Sử dụng Group Policy để tránh ConFlicker trong Windows

Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số phương pháp giúp các bạn bảo vệ máy tính của mình nhằm tránh bị tiêm nhiễm loại sâu nguy hiểm mang tên ConFlicker
Nội dung trích xuất từ tài liệu:
Sử dụng Group Policy để tránh ConFlicker trong Windows Sử dụng Group Policy để tránh ConFlicker trong WindowsNguồn:quantrimang.com.vn Derek MelberQuản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn một sốphương pháp giúp các bạn bảo vệ máy tính của mình nhằm tránh bị tiêm nhiễmloại sâu nguy hiểm mang tên ConFlicker.Giới thiệuBảo mật Windows luôn luôn là một nhiệm vụ không hề dễ dàng. Quả thực mànói có quá nhiều vấn đề cần phải đề cập đến trong việc bảo mật, tuy nhiên vềbản chất lại hoàn toàn giống như người duy trì cho thế giới hệ điều hành và IT.Mỗi hệ điều hành đều có các lỗ hổng và chúng hoàn toàn có thể bị tấn công bởimột số lượng rất lớn virus và sâu hoành hành. Trong trường hợp ConFlicker,câu chuyện cũng diễn ra như vậy. Khi lại sâu này xuất hiện, bản vá được đưa rangay trong vòng giờ đồng hồ, tuy nhiên số các máy tính bị tiêm nhiễm vẫn ngàymột tăng. Tại sao lại có trường hợp đó? Logic sau sẽ thể hiện rằng các máy tínhcủa các bạn đã không được vá đúng cách! Chúng tôi dùng bài viết này để giớithiệu về các phương pháp có thể được sử dụng nhằm giúp bảo vệ máy tính củabạn chống lại sự tiêm nhiễm bởi lại sâu ConFlicker này, dự trên cách nó tấncông vào hệ thống như thế nào.Các thông tin cơ bản về ConFlickerConFlicker có hai biến thể kể từ khi xuất hiện lần đầu tiên vào tháng 11 năm2008. Biến thể đầu tiên không nguy hiểm như biến thể thứ hai, điều này chắchẳn các bạn đã được nghe nhiều từ các phương tiện truyền thông. Bạn có thểtham khảo các thông tin về ConFlicker được cung cấp bởi ms trong bản nângcấp bảo mật MS08-067 tại đây. Thế hệ kế tiếp của ConFlicker được tung ra vàotháng 12 năm 2008, đây chính là biến thể có thể tấn công trên diện rộng và nguyhiểm. Bạn có thể đọc thêm tài liệu sau để biết thêm các thông tin về loại biến thểnày.ConFlicker, trong biến thể mới nhất, sẽ tấn công hệ thống ở các điểm khác nhau,chúng sẽ cố gắng tự nhúng vào bất cứ chỗ nào có thể với hy vọng rằng sẽkhông bị phát hiện và khó remove khi bị tiêm nhiễm. Loại sâu này sẽ tấn côngcác phần trong máy tính dưới đây: Tạo các file DLL ẩn với nhiều tên khác nhau trong thư mục Windows • System Tạo các file DLL ẩn nằm trong thư mục %ProgramFiles%Internet • Explorer hay %ProgramFiles%Movie Maker Tạo một entry trong Registry: • HKCUSoftwareMicrosoftWindowsCurrentVersionRun. Nạp một dịch vụ trong Registry dưới • HKLMSYSTEMCurrentControlSetServices. Copy vào các máy tính đích trong hệ thống ADMIN$ bằng các chứng chỉ • hiện hành của người dùng đã đăng nhập. Hack mật các mật khẩu người dùng của SAM nội bộ trên máy tính mục • tiêu bằng cách sử dụng các mật khẩu yếu. Tạo nhiệm vụ đã được lập trình từ xa trên máy tính đích (nếu username và • password bị thỏa hiệp). Copy vào tất cả các ổ đĩa được bản đồ hóa và có thể di rời. • Tạo một file autorun.inf trên tất cả các ổ đĩa sẽ khai thác tính năng • AutoPlay nếu được kích hoạt, như vậy khởi chạy sâu trên các máy tính bị tiêm nhiễm trong quá trình autorun. Vô hiệu hóa việc xem các file ẩn • Chỉnh các thiết lập TCP của hệ thống để cho phép số lượng lớn các kết • nối đồng thời. Xóa khóa Registry cho Windows Defender • Thiết lập lại các điểm khôi phục hệ thống • Download các file từ các website khác •Như những gì bạn có thể thấy, ConFlicker là một loại sâu rất nguy hiểm, tiêmnhiễm vào rất nhiều phần khác nhau của hệ thống, cũng như các thư mục,Registry và các vùng khác trong hệ thống.Đạt được bản váGiải pháp tốt nhất để chống lại ConFlicker là phải đạt được bản vá từ Microsoft ởđây.Bạn sẽ thấy rằng Windows Vista và Windows 2008 chỉ ở mức “Important” đối vớilỗ hổng này, do khả năng bảo vệ và an toàn hơn của hai hệ điều hành này so vớicác hệ điều hành trước đó.Các thiết lập Group Policy bảo vệ chống lại ConFlickerTrước tiên, nếu người dùng đang bị tấn công không phải là thành viên của nhómAdministrators nội bộ thì sâu này sẽ dành nhiều thời gian trong việc tiêm nhiễmvào máy tính. Vì vậy, để vô hiệu hóa trong tình huống này, bạn có thể sử dụngGroup Policy Preferences để remove tài khoản người dùng khỏi nhóm quản trịviên nội bộ. Chính sách này được định vị trong UserConfigurationPreferencesControl Panel SettingsLocal Users and Groups.Bạn chỉ cần cấu hình chính sách nhóm nội bộ cho “Administrators”, sau đóchọn nút tùy chọn “Remove the current user”, xem thể hiện trong hình 1. Hình 1: Remove tài khoản người dùng hiện hành ra khỏi nhóm Administrators nội bộDo loại sâu này sẽ cố gắng liệt kê sau đó tấn công vào danh sách các usernamenội bộ trên máy tính mục tiêu, nên bạn cần bảo đảm rằng không còn tài khoảnngười dùng nào trong SAM nội bộ cho mỗi máy trạm. ...