What is the implication of MS17-010 patch and SMBv1 deactivation related to WannaCry? Does it remove the malware or just stop it from propagating?
I googled a lot about this but could not find the answer.
I would like to understand if patching Windows with the MS17-010 update will prevent WannaCry malware from installing/executing or just prevent the malware (once installed on a certain PC and therefore infecting it) from propagating through the intranet?
Кроме того, если исправление MS17-010 установлено правильно, есть ли преимущества от отключения SMBv1? Или сам патч MS17-010 можно считать достаточно?
Последний вопрос / сомнение: перед отключением SMBv1, как быть уверенным, что это не повлияет на производительность / надежность сети?
1 ответ
Сначала небольшое предисловие. Патч MS17-010 включен во все накопительные пакеты обновления для Windows 7, 8.1 и 10, начиная с марта. Поэтому, если у вас установлены апрельские или майские (или более новые) накопительные обновления, вам не нужен (и не будет установлен) конкретный номер KB, связанный с патчем MS17-010.
Тем не менее, если вы решили устанавливать только обновления для системы безопасности, вам необходимо установить мартовские обновления. Если вы специально не выбрали этот путь, вы должны быть в сводках. Самая надежная ставка - просто позволить Windows обновлять все, пока не появится обновление.
Это на самом деле касается всех исправлений безопасности, а не только этого.
предотвратит установку / выполнение вредоносного ПО WannaCry
Патч MS17-010 ничего не делает для остановки самого вымогателя. Если вы скачаете исполняемый файл и запустите его, он все равно сделает свое дело и зашифрует ваши файлы. Например, основной вирус заражения в большинстве сетей был через вложения электронной почты, IIRC. В этом нет ничего нового для вымогателей.
Тем не менее, червячная часть программы - это то, что облегчает ее распространение по сетям. Это атакует реализацию SMBv1 на конечном компьютере, то есть на компьютере, на который распространяется червь, а не на него. Поэтому исправление MS17-010 должно быть установлено на каждом компьютере Windows в сети.
Обычно NAT или межсетевые экраны на границе сети предотвращают распространение через Интернет.
просто предотвратите распространение вредоносной программы (однажды установленной на определенном ПК и заражающей его) через интрасеть
Патч не помогает уже зараженному компьютеру. Это полезно, только если установлено на других незараженных компьютерах в сети.
Есть ли преимущества от отключения SMBv1?
Непосредственно для WannaCry/EternalBlue, так как патч MS17-010 исправляет это конкретное отверстие. Тем не менее, глубокоэшелонированная защита предполагает отключение SMBv1 в любом случае, если вам это не нужно, поскольку это уменьшает поверхности атаки и минимизирует урон в случае появления еще одной неизвестной в настоящее время ошибки SMBv1. Учитывая, что Vista и новее поддерживают SMBv2, не нужно поддерживать SMBv1 включенным, если вам не нужно обмениваться файлами с XP. Я надеюсь, что это не так.
перед отключением SMBv1, как быть уверенным, что это не повлияет на производительность / надежность сети?
Наиболее очевидный эффект - вы больше не сможете использовать общий доступ к файлам Windows с любыми системами XP.
В соответствии с размещенными ссылками и комментариями, это может помешать вашему компьютеру появиться в списке или использовать "сетевой" список. Вы по-прежнему можете получить к ним доступ, набрав в \\computername и увидеть их в списке, используя домашние группы (или Active Directory в бизнес-среде).
Другое исключение, упомянутое в этом сообщении в блоге, - это старые сетевые копировальные аппараты / сканеры, которые имеют функцию "сканирования для обмена", возможно, не поддерживают современный протокол SMB.