SửdụngGroupPolicyđểtránhConFlickertrong
Windows
Giới thiệu
Bảo mật Windows luôn luôn là một nhiệm vụ không hề dễ dàng. Quả thực mà nói
có quá nhiều vấn đề cần phải đề cập đến trong việc bảo mật, tuy nhiên về bản chất
lại hoàn toàn giống như người duy trì cho thế giới hệ điều hành và IT. Mỗi hệ điều
hành đều có các lỗ hổng và chúng hoàn toàn có thể bị tấn công bởi một số lượng
rất lớn virus và sâu hoành hành. Trong trường hợp ConFlicker, câu chuyện cũng
diễn ra như vậy. Khi lại sâu này xuất hiện, bản vá được đưa ra ngay trong vòng giờ
đồng hồ, tuy nhiên số các máy tính bị tiêm nhiễm vẫn ngày một tăng. Tại sao lại
có trường hợp đó? Logic sau sẽ thể hiện rằng các máy tính của các bạn đã không
được vá đúng cách! Chúng tôi dùng bài viết này để giới thiệu về các phương pháp
có thể được sửdụng nhằm giúp bảo vệ máy tính của bạn chống lại sự tiêm nhiễm
bởi lại sâu ConFlicker này, dự trên cách nó tấn công vào hệ thống như thế nào.
Các thông tin cơ bản về ConFlicker
ConFlicker có hai biến thể kể từ khi xuất hiện lần đầu tiên vào tháng 11 năm 2008.
Biến thể đầu tiên không nguy hiểm như biến thể thứ hai, điều này chắc hẳn các
bạn đã được nghe nhiều từ các phương tiện truyền thông. Bạn có thể tham khảo
các thông tin về ConFlicker được cung cấp bởi ms trong bản nâng cấp bảo
mật MS08-067 tại đây. Thế hệ kế tiếp của ConFlicker được tung ra vào tháng 12
năm 2008, đây chính là biến thể có thể tấn công trên diện rộng và nguy hiểm. Bạn
có thể đọc thêm tài liệu sau để biết thêm các thông tin về loại biến thể này.
ConFlicker, trong biến thể mới nhất, sẽ tấn công hệ thống ở các điểm khác nhau,
chúng sẽ cố gắng tự nhúng vào bất cứ chỗ nào có thể với hy vọng rằng sẽ không bị
phát hiện và khó remove khi bị tiêm nhiễm. Loại sâu này sẽ tấn công các phần
trong máy tính dưới đây:
Tạo các file DLL ẩn với nhiều tên khác nhau trong thư mục Windows
System
Tạo các file DLL ẩn nằm trong thư mục %ProgramFiles%\Internet
Explorer hay %ProgramFiles%\Movie Maker
Tạo một entry trong Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
Nạp một dịch vụ trong Registry
dưới HKLM\SYSTEM\CurrentControlSet\Services.
Copy vào các máy tính đích trong hệ thống ADMIN$ bằng các chứng chỉ
hiện hành của người dùng đã đăng nhập.
Hack mật các mật khẩu người dùng của SAM nội bộ trên máy tính mục tiêu
bằng cách sửdụng các mật khẩu yếu.
Tạo nhiệm vụ đã được lập trình từ xa trên máy tính đích (nếu username và
password bị thỏa hiệp).
Copy vào tất cả các ổ đĩa được bản đồ hóa và có thể di rời.
Tạo một file autorun.inf trên tất cả các ổ đĩa sẽ khai thác tính năng
AutoPlay nếu được kích hoạt, như vậy khởi chạy sâu trên các máy tính bị tiêm
nhiễm trong quá trình autorun.
Vô hiệu hóa việc xem các file ẩn
Chỉnh các thiết lập TCP của hệ thống để cho phép số lượng lớn các kết nối
đồng thời.
Xóa khóa Registry cho Windows Defender
Thiết lập lại các điểm khôi phục hệ thống
Download các file từ các website khác
Như những gì bạn có thể thấy, ConFlicker là một loại sâu rất nguy hiểm, tiêm
nhiễm vào rất nhiều phần khác nhau của hệ thống, cũng như các thư mục, Registry
và các vùng khác trong hệ thống.
Đạt được bản vá
Giải pháp tốt nhất để chống lại ConFlicker là phải đạt được bản vá từ Microsoft ở
đây.
Bạn sẽ thấy rằng Windows Vista và Windows 2008 chỉ ở mức “Important” đối với
lỗ hổng này, do khả năng bảo vệ và an toàn hơn của hai hệ điều hành này so với
các hệ điều hành trước đó.
Các thiết lập GroupPolicy bảo vệ chống lại ConFlicker
Trước tiên, nếu người dùng đang bị tấn công không phải là thành viên của nhóm
Administrators nội bộ thì sâu này sẽ dành nhiều thời gian trong việc tiêm nhiễm
vào máy tính. Vì vậy, để vô hiệu hóa trong tình huống này, bạn có thể sửdụng
Group Policy Preferences để remove tài khoản người dùng khỏi nhóm quản trị
viên nội bộ. Chính sách này được định vị trong User
Configuration\Preferences\Control Panel Settings\Local Users and Groups.
. Sử dụng Group Policy để tránh ConFlicker trong
Windows
Giới thiệu
Bảo mật Windows luôn luôn là một nhiệm vụ không. nhiều thời gian trong việc tiêm nhiễm
vào máy tính. Vì vậy, để vô hiệu hóa trong tình huống này, bạn có thể sử dụng
Group Policy Preferences để remove tài