Ý nghĩa của bản vá MS17-010 và việc hủy kích hoạt SMBv1 liên quan đến WannaCry là gì? Nó có loại bỏ phần mềm độc hại hay chỉ ngăn chặn nó lan truyền?

Tôi đã googled rất nhiều về điều này nhưng không thể tìm thấy câu trả lời.

Tôi muốn hiểu nếu việc vá Windows bằng bản cập nhật MS17-010 sẽ ngăn phần mềm độc hại WannaCry cài đặt / thực thi hoặc chỉ ngăn phần mềm độc hại (một khi được cài đặt trên một PC nào đó và do đó lây nhiễm qua mạng nội bộ?

Ngoài ra, nếu bản vá MS17-010 được cài đặt đúng cách, có bất kỳ lợi ích nào từ việc vô hiệu hóa SMBv1 không? Hoặc bản vá MS17-010 có thể được coi là đủ?

Câu hỏi / nghi ngờ cuối cùng: trước khi vô hiệu hóa SMBv1, làm thế nào để chắc chắn rằng điều này sẽ không ảnh hưởng đến hiệu suất / độ tin cậy của mạng?

Đầu tiên, một lời nói đầu nhỏ. Bản vá MS17-010 được bao gồm trong tất cả các bản cập nhật cho Windows 7, 8.1 và 10 từ tháng 3 trở đi. Vì vậy, nếu bạn đã cài đặt các bản cập nhật rollup tháng 4 hoặc tháng 5 (hoặc mới hơn) , bạn không cần (và sẽ không cài đặt) số KB cụ thể được liên kết với bản vá MS17-010.

Tuy nhiên, nếu bạn đã chọn chỉ cài đặt các bản cập nhật chỉ bảo mật , thì bạn sẽ cần phải cài đặt bản cập nhật. Trừ khi bạn đặc biệt chọn con đường này, bạn nên tham gia. Đặt cược an toàn nhất là chỉ để Windows cập nhật mọi thứ cho đến khi nó cập nhật.

^{Đây thực sự là trường hợp cho tất cả các bản vá bảo mật, không chỉ bản vá này.}

sẽ ngăn phần mềm độc hại WannaCry cài đặt / thực thi

Bản vá MS17-010 không làm gì để ngăn chặn chính ransomware. Nếu bạn tải xuống exe và chạy nó, nó vẫn sẽ làm điều đó và mã hóa các tệp của bạn. Ví dụ, vectơ lây nhiễm chính trên hầu hết các mạng là thông qua các tệp đính kèm email, IIRC. Điều này không có gì mới đối với ransomware.

Tuy nhiên, phần sâu của chương trình là điều tạo điều kiện cho sự lây lan của nó thông qua các mạng. Điều này tấn công triển khai SMBv1 trên máy tính đích , tức là máy tính mà sâu đang lây lan sang chứ không phải từ .. Do đó, bản vá MS17-010 phải được cài đặt cho mọi máy Windows trên mạng.

Nói chung, NAT hoặc tường lửa ở rìa mạng ngăn chặn sự lây lan qua internet.

chỉ cần ngăn phần mềm độc hại (một khi được cài đặt trên một PC nhất định và do đó lây nhiễm nó) lây lan qua mạng nội bộ

Bản vá không giúp được gì cho máy tính đã bị nhiễm. Nó chỉ hữu ích nếu được cài đặt trên các máy tính không bị nhiễm khác trên mạng.

Có bất kỳ lợi ích nào của việc vô hiệu hóa SMBv1 không?

Không trực tiếp cho WannaCry / EternalBlue, vì bản vá MS17-010 sửa lỗ hổng đặc biệt này. Tuy nhiên, phòng thủ theo chiều sâu sẽ đề nghị vô hiệu hóa SMBv1 trừ khi bạn cần, vì nó làm giảm bề mặt tấn công và giảm thiểu thiệt hại nếu có một lỗi SMBv1 khác hiện chưa biết. Do Vista và mới hơn hỗ trợ SMBv2, không cần phải bật SMBv1 trừ khi bạn cần chia sẻ tệp với XP. Tôi hy vọng đó không phải là trường hợp.

trước khi vô hiệu hóa SMBv1, làm thế nào để chắc chắn rằng điều này sẽ không ảnh hưởng đến hiệu suất / độ tin cậy của mạng?

Hiệu quả rõ ràng nhất là bạn sẽ không còn có thể sử dụng chia sẻ tệp Windows với bất kỳ hệ thống XP nào.

Theo tính liên kết được đăng và các bình luận ở đó, điều này có thể ngăn máy tính của bạn hiển thị trong hoặc sử dụng danh sách "mạng". Bạn vẫn có thể truy cập chúng bằng cách nhập vào \\computernamevà xem chúng được liệt kê bằng cách sử dụng các nhóm nhà (hoặc Active Directory trong môi trường kinh doanh).

Một ngoại lệ khác như được gọi ra trong bài đăng trên blog đó là máy quét / máy quét mạng cũ có chức năng "quét để chia sẻ" có thể không hỗ trợ giao thức SMB hiện đại.