所有的Windows  XP、Windows 2003、Windows Vista、Win7、Windows 8，Windows 2008、Win2008 R2、Win2012、Win2012R2、WIN10等系统都存在这个漏洞。如不修复将存在被入侵的巨大风险。

不管是家用电脑、办公电脑、或服务器都需要修复才可以！

请给服务器安装专用补丁来修复此漏洞，并通过下面教程的设置进一步加固服务器安全。

1>安装专用安全补丁：

a1、WIN2003(32位)SP2专用(2017.5.13发布)补丁：http://pan.baidu.com/s/1bppKlsV  提取码sqs9

a2、WIN2003(64位)SP2专用(2017.5.13发布)补丁：http://pan.baidu.com/s/1c2J4vYS  提取码fpt8

（WIN2003的64位系统很少人用）

b、WIN2008R2-SP1专用补丁：https://pan.baidu.com/s/1ERitZLVuhbN57CsUaglFkg 提取码t48x

(注意不是WIN2008,而WIN2008是Vista的服务器版本，这个WIN2008R2系统是WIN7的服务器版

如果你的服务器提示打补丁时不支持此系统,可能服务器的WIN2008R2没升级到SP1，请先升级到SP1后再打补丁)

WIN2008 R2系统的SP1升级包：http://pan.baidu.com/s/1nvyTqFR  提取码j917注意这个不是漏洞补丁,上面的补丁不能安装或系统不是SP1的才需要安装这个升级包

c、WIN2012R2专用补丁：http://pan.baidu.com/s/1sk9ujox 提取码3bi9

(注意不是WIN2012,而WIN2012是WIN8的服务器版本，这个WIN2012R2系统是WIN8.1的服务器版)

d、WIN2016专用补丁：http://pan.baidu.com/s/1eSh69eM 提取码llzp

e、Windows XP SP3专用补丁：http://pan.baidu.com/s/1qXVaWdY  提取码evej

f1、WIN7SP1(32位)专用补丁：http://pan.baidu.com/s/1skOnvrB  提取码hvgy

(如果你的电脑提示打补丁时不支持此系统,可能电脑的WIN7没升级到SP1，请先升级到SP1后再打补丁)

WIN7(32位)系统的SP1升级包：http://pan.baidu.com/s/1pKWyTHD  提取码8vvp注意这个不是漏洞补丁,上面的补丁不能安装或系统不是SP1的才需要安装这个升级包

f2、WIN7SP1(64位)专用补丁：https://pan.baidu.com/s/1ERitZLVuhbN57CsUaglFkg 提取码t48x

(如果你的电脑提示打补丁时不支持此系统,可能电脑的WIN7没升级到SP1，请先升级到SP1后再打补丁)

WIN7(64位)系统的SP1升级包：http://pan.baidu.com/s/1nvyTqFR  提取码j917注意这个不是漏洞补丁,上面的补丁不能安装或系统不是SP1的才需要安装这个升级包

G、WIN10系统专用补丁，因为WIN10微软发行了几个版本，WIN10的1511版、WIN10的1607版、WIN10的LTSB和WIN10其他版本：

WIN10的1511版的专用补丁：32位系统的补丁下载        64位系统的补丁下载

WIN10的1607版的专用补丁：32位系统的补丁下载       64位系统的补丁下载

WIN10的LTSB和WIN10其他版本：32位系统的补丁下载        64位系统的补丁下载

上面的下载页面打开后可能显示无法找到该页,请多次刷新下就出来了。

系统说明：WIN2008R2是WIN7的服务器版本(注意不是WIN2008,而WIN2008是Vista的服务器版本)；WIN2012R2是WIN8.1的服务器版本(注意不是WIN2012,而WIN2012是WIN8的服务器版本)；WIN2016是WIN10的服务器版本。

漏洞修补好后,请按照下面教程来操作进一步加固服务器的安全

2>“开始”->”控制面板”->”所有控制面板项”->”网络和共享中心” ->“更改适配器设置”->在“本地连接”(有的服务器不一定叫本地连接)上右键点击选“属性”

