经过72小时的艰苦奋战，对抗“永恒之蓝”取得了阶段性胜利，企业安全管理人员开始有时间静下心来思考：防范“永恒之蓝”明显不是杀毒软件一个产品的事，还有哪些安全产品也能让“永恒之蓝”们笑不出来？终端准入控制产品无疑是利器之一。

给“永恒之蓝”一个终端，它就能攻陷全网

2017年5月12日起，利用Windows系统漏洞传播的“永恒之蓝”勒索蠕虫大规模爆发，并在全球近百个国家的终端电脑上迅速扩散，上演了一场世界大勒索。一时间，谈蓝色变，企业更是人人自危。

“永恒之蓝”之所以能够在全球迅速扩散，是因为只要企业内网出现一台感染该蠕虫的电脑，它就会自动随机扫描网络内所有的开放445端口的有漏洞的其他主机，并通过SMB协议将勒索蠕虫病毒再植入到新的目标主机中，新的受害主机将会执行同样的动作。被感染企业轻则网络瘫痪，重则造成数据的丢失或损害，甚至造成业务中断。

开放式接入为“永恒之蓝”们大开方便之门

“网络堡垒”往往是从内部被攻破的。即便是在隔离网内，只要终端接入本身是开放式的，企业内部任何一个人就可以通过便携设备随意接入企业核心业务网络，并访问企业的各种网络资源。一旦有携带蠕虫病毒的终端接入企业内网，很可能导致内网病毒泛滥成灾。

开放式的网络犹如企业没有门卫一样，任何人都可以随便进出，不受任何检查和限制，为恶意访问提供了入侵的便利条件；不设防的终端接入，会让不安全的终端也轻松进入企业内网，它们就仿佛定时炸弹，不法分子随时都可能将其作为跳板，只需采用非常简单的攻击就能从内部攻破整个网络，给企业造成不可估量的损失。

终端准入控制让“永恒之蓝”望而止步

如果企业之前已经部署了终端准入控制（NAC）产品，在“永恒之蓝”爆发之际，就可以开启终端强准入规则：将没有安装杀毒软件并将病毒库更新到最新，或者没有及时打上MS17-010补丁的终端，利用安检合规策略进行隔离，避免交叉感染。借助终端准入控制产品，企业就能有效抑制“永恒之蓝”们在内网迅速扩散，让它到此为止！

当然，终端准入控制产品的功能远不止如此。以360天擎终端准入控制系统为例，它可以做到：

1、强准入，明边界

企业内网边界清晰的前提有工具类产品为管理员划清内网边界，通过在接入层交换机上开启802.1x认证协议达到端口级终端准入效果，对非法接入的终端进行阻断，对有合法账户的人员带入的非内网终端进行阻断。天擎终端准入控制系统的网络准入模块是通过标准802.1x协议，在网络接入层做准入认证、根据认证授权情况确定是否能访问网络，可联动入网合规性检查，根据检查结果下发网络访问权限，802.1x认证可提供端口级的强准入认证方案，并支持认证授权、安全检查、隔离修复、访问控制 “一站式”的全流程入网准入管理，从而使内部终端接入管理变得安全、可控、透明。

2、查补丁，强隔离

智能判断操作系统版本，针对不同的操作系统智能检查关键补丁是否存在，对未安装此补丁的终端给予提示，并将此检查项设置为关键检查项，无法通过关键检查项的终端，将被分配网络访问策略，将此终端隔离到隔离区，并要求使用者对操作系统补丁进行升级。

3、勤提示，启杀软

对终端进行杀毒软件检查，对杀毒软件进程进行检查，针对未安装杀毒软件的终端、对未启动杀毒软件的终端进行提示，并对这些终端进行隔离，避免自身安全存在问题的终端接入内部网络，对其他终端造成感染。

作者：产品与解决方案中心 肖会波