http://support.microsoft.com/kb/962007
注意
· 此过程不会删除系统中的 Conficker 恶意软件,只能阻止恶意软件的传播。应使用防病毒产品删除系统中的 Conficker 恶意软件。或者,按照此知识库文章中的“删除 Conficker.b 变体的手动步骤”部分中的步骤手动删除系统中的恶意软件。
· 请仔细阅读并理解该过程的步骤 4 中的注释。
根据环境要求,创建一个适用于特定组织单位 (OU)、站点或域中所有计算机的新策略。
为此,请按照下列步骤操作:
为此,请按照下列步骤操作:
1. 设置用于删除对以下注册表子项的写入权限的策略:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
这将阻止在 netsvcs 注册表值中创建随意命名的恶意软件服务。
为此,请按照下列步骤操作:
为此,请按照下列步骤操作:
a. 打开组策略管理控制台 (GPMC)。
b. 创建一个新的组策略对象 (GPO)。随意为它命名。
c. 打开新的 GPO,然后转到以下文件夹:
Computer Configuration\Windows Settings\Security Settings\Registry
d. 右键单击“注册表”,然后单击“添加项”。
e. 在“选择注册表项”对话框中,展开“计算机”,然后转到以下文件夹:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
f. 单击“确定”。
g. 在打开的对话框中,单击以清除“管理员”和“系统”对应的“完全控制”复选框。
h. 单击“确定”。
i. 在“添加对象”对话框中,单击“用可继承权限替换所有子项上的现有权限”。
j. 单击“确定”。
2. 设置用于删除对 %windir%\tasks 文件夹的写入权限的策略。这将阻止 Conficker 恶意软件创建可再次感染系统的计划任务。
为此,请按照下列步骤操作:
为此,请按照下列步骤操作:
. 在您之前创建的同一个 GPO 中,转到以下文件夹:
Computer Configuration\Windows Settings\Security Settings\File System
a. 右键单击“文件系统”,然后单击“添加文件”。
b. 在“添加文件或文件夹”对话框中,浏览到 %windir%\Tasks 文件夹。请确保“任务”以高亮显示状态列出在“文件夹:”对话框中。
c. 单击“确定”。
d. 在打开的对话框中,单击以清除“管理员”和“系统”对应的“完全控制”、“修改”和“读取”对话框。
e. 单击“确定”。
f. 在“添加对象”对话框中,单击“用可继承权限替换所有子项上的现有权限”。
g. 单击“确定”。
3. 将“自动播放”(自动运行)功能设置为禁用。这将阻止 Conficker 恶意软件利用内置于 Windows 的“自动播放”功能进行传播。
为此,请按照下列步骤操作:
为此,请按照下列步骤操作:
. 在之前创建的同一个 GPO 中,转到以下其中一个文件夹中:
§ 对于 Windows Server 2003 域,转到以下文件夹:
Computer Configuration\Administrative Templates\System
§ 对于 Windows 2008 域,转到以下文件夹:
Computer Configuration\Administrative Templates\Windows Components\Autoplay Policies
a. 打开“关闭自动播放”策略。
b. 在“关闭自动播放”对话框中,单击“已启用”。
c. 在下拉菜单中,单击“所有驱动器”。
d. 单击“确定”。
4. 禁用本地管理员帐户。这将阻止 Conficker 恶意软件使用暴力破解密码攻击系统上的管理员帐户。
注意:如果将 GPO 链接到域控制器的 OU,则不要执行此步骤,因为这将禁用域管理员帐户。如果必须要对域控制器执行此操作,请创建一个不与域控制器的 OU 链接的独立 GPO,然后将新的独立 GPO 链接到域控制器的 OU。
为此,请按照下列步骤操作:
注意:如果将 GPO 链接到域控制器的 OU,则不要执行此步骤,因为这将禁用域管理员帐户。如果必须要对域控制器执行此操作,请创建一个不与域控制器的 OU 链接的独立 GPO,然后将新的独立 GPO 链接到域控制器的 OU。
为此,请按照下列步骤操作:
. 在您之前创建的同一个 GPO 中,转到以下文件夹:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
a. 打开“帐户: 管理员帐户状态”。
b. 在“帐户: 管理员帐户状态”对话框中,单击选中“定义此策略”复选框。
c. 单击“已禁用”。
d. 单击“确定”。
5. 关闭组策略管理控制台。
6. 将新创建的 GPO 链接到要应用的位置。
7. 为组策略留有足够的时间更新到所有计算机。通常,需要 5 分钟才能将组策略复制到每个域控制器,然后再需要 90 分钟才能复制到系统中的其余计算机。留出几个小时的时间应该足够了。但是,根据不同环境,可能会需要更多的时间。
8. 组策略传播之后,请清理系统中的恶意软件。
为此,请按照下列步骤操作:
为此,请按照下列步骤操作:
. 在所有计算机上运行全面的防病毒扫描。
a. 如果防病毒软件未检测到 Conficker,则可以使用恶意软件删除工具 (MSRT) 清除恶意软件。有关详细信息,请访问下面的 Microsoft 网页:
注意:可能还需要手动执行几个步骤才能清除恶意软件的所有危害。若要清除恶意软件遗留的所有危害,请按照此知识库文章中的“删除 Conficker.b 变体的手动步骤”部分中列出的步骤进行操作。