Tài liệu Sử dụng Group Policy để tránh ConFlicker trong Windows doc
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (369.13 KB, 7 trang )
Sử dụng Group Policy để tránh ConFlicker trong Windows
Ngu
ồn : quantrimang.com.vn
Derek Melbe
r
Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số
phương pháp giúp các bạn bảo vệ máy tính của mình nhằm tránh bị tiêm nhiễm
loại sâu nguy hiểm mang tên ConFlicker.
Giới thiệu
Bảo mật Windows luôn luôn là một nhiệm vụ không hề dễ dàng. Quả thực mà
nói có quá nhiều vấn đề cần phải đề cập đến trong việc bảo mật, tuy nhiên về
bản chất lại hoàn toàn giống như người duy trì cho thế giới hệ điều hành và IT.
Mỗi hệ
điều hành đều có các lỗ hổng và chúng hoàn toàn có thể bị tấn công bởi
một số lượng rất lớn virus và sâu hoành hành. Trong trường hợp ConFlicker,
câu chuyện cũng diễn ra như vậy. Khi lại sâu này xuất hiện, bản vá được đưa ra
ngay trong vòng giờ đồng hồ, tuy nhiên số các máy tính bị tiêm nhiễm vẫn ngày
một tăng. Tại sao lại có trường hợp đó? Logic sau sẽ thể hiện rằng các máy tính
của các bạn đã không
được vá đúng cách! Chúng tôi dùng bài viết này để giới
thiệu về các phương pháp có thể được sử dụng nhằm giúp bảo vệ máy tính của
bạn chống lại sự tiêm nhiễm bởi lại sâu ConFlicker này, dự trên cách nó tấn
công vào hệ thống như thế nào.
Các thông tin cơ bản về ConFlicker
ConFlicker có hai biến thể kể từ khi xuất hiện lần đầu tiên vào tháng 11 năm
2008. Biến thể đầu tiên không nguy hiểm như biến th
ể thứ hai, điều này chắc
hẳn các bạn đã được nghe nhiều từ các phương tiện truyền thông. Bạn có thể
tham khảo các thông tin về ConFlicker được cung cấp bởi ms trong bản nâng
cấp bảo mật MS08-067 tại đây
. Thế hệ kế tiếp của ConFlicker được tung ra vào
tháng 12 năm 2008, đây chính là biến thể có thể tấn công trên diện rộng và nguy
hiểm. Bạn có thể đọc thêm tài liệu
sau để biết thêm các thông tin về loại biến thể
này.
ConFlicker, trong biến thể mới nhất, sẽ tấn công hệ thống ở các điểm khác nhau,
chúng sẽ cố gắng tự nhúng vào bất cứ chỗ nào có thể với hy vọng rằng sẽ
không bị phát hiện và khó remove khi bị tiêm nhiễm. Loại sâu này sẽ tấn công
các phần trong máy tính dưới đây:
•
Tạo các file DLL ẩn với nhiều tên khác nhau trong thư mục Windows
System
•
Tạo các file DLL ẩn nằm trong thư mục %ProgramFiles%\Internet
Explorer hay %ProgramFiles%\Movie Maker
•
Tạo một entry trong Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
•
Nạp một dịch vụ trong Registry dưới
HKLM\SYSTEM\CurrentControlSet\Services.
•
Copy vào các máy tính đích trong hệ thống ADMIN$ bằng các chứng chỉ
hiện hành của người dùng đã đăng nhập.
•
Hack mật các mật khẩu người dùng của SAM nội bộ trên máy tính mục
tiêu bằng cách sử dụng các mật khẩu yếu.
•
Tạo nhiệm vụ đã được lập trình từ xa trên máy tính đích (nếu username và
password bị thỏa hiệp).
•
Copy vào tất cả các ổ đĩa được bản đồ hóa và có thể di rời.
•
Tạo một file autorun.inf trên tất cả các ổ đĩa sẽ khai thác tính năng
AutoPlay nếu được kích hoạt, như vậy khởi chạy sâu trên các máy tính bị
tiêm nhiễm trong quá trình autorun.
•
Vô hiệu hóa việc xem các file ẩn
•
Chỉnh các thiết lập TCP của hệ thống để cho phép số lượng lớn các kết
nối đồng thời.
