邯郸网络公司浅谈Windows200320082012系统 SMBRDP远程漏洞处理方案 

Windows200320082012系统 SMBRDP远程漏洞处理方案

   2017年4月14日，国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档，其中包含了多个windows远程漏洞利用工具，该工具影响全球70%左右的Windows服务器，为了确保您在紫田网络的服务器安全，请您关注以下漏洞详情以及修复方法。

漏洞名称：Windows系统多个SMB、RDP远程命令执行漏洞

漏洞描述：国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档，其中包含了多个windows远程漏洞利用工具，该工具影响全球70%左右的Windows服务器，可以利用SMB、RDP服务成功入侵服务器。

官方平级：高危

漏洞危害：针对SMB、RDP方面的漏洞，通过发布的工具可以对正在运行的服务器发送特制的数据包，这些漏洞中最严重的可以允许远程执行命令，这会危害到服务器本身以及服务器上运行的数据安全。更有可能获取或者远程添加账号，这样就可以登录服务器为所欲为了。

漏洞利用条件和方式：可以通过发布的工具远程代码执行成功利用该漏洞。

漏洞影响范围：已知受影响的Windows版本包括：Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

漏洞攻击主要端口：135、137、138、445、42

看到以上对漏洞的介绍是不是很担心自己的服务器安全呢，如果您在紫田网络使用的有VPS、云主机、服务器，请您马上按照一些方法对服务器进行操作，提前堵上漏洞，减少损失。

【1】 WIN系列系统补丁打好，WIN2003系统补丁借助QQ管家或者安全狗来更新补丁，2008和2012系统可以用系统自带的自动更新来打补丁，或者用QQ管家或者安全狗来打补丁也可以。

【2】 然后打开防火墙，设置端口过滤。

【3】 最后导入安全策略。

一、【2003】更新系统，借助QQ管家

【2008】更新系统。

二、防火墙设置及端口过滤：

【1】2003系统

观察WINDOWS2003防火墙是否打开,确保打开如下图。

2003系统：

2 点击例外选项卡,确保例外端口,没有

TCP[42、135、137、139、445]，UDP[135、137、138、139]端口

,如果有必须不打勾,打勾就是放行了

【2】WIN2008、2012系统：

20082012系统，2008和2012系统类似，下面以2008系统为例：

观察WINDOWS防火墙是否打开,确保打开如下图

所有程序-控制面板-WINDOWS防护墙

点击高级防火墙打开.

入站策略里

禁用TCP[42,135,137,139,445]，UDP[135,137,138,139]端口

看下图.新建入站策略,第一步选择TCP

然后,TCP禁用完毕,下面重复上面动作,只是把TCP换成UDP.端口改成135,137,138,139

然后完成后如上图,TCP禁用,UDP禁用完毕

三：导入安全策略

下方链接中包含了紫田网络针对此漏洞做的安全策略，可以按照以下方法进行导入。

下载链接: http://pan.baidu.com/s/1dFL3zLR ;密码: vihk

【1】2003系统导入方法：

2003开始菜单-所有程序-管理程序-本地安全策略,选中IP安全策略

在本地计算机,导入解压的策略,并右键指派

最后,右键选择指派

【2】Windows20082012导入安全策略：以2008系统为例，2012系统类似

2008开始菜单-所有程序-管理程序-本地安全策略,选中IP安全策略

导入策略

下一步

下一步

策略有了,最后,右键选择指派