Андрей Макронович предлагает Вам запомнить сайт «Космос»
Вы хотите запомнить сайт «Космос»?
Да Нет
×
Прогноз погоды

Без Космоса нет будущего!

Поиск по блогу

Запомнить
Читать

О сайте

Набор скриптов для защиты компьютеров от WannaCry

развернуть

Николай Казанцев

15 Мая, 2017

Николай Казанцев

Шифровальщик WannaCry решительно внес корректировки в выходные дни
планы работ ИТ и ИБ специалистов по всему миру. Ключевым вопросом после "что происходит" стал "как защититься от шифровальщика WannaCry". Об этом много написано, но остается вопрос - как защитить инфраструктуру компании и личные компьютеры пользователей от WannaCry быстро и эффективно. В моем понимании это означает автоматизировано. Далее опишу созданный для этих целей набор скриптов WannaCryDefender.

Если убрать шелуху то защита узла от WannaCry сводится к 2 базовым задачам:
  1. Установка обновлений или экстренных патчей Microsoft
    И / ИЛИ
  2. Отключение протокола SMB 1
Если в инфраструктуре нет XP/2003 то достаточно на всех узлах отключить SMB 1. Но далее буду рассматривать сложный вариант инфраструктуры, с зоопарком операционных систем и отсутствием надежных систем централизованного контроля узлов.
Получается такой набор задач:
Набор скриптов для защиты компьютеров от WannaCry
Что нужно сделать для защиты от WannaCry
При установке патчей следует учитывать, что для каждой ОС патч свой. Кроме того, патчи для x86 и x64 версий различаются.

Алгоритм защиты

Исходя из описанной задачи алгоритм выглядит следующим образом:
  1. Определить версию ОС
  2. Определить разрядность ОС
  3. В зависимости от версии и разрядности ОС выбрать патч
  4. Проверить, установлен ли этот патч в ОС
  5. Если патч не установлен - установить.
  6. В зависимости от версии ОС отключить (или не отключать) SMB 1 тем или иным образом.
  7. Сохранить результаты работы программы
  8. Сохранить результаты установки патча в ОС (eventlog)

Реализация

Получившийся набор скриптов состоит из:

  1. WannaCryDefender.bat - скрипт для запуска в корпоративном домене
  2. WannaCryDefenderLocal.bat - скрипт для запуска на автономных персональных компьютерах
  3. RunWannaCryDefender.ps1 - дополнительный скрипт для принудительного запуска на всех/части компьютерах домена
  4. EnableSMB1.bat - дополнительный скрипт для включения SMB 1, на случай проблем с принтерами и сетевыми папками
  5. Distr - каталог с патчами MS
  6. Logs - каталог с логами работы скрипта и Eventlog событий установки патчей

Запуск в доменной инфраструктуре

Скрипты, патчи и логи размещаются в доступной всем компьютерам сетевой папке. Права для папки Logs на запись а остальное на чтение.

Через GPO настраивается запуск скрипта из сетевой папки на всех компьютерах при их включении.

Для срочного запуска скрипта на всех или части компьютеров используется RunWannaCryDefender.ps1, который берет все компьютеры из нужного юнита AD и запускает на них WannaCryDefender.bat через psexec.

Работу с серверными ОС рекомендую проводить хоть и с использованием скрипта в полу-ручном режиме, с постоянным тестированием работоспособности. Патчи MS от WannaCry, как показала практика, могут приводить к выходу серверных компонент из строя.

После первого запуска скрипта в домене в папке Logs появляются записи по каждому компьютеру об успешном отключении SMB 1 и файлы eventlog событий установки патчей. При повторном запуске скрипта в логах появляется информация о уже установленных на компьютере патчах.
Если остается ощущение что где то остались непропатченые компьютеры то можно еще пройтись скриптом - сканером от RVision.

