(Post 20/11/2010) Thời gian qua đã có một số
bài viết thú vị về việc phòng
chống virus lây qua USB. Tuy nhiên theo tôi, các bài viết đó mới chỉ
giải quyết được một phần vấn đề. Ngoài những cách đó, bài viết này giới
thiệu cách đảm bảo an toàn bằng tài khoản hạn chế và Software Restriction
Policy.
Tắt Shell hardware detection có thể ngăn virus Autorun
nhưng có thể làm tắt luôn tính năng Autoplay. Tạo thư mục AUTORUN.INF
trên USB có thể ngăn virus lây lan qua tệp autorun.inf nhưng không thể
cấm virus ghi các tệp khác. Ngay tác giả bài viết “Nguy cơ bảo mật từ
thiết bị nhớ USB” cũng thừa nhận “... cả hai cách... không đảm bảo
chặn hoàn toàn các loại virus/worm... , lây nhờ sự ngờ nghệch của người
dùng khi họ nhấn đúp vào tệp thi hành của nó”.
Chúng ta có thể đổ tội cho người dùng khi họ gọi tệp
Phimnguoilon.exe, nhưng làm sao họ có thể luôn nhận ra những mẹo lừa ngày
càng tinh vi như đặt tên tệp thi hành trùng với tên các thư mục trên USB,
dùng biểu tượng thư mục cho các tệp thi hành chứa mã độc... Để ngăn chặn
tận gốc các loại mã độc, chúng ta cần kiểm soát chặt chẽ việc thực thi
các phần mềm. Sử dụng tài khoản người dùng có quyền hạn chế sẽ ngăn chặn
khả năng lây lan của những loại mã độc cần tới quyền quản trị hệ thống
(chẳng hạn như ghi vào mục HKEY_LOCAL_MACHINE trong registry hay lưu tệp
vào thư mục Windows).
Với công cụ có tên gọi Software Restriction Policy do
Microsoft cung cấp (kể từ phiên bản Windows 2000), chúng ta có thể chặn
cả những tệp thi hành do người dùng vô tình hay cố ý đem về máy và chấm
dứt nguy cơ mà mọi tệp dạng Phimnguoilon.exe đem tới dù chúng được nguỵ
trang bằng cách gì đi nữa. Ý tưởng chính của cách kết hợp Software Restriction
Policy với việc sử dụng tài khoản hạn chế có thể được minh hoạ một cách
đơn giản bằng hình dưới đây.
FPT APTECH
cung cấp cho các bạn đam mê học tin học, học công nghệ thông
tin chuyên sâu về học lập trình cơ hội được đào tạo Công Nghệ
Thông Tin trong môi trường tiêu chuẩn chất lượng quốc tế ISO9001.
Học
CNTT - Học Aptech - Học tại FPT |
|
Bằng biện pháp phân quyền của Windows (áp dụng cho hệ
thống tệp NTFS), chúng ta có thể chỉ cho phép người dùng và mọi loại mã
độc “đi theo” họ lưu tệp ở những thư mục nhất định, còn Software Restriction
Policy (SRP) sẽ giúp cấm việc thực thi mọi phần mềm nằm ngoài phạm vi
hệ thống cho phép.
Cách thiết lập SRP chỉ gồm vài bước khá đơn giản:
Bước 1: Sau khi đăng nhập bằng tài khoản
Administrator, bạn nhấn nút Start > Run rồi gõ gpedit.msc vào hộp thoại
Run và nhấn nút OK để mở ra màn hình Group Policy. Chuyển tới mục Computer
Configuration > Windows Settings > Security Settings rồi nhấn chuột
phải vào dòng Software Restriction Policies và tạo một chính sách mới.
Bước 2: Áp Software Restriction Policy
cho tất cả các phần mềm và mọi người dùng trừ những tài khoản thuộc nhóm
Local Administrators bằng cách nhấn đúp vào dòng Enforcement ở khung bên
phải của màn hình Group Policy rồi chọn như trong hình dưới đây. Sở dĩ
chúng ta cần đặt ngoại lệ cho các tài khoản quản trị local là vì nếu không
làm như vậy, việc cài đặt/gỡ bỏ các phần mềm có thể phát sinh lỗi.
Bước 3: Nhấn đúp vào dòng Designated
File Types trong khung bên phải của Group Policy. Một hộp thoại sẽ mở
ra, hãy tìm tới dòng LNK trong danh sách các kiểu tệp và chọn Delete.
Điều này cho phép người dùng sử dụng các shortcut trên Desktop và các
biểu tượng ở thanh Quick Launch như bình thường.
Bước 4: Chuyển tới mục Security Levels
để bật chế độ bảo vệ bằng cách nhấn chuột phải vào dòng Disallowed rồi
chọn Set as default.
Bạn cần xác nhận điều này bằng cách nhấn vào nút Yes
khi thông báo sau xuất hiện.
Với những trường hợp ngoại lệ, ví dụ như khi một số phần
mềm cài đặt vào thư mục riêng, không nằm trong thư mục Program Files,
các bạn có thể nhấn chuột phải vào dòng Additional Rules và chọn New Path
Rule để bổ sung quy tắc phụ. Nếu cần quản trị chi tiết và dễ dàng hơn,
các bạn có thể nhờ tới sự trợ giúp của các phần mềm thứ ba (chẳng hạn
như Parity của công ty Bit9).
Vì việc sử dụng các phần mềm EndPoint Security vượt quá
phạm vi của bài viết này nên tôi đành xin phép tạm biệt các bạn tại đây.
Lê Mạnh Hùng
(theo PC World VN)
Tin liên quan:
|
