Windows：EternalBlue 漏洞導致的停止程式碼0x50 srv.sys

Microsoft發佈了 有關SMBv1.0的安全公告。如果攻擊者將特製消息發送到 Microsoft Server Message Block 1.0 （SMBv1） 伺服器，則最嚴重的漏洞可能允許遠端執行代碼。

您可以通過分析記憶體轉儲上的堆疊並查找以下特定行來識別是否發生此問題：
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

受影響的系統：
Windows 伺服器 2008
， 視窗伺服器 2008 R2
， 視窗伺服器 2012
， 視窗伺服器 2012 R2
， 視窗伺服器 2016
， 視窗 7
， 視窗 8
， 視窗 8.1
， 視窗 10
 

。

Microsoft發表了一篇關於SMB1的 博客文章，解釋說它已經過時，不應該在最新的操作系統版本上使用。

由於此問題是由漏洞所造成，因此需要在受影響的系統上運行防病毒程式。

因應措施

以下解決方法可能對您的情況有所説明：

• 停用 SMBv1

  針對執行 Windows Vista 及更新版本的客戶

  請參閱 Microsoft 知識文章 2696547。

  適用於執行 Windows 8.1 或 Windows Server 2012 R2 及更新版本之客戶的替代方法

  若為用戶端作業系統：

  1. 開啟控制台，按一下程式集，然後按一下開啟或關閉 Windows 功能。
  2. 在「Windows 功能」視窗中，清除 SMB1.0/CIFS 檔案共用支援核取方塊，然後按一下確定以關閉視窗。
  3. 重新啟動系統。
      

  若為伺服器作業系統：

  1. 開啟伺服器管理員，然後按一下管理功能表，接著選取移除角色與功能。
  2. 在功能視窗中，清除 SMB1.0/CIFS 檔案共用支援核取方塊，然後按一下確定關閉視窗。
  3. 重新啟動系統。
      

  因應措施的影響。目標系統上的 SMBv1 通訊協定已停用。
  SMBv1.0 支援老式系統 （Windows XP、Windows Vista、Windows 2000、Windows 2003、Windows 2003 R2）。

  如何復原因應措施。回溯因應措施步驟，然後選取 SMB1.0/CIFS 檔案共用支援核取方塊，將 SMB1.0/CIFS 檔案共用支援功能還原至使用中狀態。