Сначала небольшое предисловие. Патч MS17-010 включен во все накопительные пакеты обновления для Windows 7, 8.1 и 10, начиная с марта. Поэтому, если у вас установлены апрельские или майские (или более новые) накопительные обновления, вам не нужен (и не будет установлен) конкретный номер KB, связанный с патчем MS17-010.
Тем не менее, если вы решили устанавливать только обновления для системы безопасности , вам необходимо установить мартовские обновления. Если вы специально не выбрали этот путь, вы должны быть в сводках. Самая безопасная ставка - просто позволить Windows обновлять все, пока не появится обновление.
На самом деле это касается всех исправлений безопасности, а не только этого.
предотвратит установку / выполнение вредоносного ПО WannaCry
Патч MS17-010 ничего не делает для остановки самого вымогателя. Если вы скачаете исполняемый файл и запустите его, он все равно сделает свое дело и зашифрует ваши файлы. Например, основной вирус заражения в большинстве сетей был через вложения электронной почты, IIRC. В этом нет ничего нового для вымогателей.
Тем не менее, червячная часть программы - это то, что облегчает ее распространение по сетям. Это нападает на реализацию SMBv1 на целевом компьютере, т.е. компьютер червь распространяется на, не из.. Поэтому исправление MS17-010 должно быть установлено на каждом компьютере с Windows в сети.
Обычно NAT или межсетевые экраны на границе сети предотвращают распространение через Интернет.
просто предотвратите распространение вредоносной программы (однажды установленной на определенном ПК и заражающей его) через интрасеть
Патч не помогает уже зараженному компьютеру. Это полезно, только если установлено на других незараженных компьютерах в сети.
Есть ли преимущества от отключения SMBv1?
Непосредственно для WannaCry/EternalBlue, так как патч MS17-010 исправляет эту конкретную дыру. Тем не менее, глубокоэшелонированная защита предполагает отключение SMBv1 в любом случае, если вам это не нужно, так как это уменьшает поверхности атаки и минимизирует урон в случае появления еще одной неизвестной в настоящее время ошибки SMBv1. Учитывая, что Vista и новее поддерживают SMBv2, не нужно поддерживать SMBv1 включенным, если вам не нужно обмениваться файлами с XP. Я надеюсь, что это не так.
перед отключением SMBv1, как быть уверенным, что это не повлияет на производительность / надежность сети?
Наиболее очевидный эффект - вы больше не сможете использовать общий доступ к файлам Windows с любыми системами XP.
В соответствии с размещенными ссылками и комментариями, это может помешать вашему компьютеру появиться в списке или использовать "сетевой" список. Вы по-прежнему можете получить к ним доступ, введя \\computername
и увидеть их в списке с помощью домашних групп (или Active Directory в бизнес-среде).
Другое исключение, упомянутое в этом сообщении в блоге, - это старые сетевые фотокопировальные устройства / сканеры, которые имеют функцию "сканирования для обмена", возможно, не поддерживают современный протокол SMB.