从WannaCry看企业内网防护：5个至今仍有效的永恒之蓝漏洞防御策略（2024更新版）

从WannaCry到现代企业防御：构建主动免疫的内网安全体系

几年前那场席卷全球的风暴，至今仍让许多企业的IT管理者心有余悸。它以一种近乎粗暴的方式，向世界展示了当一种具备自我复制能力的恶意软件，与一个广泛存在的系统漏洞结合时，能产生何等毁灭性的连锁反应。时间来到2024年，尽管那个特定的漏洞补丁早已发布，但攻击者从未停止进化，他们借鉴了类似的传播逻辑，不断寻找新的突破口。对于企业而言，防御的思维必须从“修补一个洞”升级为“构建一面墙”，甚至是一个具备“主动免疫”能力的有机体。这篇文章，我将结合近几年在安全运维一线看到的真实案例和攻击变种，抛开复杂的技术解析，聚焦于那些在今天依然有效、且能立即落地的内网防护策略。我们的目标不是复现历史，而是打造一个能抵御未来威胁的韧性网络。

1. 重新审视SMB协议：从默认开放到最小化暴露

SMB（Server Message Block）协议曾是那次攻击的“高速公路”，时至今日，它依然是内网文件共享和打印服务的核心。许多企业的默认策略是“能用则开”，这无形中扩大了攻击面。防御的第一步，不是简单地禁用，而是进行精细化的管控与加固。

核心原则是“非必要不暴露”。对于绝大多数工作站而言，根本不需要对外提供SMB服务。我们可以通过组策略（GPO）进行集中化管理。一个常见的误区是只在防火墙层面屏蔽445端口，这虽然有效，但并非最根本的解决方案。更彻底的做法是在系统服务层面进行控制。

以下是一个针对Windows域环境，通过组策略禁用工作站SMB服务器服务的示例配置路径。你可以创建一个新的GPO，并将其链接到包含用户工作站的OU（组织单元）：

计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 系统服务

找到 “Server” 服务，将其属性设置为“已禁用”或“手动”（并确保其未运行）。同时，检查 “TCP/IP NetBIOS Helper” 服务，若非必要也可禁用。

注意：此操作会禁用该计算机上的文件与打印机共享功能。请务必先在测试环境中验证，并确保关键服务器（如文件服务器）不受此策略影响。建议为服务器和工作站创建不同的OU并应用不同的GPO。

仅仅禁用服务还不够，我们还需要对必须开启SMB的服务器进行加固。微软在后续的Windows版本中引入了更安全的SMB 3.0+协议，并支持加密。对于Windows Server 2016及以上版本，强制使用SMB签名和加密是至关重要的。

你可以通过以下PowerShell命令，在域控制器上为整个域配置默认的SMB签名要求：

# 要求服务器端协商签名（推荐）
Set-SmbServerConfiguration -RequireSecuritySignature $true -Force

# 启用对客户端的签名协商
Set-SmbClientConfiguration -RequireSecuritySignature $true -Force

# 查看当前配置
Get-SmbServerConfiguration | Select RequireSecuritySignature
Get-SmbClientConfiguration | Select RequireSecuritySignature

此外，利用Windows Defender防火墙创建精确的入站规则，只允许特定的、经过验证的IP地址段访问服务器的SMB端口（445/TCP），能极大限制横向移动的可能性。这比一刀切的“全开”或“全关”要安全得多。

2. 网络分段：将“大平原”改造为“护城河与城堡”

传统企业内网往往是一个巨大的“扁平网络”，任何一