Windows Search服务远程代码执行漏洞（CVE-2017-8620）

未分类

一、CVE-2017-8620漏洞补丁更新

1. 当前系统版本信息查询

我们可以直接在运行中输入命令winver，回车即可弹出我们当前系统版本的信息内容，依据主机系统版本的实际情况选择相应的补丁进行下载更新。

2. 补丁更新下载

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8620

二、关闭Windows Search影响

如果关闭 Windows Search，则会出现以下后果，所以大家再选择禁用WSearch服务时，请阅读以下内容进行相应的评估后再操作。

Windows 中的所有搜索框都将消失，其中包括 Windows 资源管理器、“开始”菜单、“控制面板”、文档库以及其他库中的搜索框。

1.依赖于 Windows Search 的程序可能无法正常运行。
2.Internet Explorer 将不具有增强型搜索功能。
3.Tablet PC 的手写识别功能将无法运行。
4.Windows Media Center 将不具有增强型搜索功能。
5.您再也无法按元数据排列库视图，且列标题将仅可对项目进行排序，而无法对其进行堆叠和整理。
6.影响 Windows Search 功能的选项将被删除，其中包括“控制面板”中和“文件夹选项”的“搜索”选项卡中的索引功能。
7.Windows 将再也无法识别以下基于搜索的文件类型：search-ms、searchconnector-ms 和 osdx。

三、如何关闭Windows Search

以下给出了Windows Search服务停用与禁用的三种方式，建议大家直接下载脚本运行，使用比较方便。

1. 方法一：批处理脚本禁用服务

有关Windows Search服务的停用和禁用，我们可以通过命令行直接完成，为了方便大家的直接使用，这里直接提供了BAT批处理脚本，请大家直接下载后，以“管理员权限”运行此脚本即可。

批处理脚本下载：http://pan.baidu.com/s/1hsL4aVE 密码：r67y

注：有关Windwos Search服务停用的相关影响，可参见“章节二”。

2. 方法二：命令行禁用服务

直接进入cmd命令行，运行以下命令即可完成WSearch服务的停用与禁用操作。

> net stop WSearch
> sc config WSearch start= disabled

3. 方法三：注册表禁用

1. 打开Run, 输入regedit 然后点击回车运行，进入注册表编辑器；

2. 按以下路径找到WSearch
   HKEY_LOCAL_MACHINE --- System --- CurrentControlSet --- Services --- WSearch

3. 备份WSearch
   直接选中WSearch文件，右击选中导出WSearch键值，备份文件命名为"WSearch_configuration_backup.reg"，以备后期恢复需要；

4. 修改start的值为4
   找到WSearch文件中"start"键，双击打开修改器键值为4即可。

5. 命令行停用WSearch服务
   直接通过CMD命令行，输入sc stop WSearch命令停用WSearch服务。

C:\Users\admin>sc stop WSearch