Phòng chống virus lây qua USB
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (158.04 KB, 3 trang )
Phòng chống virus lây qua USB
Bài viết cập nhật vào 27/05/2010 09:56:42
Ngoài những cách mà nhiều bạn đọc đã chia sẻ, bài viết giới thiệu cách đảm bảo an toàn bằng tài
khoản hạn chế và Software Restriction Policy
Thời gian qua Thế Giới Vi Tính đã đăng một số bài viết thú vị về việc phòng chống virus lây qua
USB. Tuy nhiên theo tôi, các bài viết đó cũng như góp ý của bạn đọc mới chỉ giải quyết được một
phần vấn đề. Tắt Shell hardware detection có thể ngăn virus Autorun nhưng có thể làm tắt luôn
tính năng Autoplay. Tạo thư mục AUTORUN.INF trên USB có thể ngăn virus lây lan qua tệp
autorun.inf nhưng không thể cấm virus ghi các tệp khác. Ngay tác giả bài viết “Nguy cơ bảo mật từ
thiết bị nhớ USB” (ID: A0909_138) cũng thừa nhận “... cả hai cách … không đảm bảo chặn hoàn
toàn các loại virus/worm …, lây nhờ sự ngờ nghệch của người dùng khi họ nhấn đúp vào tệp thi
hành của nó”.
Chúng ta có thể đổ tội cho người dùng khi họ gọi tệp
Phimnguoilon.exe, nhưng làm sao họ có thể luôn nhận ra
những mẹo lừa ngày càng tinh vi như đặt tên tệp thi hành
trùng với tên các thư mục trên USB, dùng biểu tượng thư mục
cho các tệp thi hành chứa mã độc … Để ngăn chặn tận gốc
các loại mã độc, chúng ta cần kiểm soát chặt chẽ việc thực thi
các phần mềm. Sử dụng tài khoản người dùng có quyền hạn chế sẽ ngăn chặn khả năng lây lan
của những loại mã độc cần tới quyền quản trị hệ thống (chẳng hạn như ghi vào mục
HKEY_LOCAL_MACHINE trong registry hay lưu tệp vào thư mục Windows).
Với công cụ có tên gọi Software Restriction Policy do Microsoft cung cấp (kể từ phiên bản
Windows 2000), chúng ta có thể chặn cả những tệp thi hành do người dùng vô tình hay cố ý đem
về máy và chấm dứt nguy cơ mà mọi tệp dạng Phimnguoilon.exe đem tới dù chúng được nguỵ
trang bằng cách gì đi nữa. Ý tưởng chính của cách kết hợp Software Restriction Policy với việc sử
dụng tài khoản hạn chế có thể được minh hoạ một cách đơn giản bằng hình dưới đây.
Bằng biện pháp phân quyền của Windows (áp dụng
cho hệ thống tệp NTFS), chúng ta có thể chỉ cho
phép người dùng và mọi loại mã độc “đi theo” họ lưu
tệp ở những thư mục nhất định, còn Software
Restriction Policy (SRP) sẽ giúp cấm việc thực thi mọi
phần mềm nằm ngoài phạm vi hệ thống cho phép.
Cách thiết lập SRP chỉ gồm vài bước khá đơn giản.
Bước 1: Sau khi đăng nhập bằng tài khoản Administrator, bạn nhấn nút Start > Run rồi gõ
gpedit.msc vào hộp thoại Run và nhấn nút OK để mở ra màn hình Group Policy. Chuyển tới mục
Computer Configuration > Windows Settings > Security Settings rồi nhấn chuột phải vào dòng
Software Restriction Policies và tạo một chính sách mới.
Bước 2: Áp Software Restriction Policy cho tất cả các phần mềm và mọi người dùng trừ những tài
khoản thuộc nhóm Local Administrators bằng cách nhấn đúp vào dòng Enforcement ở khung bên
phải của màn hình Group Policy rồi chọn như trong hình dưới đây. Sở dĩ chúng ta cần đặt ngoại lệ
cho các tài khoản quản trị local là vì nếu không làm như vậy, việc cài đặt/gỡ bỏ các phần mềm có
thể phát sinh lỗi.
Bước 3: Nhấn đúp vào dòng Designated File Types trong khung bên phải của Group Policy. Một
hộp thoại sẽ mở ra, hãy tìm tới dòng LNK trong danh sách các kiểu tệp và chọn Delete. Điều này
cho phép người dùng sử dụng các shortcut trên Desktop và các biểu tượng ở thanh Quick Launch
như bình thường.
Bước 4: Chuyển tới mục Security Levels để bật chế
độ bảo vệ bằng cách nhấn chuột phải vào dòng
Disallowed rồi chọn Set as default.
Bạn cần xác nhận điều này bằng cách nhấn vào nút
Yes khi thông báo sau xuất hiện.
Với những trường hợp ngoại lệ, ví dụ như khi một số
phần mềm cài đặt vào thư mục riêng, không nằm
trong thư mục Program Files, các bạn có thể nhấn chuột phải vào dòng Additional Rules và chọn
New Path Rule để bổ sung quy tắc phụ. Nếu cần quản trị chi tiết và dễ dàng hơn, các bạn có thể
nhờ tới sự trợ giúp của các phần mềm thứ ba (chẳng hạn như Parity của công ty Bit9).
Vì việc sử dụng các phần mềm EndPoint Security vượt quá phạm vi của bài viết này nên tôi đành
xin phép tạm biệt các bạn tại đây.