•
Xóa khóa Registry cho Windows Defender
•
Thiết lập lại các điểm khôi phục hệ thống
•
Download các file từ các website khác
Như những gì bạn có thể thấy, ConFlicker là một loại sâu rất nguy hiểm, tiêm
nhiễm vào rất nhiều phần khác nhau của hệ thống, cũng như các thư mục,
Registry và các vùng khác trong hệ thống.
Đạt được bản vá
Giải pháp tốt nhất để chống lại ConFlicker là phải đạt được bản vá từ Microsoft ở
đây.
Bạn sẽ thấy rằng Windows Vista và Windows 2008 chỉ ở mức “Important” đối với
lỗ hổng này, do khả năng bảo vệ và an toàn hơn của hai hệ điều hành này so với
các hệ điều hành trước đó.
Các thiết lập Group Policy bảo vệ chống lại ConFlicker
Trước tiên, nếu người dùng đang bị tấn công không phải là thành viên của nhóm
Administrators nội bộ thì sâu này sẽ dành nhiều thời gian trong việc tiêm nhiễ
m
vào máy tính. Vì vậy, để vô hiệu hóa trong tình huống này, bạn có thể sử dụng
Group Policy Preferences để remove tài khoản người dùng khỏi nhóm quản trị
viên nội bộ. Chính sách này được định vị trong User
Configuration\Preferences\Control Panel Settings\Local Users and Groups.
Bạn chỉ cần cấu hình chính sách nhóm nội bộ cho “Administrators”, sau đó
chọn nút tùy chọn “Remove the current user”, xem thể hiện trong hình 1.
Hình 1: Remove tài khoản người dùng hiện hành ra khỏi nhóm Administrators
nội bộ
Do loại sâu này sẽ cố gắng liệt kê sau đó tấn công vào danh sách các username
nội bộ trên máy tính mục tiêu, nên bạn cần bảo đảm rằng không còn tài khoản
người dùng nào trong SAM nội bộ cho mỗi máy trạm. Điều này có thể được thực
hiện bằng cách sử dụng chính sách như thể hiện trong hình 1, tuy nhiên cũng
cho phép bạn xóa tất cả các người dùng trong nhóm Administrators, xem thể
hiện trong hình 2.
Hình 2: Remove tất cả các thành viên ra khỏi nhóm Administrators nội bộ
Lưu ý:
Trong hình 2, nhóm Domain Admins và tài khoản Administrator nội bộ có thể bị
bắt buộc vào nhóm Administrator nội bộ, đây chính là giải pháp bảo mật tốt nhất
ở đây.
Mặc dù thiết lập tiếp theo này không có trong Windows XP hoặc Server 2003
nhưng nó là một cấu hình tuyệt vời cho Windows Vista và Server 2008. Group
Policy sẽ điều khiển tất cả các vùng trong User Account Control và sau đó nhắc
nhở sự ưng thuận cho quản trị viên và từ chối nâng quyền (đối với ng
ười dùng
chuẩn). Cách thức thực hiện này sẽ ngăn chặn được virus, sâu và các phần
mềm mã độc khác muốn thực hiện các nhiệm vụ nhằm thay đổi các file của hệ
điều hành và Registry. Các hành động này chỉ nên thực hiện trong phần
foreground, khi người dùng cố gắng thực hiện một trong các nhiệm vụ quản trị
viên. ConFlicker sẽ có gắng viết vào và thay đổi một số lượng lớn các file, thư
mục được bảo vệ và các entry của registry ẩn đằng sau. Các thiết lập UAC này
có thể được thấy trong Computer Configuration\Policies\Windows
Settings\Security Settings\Local Policies\Security Options. Hình 3 minh
chứng một danh sách đầy đủ các thiết lập có thể
được cấu hình.
Hình 3: Điều khiển truy cập các thiết lập UAC trên Windows Vista và Server 2008
Tập cuối cùng các thiết lập Group Policy cần được cấu hình có liên quan đến
các mật khẩu tài khoản người dùng. Do ConFlicker sẽ cố gắng đoán các mật
khẩu, nên chúng ta cần phải bảo đảm rằng Password Policies sẽ được thiết lập
để có được các mật khẩu đủ mạnh và đủ dài. Điều này có thể được thực hi
ện
trong Default Domain Policy cho các miền Active Directory, tuy nhiên cũng có thể
được cấu hình trong GPO nội bộ đối với các máy tính chuẩn. Các thiết lập cho
Password Policies nằm trong Computer Configuration\Windows
Settings\Security Settings\Local Policies\Account Policies, xem thể hiện
trong hình 4.
