各科室:
根据市网信办关于对SMBv3.0 服务远程代码执行漏洞进行预警通报的通知要求,现将有关事项通知如下:
一、漏洞情况
近日微软发布了Windows 10/Server禁用 SMBv3(SMB 3.1.1)协议压缩的指南公告,以此缓解 SMBv3协议(用于文件共享与打印服务)在处理调用请求时的一个远程代码执行漏洞(漏洞编号CVE-2020-0796)。该漏洞的主要影响目标是Win10系统,其原理与“永恒之蓝”类似,存在被蠕虫化利用的可能,一旦利用成功可在目标机器上执行任意代码,潜在威胁较大。请各科室高度重视,及时采取措施加强防范。
二、影响范围
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
三、处置建议
1、 检查是否使用1903或1909操作系统版本:
(1)右键点击左下角Windows图标,选择“设置”;
(2)点击“系统”,选择左侧的 “关于”选项卡;
(3)查看“Windows规格”中的“版本号”,如果版本号显示为1903或1909,则证明受此漏洞影响,建议立即通过PowerShell命令禁用SMBv3压缩功能。
2、 禁用SMBv3压缩功能的具体步骤:
步骤一,点击开始,运行,开始菜单没有找到运行的,同时按下键盘的win键和R键。
步骤二,在运行对话框的“打开”输入框里输入PowerShell点击“确定”
步骤三,复制下列命令行,右键点击弹出的黑色对话框的顶部蓝色区域,依次选择菜单中的编辑、粘贴
Set-ItemProperty
-Path"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force
步骤四,点击键盘的回车键(<—Enter),完成操作。
执行此操作无需重启系统,但对SMBv3客户端无效。
3、取消禁用可以执行以下命令:步骤同上,只将步骤三的命令改为Set-ItemProperty
-Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 0 -Force 。
4、若无业务必要,在网络安全域边界防火墙封堵文件打印和共享端口(tcp:135/139/445)。
5、请全馆同志保持良好的办公习惯,不接收和点击来历不明的文件、邮件附件,并做好数据备份工作,防止感染病毒。
岳阳市档案馆
2020年3月31日