Innanzitutto, una piccola prefazione. La patch MS17-010 è inclusa in tutti gli aggiornamenti cumulativi per Windows 7, 8.1 e 10 da marzo in poi. Quindi se hai installato gli aggiornamenti cumulativi di aprile o maggio (o più recenti) , non è necessario (e non avrai installato) il numero KB specifico collegato alla patch MS17-010.
Tuttavia, se hai scelto di installare solo aggiornamenti solo per la sicurezza , dovrai specificamente installare quello di marzo. A meno che tu non abbia scelto specificamente questo percorso, dovresti essere nei rollup. La scommessa più sicura è solo quella di consentire a Windows di aggiornare tutto fino a quando non viene aggiornato.
Questo è attualmente il caso di tutte le patch di sicurezza, non solo di questa.
impedirà l'installazione / esecuzione di malware WannaCry
La patch MS17-010 non fa nulla per fermare il ransomware stesso. Se scarichi l'exe ed eseguilo, farà comunque il suo lavoro e crittograferà i tuoi file. Ad esempio, il vettore di infezione principale sulla maggior parte delle reti era tramite allegati di posta elettronica, IIRC. Questa non è una novità per il ransomware.
Tuttavia, la parte worm del programma è ciò che facilita la sua diffusione attraverso le reti. Questo attacca l'attuazione SMBv1 sulla destinazione del computer, vale a dire il computer il worm si sta diffondendo a , non da .. Pertanto, la patch MS17-010 devono essere installati ogni macchina Windows sulla rete.
In genere, NAT o firewall ai margini della rete impediscono la diffusione su Internet.
basta impedire al malware (una volta installato su un determinato PC e quindi di infettarlo) di propagarsi attraverso la rete intranet
La patch non fa nulla per aiutare un computer già infetto. È utile solo se installato su altri computer non infetti sulla rete.
ci sono dei vantaggi nel disabilitare anche SMBv1?
Non direttamente per WannaCry / EternalBlue, poiché la patch MS17-010 risolve questo particolare buco. Tuttavia, la difesa in profondità suggerirebbe comunque di disabilitare SMBv1 a meno che non sia necessario, in quanto riduce le superfici di attacco e minimizza i danni in caso di un altro bug SMBv1 attualmente sconosciuto. Dato che Vista e le versioni più recenti supportano SMBv2, non dovrebbe essere necessario mantenere abilitato SMBv1 a meno che non sia necessario condividere file con XP. Spero non sia così.
prima di disabilitare SMBv1, come assicurarsi che ciò non influisca sulle prestazioni / affidabilità della rete?
L'effetto più evidente è che non sarai più in grado di utilizzare la condivisione di file Windows con nessun sistema XP.
Secondo il grawity del link pubblicato e i commenti lì, questo potrebbe impedire al tuo computer di comparire o utilizzare l'elenco "rete". Puoi ancora accedervi digitando \\computername
e vederli elencati utilizzando i gruppi home (o Active Directory in un ambiente aziendale).
L'altra eccezione, come indicato in quel post sul blog, è rappresentata dalle fotocopiatrici / scanner di rete meno recenti che dispongono della funzionalità "scan to share" potrebbe non supportare un protocollo SMB moderno.