Symantec赛门铁克企业版本防火墙怎么防止勒索病毒Symantec赛门铁克关闭137,138,139,445端口
我是否受到WannaCry勒索软件的保护?
Symantec Data Center Security:Server Advanced IPS可针对WannaCry Ransomware提供保护。所有三个级别的Symantec DCS:SA策略Windows 6.0基本,强化和白名单以及所有5.2.9策略(限制执行,严格和核心)可防止勒索软件攻击将恶意可执行文件丢弃到系统上。
有关WannaCry的更多信息,请访问Symantec的WannaCry Outbreak页面。
赛门铁克为我们的终端客户提供哪些保护?
客户可以通过两种基本方式来抵御此威胁:
1.安装了Windows安全更新MS17-010的客户不容易受到此威胁。
2. DCS:SA在未安装补丁的计算机上提供一系列防范此威胁的保护:
- IPS策略可防止恶意软件在系统上被丢弃或执行。
- 能够阻止入站SMB流量
- 如果没有使用完整的IPS能力来应用目标IPS策略来阻止WannaCry恶意软件的执行
其他保护细节
对于未使用SMB或Windows网络文件共享功能的客户系统,尤其是面向外部的服务器,最佳做法是通过配置阻止SMB网络流量的防护策略规则来减少网络攻击面。这可以通过编辑内核和全局网络规则轻松完成
- 从Java控制台,编辑Windows 6.0策略
- 单击“高级” - >“沙箱”
- 在“内核驱动程序选项”下,单击“编辑
- 在网络控制下
- 添加以下入站网络规则:
- 操作:拒绝,协议:TCP和UDP,本地端口:137,远程IP:任何,远程端口:任何
- 操作:拒绝,协议:TCP和UDP,本地端口:138,远程IP:任何,远程端口:任何
- 操作:拒绝,协议:TCP和UDP,本地端口:139,远程IP:任何,远程端口:任何
- 行动:拒绝,协议:TCP,本地端口:445,远程IP:任何,远程端口:任何
- 添加以下出站网络规则:
- 操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:137
- 操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:138
- 操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:139
- 行动:拒绝,协议:TCP,本地端口:任何,远程IP:任何,远程端口:445
- 在策略编辑器中导航回Home
- 单击高级 - >全局策略选项
- 在网络控制下
- 添加以下入站网络规则:
- 操作:拒绝,协议:TCP和UDP,本地端口:137,远程IP:任何,远程端口:任何,程序路径:*
- 操作:拒绝,协议:TCP和UDP,本地端口:138,远程IP:任何,远程端口:任何,程序路径:*
- 操作:拒绝,协议:TCP和UDP,本地端口:139,远程IP:任何,远程端口:任何,程序路径:*
- 操作:拒绝,协议:TCP,本地端口:445,远程IP:任何,远程端口:任何,程序路径:*
- 添加以下出站网络规则:
- 操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任何,远程端口:137,程序路径:*
- 操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任意,远程端口:138,程序路径:*
- 操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任意,远程端口:139,程序路径:*
- 操作:拒绝,协议:TCP,本地端口:任意,远程IP:任何,远程端口:445,程序路径:*
- 保存政策
为了对开箱即用的内容提供额外的保护,可以通过将可执行的哈希值放在全局禁用列表中来阻止执行WannaCry勒索软件的所有已知变体。要向列表添加哈希:
- 从Java控制台,编辑Windows 6.0 Basic或Hardened Policy
- 单击高级 - >全局策略选项
- 在全局策略列表下,编辑“服务不应该启动的进程列表[global_svc_child_norun_list]”
- 单击“添加”按钮以添加参数列表条目
- 在“输入参数列表”对话框中
- 输入“*”作为程序路径
- 对于File Hash,单击右侧的“...”按钮
- 在“文件哈希编辑器”对话框中,单击“添加”
- 输入文件的MD5或SHA256哈希值
- 在File Hash Editor对话框窗口中单击Ok
- 在Entry in参数列表窗口中单击Ok
- 为每个哈希值