windows防火墙不能查杀勒索软件但可阻断其传播,需通过关闭smb高危端口、限制出站连接、启用defender勒索防护、强化uac与rdp访问控制、安装离线补丁并配置自动更新五步协同防护。
如果您正在使用Windows系统,发现勒索病毒已通过网络端口渗透并加密文件,则需明确:Windows系统自带防火墙本身不直接检测或清除勒索软件,但能有效阻断其传播路径。以下是实现防护协同的多种具体操作方式:
一、关闭高危SMB端口(445/139/137)
WannaCry等主流勒索病毒依赖SMB协议的445端口进行局域网内横向扩散,Windows防火墙可通过规则禁用该端口入站通信,切断病毒主动扫描与感染链。
1、按Win+R键打开运行框,输入wf.msc并回车,打开高级安全Windows Defender防火墙。
2、在左侧面板点击“入站规则”,右键空白处选择“新建规则”。
3、选择“端口”类型,点击下一步。
4、选择TCP,输入特定端口号:445,139,137,点击下一步。
5、选择“阻止连接”,点击下一步。
6、勾选“域”、“专用”、“公用”所有配置文件,点击下一步。
7、为规则命名,例如“阻断SMB高危端口”,点击完成。
二、启用出站连接监控并限制远程服务
部分勒索变种会尝试外连C2服务器上传密钥或下载加密模块,Windows防火墙可配置出站规则限制非必要程序联网,降低数据外泄与指令接收风险。
1、在wf.msc界面左侧点击“出站规则”,右键选择“新建规则”。
2、选择“程序”,点击下一步。
3、点击“此程序路径”,浏览并定位到C:\Windows\System32\svchost.exe(用于管控基于svchost托管的服务)。
4、选择“阻止连接”,点击下一步。
5、仅勾选“公用”配置文件(避免影响内网服务),点击下一步。
6、命名为“限制svchost公网外连”,点击完成。
7、双击新建规则,在“作用域”选项卡中,于“远程IP地址”处点击“添加”,输入已知恶意C2域名对应IP段(如185.104.242.0/24),点击确定。
三、启用Windows Defender防勒索保护模块
Windows Defender内置的“勒索软件防护”功能与防火墙协同工作,通过行为监控拦截异常文件加密操作,属于操作系统级主动防御机制,需手动开启并配置受保护文件夹。
1、按Win+I打开设置,进入“更新和安全” > “Windows安全中心”。
2、点击“病毒和威胁防护”,向下滚动找到“勒索软件防护”。
3、点击“管理勒索软件防护”,将主开关设为开。
4、点击“受保护的文件夹”,添加您存储文档、表格、图片、数据库等关键数据的目录路径。
5、返回上一级,点击“排除项”,在“添加受信任的应用”中加入您日常使用的办公软件(如winword.exe、excel.exe),避免误拦截合法加密行为。
四、配置UAC与远程桌面访问控制
勒索病毒常利用高权限进程提权执行,同时借助弱口令RDP暴力破解进入系统;用户账户控制(UAC)与防火墙RDP规则联合配置,可显著提高攻击门槛。
1、在开始菜单搜索“更改用户账户控制设置”,拖动滑块至第二级或第三级(推荐默认级别)。
2、在wf.msc中展开“入站规则”,找到“远程桌面 - 用户模式(TCP-In)”。
3、右键该规则选择“属性”,切换至“作用域”选项卡。
4、在“远程IP地址”区域点击“添加”,仅填入您实际需要远程访问的固定IP地址(如192.168.1.100),点击确定。
5、确认规则状态为“已启用”,关闭窗口。
五、部署离线补丁与系统更新策略
MS17-010等漏洞是WannaCry传播的核心载体,Windows防火墙无法修补系统缺陷;必须结合离线补丁安装与自动更新策略,从根源消除利用条件。
1、访问微软更新目录(https://www.catalog.update.microsoft.com),搜索KB4012212(适用于Win7/Server2008)或KB4012215(适用于Win10 v1607)。
2、下载对应架构(x64/x86)的.msu补丁包,双击安装并重启。
3、在组策略编辑器(gpedit.msc)中导航至“计算机配置 > 管理模板 > Windows组件 > Windows更新”,启用“配置自动更新”并设为自动下载并计划安装。
4、在“指定Intranet Microsoft更新服务位置”中,若部署了WSUS服务器,填入其内网地址(如http://wsus.internal:8530)。
