SFB 項目經驗-68-通過組策略設置Windows自動更新(300臺電腦一半重啟)
問題描述:
1)某單位300臺客戶端有50%計算機自動重啟�、藍屏
2)懷疑中病毒
3)通過將種服務器關機排除���,非服務器影響
4)通過打補丁發現�����,因更新2個補丁后��,電腦 不重啟了
關鍵的補丁還是要打����,
Windows 7 KB4012212
Windows 2008 R2的KB4012598
5)一直以為所有補丁通過某殺毒軟件自動更新���,但大多數未更新
解決方法:
1) 殺毒軟件懷疑是勒索病毒
某單位這300臺電腦是內網��,不允許上網���,根據重啟現象�,殺毒軟件技術人員懷疑是勒索病毒影響��。
重啟現象:
A.有些電腦重啟�����,有些不重啟
B.有些電腦重啟�,出現藍屏
殺毒軟件:(分析)
A.有中勒索病毒�����,出現重啟現象
B.有中勒索病毒���,出現重啟現象�,也出現藍屏現象
C.為什么中勒索病毒文件未加密?
解釋:勒索病毒利用漏洞中病毒后�����,需要在公網獲取私鑰�����,但不能上網獲取不了���,所以不能加密��。
PS:
居然還有這道理��,針對政府單位的內網�����,勒索病毒想加密都加不了!
2) 設置Windows定時更新�,不重啟
在Windows域環境�,默認所有加域客戶端不會配置Windows自動更新��。
Windows 2012 R2
Windows 7
針對Windows域環境中����,所有加域的計算機需要配置定時在12:00下載更新安裝更新����。
遠程桌面到域控制器服務器
選擇-工具-組策略管理
選擇-林:contoso.com
選擇-域-contoso.com-Default Domain Policy
選擇-Default Domain Policy-右鍵-編輯
選擇-計算機配置-策略-管理模板-Windows組件-Windows更新
雙擊-配置自動更新(按下圖進行配置)
雙擊-始終在計劃的時間重新啟動
雙擊-允許自動更新立即安裝
同樣方法設置其它幾個配置��。
針對以上設置�����,如果有發現異常�,請再根據實際情況做相應變更��。
在客戶端執行強行更新組策略�。
Gpupdate -force
C:\Users\Administrator>gpupdate /Force
正在更新策略...
計算機策略更新成功完成����。
用戶策略更新成功完成�。
C:\Users\Administrator>
Windows 2012 R2
Windows 7
3) 設置Windows更新自動啟動
默認加入Windows域的計算機Windows Update服務可能是自動����,正在運行����。(絕大數可能!)
默認加入Windows域的計算機Windows Update服務可能是禁用�,不是正在運行����。(有可能!)
默認加入Windows域的計算機Windows Update服務可能是手動����,不是正在運行����。(有可能!)
遠程桌面到域控制器服務器
選擇-工具-組策略管理
選擇-林:contoso.com
選擇-域-contoso.com-Default Domain Policy
選擇-Default Domain Policy-右鍵-編輯
選擇-計算機配置-策略-Windows設置-安全設置-系統服務
選擇-Windows Update服務
客戶端:
4) 殺毒軟件針對病毒進行專殺
如果出現這種情況���,你全網絡又安裝有殺毒軟件��,建議拉上殺毒軟件工程師一起排除問題��。
本次操作系統未能更新����,與殺毒軟件也有關系���。
客戶原計劃使用殺毒軟件批量去安裝這些更新!
怎么也沒想到Windows自動更新未配置�����。Windows自動更新服務有的禁用���,有的手動�,都未啟動��,所以安裝不了��。
5) 總結
如果你要防勒索病毒!
A. 所有加域的計算機安裝殺毒軟件�。(有朋友用)
B. 所有加域的計算機通過組策略配置Windows自動更新��。
C. 所有加域的計算機通過組策略配置Windows自動服務自動���,設置為啟動��。
D. 建議部署WSUS����,所有加域計算機通過WSUS定期更新補丁��。
E. 內部重要文件�����,建議定期備份
最好備份3份�,1份放Windows��,1份放Linux文件服務器��,1份放磁帶機�����。
如果做到這三份文件可以定期同步��,是你需要考慮的!
