電腦設備在無法及時更新系統的情況下，如何抵禦網路病毒？

01-25

能夠及時更新，打好補丁是最好的防範病毒的手段，但企事業單位的的電腦因為各種原因會無法更新最新版的軟體系統，比如軟體兼容性，人員學習成本等等，這也讓高校和機關單位的（海關，英國公立醫療系統）成為了此次永恆之藍病毒的重災區，被勒索比特幣，對於這些設備，怎樣才是最好的防範手段？

但企事業單位的的電腦因為各種原因會無法更新最新版的軟體系統，比如軟體兼容性，人員學習成本等等

這些成本不都在這次病毒爆發的時候清算了嘛。

所以結論很明顯：把錢花在解決軟體兼容性和人員學習之類的問題上，不要想著平時不花錢搞點什麼內網隔離啊物理斷網啊之類的幺蛾子能一勞永逸。

說內網沒法裝更新的您知道 WSUS 么……

別聯網，別插U盤，或者新的U口設備，不上傳外部來的文件。加一個，關閉不需要的電腦設備功能

物理斷網

公安網的機器就這樣

這次看到有出入境的說因為中招要暫停服務，絕對是有人違規操作了

Windows Server Update Services Overview

自己看去

斷網

經過對我省重點基礎設施長達一個多月的抽查來看，這些內網存在甚多，外網補丁什麼的還是打的挺及時的，多數因為人員管理層方面而沒有做好及時打補丁的情況，很多系統管理員有的離崗或者調度到其它職位而留下這些設備，新來的更不用說，防禦方面的話從入網機器著手，一般堡壘機，防火牆什麼的基本可以隔絕這種攻擊.

關閉445埠就OK，這樣就不會感染永恆之藍，因為永恆之藍是通過445埠傳播的。

備份機制，定期備份/可以做一個內網wsus/保密可以考慮網匝

企業無法及時更新殺毒可採用網路版殺毒軟體，對病毒情況和感染情況有良好的統計，也能達到及時更新的目的。

防禦病毒對無保護計算機意識的使用者來說，最好限制其使用行為。

一防火牆做限制，敏感埠屏蔽。

二劃分用戶類別，創建使用規則。

三有經濟能力的話使用虛擬化客戶機。

關閉無用埠，開啟防火牆

如果是區域網傳播的話，可以在最上層路由器設個AP隔離之類的。這樣就像其他幾位答主所說，崩也只崩一部分。
再就是系統還原機制，能免疫絕大多數病毒的無法控制的傳播與修復。同時辦公電腦只開必要埠或者在網內也開啟ap隔離，以一台主機以非常規埠進行文件傳輸儲存。
要是0Day漏洞發起的攻擊，還被扔到了辦公網路內部，那就看臉了。個人對360系列不怎麼抱有信心，不過對國內的情況360倒是普及的標準。

其實只允許使用非管理員賬戶辦公也不錯啊，滲透了能怎樣！沒有管理員許可權你能幹什麼～別忘了把UAC設成總是通知！（就是每次幹什麼都彈窗的東西，對了，XP貌似沒有，趕緊上Win7要不xp真的太老了(╯‵□′)╯︵┻━┻）

UAC也只是能苟一會。。最重要的是人的意識上來。

（Ubuntu-Wine大法好）

2017-05-15 更新

話說網上一堆讓封死445埠的dalao們，封完以後Windows的文件共享功能也就GG了，這種問題也不說一聲？順帶FTP和FTPS倒是個解決文件共享的應急手段。

剛聽說有人的Wine-Ubuntu也GG了，看來還是不要作的好。（不是被攻擊，是自己作下了病毒試著玩）

企業邊界有防火牆，設置策略後，外界發起的通過對windows系統開放埠的攻擊會被直接斷掉。但無法防禦水坑類攻擊，例如你下載個有問題的軟體或者文檔，該軟體直接通過你的主機發起對其他主機的攻擊。這個時候他人只能設置自己主機的防火牆策略。企業內部生產網路和辦公網路需要設置隔離策略。這樣，生產網路通過邊界防火牆阻擋外界蠕蟲的攻擊，同時即使辦公網路被種了木馬，也無法直接威脅到生產網路

可以用360企業版：首頁 -- 360網管版,360安全衛士網管版,360殺毒網管版-360企業安全

網關電腦安裝360企業版，之後就可以給內網的所有電腦統一打補丁，而內網不需要訪問網路