ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス 2017/05/14

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス 2017/05/14 【外部リンク】 https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/ (Windows 8 / Windows Server 2012 以降の場合) PowerShell の Get-SmbServerConfiguraiton コマンドレットを利用して確認できます。 ========== PS C:\WINDOWS\system32> Get-SmbServerConfiguration | fl enablesmb* EnableSMB1Protocol : True <<<<< True の場合、SMB 1.0 が有効化されています。 EnableSMB2Protocol : True ========== SMB クライアント側: ========== C:\Windows\system32>sc query mrxsmb10 SERVICE_NAME: mrxsmb10 TYPE : 2 FILE_SYSTEM_DRIVER STATE : 4 RUNNING <<<<< RUNNING の場合、SMB 1.0 が有効化されています。無効の場合、STOPPED になります。 (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 ========== – 補足 Windows 8.1、Windows Server 2012 R2 以降の OS で、[SMB1.0/CIFS ファイル共有のサポート] のチェックボックスをオフにして SMB1.0 を削除した場合、以下のコマンドで削除されていることを確認できます。 // SMB1.0 クライアント : mrxsmb10 ========== C:\Windows\system32>sc query mrxsmb10 [SC] EnumQueryServicesStatus:OpenService FAILED 1060: 指定されたサービスはインストールされたサービスとして存在しません。 ========== // SMB1.0 サーバー : srv ========== C:\Windows\system32>sc query srv [SC] EnumQueryServicesStatus:OpenService FAILED 1060: 指定されたサービスはインストールされたサービスとして存在しません。 ========== 更新履歴: 2017/05/17: FAQ を追加しました。 2017/05/19: 「対策」セクションに一文を追加し、Windows 10 Creators Update (バージョン 1703) の対策状況を明確にしました。 2017/05/24: 「対策」セクションでサポート技術情報 MS17-010 がインストールされたことを確認する方法が利用可能になったことを追記し、FAQ の「SMB 1.0 が現在有効になっているか確認する方法はありますか」で SMB クライアント側の確認方法および SMB1.0 が削除されている場合の確認方法を追記しました。 Tags MS17-010 ransomware SMB WannaCrypt ランサムウェア