Primeiro, um pequeno prefácio. O patch MS17-010 está incluído em todos os pacotes cumulativos de atualizações para o Windows 7, 8.1 e 10 a partir de março. Portanto, se você tiver as atualizações rollup de abril ou maio (ou mais recentes) instaladas, não será necessário (e você não terá instalado) o número da KB específico vinculado à correção MS17-010. / p>
No entanto, se você tiver optado por instalar apenas as atualizações somente de segurança , precisará especificamente ter a versão de março instalada. A menos que você tenha escolhido especificamente esse caminho, você deve estar nos acúmulos. A aposta mais segura é apenas deixar o Windows atualizar tudo até que esteja atualizado.
Este é realmente o caso de todos os patches de segurança agora, não apenas este.
will prevent WannaCry malware from installing/executing
O patch MS17-010 não faz nada para parar o ransomware em si. Se você baixar o exe e executá-lo, ele ainda fará sua parte e criptografará seus arquivos. Por exemplo, o principal vetor de infecção na maioria das redes foi através de anexos de e-mail, IIRC. Isso não é novidade para o ransomware.
No entanto, a parte do worm do programa é o que facilita sua disseminação pelas redes. Isso ataca a implementação do SMBv1 no computador destino , ou seja, o computador que o worm está espalhando para , não de . Portanto, o MS17-010 patch deve ser instalado em todas as máquinas do Windows na rede.
Geralmente, NAT ou firewalls na borda da rede impedem a disseminação pela Internet.
just prevent the malware (once installed on a certain PC and therefore infecting it) from propagating through the intranet
O patch não faz nada para ajudar um computador já infectado. Só é útil se instalado em outros computadores não infectados na rede.
are there any benefits of disabling SMBv1 too?
Não diretamente para o WannaCry / EternalBlue, já que o patch MS17-010 corrige esse buraco em particular. No entanto, defesa em profundidade sugeriria desabilitar o SMBv1 de qualquer maneira, a menos que você precise, pois reduz as superfícies de ataque e minimiza os danos caso haja outro bug SMBv1 desconhecido no momento. Dado que o Vista e o suporte mais recente SMBv2, não deve haver necessidade de manter o SMBv1 ativado, a menos que você precise compartilhar arquivos com o XP. Espero que não seja o caso.
before disabling SMBv1, how to be sure that this will not affect network performance/reliability?
O efeito mais óbvio é que você não poderá mais usar o compartilhamento de arquivos do Windows com qualquer sistema XP.
De acordo com o link do grawity e os comentários lá Isso pode impedir que o seu computador apareça ou use a lista "Rede". Você ainda pode acessá-los digitando \computername e vê-los listados usando grupos domésticos (ou o Active Directory em um ambiente de negócios).
A outra exceção citada no post do blog são fotocopiadoras / scanners de rede mais antigos que têm a funcionalidade "digitalizar para compartilhar" e podem não oferecer suporte a um protocolo SMB moderno.