Symantec赛门铁克企业版本防火墙怎么防止勒索病毒Symantec赛门铁克关闭137,138,139,445端口

我是否受到WannaCry勒索软件的保护?

Symantec Data Center Security:Server Advanced IPS可针对WannaCry Ransomware提供保护。所有三个级别的Symantec DCS:SA策略Windows 6.0基本,强化和白名单以及所有5.2.9策略(限制执行,严格和核心)可防止勒索软件攻击将恶意可执行文件丢弃到系统上。  

有关WannaCry的更多信息,请访问Symantec的WannaCry Outbreak页面

赛门铁克为我们的终端客户提供哪些保护?

客户可以通过两种基本方式来抵御此威胁:

1.安装了Windows安全更新MS17-010的客户不容易受到此威胁。

2. DCS:SA在未安装补丁的计算机上提供一系列防范此威胁的保护:

  • IPS策略可防止恶意软件在系统上被丢弃或执行。
  • 能够阻止入站SMB流量
  • 如果没有使用完整的IPS能力来应用目标IPS策略来阻止WannaCry恶意软件的执行

其他保护细节

对于未使用SMB或Windows网络文件共享功能的客户系统,尤其是面向外部的服务器,最佳做法是通过配置阻止SMB网络流量的防护策略规则来减少网络攻击面。这可以通过编辑内核和全局网络规则轻松完成

  • 从Java控制台,编辑Windows 6.0策略
  • 单击“高级” - >“沙箱”
  • 在“内核驱动程序选项”下,单击“编辑
  • 在网络控制下
  • 添加以下入站网络规则:
    • 操作:拒绝,协议:TCP和UDP,本地端口:137,远程IP:任何,远程端口:任何
    • 操作:拒绝,协议:TCP和UDP,本地端口:138,远程IP:任何,远程端口:任何
    • 操作:拒绝,协议:TCP和UDP,本地端口:139,远程IP:任何,远程端口:任何
    • 行动:拒绝,协议:TCP,本地端口:445,远程IP:任何,远程端口:任何
  • 添加以下出站网络规则:
    • 操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:137
    • 操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:138
    • 操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:139
    • 行动:拒绝,协议:TCP,本地端口:任何,远程IP:任何,远程端口:445
  • 在策略编辑器中导航回Home
  • 单击高级 - >全局策略选项
  • 在网络控制下
  • 添加以下入站网络规则:
    • 操作:拒绝,协议:TCP和UDP,本地端口:137,远程IP:任何,远程端口:任何,程序路径:*
    • 操作:拒绝,协议:TCP和UDP,本地端口:138,远程IP:任何,远程端口:任何,程序路径:*
    • 操作:拒绝,协议:TCP和UDP,本地端口:139,远程IP:任何,远程端口:任何,程序路径:*
    • 操作:拒绝,协议:TCP,本地端口:445,远程IP:任何,远程端口:任何,程序路径:*
  • 添加以下出站网络规则:
    • 操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任何,远程端口:137,程序路径:*
    • 操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任意,远程端口:138,程序路径:*
    • 操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任意,远程端口:139,程序路径:*
    • 操作:拒绝,协议:TCP,本地端口:任意,远程IP:任何,远程端口:445,程序路径:*
  • 保存政策

为了对开箱即用的内容提供额外的保护,可以通过将可执行的哈希值放在全局禁用列表中来阻止执行WannaCry勒索软件的所有已知变体。要向列表添加哈希:

  • 从Java控制台,编辑Windows 6.0 Basic或Hardened Policy
  • 单击高级 - >全局策略选项
  • 在全局策略列表下,编辑“服务不应该启动的进程列表[global_svc_child_norun_list]”
  • 单击“添加”按钮以添加参数列表条目
  • 在“输入参数列表”对话框中
    • 输入“*”作为程序路径
    • 对于File Hash,单击右侧的“...”按钮
    • 在“文件哈希编辑器”对话框中,单击“添加”
      • 输入文件的MD5或SHA256哈希值
      • 在File Hash Editor对话框窗口中单击Ok
    • 在Entry in参数列表窗口中单击Ok
  • 为每个哈希值


10-23 00:29