关于最近的勒索病毒,以及Windows月度汇总更新

近日闹出了基于MS17-010的勒索病毒,公司网络侥幸没中招,但还是吓得老老实实先关了445端口。

我给别人家装系统一般是会开自动更新的,但自己装系统却不怎么喜欢开,尽管我自己就是搞安全的。主要因为我自己重装系统通常是比较频繁的,而Windows7 SP1是2011发布的,6年积累的更新有两百余个,如果通过自动更新来装,按我的几百k网速和推送的尿性,估计几天都装不下来,这还不考虑公司的网络有限速机制,检测到下载流量直接封网。如果是下载一些网站打包好的合集(例如下载吧),那么你很快会发现,同时安装太多的更新会导致windows installer记录回滚状态的链表(我怀疑的)消耗高达数10G的内存,并且安装到后期每进行一步操作都要CPU满转几分钟才能在这个超级链表上加上一记录。

微软显然也意识到这个问题,所以Win10的策略是9个月滚一个版本,同时每月发布一个累积更新包。去年10月开始,Win7也引入了这个策略,根据微软官方博客上介绍,新的更新包会包含上个月的内容,博客上还说,他们会逐渐将历史补丁也加进来,也就是说未来只需要在baseline(也就是win7 sp1)上打一个当月最新的更新包就好了。

实际测试发现,首先2016年10月以后的所有补丁肯定在这个包里包含了,因为新策略实施后没有别的发布通道。但之前发布过的许多补丁还是能被windows update刷出来。也许是被逐步替换的,也就是某个文件,比如内核ntoskrnl,某年出了一个bug,然后微软通过一个补丁刷了一个版本号,然后16年10月之后的某一天又爆出一个bug,微软再刷一次版本号,那么新补丁就相当于包含了旧补丁。但对于相对“无关紧要”的文件,汇总更新里就没有,还是以单独的补丁包提供。

另外我查看了几个单独的补丁,bug标志都是“重要”,而汇总更新的标志是“严重”(critical)。个人看下来,如果一个bug是本地溢出,通常需要下载到一些特殊的文件才会触发,就会被标“重要”,而如果是远程溢出,例如smb、iis这些,能够快速通过网络传染,那就真的是躺着都能中枪,这种就会标为“严重”。

所以个人觉得,如果是需要快速重装系统,又担心被远程攻击,可以手动安装当前最新的月度安全质量汇总,把critical级别的先补上。其余的散包优先级稍低,可以交给自动更新慢慢补上。

希望微软能早日将历史上所有的补丁包都集成到月度更新中。

11 thoughts on “关于最近的勒索病毒,以及Windows月度汇总更新

  1. XXX

    po主翻到了一个你几年前的帖子,关于用银行U盾来做truecrypt的密钥存储介质,但是现在truecrypt团队已经解散了,推荐使用bitlocker,那么有没有办法让U盾来存储证书呢,发现银行的优盾都是基于一些大厂标准件定制的,比如兴业银行用的是EPASS3003 AUTO这款飞天诚信的型号的USBKEY,我看到某宝上也有这款的空白KEY ,于是要了对应的开发套件,但是也是没法一窥究竟,你还有对bitlocker在U盾上的研究吗?

    Reply
    1. gmsj0001 Post author

      我个人不用bitlocker,系统依赖太重,以及不是很信任恢复密钥机制,所以也没有过这方面的研究。或许你可以参考一下官方的文档:https://technet.microsoft.com/zh-cn/library/dd875548(v=ws.10).aspx

  2. cachewang

    这么一来如果是新装系统,安装当月的月度更新包也一样很大吧,那和自动更新有什么区别?

    Reply
    1. gmsj0001 Post author

      涉及到相同文件的新更新会替换掉旧更新,所以不会和独立包加起来一样大。另外目前看来滚动更新只涉及最关键的安全补丁,其它可以让自动更新慢慢打,嫌麻烦关更新也能保全最基本的安全性

    2. cachewang

      是说『滚动更新』和『自动更新』是两回事咯? 即便我关掉『自动更新』,系统还是会更新关键安全补丁?

    3. gmsj0001 Post author

      我说的滚动更新特指微软现在一个月发一次更新包的策略,打开自动更新当然也是会自动装的。关闭自动更新不会收到最新的补丁。我主要是装系统时懒得装200个分散的旧补丁。去年出过一个600多M的补丁合集,但是我依旧懒得装。

    1. gmsj0001 Post author

      你不也一样,而且首页一大图也没个缩略图半天刷不出来

Leave a Reply

Your email address will not be published. Required fields are marked *

Using REAL email address will help you receive reply notifications.