千家信息网

SFB 项目经验-68-通过组策略设置Windows自动更新(300台电脑一半重启)

发表于:2024-11-25 作者:千家信息网编辑
千家信息网最后更新 2024年11月25日,问题描述:1)某单位300台客户端有50%计算机自动重启、蓝屏2)怀疑中病毒3)通过将种服务器关机排除,非服务器影响4)通过打补丁发现,因更新2个补丁后,电脑 不重启了关键的补丁还是要打,Window
千家信息网最后更新 2024年11月25日SFB 项目经验-68-通过组策略设置Windows自动更新(300台电脑一半重启)

问题描述:

1)某单位300台客户端有50%计算机自动重启、蓝屏

2)怀疑中病毒

3)通过将种服务器关机排除,非服务器影响

4)通过打补丁发现,因更新2个补丁后,电脑 不重启了

关键的补丁还是要打,

Windows 7 KB4012212

Windows 2008 R2的KB4012598

5)一直以为所有补丁通过某杀毒软件自动更新,但大多数未更新


解决方法:

1) 杀毒软件怀疑是勒索病毒

某单位这300台电脑是内网,不允许上网,根据重启现象,杀毒软件技术人员怀疑是勒索病毒影响。

重启现象:

A.有些电脑重启,有些不重启

B.有些电脑重启,出现蓝屏

杀毒软件:(分析)

A.有中勒索病毒,出现重启现象

B.有中勒索病毒,出现重启现象,也出现蓝屏现象

C.为什么中勒索病毒文件未加密?

解释:勒索病毒利用漏洞中病毒后,需要在公网获取私钥,但不能上网获取不了,所以不能加密。

PS:

居然还有这道理,针对政府单位的内网,勒索病毒想加密都加不了!

2) 设置Windows定时更新,不重启

在Windows域环境,默认所有加域客户端不会配置Windows自动更新。

Windows 2012 R2

Windows 7

针对Windows域环境中,所有加域的计算机需要配置定时在12:00下载更新安装更新。

远程桌面到域控制器服务器

选择-工具-组策略管理

选择-林:contoso.com

选择-域-contoso.com-Default Domain Policy

选择-Default Domain Policy-右键-编辑

选择-计算机配置-策略-管理模板-Windows组件-Windows更新

双击-配置自动更新(按下图进行配置)

双击-始终在计划的时间重新启动

双击-允许自动更新立即安装

同样方法设置其它几个配置。

针对以上设置,如果有发现异常,请再根据实际情况做相应变更。

在客户端执行强行更新组策略。

Gpupdate -force

C:\Users\Administrator>gpupdate /Force

正在更新策略...

计算机策略更新成功完成。

用户策略更新成功完成。

C:\Users\Administrator>

Windows 2012 R2

Windows 7

3) 设置Windows更新自动启动

默认加入Windows域的计算机Windows Update服务可能是自动,正在运行。(绝大数可能!)

默认加入Windows域的计算机Windows Update服务可能是禁用,不是正在运行。(有可能!)

默认加入Windows域的计算机Windows Update服务可能是手动,不是正在运行。(有可能!)

远程桌面到域控制器服务器

选择-工具-组策略管理

选择-林:contoso.com

选择-域-contoso.com-Default Domain Policy

选择-Default Domain Policy-右键-编辑

选择-计算机配置-策略-Windows设置-安全设置-系统服务

选择-Windows Update服务

客户端:

4) 杀毒软件针对病毒进行专杀

如果出现这种情况,你全网络又安装有杀毒软件,建议拉上杀毒软件工程师一起排除问题。

本次操作系统未能更新,与杀毒软件也有关系。

客户原计划使用杀毒软件批量去安装这些更新!

怎么也没想到Windows自动更新未配置。Windows自动更新服务有的禁用,有的手动,都未启动,所以安装不了。

5) 总结

如果你要防勒索病毒!

A. 所有加域的计算机安装杀毒软件。(有朋友用)

B. 所有加域的计算机通过组策略配置Windows自动更新。

C. 所有加域的计算机通过组策略配置Windows自动服务自动,设置为启动。

D. 建议部署WSUS,所有加域计算机通过WSUS定期更新补丁。

E. 内部重要文件,建议定期备份

最好备份3份,1份放Windows,1份放Linux文件服务器,1份放磁带机。

如果做到这三份文件可以定期同步,是你需要考虑的!

0