（或“开始”->”运行”->输入ncpa.cpl回车->在“本地连接”(有的服务器不一定叫本地连接)上右键点击选“属性”）

取消Microsoft网络的文件和打印机共享（此操作的目的是禁止445端口），如图

这样也会禁止局域网内打印机共享(只是禁止共享打印机,本机使用直接连接的打印机是没任何影响),机房服务器一般用不上(大多数电脑用不上),可放心禁用。

  3>“开始”->“控制面板”->“所有控制面板项”->“网络和共享中心” ->“更改适配器设置”->在“本地连接”(有的服务器不一定叫本地连接)上右键点击选“属性”->双击“intel协议版本4（TCP/IPV4）”->“高级”->“WINS”，禁用netbios（此操作的目的是禁止137,139端口,大多数电脑用不上）如图

（或“开始”->”运行”->输入ncpa.cpl回车……）

4>”开始”->”运行”->输入services.msc回车，打开“服务”窗口后->找到“TCP/IP NetBIOS Helper”双击->禁用掉

TCP/IP NetBIOS Helper不开启域或不需要局域网内共享(局域网内共享一般用不上)就可以直接禁用

禁用方法：将启动类型 从自动 修改为禁用，再点击 停止 ，然后确定退出即可，如图：

5>”开始”->”运行”->输入gpedit.msc回车，打开“组策略编辑器”后依次打开->“计算机配置”->“管理模块”->“windows组件”->”智能卡”,关闭远程智能卡（此操作避免rdp服务被攻击利用），如图

关闭方法:双击需要关闭的组策略  然后 将 未配置 修改为 已禁用

注意：家用或办公电脑不要关闭智能卡,会使得加密狗、网银U盾、网银盾等不能使用。

注意在WIN2003或XP系统中没智能卡这个大选项，但是有2个关于智能卡的2个小选项，我们需要处理下：

a、WIN2003系统关闭智能卡重定向，在运行中gpedit.msc回车，打开“组策略编辑器”后依次打开->“计算机配置”->“管理模块”->“windows组件”->“终端服务”->“客户端/服务器数据重定向”；双击“不允许智能卡设备重定向”，将“未配置”选为“已启用”(注意这里是已启用,不是已禁用)，点击“确定”后退出。

b、WIN2003系统将“交互式登录：智能卡移除操作”设置为“锁定工作站”，在运行中secpol.msc，打开本地安全设置界面，依次展开->本地策略->安全选项，再在左边找到并双击“交互式登录：智能卡移除操作”，将默认的无操作修改为锁定工作站。

6>修改远程桌面连接为FIPS(3des)加密

在服务器里依次打开->“开始”->“所有程序”->“管理工具”->“远程桌面服务”->“远程桌面会话主机配置”

（如果是WIN2003系统的服务器是->“开始”->“所有程序”->“管理工具”->“终端服务配置” ）

在左窗格中，单击“连接”，再在右窗格中，右键单击“RDP-tcp”，选择“属性” 

在“常规”选项卡中“加密级别”从“客户端兼容”修改为“符合FIPS标准”，然后单击“确定”，重启后生效。

7>IP安全策略，对服务器做安全加固(必须的,屏蔽445、139等端口)，请下载附件，解压后有使用说明

IP安全策略.rar

bafb41b34e3e45fefaa13f67da34bb25.rar (6.24 KB)

8> 服务器安全加固限制远程桌面登录的用户组或用户

将Windows系统默认的“Administrators”(管理员组)和“Remote Desktop Users”，只保留“Administrators”。

9> 禁用不必要的服务,对服务器做安全加固.

建议禁止的服务：

Computer Browser   说明:局域网里面用来自动搜索网上邻居用

IP Helper           说明：IPv6转换为IPv4的,中国目前还用不上

Print Spooler       说明：打印机的服务,如果电脑或服务器不连接打印机就禁用

Remote Registry     说明：用户远程管理注册表，在sql2000升级到SQL2005需要用到Remote Registry服务(正常情况下用不上这个服务)

Server              说明：禁用可以关闭服务器局域网内共享

Smart Card是管理电脑对智能卡(不是U盘)的取读访问,如加密狗、银行的U盾网银盾、税控盘之类的属于智能卡,服务器没插加密狗的建议禁止,家用或个人电脑、办公电脑不建议禁用

Windows Error Reporting Service

Windows Font Cache Service

Windows Remote Management (WS-Management) 设为手动,仅在WIN2012中装IIS需要用到这个服务

WinHTTP Web Proxy Auto-Discovery Service

10>服务器杀毒软件建议安装麦咖啡Mcafee，不要装360之类的

(不是必须的,可以不做,一台服务器不要装2种杀毒软件,但是麦咖啡比其他杀毒软件强大)：

请在本站搜索相关文章