场景: 桌面云PC一体化环境下内网感染永恒之蓝,驱动人生,挖矿病毒等病毒
问题: 桌面云被物理机病毒干扰,无法正常使用或用户体验极差,不管使用什么杀毒软件,全盘查杀,但查杀之后在重启,病毒还会复发,怎么杀都杀不干净,异常powershell进程很多,CPU爆满98%-100%,电脑死机或蓝屏,重启后还是无法解决。
原因: 该问题的原因是:像永恒之蓝,驱动人生,挖矿病毒这些恶性病毒,感染复发的几率很大,普通的修补漏洞,全盘查杀根本不能禁止,必须要配合封堵端口或物理机设置强密码,防止暴力破解,病毒传播等。但是桌面云PC一体化环境不允许物理机设置强密码,物理机又很难集中管理配置物理机防火墙策略,在公司环境下使用EDR测试方案解决问题
解决方案:
1、登录桌面云VMP,在桌面云服务器中创建EDR3.2.13r1虚拟机,开通授权,下发杀毒
请联系某公司技术服务人员获取设备授权码,默认测试时间为3个月,开足够使用的授权个数,导入授权码。
配置终端部署: 【终端管理】
在每台客户机上登录WEB控制台,【系统管理】-【下载安装包部署】 下载相应客户端。
3、共享端口封堵:,如无业务需要,建议关闭文件共享端口(445、135、137、138、139TCP/UDP端口),可以通过edr下发微隔离策略封堵; 【微隔离】-【IP组】-【新建】 【微隔离】-【服务】-【新增】 名称:封堵445 服务:TCP,UDP:135,137,138,139,445
【微隔离】-【微隔离策略】-【新增】 名称:445DENY 源:非共享服务器网段 目的:非共享服务器网段 服务:封堵445(TCP,UDP:135,137,138,139,445)
【微隔离】-【微隔离设置】-【微隔离】-开启
策略即可生效下发
4、终端策略下发
【终端管理】-【策略配置】 根据自己需要进行配置(其中一定要将发现可疑powershell进程后默认的仅上报,不处置更改为自动处置)
注意: 1.有些策略旁边有小锁子图样,将该图标点亮 2.配置完一个项目,点击下面的一键继承,确认业务下发 5.在终端EDR软件中使用全盘扫描,将原有病毒文件清除,自动检查漏洞并修复补丁后即可 |