问题描述：

1）某单位300台客户端有50%计算机自动重启、蓝屏

2）怀疑中病毒

3）通过将种服务器关机排除，非服务器影响

4）通过打补丁发现，因更新2个补丁后，电脑 不重启了

关键的补丁还是要打，

Windows 7 KB4012212

Windows 2008 R2的KB4012598

5）一直以为所有补丁通过某杀毒软件自动更新，但大多数未更新

解决方法:

1)  杀毒软件怀疑是勒索病毒

某单位这300台电脑是内网，不允许上网，根据重启现象，杀毒软件技术人员怀疑是勒索病毒影响。

重启现象：

A.有些电脑重启，有些不重启

B.有些电脑重启，出现蓝屏

杀毒软件：（分析）

A．有中勒索病毒，出现重启现象

B．有中勒索病毒，出现重启现象，也出现蓝屏现象

C．为什么中勒索病毒文件未加密?

解释：勒索病毒利用漏洞中病毒后，需要在公网获取私钥，但不能上网获取不了，所以不能加密。

PS:

居然还有这道理，针对政府单位的内网，勒索病毒想加密都加不了!

2)  设置Windows定时更新，不重启

在Windows域环境，默认所有加域客户端不会配置Windows自动更新。

Windows 2012 R2

Windows 7

针对Windows域环境中，所有加域的计算机需要配置定时在12：00下载更新安装更新。

远程桌面到域控制器服务器

选择-工具-组策略管理

选择-林:contoso.com

选择-域-contoso.com-Default Domain Policy

选择-Default Domain Policy-右键-编辑

选择-计算机配置-策略-管理模板-Windows组件-Windows更新

双击-配置自动更新（按下图进行配置）

双击-始终在计划的时间重新启动

双击-允许自动更新立即安装

同样方法设置其它几个配置。

针对以上设置，如果有发现异常，请再根据实际情况做相应变更。

在客户端执行强行更新组策略。

Gpupdate -force

C:\Users\Administrator>gpupdate /Force

正在更新策略...

计算机策略更新成功完成。

用户策略更新成功完成。

C:\Users\Administrator>

Windows 2012 R2

Windows 7

3)  设置Windows更新自动启动

默认加入Windows域的计算机Windows Update服务可能是自动，正在运行。（绝大数可能!）

默认加入Windows域的计算机Windows Update服务可能是禁用，不是正在运行。(有可能!)

默认加入Windows域的计算机Windows Update服务可能是手动，不是正在运行。(有可能!)

远程桌面到域控制器服务器

选择-工具-组策略管理

选择-林:contoso.com

选择-域-contoso.com-Default Domain Policy

选择-Default Domain Policy-右键-编辑

选择-计算机配置-策略-Windows设置-安全设置-系统服务

选择-Windows Update服务

客户端:

4)  杀毒软件针对病毒进行专杀

如果出现这种情况，你全网络又安装有杀毒软件，建议拉上杀毒软件工程师一起排除问题。

本次操作系统未能更新，与杀毒软件也有关系。

客户原计划使用杀毒软件批量去安装这些更新!

怎么也没想到Windows自动更新未配置。Windows自动更新服务有的禁用，有的手动，都未启动，所以安装不了。

5)  总结

如果你要防勒索病毒!

A.  所有加域的计算机安装杀毒软件。(有朋友用)

B.  所有加域的计算机通过组策略配置Windows自动更新。

C.  所有加域的计算机通过组策略配置Windows自动服务自动，设置为启动。

D.  建议部署WSUS，所有加域计算机通过WSUS定期更新补丁。

E.  内部重要文件，建议定期备份

最好备份3份，1份放Windows，1份放Linux文件服务器，1份放磁带机。

如果做到这三份文件可以定期同步，是你需要考虑的!