Primeiro, um pequeno prefácio. O patch MS17-010 está incluído em todos os pacotes cumulativos de atualizações para Windows 7, 8.1 e 10 a partir de março. Portanto, se você tiver as atualizações cumulativas de abril ou maio (ou mais recentes) instaladas, não precisará (e não terá instalado) o número de KB específico vinculado ao patch MS17-010.
No entanto, se você optou por instalar apenas atualizações somente de segurança , precisará especificamente instalar a de março. A menos que você tenha escolhido esse caminho especificamente, você deve estar nos rollups. A aposta mais segura é permitir que o Windows atualize tudo até que ele esteja atualizado.
Este é realmente o caso de todos os patches de segurança agora, não apenas este.
impedirá a instalação / execução do malware WannaCry
O patch MS17-010 não faz nada para parar o próprio ransomware. Se você baixar o exe e executá-lo, ele ainda funcionará e criptografará seus arquivos. Por exemplo, o principal vetor de infecção na maioria das redes era através de anexos de email, IIRC. Isso não é novidade para o ransomware.
No entanto, a parte do worm do programa é o que facilita a sua disseminação pelas redes. Este ataques a implementação SMBv1 no destino computador, ou seja, o computador do worm está se espalhando para , não a partir de .. Portanto, o patch MS17-010 deve ser instalado cada máquina Windows na rede.
Geralmente, NAT ou firewalls na borda da rede impedem a propagação pela Internet.
apenas impeça a propagação do malware (uma vez instalado em um determinado PC e, portanto, infectando-o) pela intranet
O patch não faz nada para ajudar um computador já infectado. Só é útil se instalado em outros computadores não infectados da rede.
existem benefícios em desativar o SMBv1 também?
Não diretamente para o WannaCry / EternalBlue, pois o patch MS17-010 corrige esse buraco específico. No entanto, a defesa em profundidade sugeriria desativar o SMBv1 de qualquer maneira, a menos que você precise, pois reduz as superfícies de ataque e minimiza os danos caso ocorra outro bug do SMBv1 atualmente desconhecido. Dado que o Vista e os mais novos oferecem suporte ao SMBv2, não será necessário manter o SMBv1 ativado, a menos que você precise compartilhar arquivos com o XP. Espero que não seja esse o caso.
Antes de desativar o SMBv1, como ter certeza de que isso não afetará o desempenho / confiabilidade da rede?
O efeito mais óbvio é que você não poderá mais usar o compartilhamento de arquivos do Windows com nenhum sistema XP.
Conforme a gravidade do link postada e os comentários, isso pode impedir que o seu computador apareça na lista "rede" ou use-a. Você ainda pode acessá-los digitando \\computername
e vê-los listados usando grupos domésticos (ou Active Directory em um ambiente de negócios).
A outra exceção mencionada nessa postagem do blog são fotocopiadoras / scanners de rede mais antigos que possuem a funcionalidade "digitalizar para compartilhar" podem não suportar um protocolo SMB moderno.