桌面云PC一体化环境下内网中病毒解决方法

场景：

桌面云PC一体化环境下内网感染永恒之蓝，驱动人生，挖矿病毒等病毒

问题：

桌面云被物理机病毒干扰，无法正常使用或用户体验极差，不管使用什么杀毒软件，全盘查杀，但查杀之后在重启，病毒还会复发，怎么杀都杀不干净，异常powershell进程很多，CPU爆满98%-100%，电脑死机或蓝屏，重启后还是无法解决。

原因：

该问题的原因是：像永恒之蓝，驱动人生，挖矿病毒这些恶性病毒，感染复发的几率很大，普通的修补漏洞，全盘查杀根本不能禁止，必须要配合封堵端口或物理机设置强密码，防止暴力破解，病毒传播等。但是桌面云PC一体化环境不允许物理机设置强密码，物理机又很难集中管理配置物理机防火墙策略，在公司环境下使用EDR测试方案解决问题

解决方案：

1、登录桌面云VMP，在桌面云服务器中创建EDR3.2.13r1虚拟机，开通授权，下发杀毒

请联系某公司技术服务人员获取设备授权码，默认测试时间为3个月，开足够使用的授权个数，导入授权码。

配置终端部署：

【终端管理】

在每台客户机上登录WEB控制台，【系统管理】-【下载安装包部署】

下载相应客户端。

2、及时更新MS17-010系统补丁：补丁下载地址：https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010；务必确保补丁更新有效性（如更新后重启服务器，部分服务器需要打SP前置补丁），可以通过EDR下发对应补丁包。

3、共享端口封堵：，如无业务需要，建议关闭文件共享端口（445、135、137、138、139TCP/UDP端口），可以通过edr下发微隔离策略封堵；

【微隔离】-【IP组】-【新建】

【微隔离】-【服务】-【新增】

名称：封堵445

服务：TCP,UDP:135,137,138,139,445

【微隔离】-【微隔离策略】-【新增】

名称：445DENY

源：非共享服务器网段

目的：非共享服务器网段

服务：封堵445（TCP,UDP:135,137,138,139,445)

【微隔离】-【微隔离设置】-【微隔离】-开启

策略即可生效下发

4、终端策略下发

【终端管理】-【策略配置】

根据自己需要进行配置（其中一定要将发现可疑powershell进程后默认的仅上报，不处置更改为自动处置）

注意：

1.有些策略旁边有小锁子图样，将该图标点亮

2.配置完一个项目，点击下面的一键继承，确认业务下发

5.在终端EDR软件中使用全盘扫描，将原有病毒文件清除，自动检查漏洞并修复补丁后即可

其实只要打好补丁和封堵端口，不一定非要使用用EDR，在没有EDR的条件下，可以使用批处理推送的方式来封堵端口。
下面是一个WINDOWS系统的防火墙封堵端口的批处理，有需要的可以自己复制并修改相关端口到文本文档，后缀改成bat格式就可以了

@echo off
color 1f
title 关闭常见的危险端口
echo 正在开启Windows防火墙
netsh advfirewall set currentprofile state on > nul
netsh advfirewall set publicprofile state on > nul
echo 防火墙已经成功启动。
pause
cls
echo 正在关闭常见的危险端口，请稍候…
echo 正在关闭135,139,445端口…
netsh advfirewall firewall add rule name="135_139_445" protocol=TCP dir=in localport=135,139,445 action=block
echo 正在关闭137,138端口…
netsh advfirewall firewall add rule name="137_138" protocol=UDP dir=in localport=137,138 action=block
echo 常见的危险端口已经关闭。
echo 按任意键退出。
pause>nul

云桌面病毒案例确实比较少   楼主分享的思路很清晰   截图和注意点都很nice    封堵危险端口和打补丁很有必要

写的很好，很有借鉴作用

学习了,感谢分享。。。

很实用的经验！希望楼主常来社区分享哦

干货满满，感谢楼主的分享，期待楼主更多的技术贴的分享。

回复没成功？

EDR的网络病毒防护功能还是不错的

病毒防护方法加1，美滋滋

学习了，第一次看云桌面方面的杀毒贴，详细