Phòng chống virus lây qua USB docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (303.82 KB, 5 trang )
Phòng chống virus lây qua USB
Ngoài những cách mà nhiều bạn đọc đã chia sẻ, bài viết giới thiệu
cách đảm bảo an toàn bằng tài khoản hạn chế và Software
Restriction Policy
Thời gian qua chúng tôi đã đăng một số bài viết thú vị về việc phòng
chống virus lây qua USB. Tuy nhiên theo tôi, các bài viết đó cũng như
góp ý của bạn đọc mới chỉ giải quyết được một phần vấn đề. Tắt Shell
hardware detection có thể ngăn virus Autorun nhưng có thể làm tắt luôn
tính năng Autoplay. Tạo thư mục AUTORUN.INF trên USB có thể ngăn
virus lây lan qua tệp autorun.inf nhưng không thể cấm virus ghi các tệp
khác. Cả hai cách trên không đảm bảo chặn hoàn toàn các loại
virus/worm…, lây nhờ sự ngờ nghệch của người dùng khi họ nhấn đúp
vào tệp thi hành của nó.
Chúng ta có thể đổ tội cho người dùng khi họ gọi tệp Phimnguoilon.exe,
nhưng làm sao họ có thể luôn nhận ra những mẹo lừa ngày càng tinh vi
như đặt tên tệp thi hành trùng với tên các thư mục trên USB, dùng biểu
tượng thư mục cho các tệp thi hành chứa mã độc… Để ngăn chặn tận gốc
các loại mã độc, chúng ta cần kiểm soát chặt chẽ việc thực thi các phần
mềm. Sử dụng tài khoản người dùng có quyền hạn chế sẽ ngăn chặn khả
năng lây lan của những loại mã độc cần tới quyền quản trị hệ thống
(chẳng hạn như ghi vào mục HKEY_LOCAL_MACHINE trong registry
hay lưu tệp vào thư mục Windows).
Với công cụ có tên gọi Software Restriction Policy do Microsoft cung
cấp (kể từ phiên bản Windows 2000), chúng ta có thể chặn cả những tệp
thi hành do người dùng vô tình hay cố ý đem về máy và chấm dứt nguy
cơ mà mọi tệp dạng Phimnguoilon.exe đem tới dù chúng được nguỵ trang
bằng cách gì đi nữa. Ý tưởng chính của cách kết hợp Software Restriction
Policy với việc sử dụng tài khoản hạn chế có thể được minh hoạ một cách
đơn giản bằng hình dưới đây.
Bằng biện pháp phân quyền của Windows (áp dụng cho hệ thống tệp
NTFS), chúng ta có thể chỉ cho phép người dùng và mọi loại mã độc “đi
theo” họ lưu tệp ở những thư mục nhất định, còn Software Restriction
Policy (SRP) sẽ giúp cấm việc thực thi mọi phần mềm nằm ngoài phạm
vi hệ thống cho phép.
Cách thiết lập SRP chỉ gồm vài bước khá đơn giản
Bước 1: Sau khi đăng nhập bằng tài khoản Administrator, bạn nhấn nút
Start > Run rồi gõ gpedit.msc vào hộp thoại Run và nhấn nút OK để mở
ra màn hình Group Policy. Chuyển tới mục Computer Configuration >
Windows Settings > Security Settings rồi nhấn chuột phải vào dòng
Software Restriction Policies và tạo một chính sách mới.
Bước 2: Áp Software Restriction Policy cho tất cả các phần mềm và mọi
người dùng trừ những tài khoản thuộc nhóm Local Administrators bằng
cách nhấn đúp vào dòng Enforcement ở khung bên phải của màn hình
Group Policy rồi chọn như trong hình dưới đây. Sở dĩ chúng ta cần đặt
ngoại lệ cho các tài khoản quản trị local là vì nếu không làm như vậy,
việc cài đặt/gỡ bỏ các phần mềm có thể phát sinh lỗi.
Bước 3: Nhấn đúp vào dòng Designated File Types trong khung bên
phải của Group Policy. Một hộp thoại sẽ mở ra, hãy tìm tới dòng LNK
trong danh sách các kiểu tệp và chọn Delete. Điều này cho phép người
dùng sử dụng các shortcut trên Desktop và các biểu tượng ở thanh Quick
Launch như bình thường.
Bước 4: Chuyển tới mục Security Levels để bật chế độ bảo vệ bằng cách
nhấn chuột phải vào dòng Disallowed rồi chọn Set as default.
Bạn cần xác nhận điều này bằng cách nhấn vào nút Yes khi thông báo sau
xuất hiện.
Với những trường hợp ngoại lệ, ví dụ như khi một số phần mềm cài đặt
vào thư mục riêng, không nằm trong thư mục Program Files, các bạn có
thể nhấn chuột phải vào dòng Additional Rules và chọn New Path Rule
để bổ sung quy tắc phụ. Nếu cần quản trị chi tiết và dễ dàng hơn, các bạn
có thể nhờ tới sự trợ giúp của các phần mềm thứ ba (chẳng hạn như Parity
của công ty Bit9).
Vì việc sử dụng các phần mềm EndPoint Security vượt quá phạm vi của
bài viết này nên tôi đành xin phép tạm biệt các bạn tại đây.
