问题描述:
1)某单位300台客户端有50%计算机自动重启、蓝屏
2)怀疑中病毒
3)通过将种服务器关机排除,非服务器影响
4)通过打补丁发现,因更新2个补丁后,电脑 不重启了
关键的补丁还是要打,
Windows 7 KB4012212
Windows 2008 R2的KB4012598
5)一直以为所有补丁通过某杀毒软件自动更新,但大多数未更新
解决方法:
1) 杀毒软件怀疑是勒索病毒
某单位这300台电脑是内网,不允许上网,根据重启现象,杀毒软件技术人员怀疑是勒索病毒影响。
重启现象:
A. 有些电脑重启,有些不重启
B. 有些电脑重启,出现蓝屏
杀毒软件:(分析)
A.有中勒索病毒,出现重启现象
B.有中勒索病毒,出现重启现象,也出现蓝屏现象
C.为什么中勒索病毒文件未加密?
解释:勒索病毒利用漏洞中病毒后,需要在公网获取私钥,但不能上网获取不了,所以不能加密。
PS:
居然还有这道理,针对政府单位的内网,勒索病毒想加密都加不了!
2) 设置Windows定时更新,不重启
在Windows域环境,默认所有加域客户端不会配置Windows自动更新。
Windows 2012 R2
Windows 7
针对Windows域环境中,所有加域的计算机需要配置定时在12:00下载更新安装更新。
远程桌面到域控制器服务器
选择-工具-组策略管理
选择-林:contoso.com
选择-域-contoso.com-Default Domain Policy
选择-Default Domain Policy-右键-编辑
选择-计算机配置-策略-管理模板-Windows组件-Windows更新
双击-配置自动更新(按下图进行配置)
双击-始终在计划的时间重新启动
双击-允许自动更新立即安装
同样方法设置其它几个配置。
针对以上设置,如果有发现异常,请再根据实际情况做相应变更。
在客户端执行强行更新组策略。
Gpupdate -force
C:\Users\Administrator>gpupdate /Force
正在更新策略...
计算机策略更新成功完成。
用户策略更新成功完成。
C:\Users\Administrator>
Windows 2012 R2
Windows 7
3) 设置Windows更新自动启动
默认加入Windows域的计算机Windows Update服务可能是自动,正在运行。(绝大数可能!)
默认加入Windows域的计算机Windows Update服务可能是禁用,不是正在运行。(有可能!)
默认加入Windows域的计算机Windows Update服务可能是手动,不是正在运行。(有可能!)
远程桌面到域控制器服务器
选择-工具-组策略管理
![clip_image005[1]](https://s1.51cto.com/images/blog/201902/14/9afb598805574f5cc91342aef7dcc2c1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image005[1]")
选择-林:contoso.com
选择-域-contoso.com-Default Domain Policy
选择-Default Domain Policy-右键-编辑
选择-计算机配置-策略-Windows设置-安全设置-系统服务
选择-Windows Update服务
客户端:
4) 杀毒软件针对病毒进行专杀
如果出现这种情况,你全网络又安装有杀毒软件,建议拉上杀毒软件工程师一起排除问题。
本次操作系统未能更新,与杀毒软件也有关系。
客户原计划使用杀毒软件批量去安装这些更新!
怎么也没想到Windows自动更新未配置。Windows自动更新服务有的禁用,有的手动,都未启动,所以安装不了。
5) 总结
如果你要防勒索病毒!
A. 所有加域的计算机安装杀毒软件。(有朋友用)
B. 所有加域的计算机通过组策略配置Windows自动更新。
C. 所有加域的计算机通过组策略配置Windows自动服务自动,设置为启动。
D. 建议部署WSUS,所有加域计算机通过WSUS定期更新补丁。
E. 内部重要文件,建议定期备份
最好备份3份,1份放Windows,1份放Linux文件服务器,1份放磁带机。
如果做到这三份文件可以定期同步,是你需要考虑的!