um anzugeben, dass es sich um ein Duplikat handelt. Ansonsten passen Sie Ihre Antwort auf diese Frage an und fügen Sie dieselbe Antwort nicht einfach an mehreren Stellen ein. DavidPostill vor 7 Jahren 0
Ich habe nicht gefragt, wie ich es reparieren kann. Ich fragte nach dem Netzwerkprotokoll, das entführt und für die Ausbreitung der Infektion verwendet wird, und wenn dies tatsächlich das Protokoll ist, dann würde das Herunterfahren die Versuche, eine Infektion durch dieses Protokoll zu verhindern, beeinträchtigen. RiA vor 7 Jahren 0

Verwandte Probleme