Яке значення патчу MS17-010 та дезактивації SMBv1 пов'язано з WannaCry? Чи видаляє це зловмисне програмне забезпечення або просто перешкоджає його поширенню?

Я багато з цього приводу гугла, але не могла знайти відповіді.

Мені хотілося б зрозуміти, якщо виправлення Windows із оновленням MS17-010 не дозволить WannaCry встановити / виконати зловмисне програмне забезпечення або просто запобіжить поширенню зловмисного програмного забезпечення (одного разу встановленого на певному ПК та, отже, зараження ним) через інтранет?

Крім того, якщо патч MS17-010 встановлений належним чином, чи є користь від відключення SMBv1? Або сам патч MS17-010 можна вважати достатньою?

Останнє питання / сумнів: перед відключенням SMBv1, як бути впевненим, що це не вплине на продуктивність / надійність мережі?

По-перше, трохи передмови. Патч MS17-010 включений у всі групи оновлень для Windows 7, 8.1 та 10 з березня. Отже, якщо у вас встановлені аплікаційні оновлення в квітні чи травні (або новіші) , вам не потрібно (і не буде встановлено) конкретний номер KB, пов'язаний з патчем MS17-010.

Однак якщо ви вирішили встановлювати лише оновлення, що стосуються лише безпеки , вам потрібно буде встановити перший березень. Якщо ви спеціально не вибрали цей шлях, ви повинні бути на сукупності. Найбезпечніша ставка - це просто дозволити Windows оновлювати все до тих пір, поки не скаже, що це актуально.

^{Це насправді стосується всіх патчів безпеки, а не лише цього.}

запобігає встановленню / виконанню зловмисного програмного забезпечення WannaCry

Патч MS17-010 не робить нічого для того, щоб зупинити викуп програмного забезпечення. Якщо ви завантажите exe і запустите його, він все одно зробить свою справу і зашифрує ваші файли. Наприклад, вектор первинної інфекції у більшості мереж здійснювався через вкладення електронної пошти, IIRC. Це не нове для викупних програм.

Однак черв'ячна частина програми - це те, що сприяє її поширенню по мережах. Це вражає реалізації SMBv1 на цільовому комп'ютері, тобто комп'ютер черв'як поширюється на , що не з .. Тому MS17-010 патч повинен бути встановлений кожен апарат для Windows в мережі.

Як правило, NAT або брандмауери на межі мережі запобігають поширенню через Інтернет.

просто перешкоджайте поширенню зловмисного програмного забезпечення (одного разу встановленого на певному ПК та тому зараження ним) через інтранет

Патч нічого не допомагає вже зараженому комп’ютеру. Це корисно лише в тому випадку, якщо він встановлений на інших незаражених комп'ютерах у мережі.

Чи є якісь переваги відключення SMBv1?

Не безпосередньо для WannaCry / EternalBlue, оскільки патч MS17-010 фіксує саме цей отвір. Однак глибока захист запропонує вимкнути SMBv1 у будь-якому випадку, якщо вам це не знадобиться, оскільки це зменшує атакуючі поверхні та мінімізує збитки, якщо з’явиться ще одна невідома на сьогодні помилка SMBv1. Зважаючи на те, що Vista та новіша підтримка SMBv2, не повинно бути необхідним підтримувати SMBv1, якщо вам не потрібно обмінюватися файлами з XP. Я сподіваюся, що це не так.

перш ніж відключити SMBv1, як бути впевненим, що це не вплине на продуктивність / надійність мережі?

Найбільш очевидний ефект - ви більше не зможете використовувати спільний доступ до файлів Windows з будь-якою системою XP.

Згідно з розміщеною посиланням на посилання та коментарями до них, це може заважати вашому комп'ютеру відображатися у списку "мережа" або використовувати його. Ви все одно можете отримати доступ до них, ввівши в списку \\computernameі побачити їх у списку, використовуючи домашні групи (або Active Directory у бізнес-середовищі).

Інший виняток, як закликано в цій публікації блогу, - це старі мережеві фотокопіювальні апарати / сканери, які мають функцію "сканування для спільного використання", можливо, не підтримують сучасний протокол SMB.