WannaCrypt 攻擊：給 OMS 客戶的指引

加強基礎架構的安全狀態，對於防止不斷演變的網路威脅而言非常重要。建議遵循以下步驟來保護您的資源免受前陣子 WannaCrypt 勒索軟體的攻擊：

1.   這個 WannaCrypt 惡意軟體利用了一個伺服器訊息區塊 (SMB) 的漏洞 (CVE-2017-0145)。客戶應立即安裝 MS17-010 來解決此漏洞。
2. 查看暴露於網際網路的所有 SMB 端點，通常與端口 TCP 139、TCP 445、UDP 137、UDP 138 有關。微軟建議不要打開任何對您操作不重要的網際網路端口。
3. 停用 SMBv1 － 說明請參閱此：https://aka.ms/disablesmb1
4. 利用 Windows Update， 讓您的電腦與最新的安全更新保持同步

OMS 安全性分析的額外步驟

若您在使用 OMS 安全性解決方案，我們建議用以下額外的步驟來更進一步保護您的組織免受攻擊：

1. 定期分析所有系統是否皆已更新到最新版本。您可以執行更新評估，以了解計算機現在的狀態，並解決安全性和稽核儀表板中最關鍵的威脅。按照以下步驟，檢查所有系統是否已具備所需的安全更新。
   • 在微軟 OMS 主儀表板，點擊安全與稽核區塊。
   • 在安全與稽核儀表板，點擊安全域下的更新評估
2. 利用 OMS 安全分析來持續監控環境中的威脅。蒐集並監控事件紀錄及網路流量以尋找潛在攻擊。安全和稽核儀表板內之威脅情報選項可以幫助您識別環境中任何潛在威脅，並快速做出反應：
   • 安全與稽核儀表板中，在威脅情報區塊中選3個選項
     1. 具有惡意出站流量的伺服器，將幫助您識別是否有任何您監控的計算機(您網路內部或外部的)正在傳送惡意流量到網際網路。
     2. 檢測出之威脅類型圖表會顯示檢測到之威脅的摘要。您可以點擊它來獲得關於每個威脅更詳細的資訊。
     3. 威脅情報地圖將幫助您識別全球目前有惡意流量的地點，並收集關於這些威脅更詳細的資訊。
3. 確認已部署並更新反惡意程式軟體。若您在使用適用於 Azure 或 Windows Defender 的微軟反惡意程式軟體，微軟前陣子發布了更新資訊，將這種威脅檢測為 Ransom:Win32/WannaCrypt。若您在運行來自任何資訊安全公司的反惡意程式軟體，您需要向供應商確認您的資料已被保護。您還可以使用 OMS 安全解決方案，來驗證您的計算機是否配置了反惡意程式軟體和其他重要的安全控制。
   • 開啟安全和稽核儀表板，點擊安全域下的反惡意程式軟體評估。
   • 利用惡意軟體評估圖表識別以下問題－
     1. 主動威脅：在系統中受到威脅並具有主動威脅應對的計算機
     2. 解決威脅：受到威脅的計算機，但威脅被解決
     3. 簽名過期：以啟用惡意軟件保護，但簽名過期的計算機
     4. 缺乏實時保護：沒有安裝反惡意程式軟體的計算機

若需要更多使用 OMS 安全分析的詳細資訊，請閱讀此文件。

欲了解受影響的軟體、漏洞訊息，和安全更新部署請參閱微軟安全公告 MS17-010。

有關此更新的詳細資訊，請參閱微軟知識庫文章 4013389。

支援

幫助安裝更新的網站：Windows 更新 常見問題集

給 IT 專業人員的安全解決方案：TechNet 安全性支援和疑難排除

幫助保護您基於 Windows 的計算機 ，讓它們免受病毒和惡意軟體攻擊：微軟安全