一、 概述
该单位是某机电公司。负责给大型企业提供机电原件。
二、 网络拓扑
三、 现场情况分析
该单位有上千台机器,是一个纯内网网络结构。用户内网是一个域环境,所有的客户端都是通过域登陆。用户对于网络内计算机使用可移动存储设备没有限制。
通过对用户网络情况分析,发现存在几个问题:
1. 用户网络内计算机没有对使用可移动存储设备进行限制,经常出现一台客户端感染病毒后,使用U盘互相传送文件的过程中,相互感染病毒。
2. 端口未过滤,特殊端口如:455和139端口都未关闭。
3. 杀毒软件的设置不严格,未设置客户端密码,造成布置全局查杀病毒任务时,客户端可以自行终止查杀任务。
4. 部分客户端杀毒软件未及时更新病毒库,导致不能及时有效地拦截病毒攻击。
5. 漏洞补丁工具没有使用过,用户由于是纯内网环境,没有定期修复系统漏洞。
四、 用户当前状况
用户内网环境中感染了MS08-067病毒,该病毒会在局域网内不断传播,猜测域账号密码,由于用户的域账户策略为连续5次输入域账号密码错误则会锁死该账户,需要由网络管理员手动解锁。所以当前用户网络管理员整天疲于解锁域账户密码。
五、 方案部署
1. 建议用户将网络内所有客户端瑞星杀毒软件病毒库版本均升级到最新。
2. 设置客户端密码,布置全网查杀任务,不允许客户端手动停止查杀任务。
3. 更改服务器密码,改为强密码。
4. 建议用户关闭网络内共享,关闭139和445端口。
5. 为局域网内所有客户端和服务器修复系统漏洞,尤其是MS08-067系统漏洞。
6. 由于该病毒在整点爆发,建议用户在整点的时候使用抓包工具定位具体染毒客户端后,将此类型客户端断网处理,到客户端手动处理。
7. 对网络内客户端使用可移动存储设备进行限制,使用之前要对其进行病毒查杀,以防止病毒通过可移动存储设备进行传播。