永恒之蓝终端防护方案.doc

永恒之蓝终端防护方案 2017 年 5 月 14 日 对于已经感染设备应急解决方案 1）断开网络连接，阻止进一步扩散。 2）优先检查未感染主机的漏洞状况，做好漏洞加固工作后方可恢复网络 连接。 3）已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统 则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确 认无相关漏洞后再恢复网络连接。 4）上报州数据中心，联系电话：0887-8881968 未感染终端请参照以下防护方案 第一步、利用本地防火墙阻挡防护 1. Win7、Win8、Win10 的处理流程 1）打开控制面板-系统与安全-Windows 防火墙，点击左侧启动或关闭 Windows 防火墙 2）选择启动防火墙，并点击确定 3）点击高级设置 4）点击入站规则，新建规则 5）选择端口，下一步 6）特定本地端口，输入 445，下一步 7）选择阻止连接，下一步 8）配置文件，全选，下一步 9）名称，可以任意输入，完成即可。 2. XP 系统的处理流程 1）依次打开控制面板，安全中心，Windows 防火墙，选择启用 2）点击开始，运行，输入 cmd，确定执行下面三条命令 第二步.关闭 135、137、138、139、445 端口，关闭网络共享也可以避免中招。 （一）方法 1、运行输入“dcomcnfg”； 2、在“计算机”选项右边，右键单击“我的电脑”，选择“属性”； 3、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计 算机上启用分布式 COM”前的勾； 4、选择“默认协议”选项卡，选中“面向连接的 TCP/IP”，单击“删除”按 钮。 （二）关闭 135、137、138 端口 在网络邻居上点右键选属性，在新建好的连接上点右键选属性再选择网络选 项卡，去掉 Microsoft 网络的文件和打印机共享，以及 Microsoft 网络客 户端的复选框。这样就关闭了共享端 135 、137、138 端口。 （三）关闭 139 端口 139 端口是 NetBIOSSession 端口，用来文件和打印共享。关闭 139 的方法 是：在“网络和拨号连接”中的“本地连接”中，选取“Internet 协议 (TCP/IP)”属性，进入“高级 TCP/IP 设置”“WINS 设置”里面，有一项“禁 用 TCP/IP 的 NETBIOS ”，打勾就可关闭 139 端口。 （四）关闭 445 端口 开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Paramet ers，新建名为“SMBDeviceEnabled”的 DWORD 值，并将其设置为 0，则可关 闭 445 端口 第二步.手动下载安装补丁 补丁下载地址 win7 : https://mirror.sdu.edu.cn/ms17-010/win7/ win8 : https://mirror.sdu.edu.cn/ms17-010/win8/ windows xp 及以下版本的操作系统：下载第三方免疫工具进行防护，下 载地址：http:// dl.360safe.com/nsa/nsatool.exe 。 请根据自己的电脑系统进行下载安装。