Symantec赛门铁克企业版本防火墙怎么防止勒索病毒Symantec赛门铁克关闭137,138,139,445端口
我是否受到WannaCry勒索软件的保护?
Symantec Data Center Security:Server Advanced IPS可针对WannaCry Ransomware提供保护。所有三个级别的Symantec DCS:SA策略Windows 6.0基本,强化和白名单以及所有5.2.9策略(限制执行,严格和核心)可防止勒索软件攻击将恶意可执行文件丢弃到系统上。
有关WannaCry的更多信息,请访问。
赛门铁克为我们的终端客户提供哪些保护?
客户可以通过两种基本方式来抵御此威胁:
1.安装了Windows安全更新MS17-010的客户不容易受到此威胁。
2. DCS:SA在未安装补丁的计算机上提供一系列防范此威胁的保护:
-
IPS策略可防止恶意软件在系统上被丢弃或执行。
-
能够阻止入站SMB流量
-
如果没有使用完整的IPS能力来应用目标IPS策略来阻止WannaCry恶意软件的执行
其他保护细节
对于未使用SMB或Windows网络文件共享功能的客户系统,尤其是面向外部的服务器,最佳做法是通过配置阻止SMB网络流量的防护策略规则来减少网络攻击面。这可以通过编辑内核和全局网络规则轻松完成
-
从Java控制台,编辑Windows 6.0策略
-
单击“高级” - >“沙箱”
-
在“内核驱动程序选项”下,单击“编辑
-
在网络控制下
-
添加以下入站网络规则:
-
操作:拒绝,协议:TCP和UDP,本地端口:137,远程IP:任何,远程端口:任何
-
操作:拒绝,协议:TCP和UDP,本地端口:138,远程IP:任何,远程端口:任何
-
操作:拒绝,协议:TCP和UDP,本地端口:139,远程IP:任何,远程端口:任何
-
行动:拒绝,协议:TCP,本地端口:445,远程IP:任何,远程端口:任何
-
添加以下出站网络规则:
-
操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:137
-
操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:138
-
操作:拒绝,协议:TCP和UDP,本地端口:任何,远程IP:任何,远程端口:139
-
行动:拒绝,协议:TCP,本地端口:任何,远程IP:任何,远程端口:445
-
在策略编辑器中导航回Home
-
单击高级 - >全局策略选项
-
在网络控制下
-
添加以下入站网络规则:
-
操作:拒绝,协议:TCP和UDP,本地端口:137,远程IP:任何,远程端口:任何,程序路径:*
-
操作:拒绝,协议:TCP和UDP,本地端口:138,远程IP:任何,远程端口:任何,程序路径:*
-
操作:拒绝,协议:TCP和UDP,本地端口:139,远程IP:任何,远程端口:任何,程序路径:*
-
操作:拒绝,协议:TCP,本地端口:445,远程IP:任何,远程端口:任何,程序路径:*
-
添加以下出站网络规则:
-
操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任何,远程端口:137,程序路径:*
-
操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任意,远程端口:138,程序路径:*
-
操作:拒绝,协议:TCP和UDP,本地端口:任意,远程IP:任意,远程端口:139,程序路径:*
-
操作:拒绝,协议:TCP,本地端口:任意,远程IP:任何,远程端口:445,程序路径:*
-
保存政策
为了对开箱即用的内容提供额外的保护,可以通过将可执行的哈希值放在全局禁用列表中来阻止执行WannaCry勒索软件的所有已知变体。要向列表添加哈希:
-
从Java控制台,编辑Windows 6.0 Basic或Hardened Policy
-
单击高级 - >全局策略选项
-
在全局策略列表下,编辑“服务不应该启动的进程列表[global_svc_child_norun_list]”
-
单击“添加”按钮以添加参数列表条目
-
在“输入参数列表”对话框中
-
输入“*”作为程序路径
-
对于File Hash,单击右侧的“...”按钮
-
在“文件哈希编辑器”对话框中,单击“添加”
-
输入文件的MD5或SHA256哈希值
-
在File Hash Editor对话框窗口中单击Ok
-
在Entry in参数列表窗口中单击Ok
-
为每个哈希值
-
阅读(1436) | 评论(0) | 转发(0) |
