版權說明:
文中所提及的軟體及圖片內容皆屬於各該公司所有,本文的圖片僅做教學用,
另本文文章著作權屬於本作者,如要轉載請在文章中註明本blog及連結。
寫在前頭:
我知道usb 病毒對網管造成的困擾已經很久,
(我猜大概就像大家跟蚊子的困擾一樣^_^)但是如果在網路上查的話,
總是教你另外裝usb掃毒軟體或者禁用usb、加入註冊檔,以防範usb病毒。
可是你心中一定有個問題,一樣都是病毒,個人防毒軟體都沒效的話,
usb防毒(殺毒)軟體會有效嗎?把autorun禁用,可是好像也沒什麼效?
你心中一定也有另外個問題,禁用usb 執行檔不就什麼問題都解決了嗎?
沒錯!這就是本篇要講的,也就是徹底解決usb病毒的方法。
測試環境:
--------------------------------------------------
windows xp with sp3 中文版
TrustNoEXE 禁止exe檔軟體
Executable Lockdown 4.1
--------------------------------------------------
方法:
要從源頭解決usb 病毒的方法就我所知,有以下方法:
1.使用群組原則的軟體限制原則對執行檔禁用。
至少要windos XP 以上。
2.安裝禁用exe檔軟體,例如防毒軟體、TrustNoEXE
新版防毒軟體如Symantec EndPoint 好像有禁用exe功能。
3.禁用usb
這個方式應該有人不會想用,因為還要替使用者準備網路硬碟。
做法:
一、使用群組原則:
1.進入系統管理工具\本機安全性原則\軟體限制原則
2.第一次使用請在軟體限制原則上按滑鼠右鍵啟用
3.接著在右邊空白處按右鍵,選新增路徑規則。
4.接著選擇你要禁用的路徑。
6.接著點選軟體限制原則,再點右邊的指定的檔案類型,
這裡可以選擇你要禁用哪些可執行檔。
7.這樣子就已完成隨身碟執行檔的禁用。(確實就是這麼簡單!)
當有人要執行時,就會被阻止。
8.使用這項設定會有幾個考量點:
a.使用者的磁碟編號應統一(如固定只有c、d,e槽為光碟,f以後為隨身碟)
b.電腦加入AD網域後,通常本機安全性原則就無法在Client端設定了,
所以你也不用想說想寫支程式判斷隨身碟在哪個磁碟代號。
(若你沒有套用群組原則,當然就可編輯,但是寫程式不容易!)
c.此措施是用來避免一般人在無知狀況下執行usb 病毒,所以要是有高手
堅持把exe 檔copy到其它地方,那就不是防usb 病毒了。(防駭客?)
d.好像powershell可程式化控制本機安全性原則。(我還沒試過)
e.一開始的設定是"全部允許",再逐步限制,當然也可"全部禁用",再逐步開放,
f.以我為例,我是設定c:,d: 等路徑可以用,其它磁碟都不能用。
●其它選項因不在本次主題裡,故先略過。
二、使用阻擋exe 軟體
● Executable Lockdown 4.1 (付費軟體)
1.它的功能很簡單,就是比它晚安裝的程式都要詢問,若不准許就會禁用。
它的選項非常少,就如下圖這樣而已。
(新版的是5.0,因為我看不到product id 就沒裝了)
2.當你點擊一個執行檔時,就會出現如下訊息,問你要不要執行。
3.有一個log可以看執行檔被執行的時間。
4.這個軟體可以設定執行檔的黑名單,而不能設定路徑。
另外它真的沒什麼可設定的,所以我也不知道它是怎麼運作的。
而且要裝這套軟體還要考慮將來要做系統更新時會不會出現什麼問題。
(像office 每次換user登入都要重設定時就會出問題)
● TrustNoEXE (免費)
1.這個軟體我用1年以上了,主要用在人很雜的公用區域。它裝好之後
是到控制台裡去設定,如下圖。
2.設定的時候,要注意只能設定Access 或Deny 其中一個而已。
設定規則可以是網路路徑或磁碟路徑。
如下圖的設定就是c:,d:以外的磁碟的執行檔都會禁用。
可設定提示訊息及寫入事件檢視器中。
提示訊息
3.另外這支軟體好像會跟.net 衝到,要裝的人一定要先試用一段時間再裝。
(裝在我的nb都會死當,在vm則不會)
三、禁用usb
‧這個就不講了,新的防毒軟體或資產軟體都會有這個功能。
要禁用當能要先架file server ,不然檔案要放哪裡。
總結:
1.阻擋executable檔對防usb病毒非常有用,若你的公司電腦都已經
制式化了,這項措施會很有用。
2.自動 只禁止隨身碟執行檔的軟體我還沒找到,找到會再post文章出來。
3.另外為什麼不強調 專用usb 防毒軟體?
我的回答:
1.為什麼你會覺得有效?你的防毒軟體掃不到?
2.一般防毒軟體號稱查毒率98%以上,若你的防毒軟體若掃不到,
只能掃幾千隻的usb 防毒軟體會有效?
3.可以常駐嗎?若行,會跟現有防毒軟體起衝突嗎?若不行,使用者
會好心自行掃毒?
4.傳統做法是禁用autorun.inf或動手腳,可是後來又出現把檔案隱藏
的病毒,你要怎麼防?
(有些病毒會把 homework.doc 隱藏,再加入homework.exe ,
並把副檔名隱藏,引誘使用者點擊)
4.希望本篇文章可解決為毒所困的大家。
4.其它參考
Windows XP 用戶端的軟體限制原則
http://technet.microsoft.com/zh-tw/library/dd548232.aspx
寫程式控制本機安全性原則(群組原則)
http://msdn.microsoft.com/en-us/library/aa374177(VS.85).aspx
http://group-policy-scripting-for-powershell.group-policy-scripting-for-powershell.qarchive.org/
-END-
沒有留言:
張貼留言