Запуск на автономных компьютерах

Под автономными компьютерами в данном контексте следует понимать не только корпоративные узлы, не входящие в доменную инфраструктуру, но и личные компьютеры ваших сотрудников, клиентов, родителей и знакомых. Ведь защита от WannaCry нужна всем.
Из набора нужен только скрипт WannaCryDefenderLocal.bat и папка с дистрибутивами. Различия в скрипте от корпоративного только в том, что он сохраняет логи не на сетевую папку, а в свою корневую.
Для запуска на Win 10 папка с дистрибутивами не нужна вовсе, т.к. в данной реализации скрипт на Win 10 только отключает SMB 1.
Для облегчения использования скрипта пользователями сделана максимально простая инструкция: Инструкция по защите компьютера от атак вируса шифровальщика WannaCry
В конечном счете пользователю отправляется только ссылка на инструкцию, из которой уже он получает ссылку на скрипт.
Если речь идет о внешних компьютерах, подключающихся к корпоративной сети по VPN, то перед подключением пользователи предоставляют результаты работы скрипта (log файлы) как подтверждение защищенности своего компьютера от WannaCry.

Оригинальные патчи MS

Если ваша паранойя находится на правильном уровне то вы не будете использовать патчи, которые я разместил в комплекте с скриптами, а скачаете их с сайта MS. Сам бы так сделал. Вот тут есть подборка прямых ссылок. Обращаю внимание что патчи нужно переименовать по шаблону для правильной работы скрипта.

Скачать

Буду рад если этот набор скриптов окажется полезен и убережет вас, ваши инфраструктуры и близких от технических потерь и плохого настроения.

Опубликовано 17.05.2017 в 07:08

Комментарии

Показать предыдущие комментарии (показано %s из %s)
Юрий В Радюшин
Юрий В Радюшин 17 мая, в 07:14 К счастью, меня сей зловред избежал!
Но ежели кто подцепил, кидаю данную тему - может кому и пригодится. Всем удачи:) :) :)
Текст скрыт развернуть
1
Показать новые комментарии
Показаны все комментарии: 1
Комментарии Facebook
Блог
Межзвездный астероид Оумуаму начал раскрывать ученым свои тайны
22 ноя, 07:26
+14 1
Жорес Алфёров: «Если бы не 90-е годы, айфоны сейчас выпускали бы у нас»
17 ноя, 07:24
+12 4
Двигатель и крыло
17 ноя, 07:21
+18 7
«Мир и антимир» части 1, и далее
30 окт, 06:29
+3 0

Последние комментарии

Тимур Бикметов
Юрий В Радюшин
Хамить подобно "Глебычу" - то не стоит!
Юрий В Радюшин Двигатель и крыло
Евгений Шеньшин
Владислав Малиновский
СЕРГЕЙ СОХАНЬ
Дионисий Воловед
Владимир Барышев
федот
Молодчина и автор и Юрий Радюшин,в самый раз для егэшников-,,авиятороф'.'
федот Двигатель и крыло
Сергей Иванов
Ахинея!
Сергей Иванов Двигатель и крыло
Глеб Глебыч
Vova Timushev
кувырок чего м поля или земли??
Vova Timushev В США меняют маркировку взлетных полос. Земля скоро совершит кувырок?
Александр Самсонов
M-s Арх.
Юрий В Радюшин
Михаил Анохин
Александр Ник
radiofree RF
Большое спасибо,не заметил,наверное привык пользоваться буквой Е.
radiofree RF Если хотите знать историю буквы "Ё"...
александр лисяков
Ё, левее единицы!
александр лисяков Если хотите знать историю буквы "Ё"...
radiofree RF
А почему на клаве энту букву не сделали.))))))))))))))))))
radiofree RF Если хотите знать историю буквы "Ё"...
Аристарх Сергеевич Неизвестный
Павел Васильев
Юрий В Радюшин
Ну и что дальше?
Юрий В Радюшин «Как можем мы, атеисты, не симпатизировать такой религии?»
Павел Васильев
вага карлито
Владимир Сабакарь
Сергей Ефимов
Владимир Сабакарь
Владимир Сабакарь
Сергей Ефимов
Gena Lipatov
Меняется вес или масса маховика?
Gena Lipatov Гравитация – это не притяжение или что такое гравитация.
Александр
Лейла Турманова
Владимир Сабакарь
Сергей Ефимов
Владимир Сабакарь
Сергей Ефимов
Владимир Сабакарь
Сергей Ефимов
Владимир Сабакарь
Сергей Ефимов
Владимир Сабакарь
Владимир Сабакарь
Сергей Ефимов
Владимир Сабакарь
Владимир Сабакарь
Контузия это не просто так....
Владимир Сабакарь Гравитация – это не притяжение или что такое гравитация.
Владимир Сабакарь
Владимир Сабакарь
Владимир Калинычев
Владимир Калинычев
Дмитрий Самойленко