家里有三台Windows 7 PC，其中两台居然打不上补丁…

 

现在周末过得并不轻松，写这篇也不是因为我很闲，有很多事情等待着要做。而看过这个短文的读者，哪怕对其中一位能有点小帮助或者启发，我觉得就没白浪费时间。

 

一个病毒，让不少朋友这个周末忙了起来，我也不例外——家里除了办公用的笔记本还有至少4个Windows PC老机器。有人说备份和安全厂商纷纷嗅到商机又刷屏了，虽然我现在不做备份方面的技术，但这次确实让大家再次意识到数据备份的重要性。

 

这两天在网上看到各种关于预防/解决勒索病毒的办法，应该说下面这位朋友的帖子感觉更有水平。

 

稳妥起见，可以先拔网线/关无线网卡开关

 

虽说打补丁是最直接有效的办法，但这4种方案我都做过简单的尝试。下面跟大家分享下体会：

 

4、关于封端口，除了Windows防火墙中的规则之外，还可以使用组策略，当然更牛的也可以直接改注册表。网上有各种攻略。

 

3、听说Windows Defender可能是最先具备保护能力的，毕竟是Windows安全漏洞嘛，微软自家软件近水楼台先得月。而我自己的电脑，除了办公用机***升级Win10之外，余下有3台Win7——Defender还只是OS自带的反恶意软件程序。其中1台Win7和另一台WinXP安装了MSE杀毒，我顺手升级了一下。

 

2、我只尝试了客户端操作系统，从功能组件上禁用SMB 1.0似乎只有Windows Windows8.1、 Windows 10、Windows Server 2012 R2和Windows Server 2016可以用。如下图：

 

对于Win7及之前的系统，有关闭服务的办法，另外防火墙中也有一个“允许的程序”的选项。

 

我理解在Windows防火墙打开的情况下，把“文件和打印机共享”前面打勾去掉，也可以安全吧？

 

4、最后谈一下补丁，也就是我遇到问题的地方。

 

首先是补丁下载，微软后来专门为Windows XP和Server 2003也发布了补丁，但说实话我下载时并不顺利。

 

感谢微信群里的一位朋友做了MS017-010的网盘共享：http://pan.baidu.com/s/1sl0ha13

 

其中Windows6.1（对应Win7、Server 2008 R2）和Windows 8.1的文件名为kb4012212，并且补丁较大，余下都是kb4012592。

 

我在XP机器上安装顺利，而Win7 64位居然只成功了一台，另外两台提示无法安装？后来发现跟下面这个设置有关。

 

个人习惯，我很少直接选择第一项，通常是用“检查更新，但是让我选择是否下载和安装更新”这个，而家里这几台机器大多时间不是我用，并且也不是总都连网，所以没怎么安装Windows更新。

 

就是在这种情况下打不上kb4012212，当我选择最后一项彻底关闭自动更新之后就成功了。说实话Win7 SP1之后的补丁太多，懒得全补上了，虽说对于数据重要点机器来说那样最安全。

 

还有个问题顺便吐个槽，就是微软对Win10升级的后台推送。我曾遇到家里的机器特别慢，内存莫名奇妙占用很高、硬盘灯不知为什么闪。后来有朋友说可能跟Win10升级程序的推送有关，所以有的机器就“从不检查更新”了。

 

从这个角度来说，用360之类的软件来打补丁似乎也不错，但我还是对周老板不放心，能不用就不用吧：）