web-dev-qa-db-ja.com

WannaCryに関連するMS17-010パッチとSMBv1非アクティブ化の影響は何ですか?マルウェアを削除しますか、それとも単に繁殖を停止しますか?

私はこれについてたくさんググりましたが、答えを見つけることができませんでした。

MS17-01 アップデートでWindowsにパッチを適用すると、WannaCryマルウェアのインストール/実行が妨げられるか、マルウェア(特定のPCにインストールされて感染する)が、イントラネット?

また、MS17-010パッチが適切にインストールされている場合、SMBv1を無効にすることによるメリットはありますか?または、MS17-010パッチ自体で十分と考えられますか?

最後の質問/疑問:SMBv1を無効にする前に、これがネットワークのパフォーマンス/信頼性に影響を与えないことを確認するにはどうすればよいですか?

9
Antony

まず、少し序文。 MS17-010パッチは、3月以降のWindows 7、8.1、および10のすべての更新プログラムのロールアップに含まれています。したがって、4月または5月(またはそれ以降)のrollupアップデートがインストールされている場合、特定のKBは必要ありません(インストールされていません)。 -numberはMS17-010パッチにリンクされています。

ただし、security-only更新のみをインストールすることを選択した場合は、特に3月の更新をインストールする必要があります。このパスを具体的に選択していない限り、ロールアップする必要があります。最も安全な方法は、最新の状態になるまでWindowsにすべてを更新させることです。

これは現在、これだけでなく、現在のすべてのセキュリティパッチに当てはまります。

wannaCryマルウェアがインストール/実行するのを防ぎます

MS17-010パッチは、ランサムウェア自体を停止するものではありません。 exeをダウンロードして実行しても、ファイルは暗号化されて暗号化されます。たとえば、ほとんどのネットワークでの主な感染経路は、電子メールの添付ファイルIIRCによるものでした。これはランサムウェアにとって新しいものではありません。

ただし、プログラムのワーム部分は、ネットワークを介した拡散を容易にするものです。これは、destinationコンピューター上のSMBv1実装を攻撃します。つまり、ワームがtofrom。ではなく、MS17-010パッチをインストールする必要がありますeveryネットワーク上のWindowsマシン。

一般に、NATまたはネットワークエッジのファイアウォールは、インターネットを介した拡散を防ぎます。

マルウェア(特定のPCにインストールされ、感染した場合)がイントラネットを介して繁殖するのを防ぐ

この更新プログラムは、既に感染しているコンピュータを支援するものではありません。これは、ネットワーク上の他の感染していないコンピュータにインストールされている場合にのみ役立ちます。

sMBv1を無効にすることの利点はありますか?

MS17-010パッチがこの特定の穴を修正するため、WannaCry/EternalBlueには直接適用されません。ただし、多層防御は、必要でない限り、とにかくSMBv1を無効にすることをお勧めします。これにより、現在未知のSMBv1が他にあれば、攻撃対象が減り、損傷が最小限に抑えられます。バグ。 Vista以降はSMBv2をサポートしているため、XPでファイルを共有する必要がない限り、SMBv1を有効にしておく必要はありません。そうでないことを願っています。

sMBv1を無効にする前に、これがネットワークのパフォーマンス/信頼性に影響しないことを確認するにはどうすればよいですか?

最も明らかな効果は、どのXPシステムでもWindowsファイル共有を使用できなくなることです。

投稿されたリンクの重大度 とそこのコメントに従って、これはコンピュータが「ネットワーク」リストに表示されたり使用したりできないようにする可能性があります。 \\computernameと入力すると、引き続きアクセスでき、ホームグループ(またはビジネス環境のActive Directory)を使用してリストに表示されます。

そのブログ投稿で指摘されている他の例外は、「共有してスキャン」機能を備えた古いネットワークコピー機/スキャナーであり、最新のSMBプロトコルをサポートしていない可能性があります。

11
Bob